Risikofaktor Netzwerk: Edge-Hardware effektiv absichern

Netzwerkgeräte müssen auf Server-Niveau in die CMDB

Ein Asset-Inventar, in dem Router, Switches, Firewalls und Access Points lediglich als Transportinfrastruktur erfasst sind, wird in Zukunft nicht mehr ausreichen. Jedes Netzwerkgerät erhält daher denselben Detailgrad wie ein Server. In der CMDB sind pro Gerät der Firmware-Stand, das End-of-Support-Datum, die Management-IP, das verantwortliche Team, die Seriennummer, der Standort, die zugeordneten VLANs und der Compliance-Status hinterlegt. Der Abgleich läuft automatisiert über die APIs der Netzwerkplattformen und wird um NetFlow- und SNMP-Daten ergänzt. Ein Schwachstellenscanner mit direkter Anbindung an diese CMDB kann bei jeder neuen CVE innerhalb weniger Minuten die betroffenen Geräte markieren.

Die externe Sicht ergänzt das Inventar um die Sicht der Angreifer. Ein Abgleich der eigenen IP-Blöcke gegen Shodan, Censys oder Coalition Control im Monatsrhythmus deckt Management-Oberflächen auf, die im internen Inventar längst als nicht erreichbar galten. Jede Management-UI, die aus dem öffentlichen Internet erreichbar ist, sollte schnellstmöglich hinter einem VPN, einem Bastion-Host oder einem ACL-Filter verschwinden.

Patch-Priorisierung an Exploit-Intelligenz koppeln

Starre Monatsfenster für Router-Patches werden in Zukunft nicht mehr greifen. Laut VulnCheck State of Exploitation 2026, wurden 28,96 Prozent der in der KEV-Datenbank geführten Schwachstellen aus 2025 am Tag der CVE-Veröffentlichung oder davor aktiv ausgenutzt. Die Priorisierung benötigt Exploit-Intelligenz als Eingangssignal.

Eine praxistaugliche Pipeline kombiniert vier Feeds:

• PSIRT-Advisories der eingesetzten Hersteller liefern die schnellsten Informationen für die konkrete Hardware.
• CISA KEV markiert aktiv ausgenutzte Schwachstellen mit höchster Dringlichkeit.
• EPSS-Werte priorisieren nach der Wahrscheinlichkeit einer Ausnutzung binnen 30 Tagen.
• ISAC-Feeds der eigenen Branche (beispielsweise IT-ISAC, Health-ISAC) ergänzen schließlich die sektorspezifischen Bedrohungsdaten.

Jede Schwachstelle, die in der KEV-Liste erscheint, muss direkt in das nächste Wartungsfenster wandern, unabhängig vom Quartalsplan. Für die Umsetzung hat sich ein dediziertes Netzwerk-Change-Board bewährt, das Router- und Firewall-Patches außerhalb der Endpoint-Zyklen freigibt und Reviewer aus den Betriebs- und Security-Teams zusammenbringt.

Laut VulnCheck 2026 State of Exploitation: Exploiting The Network Edge betrafen 42,5 Prozent der im Jahr 2025 ausgenutzten Schwachstellen Produkte ohne Herstellerunterstützung oder kurz vor dem Support-Ende. Consumer-Router und weltweit verbreitete Netzwerkgeräte machten 56 Prozent der ausgenutzten Edge-Schwachstellen aus.

Ein verbindlicher Ersatzplan mit festen Fristen, Budgetposten im Folgejahr und dokumentiertem Ersatzpfad sorgt dafür, dass Geräte vor dem EoS-Datum aus dem Netz genommen werden. Automatische Erinnerungen sechs Monate vor EoS in der CMDB geben der Beschaffung die nötige Vorlaufzeit.

Virtuelles Patching als Brücke zwischen Advisory und Firmware-Update

Angreifer leiten aus veröffentlichten Patches binnen Stunden funktionierende Exploits ab. Der Wirksamkeitseintritt eines Gegen-Patches liegt laut TrendMicro dagegen im Durchschnitt bei 30 Tagen oder mehr. Virtuelles Patching schließt die Lücke zwischen Advisory und Firmware-Update. Signaturen auf IPS-Geräten, WAF-Regeln vor internetseitigen Managementoberflächen sowie aktualisierte Erkennungsmuster in Next-Generation-Firewalls neutralisieren bekannte Exploit-Payloads, bevor das zugrunde liegende Gerät gepatcht ist.

Bei der Auswahl und Pflege dieser Schutzschicht ist die konkrete CVE-Abdeckung entscheidend. Ein Signatur-Feed, der nur generische Web-Angriffsmuster bereitstellt, bietet keinen Schutz vor Cisco-IOS-XE- oder Fortinet-spezifischen Schwachstellen. Die Release-Notes der IPS- und WAF-Hersteller führen pro Update die abgedeckten CVEs auf. Ein monatlicher Abgleich der eingesetzten Hardware mit dieser Liste zeigt, ob die aktuelle Signatur-Generation die kritischen Schwachstellen der eigenen Netzwerkgeräte abdeckt. In OT-Umgebungen mit Zertifizierungszyklen von mehreren Monaten ist virtuelles Patching oft die einzige realistische Schutzmaßnahme zwischen Advisory und Austausch.

