CVE-2026-35616: FortiClient EMS-Infostealer trifft Unternehmen

CVE-2026-35616: FortiClient EMS-Infostealer trifft Unternehmensnetzwerke

Eine neue Angriffskampagne, die im Mai 2026 beobachtet wurde, zielt auf Unternehmen ab und nutzt eine kritische Schwachstelle in Fortinets FortiClient Enterprise Management Server (EMS). Die Sicherheitslücke, verfolgt als CVE-2026-35616, erlaubt es Angreifern, die Authentifizierung vollständig zu umgehen und administrative Befehle auszuführen, ohne jemals gültige Anmeldedaten zu besitzen. Das Ergebnis ist ein FortiClient EMS-Infostealer-Angriff auf Unternehmen, der verwaltete Unternehmensendpunkte in großem Stil erreicht und sensible Mitarbeiter- und Organisationsdaten ernsthaft gefährdet.

Dies ist keine eng begrenzte, gezielte Eindringung. Da FortiClient EMS im Zentrum der Endpunktverwaltung für große Organisationen steht, kann eine einzige erfolgreiche Ausnutzung jeden vom Server verwalteten Geräte kaskadenartig erfassen.

Was CVE-2026-35616 Angreifern in Unternehmensnetzwerken ermöglicht

FortiClient EMS wurde entwickelt, um IT-Administratoren eine zentrale Kontrolle über Endpunktsicherheitsrichtlinien, VPN-Konfigurationen und Softwarebereitstellungen in einer Unternehmensflotte zu geben. Genau diese administrative Reichweite macht CVE-2026-35616 so gefährlich.

Durch die Ausnutzung der Authentifizierungsumgehung erlangen Angreifer die Fähigkeit, sich als legitime administrative Akteure auf dem Server auszugeben. Von dieser Position aus können sie Software auf verwaltete Geräte ausrollen, Endpunktkonfigurationen ändern und Befehle remote ausführen, ohne die standardmäßigen Authentifizierungsprüfungen auszulösen, die normalerweise Sicherheitsteams alarmieren würden. In der Kampagne vom Mai 2026 nutzten die Angreifer diesen Zugang, um einen Infostealer auszuliefern, der als legitimer Fortinet-Patch getarnt war – eine Social-Engineering-Schicht, die die schädliche Nutzlast sowohl für automatisierte Abwehrmechanismen als auch für menschliche Beobachter wie routinemäßige Wartung aussehen lässt.

Fortinet veröffentlichte im April 2026 Hotfixes zur Behebung der Schwachstelle, nachdem festgestellt wurde, dass sie als Zero-Day in freier Wildbahn ausgenutzt wurde. Organisationen, die diese Patches noch nicht eingespielt haben, sind weiterhin ungeschützt.

Welche persönlichen Daten und Anmeldeinformationen Infostealer von Unternehmensgeräten ernten

Sobald der Infostealer auf einem Endpunkt läuft, ist sein Umfang breit gefächert. Moderne Infostealer sind darauf ausgelegt, alles aufzusaugen, was lokal gespeichert ist oder das Gerät passiert: gespeicherte Browser-Anmeldedaten, Sitzungscookies, automatisch ausgefüllte Daten, gespeicherte Passwörter aus Passwortmanagern, VPN-Anmeldedaten, Token von E-Mail-Konten und Dateien, die Mustern empfindlicher Dokumente entsprechen.

Auf einem Unternehmensgerät entsteht dadurch ein komplexes Datenschutzproblem. Mitarbeiter nutzen Arbeitsgeräte häufig für Aufgaben, die die Grenze zwischen privat und beruflich verschwimmen lassen. Ein einziger kompromittierter Endpunkt kann Anmeldedaten sowohl für Unternehmenssysteme als auch für persönliche Konten liefern, auf die der Mitarbeiter zufällig auf diesem Gerät zugegriffen hat. Sitzungscookies sind besonders schädlich, da sie es Angreifern ermöglichen, sich ohne Passwort als das Opfer zu authentifizieren und damit in vielen Fällen die Multi-Faktor-Authentifizierung zu umgehen.

Der Auslieferungsmechanismus auf Managementebene verschlimmert dies zusätzlich. Da die Nutzlast über einen vertrauenswürdigen administrativen Kanal eintrifft, erkennen Endpunkterkennungs-Tools, die auf Verhaltenssignale von der Benutzerebene angewiesen sind, sie möglicherweise nicht in der ersten Auslieferungsphase.

Dieser Angriff weist strukturelle Ähnlichkeiten mit anderen Kampagnen auf, die vertrauenswürdige Softwarekanäle als Vehikel verwenden. Social-Engineering-Taktiken, die Malware als legitime Tools tarnen sind im Jahr 2026 zu einem wiederkehrenden Thema in mehreren Bedrohungsclustern geworden und unterstreichen, wie Angreifer konsequent die Lücke zwischen dem, was legitim aussieht, und dem, was tatsächlich legitim ist, ausnutzen.

