Angreifer greifen SonicWall-SSL-VPN aktiv an und schaffen es in mehreren Fällen, Multi-Faktor-Authentifizierungene 2F (MFA) zu umgehen. Häufige Ursachen sind ausnutzbare bzw. nicht gepatchte Schwachstellen in der Software sowie Fehlkonfigurationen (z. B. offener Virtual Office-Portal-Zugang oder falsch migrierte lokale Nutzer).

Fragen Sie Ihren IT-Berater, warum Sie nicht betroffen sind. Auserdem bieten wir Ihnen hier eine praktische, priorisierte Checkliste mit sofort machbaren oder kurz/mitte/frühere Maßnahmen.

Sofortmaßnahmen (0–24 Stunden)

Isolieren betroffener Geräte
Wenn Sie aktive kompromittierte Logins oder ungewöhnliche Aktivitäten sehen: SSL-VPN vorübergehend deaktivieren oder die Appliance vom Internet trennen. (Sofortiger Schutz, bis weitere Schritte erledigt sind.)
Patches & Versionsstand prüfen — sofort updaten
Prüfen Sie, ob Ihre SonicWall auf der neuesten empfohlenen Firmware (z. B. SonicOS 7.3+ für Gen-7) läuft und spielen Sie alle Security-Fixes ein. Viele Kampagnen nutzen bekannte, bereits gepatchte CVEs gegen ungepatchte Geräte.
Passwörter & MFA-Seeds zurücksetzen
Setzen Sie alle lokalen Admin- und VPN-Benutzerpasswörter zurück und re-provisionieren Sie MFA (OTP seeds neu erzeugen). Wenn OTP-Seeds kompromittiert sind, helfen neue Seeds nur, wenn die alten tatsächlich ersetzt werden.
Zugangsregel (IP-Allowlist) & Port-Beschränkung
Beschränken Sie Management/SSL-VPN auf bekannte Verwaltungs-IPs (VPN/Allowlist), sperren Sie öffentliche Virtual-Office-Portale, entfernen Sie unnötige Exposition.

Kurzfristig (1–7 Tage) umsetzbar

Überprüfen Sie Logs & Indikatoren (SIEM/EDR)
Suchen Sie nach ungewöhnlichen Logins, kurzen Dwell-Times, Post-Auth Aktivitäten (RDP/PSExec), neuen Accounts oder veränderten Konfigurationen. Aktivieren/erhöhen Sie Logging-Level, exportieren Sie Logs an SIEM.
Forensik / Passwort-Audit
Wenn Kompromittierung bestätigt: Passwortrotation überall (AD, LDAP, lokale Konten), prüfen Sie, ob OTP-Seeds gestohlen wurden, und führen Sie forensische Snapshot-Analysen der Appliance durch.
Entfernen veralteter Geräte/End-of-Life-Appliances
SMA100-Serie und andere EOL-Geräte wurden bereits wiederholt ausgenutzt — möglichst ersetzen oder komplett vom Netz nehmen.

Mittelfristig / dauerhaft (2–8 Wochen)

MFA-Hartung: phish-/seed-resistenter Faktor: Erwägen Sie FIDO2/WebAuthn (hardwarebasierte, phishing-resistente MFA) für Admin-Zugänge statt allein OTP-Seeds, da seed-Diebstahl OTP wirkungslos machen kann.
Netzsegmentierung & Least-Privilege: Admin-Netzwerke, VPN-Gateway, Management-Interfaces klar segmentieren. Lokale VPN-Konten nur minimaler Rechte, kein Domain-Admin-Zugriff direkt über VPN.
Härtung von Konfiguration & Monitoring-Playbooks: • Deaktivieren Sie Legacy-Authentifizierungswege, schränken Sie LDAP-Gruppenrechte ein.
Wichtig sind auch regelmäßige Backup-/Restore-Tests der Appliance-Configs (auf sauberen Images) und in größeren FIrmen Incident-Response-Playbooks, vorbereiten für schnelle Reaktion (Containment → Eradication → Recovery).

noch ein kurzer Hinweise zur Ursachenlage

OTP-MFA kann wirkungslos werden, wenn Angreifer bereits die OTP-Seeds oder die Authentifizierungsdaten erbeutet haben (z. B. durch frühere Exploits/backdoors). Deshalb: Seed-Rotation + Forensik.
Manche Angriffe nutzen alte, bekannte CVEs (z. B. CVE-2021/2024/2023-Familie oder migrationsbedingte Fehler), andere nutzen Fehlkonfigurationen beim Virtual Office/LDAP oder proprietäre Zero-Day-Fehler.

Was Sie tun sollten, wenn Sie kompromittiert wurden?

Besonders rasch hilft allen Mitgliedern die CyberSicherheitsHotline der Wirtschaftskammer. Diese ist rund um die Uhr erreichbar unter 0800 888 133.
Sofort Offline-Isolierung der Appliance; ermitteln, ob Daten exfiltriert wurden.
Forensische Kopie erstellen (Logs, Configs), externe Incident-Response/IR-Partner hinzuziehen.
Komplette Credential-Rotation (Admins, LDAP-Bind-Accounts, VPN-Accounts) + MFA-Reprovisioning.

Wir empfehlen, bei einem Verdacht einen Spezialisten der @siplan gmbh beizuziehen, bevor Sie den „Bock zum Gärtner“ machen und Ihren IT-ler mit der Schadensbehebung beauftragen – denn der hat es schon einmal verhaut.