{"id":308,"date":"2026-06-22T06:00:00","date_gmt":"2026-06-22T06:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/?p=308"},"modified":"2026-06-22T08:26:20","modified_gmt":"2026-06-22T08:26:20","slug":"forticlient-ems-cve-2026-35616-zero-day-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/22\/forticlient-ems-cve-2026-35616-zero-day-2026\/","title":{"rendered":"FortiClient EMS: 2 Zero-Days (CVSS 9,8) in 60 Tagen [2026]"},"content":{"rendered":"\n

Zwei kritische Zero-Days in FortiClient EMS innerhalb von 60 Tagen<\/strong> haben Sicherheitsteams weltweit in Alarmbereitschaft versetzt. CVE-2026-21643 (CVSS 9,8) und CVE-2026-35616 (CVSS 9,1 bis 9,8) erm\u00f6glichen es Angreifern, ohne g\u00fcltige Anmeldedaten beliebigen Code auf dem Endpoint-Management-Server auszuf\u00fchren. Beide Schwachstellen wurden aktiv in der freien Wildbahn ausgenutzt, bevor vollst\u00e4ndige Patches verf\u00fcgbar waren. Die US-Beh\u00f6rde CISA nahm CVE-2026-35616 bereits zwei Tage nach Ver\u00f6ffentlichung des Fortinet-Advisorys in den Known-Exploited-Vulnerabilities-Katalog auf, mit einer Pflicht-Patch-Deadline von nur f\u00fcnf Tagen f\u00fcr US-Bundesbeh\u00f6rden.<\/p>\n\n\n\n

Das Doppel-Zero-Day: CVE-2026-21643 und CVE-2026-35616 im \u00dcberblick<\/h2>\n\n\n\n

FortiClient EMS ist das zentrale Verwaltungssystem f\u00fcr Fortinets Endpoint-Security-L\u00f6sungen. Der Server koordiniert die Bereitstellung, Konfiguration und \u00dcberwachung von FortiClient-Installationen auf Tausenden von Endger\u00e4ten in Unternehmen jeder Gr\u00f6\u00dfe. Genau diese zentrale Rolle macht ihn zu einem \u00e4u\u00dferst attraktiven Angriffsziel: Wer den EMS kompromittiert, kontrolliert potenziell alle verwalteten Endpunkte im Netzwerk.<\/p>\n\n\n\n

Am 6. Februar 2026 ver\u00f6ffentlichte Fortinet ein Advisory f\u00fcr CVE-2026-21643, eine kritische SQL-Injection-Schwachstelle<\/strong> in FortiClient EMS 7.4.4 mit einem CVSS-Score von 9,8. Ein nicht authentifizierter Angreifer kann speziell gestaltete HTTP-Anfragen senden, die fehlerhafte SQL-Befehle ausl\u00f6sen und zur Ausf\u00fchrung von Schadcode auf dem Server f\u00fchren. Der Fehler liegt in der mangelhaften Bereinigung von Sonderzeichen in SQL-Abfragen (CWE-89). Nur Version 7.4.4 ist betroffen; FortiClient EMS 7.2 und 8.0 sind nicht verwundbar. Die L\u00f6sung: Upgrade auf Version 7.4.5 oder h\u00f6her.<\/p>\n\n\n\n

Nur acht Wochen sp\u00e4ter, am 4. April 2026, folgte das n\u00e4chste Desaster. Fortinet gab CVE-2026-35616 bekannt, eine Schwachstelle durch fehlerhafte Zugriffskontrolle<\/strong> (CWE-284) in der FortiClient-EMS-API. Fortinet bewertete den Fehler mit CVSS 9,1, die National Vulnerability Database (NVD) der USA vergab sogar 9,8. Betroffen sind die Versionen 7.4.5 und 7.4.6, also genau die Versionen, auf die Administratoren nach CVE-2026-21643 gewechselt hatten. Ein Angreifer kann ohne jede Authentifizierung Anfragen an die API senden und damit Codeausf\u00fchrung auf dem EMS-Server erlangen.<\/p>\n\n\n\n

