KI für Ihr Unternehmen – Jetzt Demo buchen

Anhaltende Bedrohung durch FSB Center 16: Sicherheitsrisiken bei schlecht konfigurierten Routern

Kategorien:
No items found.
Freigegeben:
July 16, 2026

KI sauber im Unternehmen integrieren: Der 5-Schritte-Plan

Von der ersten Idee bis zur voll integrierten KI-Lösung – strukturiert, sicher und mit messbarem Erfolg

1
🎯

Strategie & Zieldefinition

Wir analysieren Ihre Geschäftsprozesse und identifizieren konkrete Use Cases mit dem höchsten ROI-Potenzial.

✓ Messbare KPIs definiert

2
🛡️

Daten & DSGVO-Compliance

Vollständige Datenschutz-Analyse und Implementierung sicherer Datenverarbeitungsprozesse nach EU-Standards.

✓ 100% DSGVO-konform

3
⚙️

Technologie- & Tool-Auswahl

Maßgeschneiderte Auswahl der optimalen KI-Lösung – von Azure OpenAI bis zu Open-Source-Alternativen.

✓ Beste Lösung für Ihren Fall

4
🚀

Pilotprojekt & Integration

Schneller Proof of Concept mit nahtloser Integration in Ihre bestehende IT-Infrastruktur und Workflows.

✓ Ergebnisse in 4-6 Wochen

5
👥

Skalierung & Team-Schulung

Unternehmensweiter Rollout mit umfassenden Schulungen für maximale Akzeptanz und Produktivität.

✓ Ihr Team wird KI-fit

Inhaltsverzeichnis

    mindverse studio – Ihre Plattform für digitale Effizienz

    Optimieren Sie Prozesse, automatisieren Sie Workflows und fördern Sie Zusammenarbeit – alles an einem Ort.
    Mehr über Mindverse Studio erfahren

    Das Wichtigste in Kürze

    • Internationale Cybersicherheitsbehörden warnen vor einer anhaltenden Kampagne der russischen FSB-Einheit „Center 16“ (auch bekannt als Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard und Static Tundra).
    • Die Angreifer nutzen weltweit mangelhaft konfigurierte Router aus, primär über das Simple Network Management Protocol (SNMP) und Cisco Smart Install.
    • Besonders gefährdet sind Sektoren wie Kommunikation, Verteidigung, Energie, Finanzdienstleistungen, Regierungsbehörden und Gesundheitswesen.
    • Die Hauptangriffsvektoren sind schwache oder Standard-SNMP-Community-Strings sowie aktivierte, unsichere Cisco Smart Install-Funktionen.
    • Abhilfe schaffen die Deaktivierung von Cisco Smart Install, die Migration auf SNMPv3 mit starker Authentifizierung und Verschlüsselung, die Verwendung komplexer Passwörter und die strenge Segmentierung von Management-Netzwerken mittels Access Control Lists (ACLs).
    • Organisationen müssen ihre Netzwerkhygiene verbessern, kontinuierliche Überwachung implementieren und regelmäßige Scans der Angriffsfläche durchführen, um solche Bedrohungen zu identifizieren und abzuwehren.

    Gezielte Angriffe auf Router: Eine Analyse der Bedrohung durch FSB Center 16

    Internationale Cybersicherheitsbehörden, darunter die US-amerikanische National Security Agency (NSA), die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI), haben in Zusammenarbeit mit Partnerorganisationen aus zwölf weiteren Ländern eine gemeinsame Warnung herausgegeben. Diese Warnung beleuchtet eine seit über einem Jahrzehnt andauernde Kampagne der russischen FSB-Einheit „Center 16“, die sich auf die Ausnutzung schlecht konfigurierter und anfälliger Router weltweit konzentriert. Die Bedrohung richtet sich gezielt gegen kritische Infrastrukturen und birgt erhebliche Risiken für die Netzwerksicherheit von Unternehmen und staatlichen Einrichtungen.

