Eine Anmeldung ohne Passwort — mitten ins Firmennetz
Am 8. Juni 2026 hat Check Point eine Sicherheitswarnung veröffentlicht, die keinen Aufschub duldet: CVE-2026-50751, eine als kritisch eingestufte Schwachstelle mit dem Schweregrad 9,3 von 10. Betroffen ist der VPN-Fernzugang — also genau die verschlüsselte Verbindung, über die Mitarbeitende aus dem Homeoffice oder von unterwegs ins Firmennetz gelangen. Der Fehler erlaubt Angreifern, eine VPN-Sitzung aufzubauen, ohne ein gültiges Passwort zu besitzen. Das BSI stuft die Lücke als aktiv ausgenutzt ein, Check Point bestätigt Angriffe seit Anfang Mai. Dieser Beitrag erklärt, was hinter der Lücke steckt, wer betroffen ist — und in welcher Reihenfolge Sie jetzt vorgehen sollten.
Auf einen Blick
- Die Lücke: CVE-2026-50751 — so die standardisierte Kennung der Schwachstelle — mit Schweregrad 9,3 von 10, gemeldet von Check Point am 8. Juni 2026.
- Betroffen: Check Point Remote Access VPN, Mobile Access und Spark-Firewalls in den Versionsständen R80.20.x bis R82.10.
- Die Folge: Angreifer können VPN-Sitzungen ohne gültiges Passwort aufbauen — eine sogenannte Authentifizierungs-Umgehung.
- Der Status: aktive Ausnutzung seit dem 7. Mai 2026; eine BSI-Warnung liegt vor; mindestens ein Fall führt zu einer Ransomware-Gruppe.
- Die Abhilfe: Hotfixes und Anleitungen zur Schadensbegrenzung sind über die Check-Point-Support-Kanäle verfügbar.
Was genau passiert
Wenn sich ein Rechner per VPN (Virtual Private Network) mit dem Firmennetz verbindet, handeln beide Seiten zu Beginn aus, wie die Verbindung verschlüsselt wird — und weisen nach, dass sie wirklich die sind, für die sie sich ausgeben. Dieses Aushandeln übernimmt ein Schlüsselaustausch-Verfahren namens IKE, kurz für Internet Key Exchange. Die Schwachstelle steckt in dessen erster, seit Langem veralteter Version: IKEv1.
Check Point bestätigt einen Logikfehler in der Zertifikatsprüfung dieses Schlüsselaustauschs. Vereinfacht gesagt lässt sich die Prüfung so austricksen, dass das System eine Sitzung akzeptiert, obwohl keine gültigen Zugangsdaten vorliegen — Fachleute sprechen von einer Authentifizierungs-Umgehung. Die Folge ist gravierend: Ein Angreifer baut eine reguläre VPN-Sitzung auf und bewegt sich anschließend im Firmennetz wie ein angemeldeter Mitarbeiter im Homeoffice, ohne je ein Passwort gekannt zu haben.
Wer betroffen ist
Die Lücke betrifft laut Check Point drei Produktlinien in den Versionsständen R80.20.x bis R82.10:
- Check Point Remote Access VPN
- Check Point Mobile Access
- Check Point Spark-Firewalls
Setzt Ihr Unternehmen eine Check-Point-Firewall mit VPN-Fernzugang ein — selbst betrieben oder durch einen Dienstleister betreut —, gehört der Versionsstand jetzt auf die Tagesordnung. Falls Sie nicht wissen, was bei Ihnen läuft: Genau diese Frage sollte Ihre IT oder Ihr Dienstleister innerhalb eines Tages beantworten können.
Angriffe liefen einen Monat unbemerkt
| Datum | Ereignis |
|---|---|
| 7. Mai 2026 | Beginn der aktiven Ausnutzung — rückblickend festgestellt |
| 4. Juni 2026 | Check Point entdeckt die Lücke anhand verdächtiger Aktivitäten |
| 8. Juni 2026 | Öffentliches Advisory von Check Point |
Diese Zeitlinie hat es in sich: Zwischen dem Beginn der Angriffe und ihrer Entdeckung liegt fast ein Monat. Betreiber müssen also davon ausgehen, dass ihre Systeme bereits angreifbar waren, lange bevor es eine Warnung gab — und sollten rückwirkend prüfen, statt nur nach vorn abzusichern.