Das Besondere an CVE-2026-35616: Fortinet selbst best\u00e4tigte, die Schwachstelle bereits aktiv in der freien Wildbahn ausgenutzt zu sehen, als das Advisory erschien. Die Sicherheitsfirma watchTowr hatte die Exploitation bereits am 31. M\u00e4rz 2026, also vier Tage vor dem offiziellen Fortinet-Advisory<\/strong>, in ihrer Telemetrie identifiziert. Dies ist die zweite Schwachstelle f\u00fcr nicht authentifizierte Remote-Code-Ausf\u00fchrung im selben Produkt in weniger als zwei Monaten.<\/p>\n\n\n\n

Technische Analyse: Wie die Angriffe funktionieren<\/h2>\n\n\n\n

CVE-2026-21643 nutzt eine klassische SQL-Injection-Schwachstelle, die besonders gef\u00e4hrlich ist, weil sie keine Authentifizierung erfordert. Der Angreifer sendet HTTP-Anfragen mit manipulierten Parametern, die SQL-Sonderzeichen enthalten. FortiClient EMS interpretiert diese Zeichen als Teil des SQL-Befehls, anstatt sie als reine Dateneingabe zu behandeln. Damit lassen sich Datenbankabfragen ver\u00e4ndern, Daten exfiltrieren oder Betriebssystembefehle ausf\u00fchren, wenn die Datenbank mit ausreichenden Rechten l\u00e4uft.<\/p>\n\n\n\n

CVE-2026-35616 ist technisch anders aufgebaut, das Ergebnis jedoch identisch. Die FortiClient-EMS-API setzt keine korrekte Autorisierungspr\u00fcfung durch. Ein Angreifer kann Anfragen so gestalten, dass sie die Authentifizierungs- und Autorisierungsebene vollst\u00e4ndig umgehen (CWE-284), was nicht autorisierte Codeausf\u00fchrung auf dem Server erm\u00f6glicht. Fortinet hat best\u00e4tigt, dass FortiClient EMS Cloud und FortiSASE intern gepatcht wurden; nur on-premises Kunden m\u00fcssen manuell handeln.<\/p>\n\n\n\n

Die Angriffskette ist in beiden F\u00e4llen einfach: Angreifer scannen das Internet nach exponierten FortiClient-EMS-Instanzen, senden eine speziell gestaltete Anfrage und erlangen damit Shell-Zugriff auf den Server. Vom EMS aus k\u00f6nnen sie Konfigurationen f\u00fcr alle verwalteten FortiClient-Endpoints \u00e4ndern, Malware verteilen oder Zugangsdaten abgreifen. Sicherheitsforscher von Horizon3.ai bezeichneten CVE-2026-35616 als einfach zu entwickeln und zuverl\u00e4ssig einsetzbar. runZero und Kudelski Security best\u00e4tigten unabh\u00e4ngig voneinander, dass ein funktionsf\u00e4higer Exploit auch von Angreifern mit moderaten technischen Kenntnissen entwickelt werden kann.<\/p>\n\n\n\n

Vergleich der beiden FortiClient-EMS-Schwachstellen 2026<\/h2>\n\n\n\n
Merkmal<\/th>CVE-2026-21643<\/th>CVE-2026-35616<\/th><\/tr><\/thead>
Schwachstellentyp<\/td>SQL-Injection (CWE-89)<\/td>Fehlerhafte Zugriffskontrolle (CWE-284)<\/td><\/tr>
CVSS-Score<\/td>9,8 (kritisch)<\/td>9,1 (Fortinet) \/ 9,8 (NVD)<\/td><\/tr>
Authentifizierung n\u00f6tig<\/td>Nein<\/td>Nein<\/td><\/tr>
Betroffene Versionen<\/td>FortiClient EMS 7.4.4<\/td>FortiClient EMS 7.4.5 und 7.4.6<\/td><\/tr>
Advisory-Datum<\/td>6. Februar 2026<\/td>4. April 2026<\/td><\/tr>
Aktiv ausgenutzt<\/td>Ja<\/td>Ja (ab 31. M\u00e4rz 2026)<\/td><\/tr>
CISA KEV<\/td>Nicht best\u00e4tigt<\/td>6. April 2026<\/td><\/tr>
FCEB-Patch-Deadline<\/td>Nicht zutreffend<\/td>9. April 2026<\/td><\/tr>
Permanenter Fix<\/td>Upgrade auf 7.4.5+<\/td>Upgrade auf 7.4.7<\/td><\/tr>
Interim-Hotfix<\/td>Nicht zutreffend<\/td>7.4.5.2111 \/ 7.4.6.2170<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Was ist FortiClient EMS und warum ist es ein Angriffsziel?<\/h2>\n\n\n\n