Bedrohungsintelligenz vor dem CVE nutzen

Exploit-Aktivität beginnt nicht erst mit der öffentlichen Meldung einer Schwachstelle. GreyNoise hat im Studienzeitraum 104 Aktivitätsspitzen gegen 18 verschiedene Hersteller, darunter Cisco, Palo Alto Networks, Fortinet, Ivanti, HPE, MikroTik, TP-Link, VMware, Juniper, F5 und Netgear, beobachtet. In rund der Hälfte der Fälle erfolgte innerhalb von drei Wochen eine offizielle Meldung zu der Schwachstelle durch den betroffenen Hersteller. Der mediane Vorlauf der Angriffsaktivität betrug neun Tage vor der Veröffentlichung.

Ein tägliches Dashboard mit Traffic-Beobachtungen aus öffentlichen Sensor-Netzen liefert Hinweise auf aktive Scan-Kampagnen gegen bestimmte Hersteller. In solchen Aktivitätsfenstern rücken eigene Geräte desselben Herstellers in die engere Beobachtung. Die SIEM-Regeln für diese Geräte sollten in einen eigenen Alarm-Kanal laufen. Die Vorwarnzeit entscheidet im Ernstfall über eine erfolgreiche Verhinderung der Kompromittierung.

Konfigurationsänderungen lückenlos protokollieren

Nach einer Kompromittierung liefern ein Router oder eine Firewall Zugriff auf Routing-Tabellen, Access Control Lists, Administrator-Credentials im Klartext und den Datenverkehr aller durchgeleiteten Segmente. Endpoint-Schutz greift auf diesen Geräten nicht und die Logs sind oft rudimentär. Die chinesischen Kampagnen Salt Typhoon und Volt Typhoon machen sich dies zunutze. Die Angreifer legen lokale Administratoren auf Netzwerkgeräten an, eskalieren über Privilege-Escalation-Lücken auf Root-Rechte, richten Generic-Routing-Encapsulation-Tunnel für einen permanenten Datenabfluss ein und manipulieren Access Control Lists, um eigene Quell-IPs dauerhaft zu legitimieren.

Die Sichtbarkeit von Konfigurationsänderungen der Netzwerkgeräte muss demselben Niveau entsprechen wie die Sichtbarkeit von Domain Controller Events. Syslog, NetFlow, sFlow und API-Exports der Plattform fließen in ein zentrales SIEM. Detection-Regeln decken neue lokale Administrator-Accounts ohne Change-Ticket, nachträglich eingefügte ACL-Einträge, aktivierte SSH-Daemons auf ungewöhnlichen Ports – darunter TCP/57722 – , neu angelegte GRE-Tunnel und Mirror-Ports für Traffic-Captures ab. Die Techniken aus den Salt-Typhoon-Kampagnen liegen als Sigma-Regelsätze in öffentlichen Repositories und können innerhalb weniger Stunden ins eigene SIEM übernommen werden.

Ergänzend sichert ein Configuration-Drift-Monitoring die Integrität der Netzwerkkonfiguration. RANCID, Oxidized oder die Konfigurationsmodule von NetBrain, SolarWinds NCM und Cisco DNA Center ziehen in festen Intervallen die Konfigurationen aller Geräte, berechnen Differenzen gegenüber dem Soll-Zustand und alarmieren bei unerwarteten Abweichungen. Jede Änderung außerhalb eines offenen Change-Tickets löst automatisch einen Incident aus.

Management-Ebene isolieren und härten

Da ein Großteil der Angriffe über internetseitig erreichbare Management-Interfaces erfolgt, ist eine konsequente Isolation dieser Ebene unerlässlich. Ein dediziertes Out-of-Band-Netz (OOB) trennt den administrativen Verkehr strikt vom produktiven Datenstrom. Der Zugriff erfolgt ausschließlich über gehärtete Jump-Hosts, die mittels Multifaktor-Authentifizierung (MFA) und FIDO2-Hardware-Token abgesichert sind.

Veraltete Protokolle wie Telnet oder SNMPv1/v2 müssen vollständig durch verschlüsselte Pendants wie SSH und SNMPv3 ersetzt werden. Ausnahmslos müssen auch Standard-Credentials entfernt werden. Den organisatorischen Rahmen bildet ein Continuous-Compliance-Modell: Während Network Access Control den Gerätestatus im LAN fortlaufend bewertet, setzt Universal Zero Trust Network Access (UZTNA) diese Sicherheitslogik konsistent über VPN-, Cloud- und SD-WAN-Zugänge hinweg durch.