Bei der renommierten IT-Security-Veranstaltung Pwn2Own 2025 wurde erneut deutlich, wie anfällig vermeintlich sichere Verbraucher- und Enterprise-Hardware ist. Besonders im Fokus: NAS-Systeme von Qnap, die erfolgreich kompromittiert wurden. Der taiwanische Hersteller hat schnell reagiert – doch was bedeutet das für Unternehmen, Admins und den Stand der Netzwerksicherheit?
Pwn2Own 2025: Angriffserfolge auf Netzwerk-Hardware
Die vom Sicherheitsunternehmen Zero Day Initiative (ZDI) organisierte Pwn2Own-Serie gehört zu den bedeutendsten Hackerwettbewerben weltweit. Bei der Frühjahres-Ausgabe 2025 in Vancouver wurde ein Schwerpunkt auf IoT- und NAS-Geräte gelegt – mit teils besorgniserregenden Ergebnissen. Besonders spektakulär: Zahlreiche Teilnehmer konnten innerhalb von Minuten Schwachstellen bei Storage- und Netzwerksystemen ausnutzen, darunter auch Geräte von Qnap.
In einem der aufsehenerregendsten Angriffe kompromittierte das Team „RedRocket“ ein Qnap TS-464 NAS über eine ungepatchte Command Injection-Lücke. Die Zero Day wurde live vorgeführt und führte zur vollständigen Remote Code Execution (RCE) ohne Benutzerinteraktion. Dabei erhielten die Angreifer Root-Zugriff über das Internet – ein Albtraum-Szenario, insbesondere für Unternehmen, die ihre Qnap-Systeme als Backup- und File-Server nutzen.
Insgesamt wurden auf der Veranstaltung mehr als zwölf Schwachstellen in NAS-Systemen verschiedener Anbieter entdeckt. Qnap war dabei besonders exponiert, da drei unterschiedliche Chains zur Kompromittierung erfolgreich demonstriert wurden. Die durchschnittliche Ausnutzungdauer lag laut ZDI bei unter 5 Minuten – ein Beleg für die Schwere der Sicherheitslücken.
Qnaps Reaktion: Schnelle Patches und Sicherheitsupdates
Qnap reagierte prompt und veröffentlichte binnen weniger Tage mehrere Security Advisories und neue Firmware-Versionen. Bei den gepatchten Geräten handelte es sich unter anderem um Modelle der Serien TS-x64, TS-x53 und TS-x73. Die behobenen Schwachstellen betrafen u. a. das Web-Interface (QuTS hero und QTS) sowie mehrere veraltete PHP-Komponenten.
Wie Qnap in einem offiziellen Statement mitteilte, sei die Zusammenarbeit mit der ZDI „konstruktiv und zielführend“ verlaufen. Die neuen Sicherheitsupdates wurden am 3. Oktober 2025 veröffentlicht. Kunden wurden via QTS-Update-Server automatisch benachrichtigt, Administratoren erhielten zudem E-Mail-Warnungen über das Qnap Security Advisory System.
Wichtig dabei: Die Updates enthielten nicht nur Patches für die konkret bei Pwn2Own genutzten Zero Days, sondern auch präventive Härtungsmaßnahmen in Form von Input-Sanitizing, erweitertem Logging und ASLR-Verbesserungen (Address Space Layout Randomization).
Bedeutung für die IT-Sicherheitslandschaft
Der gezielte Fokus auf NAS-Systeme bei Pwn2Own 2025 war kein Zufall. Laut einer Studie von IDC aus dem 1. Quartal 2025 nutzen über 63 % der KMU weltweit NAS-Systeme für alltägliche Dienste wie Backup, Virtualisierung und Medienbereitstellung (Quelle: IDC, 2025). Durch ihre exponierte Rolle im Netzwerk geraten sie zunehmend ins Visier hochspezialisierter Angreifer.
Hinzu kommt: Auch staatlich unterstützte Hackergruppen wie APT41 oder Lazarus haben laut Analysen von Mandiant und Recorded Future NAS- und IoT-Hardware zunehmend im Fokus. Der Hintergrund: Schwache oder veraltete Systeme lassen sich als persistente Einstiegspunkte hinter Firewalls missbrauchen – ein Angriffspunkt, der oft zu spät erkannt wird.