    Die Taktik der Angreifer: Ausnutzung bekannter Schwachstellen

    Die Akteure von FSB Center 16, auch unter Namen wie Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard und Static Tundra bekannt, nutzen keine komplexen Zero-Day-Exploits, sondern konzentrieren sich auf die Ausnutzung altbekannter Schwachstellen und mangelnder Netzwerkhygiene. Ihr Vorgehen umfasst primär zwei Methoden:

    • Simple Network Management Protocol (SNMP): Die Angreifer scannen das Internet nach Routern, die noch Standard- oder schwache SNMP-Community-Strings verwenden. SNMP ist ein Protokoll zur Überwachung und Steuerung von Netzwerkgeräten. Wenn Community-Strings unsicher sind (ähnlich einem Passwort), können Angreifer SNMP Set-Requests fälschen, um Gerätekonfigurationen abzugreifen. Diese Konfigurationsdateien, oft benannt als config.bkp oder output.txt, werden dann über TFTP (Trivial File Transfer Protocol) auf von den Angreifern kontrollierte Server übertragen. Insbesondere SNMPv1 und SNMPv2 senden Community-Strings unverschlüsselt, was die Abhörbarkeit erleichtert.
    • Cisco Smart Install: Wo dieses Protokoll noch aktiviert ist, wird es ebenfalls als Einfallstor genutzt. Cisco Smart Install ist eine Plug-and-Play-Funktion, die für die automatische Bereitstellung von Cisco-Switches gedacht ist, bei unsachgemäßer Konfiguration jedoch ein erhebliches Sicherheitsrisiko darstellt.

    Zusätzlich zu diesen primären Methoden nutzen die Angreifer gelegentlich auch bekannte Schwachstellen wie CVE-2018-0171 und das End-of-Life-Protokoll CVE-2008-4128. Web-Management-Schnittstellen an Edge-Geräten erhalten ebenfalls sekundäre Aufmerksamkeit. Die beobachteten Techniken zur Datensammlung und -exfiltration weisen Überschneidungen mit anderen Akteuren auf, was darauf hindeutet, dass die empfohlenen Abhilfemaßnahmen eine breitere Anwendung finden können.

    Gefährdete Sektoren und die weitreichenden Folgen

    Die von den Behörden als prioritär eingestuften Sektoren, die von dieser globalen Bedrohung betroffen sind, umfassen:

    • Kommunikation
    • Verteidigungsindustrie
    • Energieversorgung
    • Finanzdienstleistungen
    • Regierungsdienste und -einrichtungen auf lokaler und Landesebene
    • Gesundheitswesen und öffentliche Gesundheit

    Ein kompromittierter Router am Netzwerkrand kann weitreichende Folgen haben. Er dient als stabiles Einfallstor, da Administratoren Management-Protokolle oft aus Bequemlichkeit offenlassen und diese seltener einer kontinuierlichen Überwachung unterliegen als Server oder Endpunkte. Die über SNMP abgegriffenen Konfigurationsdateien enthalten häufig schwache Cisco Type 0, Type 4 oder Type 7 Passwort-Hashes. Ein einziger Fehltritt bei SNMP kann somit weitreichende Möglichkeiten für eine laterale Bewegung innerhalb des Netzwerks eröffnen.

    Empfehlungen für robuste Netzwerkhygiene

    Um sich gegen diese Bedrohungen zu schützen, haben die Cybersicherheitsbehörden konkrete technische und organisatorische Maßnahmen empfohlen, die Unternehmen umsetzen sollten:

