Der Vorfall verdeutlicht, dass Angreifer zunehmend die schiere Masse statt Klasse suchen:

⇒ Globale Reichweite: Zwischen dem 11. Januar und dem 18. Februar 2026 fielen über 600 Fortinet FortiGate-Firewalls in 55 Ländern dem Angreifer zum Opfer. Betroffen waren Netzwerke auf fast allen Kontinenten, von kleineren Unternehmen bis hin zu größeren Organisationen.

⇒ Der blinde Fleck: Der Hacker suchte gezielt nach Systemen mit schwachen Passwörtern, veralteten Konfigurationen oder Standard-Zugangsdaten. Er nutzte keine elitären Zero-Day-Lücken, sondern schlichte Nachlässigkeit in der IT-Administration aus. Das primäre Ziel war die Auskundschaftung von Backup-Systemen – ein klassischer Vorbote für großflächige Ransomware-Angriffe (Erpressungstrojaner).

⇒ Ein Täter ohne tiefes Wissen: Die forensischen Spuren deuten auf einen russischsprachigen Akteur hin. Im Gegensatz zu berüchtigten Hackergruppen fehlte diesem Täter jedoch das tiefe technische Verständnis. Er war finanziell motiviert, aber fachlich eher ein Anfänger.

Hier offenbart der Amazon-Bericht die wahre Brisanz des Vorfalls. Der Hacker nutzte kommerzielle generative KI-Modelle (Large Language Models) als „digitales Schweizer Taschenmesser“, um sein fehlendes Wissen auszugleichen. Die KI übernahm praktisch die Rolle eines Chef-Entwicklers:

Der Vorfall markiert einen spürbaren Wendepunkt in der IT-Sicherheit. Künstliche Intelligenz wird nicht mehr nur für komplexe, zielgerichtete Attacken von hochspezialisierten Gruppen genutzt, sondern dient zunehmend als „Fließband für Cyberkriminalität“. Sie verleiht Tätern mit begrenztem Fachwissen eine enorme Reichweite und senkt die Einstiegshürde für massenhafte, automatisierte Angriffe drastisch.

Gleichzeitig zeigt die Analyse von Amazon eine beruhigende Konstante: Die bewährten Abwehrmechanismen funktionieren weiterhin. Der Angreifer scheiterte stets, sobald er auf gut konfigurierte oder leicht abweichende Systeme traf, da ihm das tiefe Verständnis zur Fehlerbehebung fehlte. Wer die Basis-Hausaufgaben der IT-Sicherheit – wie striktes Patch-Management, das Deaktivieren von Standard-Passwörtern und die konsequente Nutzung von Multi-Faktor-Authentifizierung (MFA) – gewissenhaft umsetzt, entzieht solchen KI-gesteuerten Massenangriffen die Grundlage.

Quellenangaben

• Amazon Web Services (AWS) Security Blog: „AI-augmented threat actor accesses FortiGate devices at scale“ (Veröffentlicht am 20. Februar 2026 von CJ Moses, Chief Information Security Officer bei Amazon Integrated Security).
• The Hacker News: „AI-Assisted Threat Actor Compromises 600+ FortiGate Devices in 55 Countries“ (Februar 2026).
• SC Media: „Threat group leverages LLMs to compromise 600 FortiGate firewalls“ (23. Februar 2026).
• SwissCybersecurity.net: „Hacker durchbricht mit KI 600 Fortinet-Firewalls“ (24. Februar 2026).