FortiClient EMS (Endpoint Management Server) ist der zentrale Verwaltungsknoten von Fortinets Endpoint-Security-\u00d6kosystem. Der Server koordiniert die Bereitstellung, Konfiguration und \u00dcberwachung von FortiClient-Installationen auf Windows-, macOS- und Linux-Endpunkten in Unternehmen jeder Gr\u00f6\u00dfe. FortiClient selbst liefert Funktionen wie Malware-Schutz, Webfilterung, Schwachstellenscanning, VPN-Client und Zero-Trust-Network-Access-Enforcement (ZTNA). F\u00fcr Unternehmen, die auf Fortinets Security Fabric setzen, ist der EMS-Server das Nervenzentrum der gesamten Endpoint-Sicherheitsstrategie.<\/p>\n\n\n\n

Fortinet z\u00e4hlt zu den gr\u00f6\u00dften Anbietern von Netzwerksicherheitshardware weltweit<\/strong>. Im globalen Markt f\u00fcr Enterprise-Firewalls h\u00e4lt das Unternehmen nach IDC-Daten einen Anteil von rund 20 Prozent. Im deutschsprachigen Raum sind FortiGate-Firewalls und FortiClient-Deployments vor allem in mittelst\u00e4ndischen und gro\u00dfen Unternehmen weit verbreitet. Kundendaten zeigen, dass FortiClient-EMS-Kunden haupts\u00e4chlich in den USA (42,6 Prozent) und Europa konzentriert sind, wobei Deutschland zu den wichtigsten europ\u00e4ischen M\u00e4rkten geh\u00f6rt.<\/p>\n\n\n\n

Die strategische Bedeutung von FortiClient EMS als Angriffsziel liegt auf der Hand. Ein kompromittierter EMS-Server gibt Angreifern Zugriff auf alle verwalteten Endpoints im Unternehmensnetzwerk. Sie k\u00f6nnen Konfigurations\u00e4nderungen durchsetzen, VPN-Zugangsdaten der Mitarbeiter abgreifen, ZTNA-Richtlinien deaktivieren oder Malware \u00fcber den zentralen Update-Mechanismus an alle Endpunkte verteilen. Der EMS ist damit ein klassischer Multiplikator-Angriffsvektor<\/strong> innerhalb des internen Netzwerks, der es Angreifern erm\u00f6glicht, mit einem einzigen Angriff Tausende von Endpunkten zu kompromittieren.<\/p>\n\n\n\n

watchTowr: Exploitation vier Tage vor dem offiziellen Advisory<\/h2>\n\n\n\n

Ein besonders alarmierender Aspekt der CVE-2026-35616-Saga ist die Zeitlinie. Das britische Sicherheitsforschungsunternehmen watchTowr betreibt ein weltweites Netzwerk von sogenannten Attacker-Eye-Sensoren, die aktive Exploitation-Versuche im Internet \u00fcberwachen. Am 31. M\u00e4rz 2026<\/strong> registrierte watchTowr erstmals Angriffe auf FortiClient-EMS-Instanzen mit einer noch nicht \u00f6ffentlich bekannten Schwachstelle.<\/p>\n\n\n\n