    Taktische Netzwerkhärtung

    • Deaktivierung von Cisco Smart Install: Diese Funktion sollte auf allen Geräten, auf denen sie noch aktiv ist, umgehend deaktiviert werden.
    • Migration auf SNMPv3: Geräte sollten auf SNMPv3 umgestellt werden, wobei authPriv und die stärkste vom System unterstützte Verschlüsselung zum Einsatz kommen müssen. Alle Lese-/Schreib-Community-Strings sind vollständig zu entfernen. Sollten ältere SNMP-Versionen (v1/v2) zwingend erforderlich sein, müssen Community-Strings von den Werkseinstellungen geändert und auf reinen Lesezugriff beschränkt werden.
    • Starke lokale Gerätekonten: Lokale Gerätekonten erfordern lange, eindeutige Passwörter, die mit Type 8 gehasht sind. Ältere Type 0, 4 und 7 Varianten sollten vollständig außer Betrieb genommen werden.
    • Access Control Lists (ACLs): Administratoren sollten ACLs implementieren, um SNMP-, TFTP- und Smart Install-Kommunikation strikt auf Management-Subnetze zu beschränken. Ein vollständig Out-of-Band-Betrieb ist, wo immer möglich, anzustreben.
    • Firewall-Regeln: Edge-Firewalls müssen so konfiguriert werden, dass sie nicht vertrauenswürdige Verbindungen zu UDP 69 (TFTP), TCP 4786 (SMI) und den Standard-SNMP-Ports (UDP 161-162, TCP/UDP 10161-10162) blockieren. Ausnahmen bedürfen einer dokumentierten Begründung und einer erhöhten Protokollierung.

    Erkennung, Sichtbarkeit und Threat Hunting

    • MIB-Allow-Listen: Es wird empfohlen, genau festzulegen, welche Object Identifiers (OIDs) externe Stationen abfragen dürfen, indem MIB-Allow-Listen verwendet werden.
    • Überwachung von Cisco Config Copy OIDs: Ein besonderes Augenmerk ist auf die Cisco Config Copy OIDs (1.3.6.1.4.1.9.9.96.1.1) sowie die begleitende Config Copy Server Address OID zu legen. Letztere kann Aufschluss darüber geben, wohin ein Angreifer versucht, Konfigurationsdateien zu senden.
    • IDS-Alarme: Intrusion Detection Systems (IDS) sollten so konfiguriert werden, dass sie Alarme auslösen, wenn eingehende Set-Requests diese OIDs enthalten.
    • Anomalieerkennung bei lokalen Konten: Da die täglichen administrativen Aufgaben über zentralisierte Portale mit Multi-Faktor-Authentifizierung (MFA) abgewickelt werden sollten, sind plötzliche Anmeldungen von lokalen Gerätekonten als Warnsignal zu behandeln, das eine sofortige Reaktion erfordert.
    • Regelmäßiges Scannen der Angriffsfläche: Organisationen sollten routinemäßige Scans ihrer gesamten externen Angriffsfläche durchführen, um verbleibende Schwachstellen zu identifizieren.

    Paul Asadoorian, Principal Security Researcher bei Eclypsium, betont, dass Angreifer seit Langem den einfachsten Weg über schwach überwachte Hardware-Kontrollen am Netzwerkrand nutzen. Er weist darauf hin, dass die Infrastruktur, auf die wir uns täglich verlassen, zunehmend ein primäres Ziel für staatlich unterstützte Operationen ist, die ältere SNMP-Implementierungen und Cisco Smart Install ausnutzen – Probleme, die bereits vor Jahrzehnten identifiziert wurden. Diese bekannten Schwachstellen bleiben effektive initiale Zugangsvektoren, da Router und andere grundlegende Geräte weniger überwacht werden, unauffälliger sind und selbst bei Updates Persistenz ermöglichen.

    Vertrauen in die Netzwerkinfrastruktur vor, während und nach der Bereitstellung ist entscheidend, um das Risiko einer Kompromittierung zu reduzieren und die Widerstandsfähigkeit gegenüber staatlichen Akteuren aufrechtzuerhalten.

