Firewall und VPN sind das Einfallstor: Angriffe zielen auf alles, was zum Internet hin offen ist
18 July 2026 · 7 Min. Lesezeit · INTO MSP Team
Wenn ein Geschäftsführer an einen Cyberangriff denkt, stellt er sich meist eine E-Mail vor: eine gefälschte Rechnung, einen Phishing-Link, einen Mitarbeiter, der klickt. Dieses Risiko ist real, und wir haben darüber geschrieben. Aber das Bild ist unvollständig. Ein wachsender Teil der ernsthaften Angriffe beginnt gar nicht beim Menschen. Er beginnt bei Geräten und Servern, die vom Internet aus sichtbar sind und die niemand regelmäßig wartet.
Der Angreifer sucht sich Ihr Unternehmen dabei nicht aus. Er scannt das gesamte Internet, automatisiert und rund um die Uhr, auf der Suche nach Geräten mit bekannten Schwachstellen. Bei einem Treffer ist es ihm gleich, ob dahinter eine Bank steht oder eine Steuerkanzlei mit acht Mitarbeitern. Das Ziel sind nicht Sie. Das Ziel ist alles, was zum Internet hin offen ist und mit Updates im Rückstand liegt.
Was "zum Internet hin offen" bedeutet
Jeder Dienst, den Sie von zu Hause ohne zusätzlichen Schutz erreichen, ist auch für Angreifer sichtbar. In einem typischen kleinen oder mittleren Unternehmen sind das:
- Eine Firewall oder ein Router mit von außen erreichbarer Verwaltungsoberfläche
- VPN-Zugang für das Homeoffice
- Ein Mailserver oder ein alter Dateiserver im Büro
- Interne Anwendungen, die "vorübergehend" zum Internet geöffnet wurden und so geblieben sind
- Kameras, Drucker und NAS-Geräte mit öffentlicher Adresse
Jeder dieser Punkte ist ein Eingang. Kein theoretischer irgendwann in der Zukunft, sondern eine Adresse, an der automatisierte Scanner jeden Tag vorbeikommen.
Die Ironie: Sicherheitsgeräte als Einstiegspunkt
Die unbequemste Wahrheit der letzten Jahre: Ernsthafte Einbrüche laufen oft genau über die Geräte, die zum Schutz angeschafft wurden. Firewalls und VPN-Gateways sind konstruktionsbedingt zum Internet hin offen, und wird in ihnen eine Schwachstelle gefunden, nutzen Angreifer sie schneller aus, als die meisten Unternehmen das Update einspielen.
Genau das lässt sich derzeit live beobachten. Microsoft hat einen Patch für eine kritische Schwachstelle im SharePoint Server veröffentlicht, geführt als CVE-2026-58644 mit einem CVSS-Wert von 9.8, die das Ausführen fremden Codes auf dem Server ermöglicht. Die US-Behörde CISA bestätigte, dass die Lücke aktiv gegen aus dem Internet erreichbare SharePoint-Installationen ausgenutzt wird, und setzte Bundesbehörden eine Frist von Tagen, ebenso für zwei kritische Schwachstellen in Fortinet-Geräten. Sicherheitsforscher warnen parallel vor Datenbanken gestohlener VPN-Zugangsdaten, die unter Angreifern kursieren.
Die Lehre daraus lautet nicht "SharePoint ist schlecht" oder "Fortinet ist schlecht". Die Lehre lautet: Schwachstellen in exponierten Geräten erscheinen ständig, bei jedem Hersteller. Entscheidend ist nicht, welches Gerät Sie besitzen, sondern wie schnell Updates eingespielt werden und ob Sie überhaupt wissen, was bei Ihnen offen ist.
Warum kleine Unternehmen hier am weitesten zurückliegen
Große Organisationen haben Teams, die Sicherheitshinweise und Patch-Fristen verfolgen. Und selbst ihnen müssen Behörden noch Fristen setzen. Ein kleines Unternehmen hat niemanden, der das im Blick hat. Die Firewall wurde vor drei Jahren eingerichtet, sie "läuft", niemand fasst sie an. Das VPN hat ein früherer Administrator aufgesetzt. Der alte Server in der Ecke trägt eine Anwendung, ohne die nichts geht, auf einem Betriebssystem, das längst keine Updates mehr erhält.
