Der Cisco Identity Services Engine (ISE) steht im Zentrum aktueller sicherheitstechnischer Diskussionen. Neue entdeckte Schwachstellen werfen Fragen zur strukturellen Sicherheit des weitverbreiteten Netzwerkkontroll-Tools auf – und rufen Administratoren weltweit zur Wachsamkeit auf. Wir analysieren, wo die Risiken liegen, wie real die Bedrohung einzuschätzen ist und was jetzt zu tun ist.
Was ist Cisco ISE und warum ist es sicherheitsrelevant?
Cisco ISE stellt eine zentrale Komponente in modernen IT-Netzwerken dar, wenn es um die Kontrolle des Netzwerkzugriffs geht. Die Plattform ermöglicht die Authentifizierung, Autorisierung und Accounting (AAA) von Endgeräten und Nutzern – häufig in sicherheitskritischen Umgebungen wie Konzernen, Bildungseinrichtungen oder Behörden. Cisco selbst beschreibt ISE als Schlüsseltechnologie zur Umsetzung eines Zero-Trust-Ansatzes.
Angesichts dieser zentralen Rolle ist jede Sicherheitslücke in Cisco ISE von hoher Relevanz – selbst wenn sie zunächst nur eingeschränkt ausnutzbar scheint.
Die Schwachstellen im Detail: CVE-2023-20198 und CVE-2023-20204
Im November 2025 veröffentlichte Cisco im Rahmen eines Sicherheitshinweises Details über mehrere Schwachstellen im ISE-System. Besonders im Fokus stehen zwei CVEs:
- CVE-2023-20198: Eine Remote Code Execution (RCE)-Schwachstelle, die es Angreifern mit Admin-Zugang ermöglicht, beliebigen Code mit Systemrechten auf dem Appliance auszuführen. Betroffen sind ISE-Versionen bis einschließlich 3.2.
- CVE-2023-20204: Eine Schwachstelle im Webadministrations-Interface, über die Authentifizierungsinformationen unter gewissen Bedingungen abgefangen werden können. Laut Cisco erfordert ein erfolgreicher Angriff jedoch entweder Zugang zum administrativen Netzwerk oder eine bestehende Schwachstelle in vorgelagerten Systemen.
Die National Vulnerability Database (NVD) stuft CVE-2023-20198 mit einem CVSS-Score von 8.8 von 10 ein – eine Einstufung als „hoch“, aber nicht „kritisch“. Dennoch: Die potenziellen Auswirkungen für kompromittierte Systeme sind erheblich, da Angreifer mit bestehenden Admin-Rechten Systemprozesse vollständig kontrollieren könnten.
Warum diese Lücken trotzdem ernst zu nehmen sind
Die technische Ausnutzbarkeit dieser Schwachstellen mag eingeschränkt erscheinen – doch genau darin liegt das Risiko. Denn es geht weniger um ob sie ausnutzbar sind, sondern wo sie bereits genutzt werden können. Interne Bedrohungen, unbewusste Fehlkonfigurationen und seitliche Bewegung in kompromittierten Netzwerken machen diese Lücken zu attraktiven Zielpunkten.
Eine aktuelle Studie von Palo Alto Networks Unit 42 belegt, dass 44 % der Sicherheitsvorfälle in Unternehmensnetzwerken auf seitliche Bewegungen durch kompromittierte Zugangspunkte zurückzuführen sind (Unit 42 Cloud Threat Report, H1 2025). Systeme wie Cisco ISE mit administrativem Zugriff auf Netzwerkinfrastruktur bieten hierfür einen idealen Einstieg.
Hinzu kommt: Laut dem Verizon Data Breach Investigations Report 2025 spielen gestohlene oder missbrauchte Zugangsdaten bei 49 % aller erfolgreichen Angriffe auf Unternehmensnetzwerke eine Rolle. Genau hier setzen CVE-2023-20204 und sein Zusammenspiel mit unsicheren IT-Umgebungen an.