    Fazit

    Die anhaltende Bedrohung durch FSB Center 16 unterstreicht die Notwendigkeit einer proaktiven und umfassenden Cybersicherheitsstrategie. Für Unternehmen und Organisationen bedeutet dies eine konsequente Umsetzung der empfohlenen Maßnahmen zur Netzwerkhärtung, eine kontinuierliche Überwachung und eine Sensibilisierung für die Risiken, die von mangelnder Netzwerkhygiene ausgehen. Die Investition in die Sicherheit der Netzwerkperipherie ist eine Investition in die Resilienz des gesamten Unternehmens.

    Bibliography

    - NCSC. (2026, July 13). Improve router hygiene to protect against Russian state-sponsored targeting. NCSC. Retrieved from https://www.ncsc.govt.nz/alerts/improve-router-hygiene-to-protect-against-russian-state-sponsored-targeting/ - Maundrill, B. (2026, July 13). Russian State Hackers Target Vulnerable Routers Worldwide. Infosecurity Magazine. Retrieved from https://www.infosecurity-magazine.com/news/russian-state-hackers-vulnerable/ - Daws, R. (2026, July 15). Russia’s FSB Center 16 exploits vulnerable routers with SNMP. Telecoms Tech News. Retrieved from https://www.telecomstechnews.com/news/russia-fsb-center-16-exploits-vulnerable-routers-with-snmp/ - iTnews. (2026, July 16). Russian spies hunt for routers running legacy protocols with default credentials. iTnews. Retrieved from https://www.itnews.com.au/news/russian-spies-hunt-for-routers-running-legacy-protocols-with-default-credentials-627408 - Winder, D. (2026, July 14). FBI Issues Warning As Russia’s FSB Center 16 Hackers Target Routers. Forbes. Retrieved from https://www.forbes.com/sites/daveywinder/2026/07/14/fbi-issues-warning-as-russias-fsb-center-16-hackers-target-routers/ - Vargas, P. (2026, July 15). Russian hackers keep finding their way into critical networks through neglected routers. Digital Trends. Retrieved from https://www.digitaltrends.com/computing/russian-hackers-keep-finding-their-way-into-critical-networks-through-neglected-routers/ - Noah Intelligence. (2026, July 15). Western agencies warn of Russian-linked group exploiting routers using SNMP and Cisco Smart Install. Noah Intelligence. Retrieved from https://noah-news.com/western-agencies-warn-of-russian-linked-group-exploiting-routers-using-snmp-and/ - Picus Security. (2026, July 14). FSB Center 16: How Russian hackers exploit routers via SNMP and Cisco Smart Install. Picus Security. Retrieved from https://www.picussecurity.com/resource/blog/fsb-center-16-how-russian-hackers-exploit-routers-via-snmp-and-cisco-smart-install - Cybernoz. (2026, July 16). Russian spies hunt for routers running legacy protocols with default credentials. Cybernoz. Retrieved from https://cybernoz.com/russian-spies-hunt-for-routers-running-legacy-protocols-with-default-credentials/ - Doyle, A. (2026, July 13). Nine-Nation Advisory Flags FSB Center 16 Router Attacks. Daily Security Review. Retrieved from https://dailysecurityreview.com/cyber-security/nine-nation-advisory-flags-fsb-center-16-router-attacks/

    Artikel jetzt als Podcast anhören

    Kunden die uns vertrauen:
    Arise Health logoArise Health logoThe Paak logoThe Paak logoOE logo2020INC logoEphicient logo
    und viele weitere mehr!

    Bereit für den nächsten Schritt?

    Das Expertenteam von Mindverse freut sich darauf, Ihnen zu helfen.
    Herzlichen Dank! Deine Nachricht ist eingegangen!
    Oops! Du hast wohl was vergessen, versuche es nochmal.

    🚀 Neugierig auf Mindverse Studio?

    Lernen Sie in nur 30 Minuten kennen, wie Ihr Team mit KI mehr erreichen kann – live und persönlich.

    🚀 Demo jetzt buchen