Fortinet ver\u00f6ffentlichte das Advisory f\u00fcr CVE-2026-35616 erst am 4. April 2026<\/strong>, vier Tage nach der Entdeckung durch watchTowr. Zum Zeitpunkt der Ver\u00f6ffentlichung best\u00e4tigte Fortinet selbst, die Schwachstelle bereits in der freien Wildbahn ausgenutzt zu sehen. Das bedeutet: Es gab ein Fenster von mindestens vier Tagen, in dem Angreifer eine kritische Zero-Day-Schwachstelle in FortiClient EMS aktiv ausnutzen konnten, ohne dass betroffene Unternehmen davon wussten.<\/p>\n\n\n\n

Das watchTowr-Team hielt in seiner technischen Analyse fest: “Das ist auch die zweite Schwachstelle f\u00fcr nicht authentifizierte Remote-Code-Ausf\u00fchrung in FortiClient EMS, die innerhalb weniger Wochen bekannt wurde. CVE-2026-21643, eine separate kritische Schwachstelle im selben Produkt, wurde kurz vor diesem Advisory aktiv ausgenutzt. Wenden Sie den Hotfix sofort an.”<\/em> Diese Einsch\u00e4tzung deckt sich mit dem Muster, das sich bei anderen Fortinet-Produkten in den vergangenen Jahren gezeigt hat.<\/p>\n\n\n\n

CISA-Warnung: F\u00fcnf Tage von Advisory bis Pflicht-Patch-Deadline<\/h2>\n\n\n\n

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) reagierte auf CVE-2026-35616 mit ungew\u00f6hnlicher Geschwindigkeit. Nur zwei Tage nach dem Fortinet-Advisory<\/strong> vom 4. April 2026 nahm die Beh\u00f6rde die Schwachstelle in den Known Exploited Vulnerabilities (KEV) Katalog<\/strong> auf, am 6. April 2026. Als Pflichttermin f\u00fcr alle US-Bundesbeh\u00f6rden (FCEB-Agenturen) setzte CISA den 9. April 2026<\/strong>, nur f\u00fcnf Tage nach dem Advisory. Damit geh\u00f6rt CVE-2026-35616 zu den Schwachstellen mit der k\u00fcrzesten je von CISA gesetzten Patch-Frist.<\/p>\n\n\n\n

F\u00fcr DACH-Unternehmen sind CISA-KEV-Eintr\u00e4ge zwar rechtlich nicht bindend, fungieren aber als zuverl\u00e4ssiger Fr\u00fchindikator<\/strong> f\u00fcr Schwachstellen, die von Angreifern aktiv genutzt werden. Die Erfahrung zeigt: Was US-Bundesbeh\u00f6rden in wenigen Tagen patchen m\u00fcssen, wird h\u00e4ufig auch von Bedrohungsakteuren genutzt, die europ\u00e4ische Ziele angreifen. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) empfiehlt deutschen Unternehmen, sich an CISA-KEV-Eintr\u00e4gen zu orientieren und bekannte, aktiv ausgenutzte Schwachstellen unverz\u00fcglich zu patchen.<\/p>\n\n\n\n

F\u00fcr Unternehmen unter NIS-2-Richtlinie in Deutschland ist die Situation besonders kritisch. Die NIS-2-Umsetzung im deutschen BSIG verpflichtet betroffene Organisationen, bekannte Schwachstellen unverz\u00fcglich zu beheben und Sicherheitsvorf\u00e4lle innerhalb von 24 Stunden an das BSI zu melden. Ein ungepatchter FortiClient EMS nach einem CISA-KEV-Eintrag verst\u00f6\u00dft potenziell gegen diese gesetzlichen Sorgfaltspflichten und kann zu Bu\u00dfgeldern von bis zu 10 Millionen Euro f\u00fchren.<\/p>\n\n\n\n

