Zehntausende Firewalls und VPN-Geräte des Unternehmens Fortinet, die einige der größten Firmen der Welt nutzen, wurden in einer großen Hacker-Kampagne namens FortiBleed gehackt. Und der unangenehmste Teil der Geschichte ist nicht, wie viele gehackt wurden, sondern wie - nicht durch ein geheimes, unbekanntes Loch, sondern durch alte, bereits geleakte Passwörter und schlechten Schutz der Zugangsdaten.

Das Schema ist leise und effizient. Die Hacker scannen mit automatischen Werkzeugen exponierte Fortinet-Geräte, dringen mit Listen geleakter Passwörter ein und überwachen dann den Datenverkehr, um weitere Zugangsdaten zu sammeln - die sie wieder in dieselben Werkzeuge einspeisen, um neue Geräte zu hacken. "Sobald ein Gerät kompromittiert ist, nutzen sie es als Lauschposten", erklärt die Sicherheitsfirma SOCRadar. Laut Hudson Rock wurden über 73.000 eindeutige Fortinet-Adressen gehackt; SOCRadar nennt über 30.000 kompromittierte Geräte.

Die Liste der betroffenen Unternehmen wiegt schwer: Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens und PwC. Am stärksten betroffen sind Indien, die USA, Taiwan und Mexiko, und auch Regierungsinstitutionen stehen unter Beschuss. Sicherheitsforscher glauben, dass eine russischsprachige Gruppe hinter der Kampagne steht.

Fortinet räumt über die Sprecherin Tiffany Curci ein, man sei sich "einer gemeldeten Kampagne zum Sammeln von Zugangsdaten bewusst" und es handle sich um "erneutes Teilen von Daten aus früheren Vorfällen" und das "Knacken von Passwörtern mit Gewalt". Aus dem Unternehmensjargon ins Menschliche übersetzt: Es ist nicht unser Loch, eure schwachen Passwörter sind es. Und hier ist der Punkt, der auch für uns auf dem Balkan gilt, wo Institutionen und Firmen kritische Systeme immer noch hinter Passwörtern wie 123456 hüten - der teuerste Angriff ist nicht der, der Genialität verlangt, sondern der, der einfach darauf wartet, dass jemand sein Passwort jahrelang nicht ändert. Wie viele unserer Institutionen würden auch nur zehn Minuten desselben Scannens überstehen?