SonicWall hat bestaetigt, dass Angreifer unautorisierten Zugriff auf in der Cloud gespeicherte Konfigurations-Backups aus dem Portal MySonicWall erlangt haben. Betroffen sind alle Kunden, die die Cloud-Backup-Funktion nutzten. Das Unternehmen fuehrte die Untersuchung gemeinsam mit der IR-Einheit von Mandiant durch und gab an, den Zugriff der Angreifer inzwischen unterbunden zu haben.
Umfang und Zeitlinie des Sicherheitsvorfalls
Bereits Mitte September 2025 warnte SonicWall vor Angriffen auf MySonicWall-Konten und empfahl die umgehende Aenderung von Zugangsdaten. Zunaechst war von „einigen Konten“ die Rede, waehrend nur etwa 5% der Kundschaft die Cloud-Backup-Funktion nutzten. In einem aktualisierten Hinweis stellt SonicWall nun klar: Die in der Cloud abgelegten Konfigurations-Backups aller Backup-Nutzer waren potenziell einsehbar. Das Unternehmen kooperiert mit Strafverfolgungsbehoerden und Fachagenturen.
Welche Daten exponiert sein koennen und warum das relevant ist
Konfigurations-Backups von Firewalls enthalten die vollstaendige Abbildung der Netzpolitik: Objekte und Zonen, Zugriffsregeln, NAT, Routing, VPN-Parameter, Administratoren sowie Integrationen (z. B. RADIUS/TACACS+/LDAP, SNMP). SonicWall betont, dass Credentials und Konfigurationsdaten in den Backups mit AES‑256 verschluesselt seien. Dennoch liefern bereits Metadaten wie Topologie, Adressraeume und exponierte Dienste wertvolle Hinweise, um Angriffe gezielter zu planen und Schutzmassnahmen zu umgehen.
Risikoanalyse: Von der Netzkarte zur zielgerichteten Ausnutzung
Wer eine Konfiguration besitzt, verfügt faktisch über eine „Karte“ der Unternehmensinfrastruktur. Das erleichtert die Identifikation exponierter Management-Interfaces, die Auswahl versionsspezifischer Exploits, das Anvisieren von VPN-Verbindungen sowie technisch glaubwürdiges Phishing. Branchenberichte wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass gestohlene oder missbrauchte Anmeldedaten zu den haeufigsten Initialzugriffsvektoren zaehlen – insbesondere bei Webanwendungsangriffen. Das Wissen um konkrete Policy-Details und Integrationspfade erhoeht die Erfolgschancen von Angreifern signifikant.
Sofortmassnahmen: Erkennen, eindämmen, rotieren
Betroffenheit im MySonicWall-Portal pruefen
Melden Sie sich in MySonicWall an und navigieren Sie zu Product Management → Issue List. Befolgen Sie anschliessend die Schritte des Leitfadens Essential Credential Reset – priorisiert fuer internet-exponierte Firewalls.
Priorisierte Härtung und Geheimnisrotation
- Administratorzugriffe: Passwoerter rotieren, ungenutzte/auffaellige Konten sperren, konsequent MFA aktivieren.
- VPN und Zertifikate: PSK sowie Zertifikate/Private Keys neu ausstellen; Vertrauenskette bei Bedarf aktualisieren.
- Integrationen: Geheimnisse fuer RADIUS/TACACS+/LDAP, API-Keys und SNMP (Community/USM) erneuern.
- Managementzugriff: Zugriff per IP/Netz einschränken, Jump-Hosts/VPN erzwingen, Verwaltung aus untrusted Segmenten deaktivieren.
- Patchen und Monitoring: Aktuelle Firmware einspielen, Logs auf ungewoehnliche Logins/Policy-Aenderungen pruefen, Alarmierungen aktivieren.
Mittelfristige Resilienz und sichere Backup-Strategie
Setzen Sie fuer Konfig-Backups auf Segmentierung, Least Privilege und getrenntes Schluesselmanagement. Bewahren Sie Konfigurationen moeglichst verschluesselt ausserhalb oeffentlicher Cloud-Perimeter mit eigenstaendigem KMS auf. Testen Sie regelmaessig den Incident-Response-Plan, automatisieren Sie Secret-Rotation und inventarisieren Sie exponierte Dienste kontinuierlich. Best Practices und Trends sind in Mandiants M-Trends dokumentiert und koennen zur Härtung herangezogen werden.
Der Vorfall fuehrt vor Augen, dass selbst stark verschluesselte Konfigurations-Backups bei unautorisiertem Zugriff die Angriffsoberflaeche vergroessern. Unternehmen sollten kurzfristig Geheimnisse rotieren, die SonicWall- und Mandiant-Empfehlungen umsetzen und die Ueberwachung schaerfen. Mittel- bis langfristig zahlt sich eine robuste Backup- und Schluesselarchitektur aus: Sie minimiert die Exponierung, verkuerzt Reaktionszeiten und senkt das Risiko erfolgreicher Folgeangriffe messbar.