Zeitstrahl: Von der ersten Schwachstelle bis zum CISA-KEV<\/h2>\n\n\n\n
Datum<\/th>Ereignis<\/th><\/tr><\/thead>
6. Februar 2026<\/td>Fortinet ver\u00f6ffentlicht Advisory f\u00fcr CVE-2026-21643 (CVSS 9,8, SQL-Injection in EMS 7.4.4); Patch: Upgrade auf 7.4.5<\/td><\/tr>
6. Februar 2026<\/td>NVD nimmt CVE-2026-21643 auf; Exploitation in der freien Wildbahn best\u00e4tigt<\/td><\/tr>
M\u00e4rz 2026<\/td>Administratoren wechseln auf FortiClient EMS 7.4.5 oder 7.4.6 als Reaktion auf CVE-2026-21643<\/td><\/tr>
31. M\u00e4rz 2026<\/td>watchTowr-Sensoren registrieren erste Exploitation von CVE-2026-35616 als Zero-Day<\/td><\/tr>
4. April 2026<\/td>Fortinet ver\u00f6ffentlicht Advisory FG-IR-26-099 f\u00fcr CVE-2026-35616 (CVSS 9,1); Hotfix und Upgrade auf 7.4.7 empfohlen<\/td><\/tr>
6. April 2026<\/td>CISA nimmt CVE-2026-35616 in KEV-Katalog auf<\/td><\/tr>
9. April 2026<\/td>Pflicht-Patch-Deadline f\u00fcr US-Bundesbeh\u00f6rden (FCEB-Agenturen)<\/td><\/tr>
Mai 2026<\/td>Fortinet ver\u00f6ffentlicht FortiClient EMS 7.4.7 mit vollst\u00e4ndigem Fix f\u00fcr CVE-2026-35616<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Historischer Kontext: Fortinets Sicherheitsprobleme 2025 bis 2026<\/h2>\n\n\n\n

Die beiden FortiClient-EMS-Schwachstellen stehen nicht isoliert da. Fortinet hat in den vergangenen 18 Monaten eine au\u00dfergew\u00f6hnliche H\u00e4ufung kritischer Sicherheitsl\u00fccken erlebt, was die Frage nach der Qualit\u00e4t des Secure Development Lifecycle (SDL) des Unternehmens aufwirft.<\/p>\n\n\n\n

Im Jahr 2025 sorgte CVE-2025-24472 f\u00fcr Aufruhe: eine Authentication-Bypass-Schwachstelle in FortiOS und FortiProxy, die als Zero-Day aktiv ausgenutzt wurde. Anfang 2026 wurde bekannt, dass \u00fcber 86.644 FortiGate-Firewalls<\/strong> in 194 L\u00e4ndern Konfigurationsdaten exponiert hatten, das sogenannte FortiBleed-Ereignis. Dann folgten CVE-2026-21643 (Februar 2026) und CVE-2026-35616 (April 2026) in FortiClient EMS. Das Muster ist eindeutig: Fortinets Produktpalette hat strukturelle Sicherheitsprobleme, die sich von Produkt zu Produkt und von Version zu Version durchziehen.<\/p>\n\n\n\n

John Hammond, Senior Security Researcher bei Huntress, kommentierte das Doppel-Zero-Day: “FortiClient EMS ist eine Kronjuwel-Applikation, weil sie als Br\u00fccke zwischen dem zentralen Managementserver und Tausenden von Endpunkten fungiert. Jede RCE-Schwachstelle in einem solchen System ist de facto eine Schwachstelle, die alle verwalteten Endpunkte betrifft. Unternehmen m\u00fcssen erkennen, dass der Management-Plane genauso gesch\u00fctzt werden muss wie die Endpoints selbst.”<\/em><\/p>\n\n\n\n