Warum Kompromittierungen von Unternehmensverwaltungstools den Mitarbeiterdatenschutz in großem Stil gefährden

Die meisten Diskussionen über Datenschutzverletzungen konzentrieren sich auf die Datenbank- oder Anwendungsebene. Die FortiClient EMS-Kampagne zeigt ein anderes und unterschätztes Risiko auf: die Kompromittierung auf der Ebene der Verwaltungsinfrastruktur.

Wenn ein Angreifer das Tool kontrolliert, das Endpunkte verwaltet, und nicht nur einen einzelnen Endpunkt selbst, erweitert sich der Explosionsradius enorm. Statt dass das Gerät eines einzelnen Mitarbeiters kompromittiert wird, wird jedes Gerät unter dieser EMS-Instanz zu einem potenziellen Ziel. Für große Unternehmen könnte das Hunderte oder Tausende von Rechnern bedeuten, die dieselbe schädliche Nutzlast in einem einzigen koordinierten Push erhalten.

Dies schafft auch ein spezifisches Problem für den Mitarbeiterdatenschutz, das sich von einer herkömmlichen Verletzung einer Unternehmensdatenbank unterscheidet. Infostealer, die auf einzelnen Geräten laufen, erfassen Daten, die das Unternehmen selbst möglicherweise nie sieht oder zentral speichert – einschließlich persönlichem Browserverlauf, Anmeldedaten für private Konten und lokal gespeicherten Dateien, die nie einen Unternehmensserver berührt haben. Mitarbeiter haben wenig Einblick darin, was von ihren eigenen Rechnern gesammelt wurde, und standardmäßige unternehmerische Incident-Response-Prozesse sind oft auf zentrale Datenspeicher und nicht auf verteilte Endpunktdaten ausgerichtet.

Was datenschutzbewusste Mitarbeiter und IT-Teams jetzt tun sollten

Für IT- und Sicherheitsteams hat das Patchen oberste Priorität. Fortinet hat im April 2026 Fixes für CVE-2026-35616 veröffentlicht. Jede Organisation, die FortiClient EMS einsetzt und diese Hotfixes nicht angewendet hat, sollte dies als dringend betrachten. Organisationen sollten auch die EMS-Zugriffsprotokolle auf anomale administrative Aktionen überprüfen, insbesondere auf Softwarebereitstellungen oder Konfigurationsänderungen, die nicht von bekannten Administratoren initiiert wurden.

Über das Patchen hinaus ist diese Kampagne ein nützlicher Anlass, die Segmentierung zwischen Ihrer Verwaltungsinfrastruktur und dem übrigen Netzwerk zu überprüfen. EMS-Server sollten nicht ohne starke Zugriffskontrollen direkt aus dem öffentlichen Internet erreichbar sein, und administrative Schnittstellen sollten zusätzliche Authentifizierungsebenen selbst für intern positionierte Benutzer erfordern.

Für einzelne Mitarbeiter ist das Bild differenzierter. Sie haben nur begrenzte Einsicht in das, was auf einem verwalteten Unternehmensgerät läuft, und noch weniger Kontrolle darüber, ob ihr Arbeitgeber die entsprechenden Patches eingespielt hat. Einige praktische Schritte können Ihre persönliche Gefährdung verringern:

• Vermeiden Sie es, persönliche Kontozugangsdaten in Browsern auf Arbeitsgeräten zu speichern. Wenn ein Infostealer ausgeführt wird, gehören diese gespeicherten Passwörter zu den ersten Dingen, die er erfasst.
• Verwenden Sie nach Möglichkeit ein separates persönliches Gerät für private Konten und halten Sie diesen Datenverkehr vollständig von unternehmensverwalteter Infrastruktur fern.
• Erwägen Sie ein persönliches VPN auf Ihrem Arbeitsgerät für Datenverkehr, der außerhalb geschäftlicher Zwecke liegt. Angriffe auf Managementebene wie dieser zielen auf administrative Kanäle und Endpunktsoftware ab; ein auf dem Gerät ausgeführtes persönliches VPN fügt eine Schicht verschlüsselter Datenverkehrsprivatsphäre für Ihr eigenes Browsen hinzu, die durch EMS ausgelieferte Infostealer-Kampagnen auf Netzwerkebene nicht einfach abfangen können.
• Aktivieren Sie Hardware-Sicherheitsschlüssel oder phishing-resistente MFA für Ihre sensibelsten persönlichen Konten. Selbst wenn Sitzungscookies erfasst werden, sind durch hardwarebasierte Zweitfaktoren geschützte Konten erheblich schwerer zugänglich.

Die FortiClient EMS-Infostealer-Unternehmensangriffskampagne ist eine deutliche Erinnerung daran, dass Kompromittierungen der Unternehmensinfrastruktur auch persönliche Datenschutzvorfälle sind. Patchen schließt die spezifische Tür, die CVE-2026-35616 öffnet, aber sowohl Ihre organisatorische Sicherheitslage als auch Ihre eigene Datenhygiene auf verwalteten Geräten zu überprüfen, ist die nachhaltigere Antwort.