All Posts

Sicherheitstrends

8 min

 min read

July 7, 2026

IT-Sicherheit ohne US-Abhängigkeit: die europäische Antwort

Ausgenutzte Schwachstellen bei BeyondTrust, Palo Alto, Fortinet & Delinea: Warum kritische Infrastrukturen jetzt eine europäische Alternative brauchen.

Jan Zeppernick - Amitego CEO

Jan Zeppernick

Management

Einführung

Die US-Abhängigkeit in der IT-Sicherheit ist keine abstrakte Debatte mehr, sondern ein dokumentiertes Betriebsrisiko. Ausgerechnet die Produkte, die das Eingangstor zur IT bewachen sollen – Firewalls, VPN-Gateways, Fernzugriffs- und Privileged-Access-Lösungen – wurden in den vergangenen zwei Jahren bei den großen US-Anbietern wiederholt selbst zum Einfallstor: vom Angriff auf das US-Finanzministerium über die BeyondTrust-Cloud bis zu aktiv ausgenutzten Zero-Days bei Palo Alto Networks und Fortinet.

Dieser Artikel zieht die Bilanz der dokumentierten Vorfälle, erklärt, warum „Konsolidierung auf eine Plattform" das Problem verschärft statt löst – und zeigt, wie VISULOX als deutsch-schweizerische Lösung mit Referenzen in Energie, Telekommunikation und Gesundheitswesen die Kontrolle über das Eingangstor zurück nach Europa holt.

Wichtige Erkenntnisse

  • Firewalls, VPN-Gateways, Fernzugriffs- und PAM-Lösungen sind das Eingangstor zur IT – und genau diese Produktklasse wurde 2024/2025 bei US-Marktführern wiederholt als Einfallstor ausgenutzt: BeyondTrust (US-Treasury-Hack), Palo Alto Networks (CVE-2024-3400, CVSS 10.0), Fortinet (FortiGate- und FortiWeb-Zero-Days), Delinea (Authentifizierungs-Bypass im Secret Server).
  • Wer das Eingangstor einem US-Anbieter überlässt, verbindet das technische Risiko mit einem rechtlichen: Der US CLOUD Act verpflichtet US-Unternehmen zur Datenherausgabe an US-Behörden – unabhängig vom Serverstandort.
  • Die vielbeworbene Plattform-Konsolidierung („alles aus einer Hand") senkt kurzfristig Komplexität, erzeugt aber schleichenden Vendor-Lock-in: korrelierte Ausfallrisiken, steigende Preissetzungsmacht des Anbieters und hohe Wechselkosten.
  • VISULOX von amitego ist eine deutsch-schweizerische RPAM-Lösung, seit über 20 Jahren entwickelt in Stuttgart, mit Sales & Service in Zürich – On-Premise, agentenlos und ausschließlich europäischem Recht unterworfen.
  • Der Track Record ist öffentlich dokumentiert: Energieversorger wie RWE Power und Thyssengas, Telekommunikationskonzerne wie die Vodafone Group, Gesundheits- und Pharmaunternehmen wie Merck sowie Klinikverbünde sichern privilegierte Zugriffe mit VISULOX ab.

Das Eingangstor der IT ist zum bevorzugten Einfallstor geworden

Firewalls, VPN-Gateways, Remote-Support- und Privileged-Access-Management-Lösungen haben eine Gemeinsamkeit: Sie stehen per Definition am Rand des Netzwerks, sind aus dem Internet erreichbar und halten die Schlüssel zu allem, was dahinter liegt. Genau deshalb haben Angreifer – darunter staatlich gesteuerte Gruppen – ihre Prioritäten verschoben. Statt einzelne Arbeitsplätze zu phishen, kompromittieren sie das Eingangstor selbst.

Die Vorfallsbilanz der großen US-Anbieter aus den Jahren 2024 und 2025 belegt das. Die folgenden Fälle sind keine Einschätzungen, sondern öffentlich dokumentiert – durch die Hersteller selbst, durch die US-Cybersicherheitsbehörde CISA und durch unabhängige Sicherheitsforscher.