Florian Roth, einer der bekanntesten deutschen Threat-Intelligence-Experten und Ersteller von YARA-Regeln f\u00fcr Sicherheitssoftware, beschrieb die Situation auf X: “FortiClient EMS CVE-2026-35616 ist ein perfektes Beispiel f\u00fcr ein Defender’s-Dilemma: Administratoren mussten nach CVE-2026-21643 auf genau die Versionen wechseln, die von CVE-2026-35616 betroffen sind. Jeder Patch \u00f6ffnete die n\u00e4chste L\u00fccke.”<\/em> Roth empfahl, YARA-Detektionsregeln f\u00fcr anomale EMS-API-Anfragen zu aktivieren und die offizielle Fortinet-PSIRT-Seite t\u00e4glich auf neue Advisories zu pr\u00fcfen.<\/p>\n\n\n\n

Vergleich mit anderen Enterprise-Zero-Days 2026<\/h2>\n\n\n\n

Die FortiClient-EMS-Schwachstellen sind nicht die einzigen kritischen Zero-Days, die 2026 f\u00fcr Aufsehen gesorgt haben. Ein Vergleich mit anderen schwerwiegenden Schwachstellen zeigt das Ausma\u00df der Bedrohungslandschaft f\u00fcr Enterprise-Verwaltungssoftware:<\/p>\n\n\n\n

CVE<\/th>Produkt<\/th>CVSS<\/th>Typ<\/th>CISA KEV<\/th>Patch-Zeitraum<\/th><\/tr><\/thead>
CVE-2026-21643<\/td>FortiClient EMS 7.4.4<\/td>9,8<\/td>SQL-Injection (kein Auth)<\/td>Nein<\/td>Feb. 2026<\/td><\/tr>
CVE-2026-35616<\/td>FortiClient EMS 7.4.5\u20137.4.6<\/td>9,1\u20139,8<\/td>Auth-Bypass \/ RCE<\/td>6. April 2026<\/td>April 2026<\/td><\/tr>
CVE-2026-33017<\/td>Langflow (KI-Pipeline)<\/td>9,3<\/td>RCE (kein Auth)<\/td>Ja<\/td>Q1 2026<\/td><\/tr>
CVE-2026-4670<\/td>MOVEit Automation<\/td>9,8<\/td>SQL-Injection<\/td>Ja<\/td>Q2 2026<\/td><\/tr>
CVE-2026-50751<\/td>Check Point VPN<\/td>9,3<\/td>Auth-Bypass<\/td>Ja<\/td>Q1 2026<\/td><\/tr>
CVE-2026-21962<\/td>Oracle WebLogic<\/td>10,0<\/td>RCE<\/td>Ja<\/td>Q1 2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Drei der sechs schwerwiegendsten Enterprise-Zero-Days 2026 betreffen zentrale Verwaltungssysteme (FortiClient EMS, MOVEit Automation, Langflow). Angreifer zielen gezielt auf den Single Point of Control in Unternehmensnetzwerken. Ein kompromittierter Verwaltungsserver skaliert den Angriff auf alle verwalteten Systeme, ohne dass jedes Endger\u00e4t einzeln angegriffen werden muss.<\/p>\n\n\n\n

Auswirkungen auf DACH-Unternehmen<\/h2>\n\n\n\n

FortiClient EMS ist im DACH-Raum bei mittelst\u00e4ndischen und gro\u00dfen Unternehmen verbreitet, die FortiGate-Firewalls einsetzen und eine zentrale Endpoint-Management-L\u00f6sung ben\u00f6tigen. Unternehmen, die im Rahmen ihrer Zero-Trust-Strategie auf Fortinet-Produkte setzen oder VPN-Zug\u00e4nge \u00fcber FortiClient bereitstellen, haben mit hoher Wahrscheinlichkeit FortiClient EMS im Einsatz.<\/p>\n\n\n\n

Die Konsequenzen einer erfolgreichen Exploitation sind gravierend. Ein Angreifer mit Zugriff auf den EMS-Server kann in Echtzeit die Konfigurationen aller verwalteten FortiClient-Instanzen ver\u00e4ndern. Das erm\u00f6glicht das Deaktivieren von Sicherheitsrichtlinien, das Einschleusen von Malware \u00fcber den Update-Mechanismus und das Abgreifen von VPN-Zugangsdaten der Belegschaft. Im schlimmsten Fall dient ein kompromittierter EMS als Launchpad f\u00fcr Ransomware-Angriffe gegen das gesamte Unternehmensnetzwerk. Der wirtschaftliche Schaden durch Cyberkriminalit\u00e4t in Deutschland belief sich laut Bitkom bereits 2025 auf 289 Milliarden Euro<\/strong> pro Jahr.<\/p>\n\n\n\n

