All Posts
8 min
min read
July 7, 2026
Ausgenutzte Schwachstellen bei BeyondTrust, Palo Alto, Fortinet & Delinea: Warum kritische Infrastrukturen jetzt eine europäische Alternative brauchen.
.jpg)
Die US-Abhängigkeit in der IT-Sicherheit ist keine abstrakte Debatte mehr, sondern ein dokumentiertes Betriebsrisiko. Ausgerechnet die Produkte, die das Eingangstor zur IT bewachen sollen – Firewalls, VPN-Gateways, Fernzugriffs- und Privileged-Access-Lösungen – wurden in den vergangenen zwei Jahren bei den großen US-Anbietern wiederholt selbst zum Einfallstor: vom Angriff auf das US-Finanzministerium über die BeyondTrust-Cloud bis zu aktiv ausgenutzten Zero-Days bei Palo Alto Networks und Fortinet.
Dieser Artikel zieht die Bilanz der dokumentierten Vorfälle, erklärt, warum „Konsolidierung auf eine Plattform" das Problem verschärft statt löst – und zeigt, wie VISULOX als deutsch-schweizerische Lösung mit Referenzen in Energie, Telekommunikation und Gesundheitswesen die Kontrolle über das Eingangstor zurück nach Europa holt.
Wichtige Erkenntnisse
Firewalls, VPN-Gateways, Remote-Support- und Privileged-Access-Management-Lösungen haben eine Gemeinsamkeit: Sie stehen per Definition am Rand des Netzwerks, sind aus dem Internet erreichbar und halten die Schlüssel zu allem, was dahinter liegt. Genau deshalb haben Angreifer – darunter staatlich gesteuerte Gruppen – ihre Prioritäten verschoben. Statt einzelne Arbeitsplätze zu phishen, kompromittieren sie das Eingangstor selbst.
Die Vorfallsbilanz der großen US-Anbieter aus den Jahren 2024 und 2025 belegt das. Die folgenden Fälle sind keine Einschätzungen, sondern öffentlich dokumentiert – durch die Hersteller selbst, durch die US-Cybersicherheitsbehörde CISA und durch unabhängige Sicherheitsforscher.
Ende Dezember 2024 wurde bekannt, dass Angreifer über die cloudbasierte Remote-Support-Lösung von BeyondTrust in das US-Finanzministerium eindrangen. Sie erbeuteten einen API-Schlüssel des Dienstes und nutzten zwei Zero-Day-Schwachstellen (CVE-2024-12356, CVSS 9.8, und CVE-2024-12686), um auf Arbeitsplätze und Dokumente der Behörde zuzugreifen. Der Angriff wurde einer staatlich gesteuerten Gruppe zugeschrieben. Im Juni 2025 folgte mit CVE-2025-5309 eine weitere kritische Schwachstelle in Remote Support und Privileged Remote Access, die ohne Authentifizierung ausnutzbar war. Die Details haben wir im Artikel VISULOX als deutsche Alternative zu BeyondTrust eingeordnet.
Im April 2024 meldete Palo Alto Networks mit CVE-2024-3400 eine Schwachstelle der höchstmöglichen Kritikalität (CVSS 10.0) im GlobalProtect-Gateway von PAN-OS: unauthentifizierte Codeausführung mit Root-Rechten, aktiv ausgenutzt bereits Wochen vor der Veröffentlichung. Sicherheitsforscher zählten über 82.000 verwundbare Firewalls weltweit. Nur sieben Monate später folgte das nächste Kapitel: Die Kombination aus CVE-2024-0012 und CVE-2024-9474 erlaubte im November 2024 die vollständige Übernahme des Management-Interfaces; rund 2.000 kompromittierte Geräte wurden gezählt, bevor die Patches griffen.
Fortinet startete 2025 mit einem doppelten Vorfall: Im Januar wurde die aktiv ausgenutzte Authentifizierungs-Bypass-Schwachstelle CVE-2024-55591 in FortiOS bekannt, die Angreifern Super-Admin-Rechte auf FortiGate-Firewalls verschaffte. Fast zeitgleich veröffentlichte eine Gruppe namens „Belsen Group" die vollständigen Konfigurationen und VPN-Zugangsdaten von rund 15.000 FortiGate-Firewalls – erbeutet über eine Schwachstelle aus dem Jahr 2022. Im November 2025 folgte CVE-2025-64446 in FortiWeb (CVSS 9.8): Angreifer legten über den Zero-Day automatisiert eigene Administratorkonten auf exponierten Systemen an; die CISA setzte eine Patch-Frist bis zum 21. November 2025.
Im April 2024 musste Delinea kurzfristig eine kritische Schwachstelle in der SOAP-API des Secret Server schließen – ausgerechnet der Komponente, die Unternehmensgeheimnisse und privilegierte Zugangsdaten verwahrt. Die Lücke erlaubte einen vollständigen Authentifizierungs-Bypass bis hin zu Administratorrechten. Bemerkenswert war der Ablauf: Der Sicherheitsforscher hatte die Lücke bereits im Februar melden wollen, wurde aber abgewiesen, weil er kein zahlender Kunde war – und ging schließlich an die Öffentlichkeit, bevor der Hersteller patchte.
Jede Software hat Schwachstellen – auch europäische. Der Unterschied liegt in dem, was zur technischen Angriffsfläche hinzukommt: der Rechtsrahmen. Alle vier genannten Anbieter sind US-Unternehmen und unterliegen damit dem US CLOUD Act, der sie verpflichtet, Daten auf Anordnung von US-Behörden herauszugeben – unabhängig davon, ob diese in Virginia oder Frankfurt liegen. Für Zugriffs- und Sitzungsdaten aus dem Eingangstor Ihrer IT ist das keine Randnotiz: Es sind die sensibelsten Metadaten, die eine Organisation produziert. Welche Kriterien bei der Anbieterwahl daraus folgen, haben wir im Leitfaden Souveräne PAM-Lösung: 7 Kriterien aufgeschlüsselt.