BeyondTrust: Wenn die PAM-Cloud das US-Finanzministerium öffnet

Ende Dezember 2024 wurde bekannt, dass Angreifer über die cloudbasierte Remote-Support-Lösung von BeyondTrust in das US-Finanzministerium eindrangen. Sie erbeuteten einen API-Schlüssel des Dienstes und nutzten zwei Zero-Day-Schwachstellen (CVE-2024-12356, CVSS 9.8, und CVE-2024-12686), um auf Arbeitsplätze und Dokumente der Behörde zuzugreifen. Der Angriff wurde einer staatlich gesteuerten Gruppe zugeschrieben. Im Juni 2025 folgte mit CVE-2025-5309 eine weitere kritische Schwachstelle in Remote Support und Privileged Remote Access, die ohne Authentifizierung ausnutzbar war. Die Details haben wir im Artikel VISULOX als deutsche Alternative zu BeyondTrust eingeordnet.

Palo Alto Networks: CVSS 10.0 am VPN-Gateway

Im April 2024 meldete Palo Alto Networks mit CVE-2024-3400 eine Schwachstelle der höchstmöglichen Kritikalität (CVSS 10.0) im GlobalProtect-Gateway von PAN-OS: unauthentifizierte Codeausführung mit Root-Rechten, aktiv ausgenutzt bereits Wochen vor der Veröffentlichung. Sicherheitsforscher zählten über 82.000 verwundbare Firewalls weltweit. Nur sieben Monate später folgte das nächste Kapitel: Die Kombination aus CVE-2024-0012 und CVE-2024-9474 erlaubte im November 2024 die vollständige Übernahme des Management-Interfaces; rund 2.000 kompromittierte Geräte wurden gezählt, bevor die Patches griffen.

Fortinet: Zero-Days im Jahrestakt und 15.000 geleakte Konfigurationen

Fortinet startete 2025 mit einem doppelten Vorfall: Im Januar wurde die aktiv ausgenutzte Authentifizierungs-Bypass-Schwachstelle CVE-2024-55591 in FortiOS bekannt, die Angreifern Super-Admin-Rechte auf FortiGate-Firewalls verschaffte. Fast zeitgleich veröffentlichte eine Gruppe namens „Belsen Group" die vollständigen Konfigurationen und VPN-Zugangsdaten von rund 15.000 FortiGate-Firewalls – erbeutet über eine Schwachstelle aus dem Jahr 2022. Im November 2025 folgte CVE-2025-64446 in FortiWeb (CVSS 9.8): Angreifer legten über den Zero-Day automatisiert eigene Administratorkonten auf exponierten Systemen an; die CISA setzte eine Patch-Frist bis zum 21. November 2025.

Delinea: Authentifizierungs-Bypass im Tresor der Geheimnisse

Im April 2024 musste Delinea kurzfristig eine kritische Schwachstelle in der SOAP-API des Secret Server schließen – ausgerechnet der Komponente, die Unternehmensgeheimnisse und privilegierte Zugangsdaten verwahrt. Die Lücke erlaubte einen vollständigen Authentifizierungs-Bypass bis hin zu Administratorrechten. Bemerkenswert war der Ablauf: Der Sicherheitsforscher hatte die Lücke bereits im Februar melden wollen, wurde aber abgewiesen, weil er kein zahlender Kunde war – und ging schließlich an die Öffentlichkeit, bevor der Hersteller patchte.

Das rechtliche Risiko kommt zum technischen dazu

Jede Software hat Schwachstellen – auch europäische. Der Unterschied liegt in dem, was zur technischen Angriffsfläche hinzukommt: der Rechtsrahmen. Alle vier genannten Anbieter sind US-Unternehmen und unterliegen damit dem US CLOUD Act, der sie verpflichtet, Daten auf Anordnung von US-Behörden herauszugeben – unabhängig davon, ob diese in Virginia oder Frankfurt liegen. Für Zugriffs- und Sitzungsdaten aus dem Eingangstor Ihrer IT ist das keine Randnotiz: Es sind die sensibelsten Metadaten, die eine Organisation produziert. Welche Kriterien bei der Anbieterwahl daraus folgen, haben wir im Leitfaden Souveräne PAM-Lösung: 7 Kriterien aufgeschlüsselt.