Dirk Schrader, Vice President Security Research bei Netwrix, analysierte das Bedrohungsszenario: “FortiClient EMS wird in vielen Unternehmen als vertrauensw\u00fcrdige Komponente der Zero-Trust-Architektur eingesetzt. Wenn dieser Vertrauensanker selbst kompromittiert wird, kollabiert das gesamte Zero-Trust-Modell von innen heraus. Genau das macht diese Schwachstellen besonders gef\u00e4hrlich: Sie treffen Unternehmen in dem System, dem sie am meisten vertrauen.”<\/em><\/p>\n\n\n\n

Schutzma\u00dfnahmen: Was Unternehmen jetzt tun m\u00fcssen<\/h2>\n\n\n\n

Fortinet hat konkrete Patches und Hotfixes bereitgestellt. Die empfohlenen Ma\u00dfnahmen nach Dringlichkeit:<\/p>\n\n\n\n

Sofortma\u00dfnahmen innerhalb von 24 Stunden:<\/strong> Identifizierung aller FortiClient-EMS-Instanzen in der eigenen Infrastruktur. \u00dcberpr\u00fcfung der installierten Version: betroffen ist 7.4.4 f\u00fcr CVE-2026-21643 sowie 7.4.5 und 7.4.6 f\u00fcr CVE-2026-35616. F\u00fcr FortiClient EMS 7.4.5: Anwendung des Hotfix 7.4.5.2111. F\u00fcr FortiClient EMS 7.4.6: Anwendung des Hotfix 7.4.6.2170. Upgrade auf FortiClient EMS 7.4.7 als permanente L\u00f6sung f\u00fcr CVE-2026-35616.<\/p>\n\n\n\n

Netzwerksegmentierung:<\/strong> Zugriff auf den FortiClient-EMS-Webserver auf vertrauensw\u00fcrdige Administrator-Netzwerke beschr\u00e4nken. Keine direkte Erreichbarkeit des EMS aus dem Internet oder aus nicht vertrauensw\u00fcrdigen Netzwerksegmenten. Verst\u00e4rkte \u00dcberwachung aller Konfigurations\u00e4nderungen auf Anomalien.<\/p>\n\n\n\n

Kompromittierungspr\u00fcfung (Indicators of Compromise):<\/strong> Analyse der EMS-Zugangslogs auf ungew\u00f6hnliche HTTP-Anfragen mit SQL-Sonderzeichen (CVE-2026-21643) oder unautorisierte API-Aufrufe ohne g\u00fcltige Sitzungstoken (CVE-2026-35616). Pr\u00fcfung, ob unbekannte Benutzerkonten im EMS angelegt wurden. Untersuchung der FortiClient-Endpoint-Konfigurationen auf nicht autorisierte \u00c4nderungen. Bei Verdacht auf Kompromittierung: sofortige Forensik durch ein spezialisiertes Incident-Response-Team und Meldung an das BSI gem\u00e4\u00df NIS-2-Anforderungen.<\/p>\n\n\n\n

Marktauswirkungen: Druck auf Fortinet und den Wettbewerb<\/h2>\n\n\n\n

Die H\u00e4ufung kritischer Schwachstellen setzt Fortinet unter erheblichen Druck. Nach FortiBleed (86.644 exponierte FortiGate-Firewalls Anfang 2026), CVE-2026-21643 (Februar 2026) und CVE-2026-35616 (April 2026) stellen immer mehr Enterprise-Kunden die Frage, ob ein einziger Anbieter f\u00fcr das gesamte Sicherheitsstack verantwortlich sein sollte.<\/p>\n\n\n\n