Hinzu kommt die geopolitische Dimension: Exportkontrollen, Sanktionsregime und politische Volatilität in den USA können Lizenzen, Updates und Support-Verträge treffen – Faktoren, die kein CISO kontrollieren kann, die aber die Verfügbarkeit der eigenen Sicherheitsinfrastruktur bestimmen.
Die Antwort der großen Anbieter auf ihre eigene Komplexität heißt „Plattform-Konsolidierung": Firewall, VPN, Zugriffsmanagement und Monitoring aus einer Hand, mit Bündelrabatten als Einstiegsanreiz. Kurzfristig wirkt das effizient. Mittelfristig entsteht ein Klumpenrisiko mit drei Dimensionen:
Best-of-Breed mit klaren Schnittstellen ist kein Rückschritt, sondern Risikostreuung. Gerade die sensibelste Schicht – der privilegierte Zugriff – gehört nicht in dasselbe Bündel wie der Rest des Stacks, sondern unter eigene Kontrolle.
VISULOX ist die Remote-Privileged-Access-Management-Lösung der amitego AG, einem deutsch-schweizerischen IT-Sicherheitshersteller: Produktentwicklung und Support seit über 20 Jahren in Stuttgart, Sales & Service für Europa in Zürich, Entwicklung zusätzlich in Laax. Es gibt keinen US-Mutterkonzern, keine außereuropäische Eigentümerstruktur und keinen CLOUD-Act-Hebel. Die Lösung läuft vollständig On-Premise, wird agentenlos implementiert – häufig in unter zwei Tagen – und bündelt interne und externe privilegierte Zugriffe über einen zentralen Zugangspunkt mit Multi-Faktor-Authentifizierung, Just-in-Time-Freigaben und revisionssicherer Session-Aufzeichnung.
Entscheidend ist: Das ist kein Nischenversprechen, sondern in kritischen Infrastrukturen erprobt. Zu den öffentlich dokumentierten Referenzen zählen Energieversorger wie RWE Power und der Fernleitungsnetzbetreiber Thyssengas, Telekommunikationskonzerne wie die Vodafone Group, Gesundheits- und Pharmaunternehmen wie Merck sowie Klinikverbünde – Umgebungen, in denen die sichere Fernwartung von OT- und Kliniksystemen täglich nachweisbar funktionieren muss. Über 450 IT-Teams in mehr als 20 Ländern arbeiten mit VISULOX.
Für die Anforderungen aus NIS-2 (§ 30 BSIG), ISO 27001 und Art. 32 DSGVO gilt dabei: Nachweisbare Kontrolle privilegierter Zugriffe ist Pflicht – der Rechtsraum, in dem diese Nachweise liegen, ist Ihre Wahl. Wie sich ein Umstieg rechnet, zeigt der Preis- und Lizenzkalkulator in wenigen Minuten.
Sie verbindet zwei Risikoebenen: technisch die dokumentierten, wiederholt ausgenutzten Schwachstellen in exponierten US-Sicherheitsprodukten (BeyondTrust, Palo Alto Networks, Fortinet, Delinea, 2024–2025), rechtlich den US CLOUD Act, der US-Anbieter unabhängig vom Serverstandort zur Datenherausgabe an US-Behörden verpflichtet.
Nein. Der CLOUD Act knüpft an das Unternehmen an, nicht an den Speicherort. Ein US-Anbieter mit Rechenzentrum in Frankfurt bleibt herausgabepflichtig. Entscheidend sind Rechtsraum und Eigentümerstruktur des Anbieters.
Kurzfristig ja, langfristig entsteht Vendor-Lock-in: Eine Schwachstelle im Plattform-Kern trifft alle Funktionen gleichzeitig, die Wechselkosten steigen mit jeder gebündelten Komponente, und der Anbieter gewinnt Preissetzungsmacht. Risikostreuung über Best-of-Breed mit klaren Schnittstellen ist die robustere Strategie.
Ja. VISULOX von amitego wird seit über 20 Jahren in Deutschland und der Schweiz entwickelt und betrieben, läuft On-Premise und wird u. a. von RWE Power, Thyssengas, der Vodafone Group und Merck eingesetzt – dokumentiert in öffentlichen Case Studies.
Kontakt
Sprechen Sie direkt mit einem Cybersecurity Experten.
Die Jahre 2024 und 2025 haben ein Muster offengelegt: Die Produkte am Eingangstor der IT – von US-Marktführern wie BeyondTrust, Palo Alto Networks, Fortinet und Delinea – wurden wiederholt selbst zum Einfallstor, während der CLOUD Act die Zugriffsdaten zusätzlich einem fremden Rechtsraum unterwirft. Konsolidierung auf eine US-Plattform vertieft diese Abhängigkeit, statt sie zu lösen. VISULOX bietet die souveräne Gegenposition: deutsch-schweizerisch entwickelt, On-Premise betrieben und in den kritischsten Branchen Europas erprobt – von der Energieversorgung über Telekommunikation bis zum Krankenhaus. Prüfen Sie Ihr Eingangstor, bevor es jemand anderes tut. (Dieser Beitrag ersetzt keine Rechtsberatung.)
Table Of Content:
Sprechen Sie mit unseren Experten
Wir freuen uns Ihre individuellen Anforderungen unverbindlich zu besprechen.
Share:
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
Expertenwissen, Praxistipps und aktuelle Trends rund um PAM, Compliance und sichere Remote-Arbeit – direkt vom amitego-Team.