Hinzu kommt die geopolitische Dimension: Exportkontrollen, Sanktionsregime und politische Volatilität in den USA können Lizenzen, Updates und Support-Verträge treffen – Faktoren, die kein CISO kontrollieren kann, die aber die Verfügbarkeit der eigenen Sicherheitsinfrastruktur bestimmen.

Konsolidierung: der schleichende Vendor-Lock-in

Die Antwort der großen Anbieter auf ihre eigene Komplexität heißt „Plattform-Konsolidierung": Firewall, VPN, Zugriffsmanagement und Monitoring aus einer Hand, mit Bündelrabatten als Einstiegsanreiz. Kurzfristig wirkt das effizient. Mittelfristig entsteht ein Klumpenrisiko mit drei Dimensionen:

  1. Korreliertes Ausfallrisiko: Eine Schwachstelle im Plattform-Kern betrifft alle Funktionen gleichzeitig. Die dokumentierten Fälle oben zeigen, dass genau die zentralen Komponenten getroffen werden.
  2. Preissetzungsmacht: Wer erst einmal alle Sicherheitsfunktionen bei einem Anbieter gebündelt hat, verhandelt bei der Verlängerung nicht mehr auf Augenhöhe. Die Wechselkosten sind das Druckmittel des Anbieters.
  3. Strategische Abhängigkeit: Produktentscheidungen, Cloud-Pflichten und Lizenzmodelle des Plattform-Anbieters werden zu Ihren Rahmenbedingungen – inklusive seines Rechtsraums.

Best-of-Breed mit klaren Schnittstellen ist kein Rückschritt, sondern Risikostreuung. Gerade die sensibelste Schicht – der privilegierte Zugriff – gehört nicht in dasselbe Bündel wie der Rest des Stacks, sondern unter eigene Kontrolle.

VISULOX: die deutsch-schweizerische Antwort mit belegtem Track Record

VISULOX ist die Remote-Privileged-Access-Management-Lösung der amitego AG, einem deutsch-schweizerischen IT-Sicherheitshersteller: Produktentwicklung und Support seit über 20 Jahren in Stuttgart, Sales & Service für Europa in Zürich, Entwicklung zusätzlich in Laax. Es gibt keinen US-Mutterkonzern, keine außereuropäische Eigentümerstruktur und keinen CLOUD-Act-Hebel. Die Lösung läuft vollständig On-Premise, wird agentenlos implementiert – häufig in unter zwei Tagen – und bündelt interne und externe privilegierte Zugriffe über einen zentralen Zugangspunkt mit Multi-Faktor-Authentifizierung, Just-in-Time-Freigaben und revisionssicherer Session-Aufzeichnung.

Entscheidend ist: Das ist kein Nischenversprechen, sondern in kritischen Infrastrukturen erprobt. Zu den öffentlich dokumentierten Referenzen zählen Energieversorger wie RWE Power und der Fernleitungsnetzbetreiber Thyssengas, Telekommunikationskonzerne wie die Vodafone Group, Gesundheits- und Pharmaunternehmen wie Merck sowie Klinikverbünde – Umgebungen, in denen die sichere Fernwartung von OT- und Kliniksystemen täglich nachweisbar funktionieren muss. Über 450 IT-Teams in mehr als 20 Ländern arbeiten mit VISULOX.

Drei Prüffragen für Ihren Sicherheitsstack

  1. Wo steht Ihr Eingangstor? Listen Sie alle aus dem Internet erreichbaren Zugriffskomponenten (Firewall-Management, VPN, Remote Support, PAM) und deren Hersteller-Rechtsraum auf.
  2. Was passiert bei einem Hersteller-Vorfall? Prüfen Sie, ob Ihre Zugriffs- und Sitzungsdaten beim Anbieter liegen (Cloud-Pflicht) oder im eigenen Haus – und ob Sie im Ernstfall handlungsfähig bleiben.
  3. Wie tief ist Ihr Lock-in? Kalkulieren Sie die realen Wechselkosten Ihres konsolidierten Stacks. Wenn ein Wechsel praktisch unmöglich erscheint, ist die Abhängigkeit bereits eingetreten.