Im Wettbewerbsumfeld profitieren Anbieter wie CrowdStrike (Falcon Endpoint) und SentinelOne von solchen Vorf\u00e4llen. Cloud-native Endpoint-Security-L\u00f6sungen dieser Anbieter haben keine zentrale On-Premises-Management-Komponente mit der Angriffsfl\u00e4che eines FortiClient EMS. Langfristig werden DACH-Unternehmen pr\u00fcfen m\u00fcssen, ob zentrale Management-Systeme On-Premises oder in der Cloud betrieben werden sollen und welche Angriffsfl\u00e4che damit verbunden ist.<\/p>\n\n\n\n

Jake Williams, Mitbegr\u00fcnder von BreachQuest und ehemaliger NSA-Analyst, sagte gegen\u00fcber Infosecurity Magazine: “Der Patch-Prozess bei FortiClient EMS ist komplizierter als bei klassischer Netzwerkhardware, weil ein Update des EMS-Servers eine Synchronisation mit allen verwalteten Endpunkten erfordert. Das f\u00fchrt dazu, dass viele Unternehmen den Patch hinausz\u00f6gern, was das Angriffsfenster verl\u00e4ngert. Bei zwei kritischen CVEs in 60 Tagen ist das ein gef\u00e4hrliches Muster.”<\/em><\/p>\n\n\n\n

5 Prognosen: Was als N\u00e4chstes kommt<\/h2>\n\n\n\n

1. Weitere FortiClient-EMS-Schwachstellen werden folgen.<\/strong> Die enge Abfolge von CVE-2026-21643 und CVE-2026-35616 deutet auf Code-Review-Defizite hin. Wenn externe Sicherheitsforscher die Angriffsfl\u00e4che der EMS-API systematisch untersuchen, werden sie weitere Schwachstellen finden. Unternehmen sollten bis Jahresende 2026 mit mindestens einer weiteren kritischen FortiClient-EMS-CVE rechnen.<\/p>\n\n\n\n

2. Nation-State-Akteure werden FortiClient-EMS-Exploits gezielt einsetzen.<\/strong> Die Kombination aus einfacher Ausnutzbarkeit und zentraler Managementrolle macht FortiClient EMS zu einem attraktiven Ziel f\u00fcr APT-Gruppen. APT28 (Russland), die bereits TP-Link-Router in Deutschland kompromittiert hat, und chinesische Gruppen wie UNC2814 haben 2026 starkes Interesse an westlicher Netzwerkinfrastruktur gezeigt.<\/p>\n\n\n\n

3. Fortinet wird ein erweitertes Security-Audit-Programm ank\u00fcndigen.<\/strong> Angesichts des Reputationsschadens wird Fortinet voraussichtlich externe Sicherheitsaudits ank\u00fcndigen oder das Bug-Bounty-Programm erheblich ausbauen, \u00e4hnlich wie Microsoft nach dem Exchange-Server-Desaster 2021 reagierte.<\/p>\n\n\n\n

4. Cloud-native Endpoint-Security gewinnt Marktanteile.<\/strong> Unternehmen, die nach diesen Vorf\u00e4llen ihre FortiClient-EMS-Investition neu bewerten, werden verst\u00e4rkt zu SaaS-basierten Plattformen wechseln. CrowdStrike und SentinelOne werden von dieser Verschiebung profitieren.<\/p>\n\n\n\n

5. CISA und BSI werden Empfehlungen f\u00fcr zentrale Management-Systeme versch\u00e4rfen.<\/strong> Die systematische Ausnutzung von Management-Servern (FortiClient EMS, MOVEit Automation, Langflow) wird regulatorische Reaktionen ausl\u00f6sen. Erwartbar sind konkretere Empfehlungen zur Netzwerkisolation, Patch-SLAs und Logging-Anforderungen f\u00fcr zentrale Verwaltungskomponenten.<\/p>\n\n\n\n

Verwandte Artikel<\/h2>\n\n\n\n