SchwachstellenHackerangriffeCloud-Sicherheit

US-Behörde durch Cisco-Lücke kompromittiert: FIRESTARTER-Backdoor ermöglichte Monate lange unbemerkten Zugriff

US-Behörde durch Cisco-Lücke kompromittiert: FIRESTARTER-Backdoor ermöglichte Monate lange unbemerkten Zugriff
Zusammenfassung

Die US-Behörde CISA hat bekannt gegeben, dass eine namhafte US-Bundesbehörde im September durch zwei kritische Sicherheitslücken in Cisco-Firewalls kompromittiert wurde. Die Angreifer installierten die Malware „FIRESTARTER", die ihnen noch Monate später – bis März 2026 – unbefugten Zugriff auf die betroffenen Geräte ermöglichte, ohne die ursprünglichen Schwachstellen erneut ausnutzen zu müssen. Zusätzlich verwendeten die Hacker eine zweite Malware namens „Line Viper", um VPN-Authentifizierungen zu umgehen und administrative Anmeldedaten zu stehlen. Während CISA die genaue Herkunft der Angreifer nicht offiziell bestätigt, deuten Berichte auf staatliche chinesische Akteure hin, möglicherweise verbunden mit der bekannten „ArcaneDoor"-Kampagne. Für deutsche Unternehmen und Behörden ist dies hochrelevant, da Cisco ASA und Firepower-Geräte auch hierzulande weit verbreitet sind. Besonders besorgniserregend ist, dass bereits gepatche Systeme durch die persistente Malware gefährdet bleiben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dürfte entsprechende Warnungen für deutsche kritische Infrastrukturen und Behörden herausgeben, während Unternehmen schnellstmöglich ihre Cisco-Netzwerk-Appliances auf Compromittierung prüfen sollten.

Der Sicherheitsvorfall offenbart ein raffiniertes Angriffsmuster, das deutsche IT-Verantwortliche aufhorchen lassen sollte. CISA entdeckte die Kompromittierung durch sein Continuous-Monitoring-Programm — verdächtige Verbindungen auf einem Cisco Firepower-Gerät mit ASA-Software wurden erkannt. Bei der anschließenden forensischen Untersuchung fand die Behörde nicht nur FIRESTARTER, sondern auch eine zweite Malware namens Line Viper, die illegale VPN-Sitzungen etablierte und sämtliche VPN-Authentifizierungsmechanismen umging.

Das eigentliche Problem: FIRESTARTER wurde bereits vor dem 25. September 2025 auf dem Gerät installiert — das genaue Datum bleibt unklar. Während die US-Behörde die Cisco-Lücken später patchen konnte, blieb die Backdoor unentdeckt und ermöglichte den Angreifern, im März 2026 erneut Zugriff zu erlangen. CISA warnt explizit: Agenturen, die nur die Sicherheitsupdates aus September eingespielt haben, sind immer noch anfällig für diese persistente Malware.

Besonders perfide war die Taktik der Angreifer: Sie nutzten alte, inaktive Bundeskonten, um in das System zu gelangen. Line Viper verschaffte ihnen Zugriff auf administrative Anmeldedaten, Zertifikate und private Schlüssel — eine vollständige Kompromittierung.

Obwohl CISA die Herkunft offiziell nicht bestätigt, deutet der Bericht von Cisco und Recherchen des Tech-Magazins Wired stark auf chinesische staatliche Akteure hin. Die Kampagne wird mit ArcaneDoor verbunden, einer 2024 entdeckten, staatlich gesponserten Operation. CISA arbeitete bei der Veröffentlichung mit dem britischen NCSC zusammen und veröffentlichte parallel Warnungen zu weiteren chinesischen Gruppen wie Volt Typhoon und Flax Typhoon.

Für deutsche Behörden und Unternehmen gelten nun strenge Anforderungen: Alle federal civilian agencies müssen bis Freitag Malware-Checks durchführen, bis Mai 1 ein Inventar aller Cisco Firepower-Geräte einreichen. CISA betont wiederholt: Das bloße Einspielen von Security-Updates reicht nicht aus. Im schlimmsten Fall müssen infizierte Geräte physisch vom Stromnetz getrennt werden — eine drastische, aber notwendige Maßnahme, um FIRESTARTER zu eliminieren.

Dieser Vorfall zeigt: Moderne Cyberangriffe denken langfristig. Backdoors wie FIRESTARTER sind Investitionen in kontinuierliche Kontrolle, nicht schnelle Datenraube. Deutsche IT-Administratoren sollten ihre Cisco-Infrastruktur sofort überprüfen und nicht nur auf Patches verlassen.

Ähnliche Artikel