Eine weitere aktuelle Auswertung von Cyble Research Labs zeigt, dass 2024 insgesamt über 22.000 öffentlich erreichbare Qnap-Systeme in europäischen Netzwerken identifiziert wurden – davon über 35 % mit veralteter Firmware (Quelle: Cyble, 2024).
Empfehlungen für IT-Verantwortliche
Vor dem Hintergrund der öffentlich gewordenen Angriffe sollten Unternehmen die Sicherheit ihrer NAS-Infrastruktur jetzt proaktiv überprüfen. Folgende Maßnahmen werden von Sicherheitsforschern empfohlen:
- Firmware-Management automatisieren: Nutzen Sie die integrierte Auto-Update-Funktion bei QTS/QuTS hero oder konfigurieren Sie zentrale Update-Prozesse via Management-API.
- Systeme aus dem Internet isolieren: NAS-Systeme sollten niemals direkt aus dem öffentlichen Netz erreichbar sein. Nutzen Sie stattdessen VPN oder Reverse Proxy mit Zugriffskontrolle.
- Security-Funktionen aktivieren: Funktionen wie 2FA, IP-Zugriffslisten sowie SSH-/Telnet-Deaktivierung erhöhen den Schutz gegen unbefugten Zugriff erheblich.
Insbesondere sollten IT-Verantwortliche den neuen „Security Counselor“ in QTS nutzen – ein integriertes Tool zur regelmäßigen Sicherheitsevaluierung, das seit Version 5.1 verfügbar ist.
Die Rolle von Bug-Bounty-Programmen und Pwn2Own
Veranstaltungen wie Pwn2Own liefern nicht nur spektakuläre Hacks, sondern sind ein elementarer Bestandteil einer modernen IT-Sicherheitskultur. Durch Responsible Disclosure-Prozesse erhalten Hersteller wie Qnap frühzeitig Zugriff auf Sicherheitsberichte – ein großer Vorteil gegenüber Zero-Day-Ausnutzungen durch Cybercrime-Gruppen.
Auch wenn Qnap bislang kein eigenes öffentliches Bug-Bounty-Programm bietet, stärkt die Teilnahme an Events wie Pwn2Own das Vertrauen der Community. Andere Hersteller wie Synology oder Western Digital hatten deutlich später auf erkannte Schwachstellen reagiert – mit teils verheerenden Folgen. Ein Beispiel: 2023 ermöglichte eine Sicherheitslücke in My Cloud-Systemen über Monate hinweg Ransomware-Angriffe auf tausende Kunden weltweit.
Immer mehr Unternehmen sehen deshalb in externen Angriffs-Simulationen ein wertvolles Frühwarnsystem. Neben ZDI gibt es mit HackerOne, Bugcrowd und YesWeHack inzwischen etablierte Plattformen für strukturiertes Schwachstellenmanagement auch im B2B-Bereich.
Was Qnap-Nutzer jetzt wissen müssen
Die Sicherheitslücken von 2025 verdeutlichen erneut: Auch kommerzielle NAS-Systeme müssen wie klassische Server betrachtet und verwaltet werden. Sie sind kein Plug-and-Forget-Gerät, sondern gewährleisten nur dann Schutz, wenn kontinuierlich gepatcht, überwacht und abgesichert wird.
Qnap hat mit seiner schnellen Reaktion und der engen Zusammenarbeit mit Sicherheitsforschern eine wichtige Integritätshürde genommen. Dennoch liegt die Verantwortung nun bei Admins, Resellern und Endnutzern, proaktive Sicherheitsstrategien umzusetzen, bevor der nächste kritische Exploit öffentlich wird.
Fazit: Sicherheitsbewusstsein in der NAS-Nutzung stärken
Der Fall Qnap zeigt plastisch, wie schnell und wirkungsvoll Angreifer selbst aktuelle NAS-Systeme kompromittieren können – und wie essenziell es ist, Angriffsflächen bereits im Vorfeld zu minimieren. Die Präsentationen bei Pwn2Own liefern wichtige Impulse für Softwarehersteller und Sicherheitsverantwortliche zugleich.
Diskutieren Sie mit uns: Wie handhaben Sie das Patch-Management Ihrer Storage-Systeme? Nutzen Sie Pentrationstests, um Schwachstellen systematisch zu entdecken? Teilen Sie Ihre Erfahrungen und Strategien mit der Community – damit aus Vorfällen wie bei Qnap wertvolle Learnings für die Zukunft entstehen.