Für die Anforderungen aus NIS-2 (§ 30 BSIG), ISO 27001 und Art. 32 DSGVO gilt dabei: Nachweisbare Kontrolle privilegierter Zugriffe ist Pflicht – der Rechtsraum, in dem diese Nachweise liegen, ist Ihre Wahl. Wie sich ein Umstieg rechnet, zeigt der Preis- und Lizenzkalkulator in wenigen Minuten.

Häufige Fragen zur US-Abhängigkeit in der IT-Sicherheit

Warum ist die US-Abhängigkeit in der IT-Sicherheit ein Risiko?

Sie verbindet zwei Risikoebenen: technisch die dokumentierten, wiederholt ausgenutzten Schwachstellen in exponierten US-Sicherheitsprodukten (BeyondTrust, Palo Alto Networks, Fortinet, Delinea, 2024–2025), rechtlich den US CLOUD Act, der US-Anbieter unabhängig vom Serverstandort zur Datenherausgabe an US-Behörden verpflichtet.

Schützt ein europäisches Rechenzentrum eines US-Anbieters vor dem CLOUD Act?

Nein. Der CLOUD Act knüpft an das Unternehmen an, nicht an den Speicherort. Ein US-Anbieter mit Rechenzentrum in Frankfurt bleibt herausgabepflichtig. Entscheidend sind Rechtsraum und Eigentümerstruktur des Anbieters.

Ist die Konsolidierung auf eine Sicherheitsplattform nicht effizienter?

Kurzfristig ja, langfristig entsteht Vendor-Lock-in: Eine Schwachstelle im Plattform-Kern trifft alle Funktionen gleichzeitig, die Wechselkosten steigen mit jeder gebündelten Komponente, und der Anbieter gewinnt Preissetzungsmacht. Risikostreuung über Best-of-Breed mit klaren Schnittstellen ist die robustere Strategie.

Gibt es eine europäische Alternative mit Erfahrung in kritischen Infrastrukturen?

Ja. VISULOX von amitego wird seit über 20 Jahren in Deutschland und der Schweiz entwickelt und betrieben, läuft On-Premise und wird u. a. von RWE Power, Thyssengas, der Vodafone Group und Merck eingesetzt – dokumentiert in öffentlichen Case Studies.

Kontakt

Ihr direkter Weg zu sicherem Remote Access

Sprechen Sie direkt mit einem Cybersecurity Experten.

Persönlicher Termin
Persönlicher Termin
Persönlicher Termin

Fazit

Die Jahre 2024 und 2025 haben ein Muster offengelegt: Die Produkte am Eingangstor der IT – von US-Marktführern wie BeyondTrust, Palo Alto Networks, Fortinet und Delinea – wurden wiederholt selbst zum Einfallstor, während der CLOUD Act die Zugriffsdaten zusätzlich einem fremden Rechtsraum unterwirft. Konsolidierung auf eine US-Plattform vertieft diese Abhängigkeit, statt sie zu lösen. VISULOX bietet die souveräne Gegenposition: deutsch-schweizerisch entwickelt, On-Premise betrieben und in den kritischsten Branchen Europas erprobt – von der Energieversorgung über Telekommunikation bis zum Krankenhaus. Prüfen Sie Ihr Eingangstor, bevor es jemand anderes tut. (Dieser Beitrag ersetzt keine Rechtsberatung.)

Jan Zeppernick - Amitego CEO

Jan Zeppernick

Management

Jan verfügt über mehr als 12 Jahre Beratungserfahrung bei PwC und Ernst & Young, mit Schwerpunkt auf Informationssicherheit und Compliance für kritische Infrastrukturen und die Automobilbranche. Als zertifizierter ISO 27001 Lead Auditor und Strategieexperte berät er Organisationen beim Aufbau und der Auditierung von Sicherheitsmanagementsystemen nach ISO 27001 und TISAX.