Cyberattacken: Edge-Geräte im Dauerfeuer

Edge-Geräte wie Firewalls und VPNs stehen unter Dauerbeschuss – im Schnitt 212 Angriffsversuche pro Sekunde. Das zeigt ein aktueller Report, der das Ausmaß der Bedrohung für die Netzwerk-Peripherie erstmals quantifiziert.

Angesichts von über 200 Angriffsversuchen pro Sekunde auf Netzwerk-Schnittstellen benötigen Unternehmen heute proaktive Strategien statt rein reaktivem Patchen. Dieser kostenlose Experten-Report enthüllt, wie sich mittelständische Betriebe effektiv gegen Cyberkriminelle wappnen, ohne dass die Budgets explodieren. Effektive Sicherheits-Strategien im kostenlosen Report entdecken

Alarmierende Zahlen aus dem „State of the Edge“-Report

Die Studie des US-Sicherheitsunternehmens GreyNoise Intelligence analysierte fast drei Milliarden schädliche Sitzungen aus der zweiten Hälfte 2025. Das Ergebnis: Die massenhafte Ausnutzung von Schwachstellen in Edge-Diensten ist zur dominierenden Angriffsmethode für Cyberkriminelle und staatliche Akteure geworden. Die Angriffe zielen auf die Netzwerkperipherie – also VPNs, Firewalls und Router, die als Tor zum Unternehmensnetzwerk dienen.

Besonders im Visier stehen VPN-Lösungen. Die Software GlobalProtect von Palo Alto Networks verzeichnete demnach 16,7 Millionen schädliche Sitzungen. Das ist mehr als dreieinhalbmal so viel wie die Angriffe auf Konkurrenten Cisco und Fortinet zusammen.

Bekannte Schwachstellen – anhaltende Gefahr

Die Erkenntnisse bestätigen frühere Warnungen. Der M-Trends-Report 2025 von Mandiant identifizierte die vier am häufigsten ausgenutzten Sicherheitslücken allesamt in Edge-Geräten. Der Data Breach Investigations Report (DBIR) 2025 von Verizon dokumentierte sogar einen achtfachen Anstieg von Sicherheitsverletzungen durch Edge-Schwachstellen.

Aktuellstes Beispiel: Seit Mitte Februar werden zwei kritische Zero-Day-Lücken in Ivanti Endpoint Manager Mobile (EPMM) aktiv ausgenutzt. Die US-Cybersicherheitsbehörde CISA nahm eine der Schwachstellen daraufhin in ihren Katalog bekannter, ausgenutzter Sicherheitslücken auf.

Angreifer nutzen „Reputationslücke“ und alte Lücken

Die Taktiken der Angreifer werden raffinierter. Laut GreyNoise stammten zwei Prozent aller Remote-Code-Ausführungsversuche von IP-Adressen, die so neu waren, dass sie in keiner Threat-Intelligence-Datenbank auftauchten. Diese „Reputationslücke“ umgeht herkömmliche Blocklisten.

Zudem setzen Angreifer nicht nur auf neue Zero-Day-Lücken. Alte, teils über ohne zehn Jahre alte Sicherheitslücken generierten mit 7,3 Millionen Sitzungen viermal mehr bösartigen Traffic als Schwachstellen aus den Jahren 2023 und 2024. Diese Strategie nutzen auch staatliche Akteure. Berichten zufolge konzentrieren sich russische Gruppen wie Sandworm nun auf falsch konfigurierte Edge-Geräte als Einstiegspunkt in kritische Infrastrukturen.

Da Angreifer zunehmend auch neue KI-Infrastrukturen und gesetzliche Grauzonen ausnutzen, stehen Geschäftsführer vor neuen Haftungsrisiken. Erfahren Sie in diesem Leitfaden, welche neuen Regulierungen Ihr Unternehmen betreffen und wie Sie Ihre IT-Sicherheit ohne teure Neueinstellungen stärken. Kostenloses E-Book zu Cyber Security Trends sichern

USA schreiben Abschaffung veralteter Hardware vor

Als Reaktion auf die eskalierende Bedrohung schreitet die Politik ein. Anfang Februar erließ CISA die Binding Operational Directive 26-02. Sie verpflichtet US-Bundesbehörden, alle Edge-Geräte mit ausgelaufenem Support (End-of-Support) zu identifizieren und aus den Netzen zu entfernen.

Die Behörden haben drei Monate für die Bestandsaufnahme und ein Jahr für den Austausch. CISA warnt, dass nicht mehr unterstützte Geräte ein „unverhältnismäßig hohes und inakzeptables Risiko“ darstellen. Die Behörde ruft auch Privatunternehmen dazu auf, ähnliche Maßnahmen umzusetzen.

Zero Trust und Lebenszyklus-Management als Antwort

Der Report macht deutlich: Die Zeitspanne zwischen der Bekanntgabe einer Schwachstelle und ihrer massenhaften Ausnutzung ist praktisch nicht mehr existent. Reaktives Patchen reicht nicht mehr aus.

Experten fordern einen proaktiven Ansatz. Dazu gehören ausgereifte Lebenszyklus-Management-Prozesse, um veraltete Hardware und Software kontinuierlich zu ersetzen. Die Einführung einer Zero-Trust-Architektur, die den Zugriff eines kompromittierten Geräts begrenzt, wird als essenziell angesehen.

Der Blick in die Zukunft zeigt neue Gefahrenherde: Über 91.000 bösartige Sitzungen zielten speziell auf KI-Infrastrukturen. Angreifer sondieren bereits die nächste Generation der Edge-Technologie. Die Sicherung dieser Gateway-Geräte ist keine Option mehr, sondern eine Überlebensfrage für Organisationen.