Der Ernst der Lage ist auch offiziell festgestellt: Das BSI warnt vor der Schwachstelle in der Einstufung „aktiv ausgenutzt". Mindestens ein bestätigter Fall wurde einem Affiliate der Qilin-Ransomware-Gruppe zugeordnet — einem Partner also, der die Erpressungssoftware der Gruppe für eigene Angriffe einsetzt. In solchen Händen dient die Lücke als Einfallstor, um Daten zu verschlüsseln und das Unternehmen anschließend zu erpressen.
Was jetzt zu tun ist
Wenn Sie betroffene Systeme betreiben oder betreiben lassen, gehen Sie die folgenden Schritte der Reihe nach durch:
- Hotfix unverzüglich einspielen: Check Point stellt über seine Support-Kanäle Hotfixes und Anleitungen zur Schadensbegrenzung bereit. Warten Sie nicht auf das nächste reguläre Wartungsfenster — bei einer aktiv ausgenutzten Lücke zählt jeder Tag.
- IKEv1 abschalten: Deaktivieren Sie das veraltete Verfahren und stellen Sie auf den Nachfolger IKEv2 um. IKEv1 ist eine Altlast, die unabhängig von dieser Lücke nicht mehr im Einsatz sein sollte.
- VPN-Protokolle rückwirkend prüfen: Sichten Sie die Anmelde- und Sitzungsprotokolle seit Anfang Mai. Auffällig sind unbekannte Sitzungen und Anmeldungen, die zu keinem Mitarbeiter und keinem üblichen Muster passen.
- Bei Verdacht konsequent handeln: Rotieren Sie Passwörter und Zertifikate und leiten Sie eine strukturierte Vorfallsreaktion ein, die sogenannte Incident Response — im Zweifel mit externer Unterstützung.
- Grundsätzlich vorsorgen: Inventarisieren Sie alle Fernzugänge ins Firmennetz, aktivieren Sie Multi-Faktor-Authentifizierung — eine zweite Bestätigung zusätzlich zum Passwort — und etablieren Sie einen festen Patch-Prozess, also einen verbindlichen Ablauf, mit dem Sicherheitsupdates zeitnah eingespielt werden.
Was das praktisch bedeutet
Diese Lücke steht für das Einfallstor-Muster des Jahres 2026: Angreifer zielen auf die Geräte am Netzwerkrand — VPN-Gateways, Firewalls, Fernwartungszugänge. Solche Perimeter-Geräte, wie Fachleute sie nennen, sind aus dem Internet erreichbar, sie halten die Schlüssel zum gesamten Firmennetz, und sie laufen in vielen Betrieben nach dem Prinzip „einmal eingerichtet, läuft schon". Genau diese Kombination macht sie zum bevorzugten Angriffsziel.
Für kleine Unternehmen ist das Risiko besonders greifbar. Eine Firewall mit VPN ist schnell angeschafft — eine feste Routine, die Sicherheitswarnungen verfolgt und Updates kurzfristig einspielt, gibt es dagegen selten. Der aktuelle Fall zeigt, wie eng das Zeitfenster geworden ist: Die Angriffe liefen hier bereits einen Monat, bevor überhaupt eine Warnung existierte. Wer nach der Warnung weitere Wochen bis zum Update braucht, verlängert die offene Flanke unnötig.
Unsere Einschätzung
Behandeln Sie diese Lücke als das, was sie ist: ein Notfall mit Ansage. Ein VPN-Zugang, der sich ohne gültiges Passwort öffnen lässt und nachweislich von Ransomware-Tätern genutzt wird, lässt keinen Raum für „machen wir nächste Woche". Hotfix einspielen, IKEv1 stilllegen, Protokolle prüfen — in dieser Reihenfolge, ohne Aufschub.
Über den Einzelfall hinaus lohnt eine ehrliche Frage: Wer in Ihrem Unternehmen erfährt von solchen Warnungen, und wie schnell wird daraus ein eingespieltes Update? Lautet die Antwort „niemand so richtig", ist das kein Vorwurf, sondern eine Kapazitätsfrage. Genau diese Daueraufgabe übernehmen wir für unsere Kunden: Wir verfolgen Sicherheitswarnungen, prüfen die Betroffenheit der eingesetzten Systeme und sorgen dafür, dass kritische Updates zeitnah eingespielt werden — damit aus der nächsten Lücke kein Vorfall wird.