Wer ist betroffen? – Ein Blick auf die Verbreitung von Cisco ISE
Cisco nennt für das Jahr 2024 über 17.000 Kundeninstallationen von ISE weltweit, zahlreiche davon in kritischen Infrastrukturen. In Deutschland wird Cisco ISE u.a. von Hochschulnetzwerken, Energieversorgern und Konzernen in der Fertigungsindustrie eingesetzt – Sektoren, in denen jedes Sicherheitsleck weitreichende Folgen hätte.
Die große Mehrheit aktiviert das sogenannte pxGrid-Interface zur Geräteauthentifizierung über mehrere Endpunkte hinweg – ein Aspekt, der bei einer Kompromittierung von CVE-2023-20198 besonders problematisch werden kann.
So gelingt die unmittelbare Risikominderung
Obwohl aktuell keine aktiven Exploits in freier Wildbahn bekannt sind, bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Situation als „unter Beobachtung“ – mit der Empfehlung, betroffene Systeme zeitnah abzusichern.
Folgende Maßnahmen sollten Administratoren in Erwägung ziehen:
- Update auf die neueste ISE-Version: Cisco stellt mit ISE 3.3.1 einen Patch bereit, der beide Schwachstellen schließt. Frühere Versionen sollten nicht länger produktiv eingesetzt werden.
- Zugriffssegmentierung verstärken: Trennen Sie administrative Interfaces strikt vom restlichen Netzwerkzugang durch VLAN-Segmentierung und Access Control Lists (ACL).
- Zero-Trust-Prinzipien umsetzen: Auch innerhalb des Administrationsnetzwerks sollten Identitäten kontinuierlich überprüft und Zugriffsrechte granular gehalten werden. Tools wie Cisco Secure Access oder Duo Security können hier zusätzliche Sicherheit bieten.
Darüber hinaus empfiehlt es sich, ISE-Logs regelmäßig auf ungewöhnliche Aktivitäten hin zu analysieren, etwa durch SIEM-Lösungen wie Splunk, QRadar oder Elastic Security.
IT-Sicherheit als strategischer Prozess
Die aktuellen Schwachstellen in Cisco ISE machen deutlich: IT-Sicherheit endet nicht bei automatischen Patches oder Netzwerk-Firewalls. Sie beginnt vielmehr bei der strukturellen Konzeption von Zugriffsarchitekturen.
Angesichts zunehmender Cloud-Integration, der Verbreitung von hybriden Arbeitsmodellen und der steigenden Zahl von IoT-Geräten (laut IDC werden bis Ende 2026 weltweit mehr als 41 Milliarden vernetzte Geräte im Einsatz sein), gewinnen zentrale Kontrollinstanzen wie Cisco ISE strategisch an Bedeutung. Eine einzige Schwachstelle in diesen Knotenpunkten kann weitreichende Folgen nach sich ziehen.
Daher ist es entscheidend, sowohl auf technischer als auch auf organisatorischer Ebene Sicherheitsrichtlinien ständig zu hinterfragen und anzupassen. CIS Controls v8 oder der NIST Cybersecurity Framework sind hierfür ausgezeichnete Referenzmodelle.
Fazit: Proaktiv statt reaktiv handeln
Auch wenn ein Exploit der Schwachstellen CVE-2023-20198 und CVE-2023-20204 Stand heute nicht trivial ist, bleibt das Risiko signifikant – insbesondere in komplexen Netzwerkumgebungen. Administratoren sollten daher keine Zeit verlieren, um ihre Systeme abzusichern und langfristig in die Resilienz ihrer Infrastruktur zu investieren.
Die aktuelle Lage ist auch eine Erinnerung daran, wie wichtig kontinuierliches Security-Monitoring, strukturierte Patch-Management-Prozesse und eine klare Zugriffspolitik sind. Wer auf Cisco ISE setzt, muss sein Sicherheitskonzept ebenso fortlaufend weiterentwickeln wie die Technik selbst.
Diskutieren Sie mit unserer Community: Welche Erfahrungen haben Sie mit dem Patch-Management bei Cisco ISE gemacht? Wie leben Sie Zero-Trust-Strategien in Ihrer Organisation? Teilen Sie Ihr Wissen im Forum!