So entsteht die gefährlichste Kombination: ein zum Internet hin offenes Gerät mit bekannter Schwachstelle, von der niemand im Haus weiß. Für diesen Einstieg braucht der Angreifer weder eine Phishing-Mail noch die Mithilfe eines Mitarbeiters. Er braucht einen Scanner und Geduld, und beides hat er.
NIS2: Aus Nachlässigkeit wird Haftung
Für Unternehmen im DACH-Raum kommt eine rechtliche Dimension hinzu. Mit NIS2 und ihrer nationalen Umsetzung gehören Schwachstellen- und Patch-Management für viele Unternehmen zu den ausdrücklich geforderten Risikomaßnahmen, und die Geschäftsleitung trägt dafür persönliche Verantwortung. Ein ungepatchtes, zum Internet hin offenes Gerät ist dann nicht mehr nur ein technisches Versäumnis, sondern ein Organisationsverschulden. Welche Pflichten Ihr Unternehmen konkret treffen, klären Sie mit Ihrer Rechtsberatung; die technische Grundlage dafür ist in jedem Fall dieselbe wie im nächsten Abschnitt.
Wie sich diese Tür schließen lässt
Die gute Nachricht: Das ist eine Frage der Disziplin, nicht des Budgets. Die Schritte sind bekannt und für jedes Unternehmen machbar:
- Bestandsaufnahme der Exposition: eine exakte Liste von allem, was aus Ihrem Netzwerk vom Internet aus sichtbar ist. Ohne sie ist alles Weitere Raten.
- Abschalten, was nicht gebraucht wird: Dienste, die nicht öffentlich sein müssen, wandern hinter das VPN oder werden deaktiviert. Der sicherste Eingang ist der, den es nicht gibt.
- Patchen mit Frist: Updates für exponierte Geräte warten nicht auf eine ruhige Woche. Kritische Korrekturen bekommen eine Frist in Tagen, nicht in Monaten.
- MFA auf allem, was von außen erreichbar ist: VPN- und Admin-Zugang ohne zweite Identitätsprüfung ist eine offene Tür, denn gestohlene Passwörter sind längst im Umlauf.
- Geräte ohne Herstellersupport ersetzen: Ein Gerät, das keine Updates mehr erhält, darf nicht zum Internet hin offen bleiben, egal wie gut es "noch läuft".
- Externer Scan und Überwachung: eine regelmäßige Prüfung aus Sicht des Angreifers, plus Monitoring, das meldet, wenn sich etwas ändert.
Das ist Daueraufgabe, kein Projekt
Eine Bestandsaufnahme vom letzten Jahr ist wenig wert, wenn inzwischen jemand "nur kurz" einen neuen Port geöffnet hat. Ein heute eingespieltes Update deckt nicht die Schwachstelle ab, die nächsten Monat veröffentlicht wird. Deshalb ist das kein Projekt mit Anfang und Ende, sondern ein Prozess: Monitoring, Herstellerhinweise, Patch-Fristen und dokumentierte Verantwortung, sodass jederzeit klar ist, wer was bis wann erledigt.
Genau das ist der Unterschied zwischen IT-Support, der sich meldet, wenn etwas kaputt ist, und einem gemanagten IT-System. Im ersten Modell erfahren Sie von einer Schwachstelle, wenn sie bereits ausgenutzt wurde. Im zweiten ist der Patch eingespielt, bevor Ihr Unternehmen für irgendjemanden interessant war. Wenn Sie nicht wissen, was aus Ihrem Netzwerk aktuell vom Internet aus sichtbar ist, ist das die erste Frage, die Sie stellen sollten, sich selbst oder uns.
Soll das jemand für Sie regeln, ohne Drama?
INTO MSP betreut Security, Backup und IT für kleine und mittlere Unternehmen. Schritt eins: ein kurzer, unverbindlicher Check.
IT-Security → Kontakt