Noch bevor Unternehmen die Chance haben, sich von den letzten Angriffswellen zu erholen, öffnet sich bereits das nächste Einfallstor: Der Netzwerkhersteller Cisco meldet aktuell die aktive Ausnutzung kritischer Schwachstellen innerhalb seiner strategisch zentralen Sicherheitslösung “Cisco Identity Services Engine (ISE)”. Besonders brisant: Die Sicherheitslücken erlauben eine vollständige Kompromittierung Ihrer Netzwerkinfrastruktur – ohne Authentifizierung, ohne Benutzerkonto, direkt mit Root-Rechten.
Als wäre ein Hintertürchen offen– nur eben nicht in einer veralteten Legacy-Anwendung, sondern in einem sicherheitskritischen Produkt, dem Millionen von Unternehmen bei der Zugriffskontrolle auf das interne Netzwerk vertrauen.
Für Vorstände, IT-Leitungen und Sicherheitsverantwortliche bedeutet das: Hier geht es nicht um einen operativen Zwischenfall. Dieses Szenario ist existenzbedrohend – es trifft die Kernelemente einer modernen Zero-Trust-Architektur und hebelt diese vollständig aus. Es ist der Albtraum eines jeden CISOs.
Laut einer Sicherheitsmeldung von Cisco werden derzeit mehrere Schwachstellen innerhalb der ISE-Produktlinie aktiv ausgenutzt. Betroffen sind sowohl die Identity Services Engine als auch der „ISE Passive Identity Connector“ – zwei zentrale Komponenten zur Durchsetzung von Richtlinien für Netzwerkzugriffe.
Die Sicherheitslücken, darunter CVE-2025-20281, CVE-2025-20282 und CVE-2025-20337, erhielten den maximalen CVSS-Score von 10,0. Das bedeutet: Das Risiko für Unternehmen ist als „kritisch“ einzustufen. Die Angriffe erfolgen dabei:
Ein Angreifer kann über eine fehlerhafte API (also die Programmierschnittstelle zur Verwaltung des Systems) Code einschleusen, Dateien hochladen und auf dem System zur Ausführung bringen – mit vollem Zugriff.
Das zentrale Problem: Cisco ISE gilt in vielen Unternehmen als vertrauenswürdiger Kontrollpunkt. Es filtert, wer wann wo Zugriff auf das Unternehmensnetzwerk bekommt – und unter welchen Bedingungen. Wenn genau dieses System kompromittiert wird, ist es, als hätte man den Türsteher korrumpiert, der jetzt jeden ungehindert durchwinkt.
Wenn ein System, das eigentlich Ihre Netzwerkeingänge kontrollieren soll, selbst zur Einfallspforte wird, dreht sich die Bedrohungslage um 180 Grad. Der Schaden lässt sich nicht mehr isolieren – Prozesse, Compliance-Vorgaben, Datensicherheit und Betriebsfähigkeit sind gleichzeitig in Gefahr.
Und damit steht für jedes Unternehmen eines fest: Hier reicht kein Patch im Monatsrhythmus. Wir sprechen von einer Lage, die unmittelbares Handeln erfordert. Jeder Tag, womöglich jede Stunde, in der verwundbare Cisco ISE-Komponenten im Netz verbleiben, erhöht das Risiko eines erfolgreichen Angriffs exponentiell.
Es geht um folgende Auswirkungen:
💥Kontrollverlust über Netzwerkzugriffe
Unternehmen verlieren ihre zentrale Fähigkeit zur Netzwerksegmentierung und -kontrolle. Das öffnet Angreifern Tür und Tor – insbesondere bei hybriden Arbeitsmodellen mit vielen externen Zugängen.
💥Umgehung bestehender Authentifizierungsprozesse
Die Sicherheitslücke erlaubt es Angreifern, Authentifizierungen und Richtlinien zu umgehen. Damit sind auch 2FA-Mechanismen, Rollenberechtigungen und Audit-Trails wirkungslos.
💥Sichtbarkeit und Compliance in Gefahr
Da Logs und Policies potenziell manipulierbar sind, verlieren Unternehmen die Nachvollziehbarkeit – ein Albtraum aus regulatorischer Sicht (insbesondere in kritischen Sektoren wie Finanzwesen, Gesundheitswesen oder Industrie).
💥Potentielles Pivoting in andere Systeme
Ein kompromittierter ISE-Server kann als Sprungbrett in Serverlandschaften, Active Directory-Strukturen bis hin zu OT-Komponenten dienen – mit kaum nachweisbaren Spuren.
C-Level-Entscheider stehen jetzt vor einer klaren Verantwortung: Es müssen rasch grundlegende Maßnahmen ergriffen werden – nicht nur, um die aktuelle Bedrohungslage einzudämmen, sondern um strategische Versäumnisse bei der Absicherung kritischer Infrastruktur künftig zu vermeiden.
Dabei ist keine IT-Fachkenntnis nötig, sondern solide Führungsverantwortung. Die Realität: Jedes Unternehmen, das Cisco ISE nutzt, muss sich heute fragen: Haben wir die Kontrolle über unsere Identitätsinfrastruktur – oder wurde sie bereits übernommen?
Empfohlene Sofortmaßnahmen:
Die Schwachstellen in Cisco ISE zeigen auch ein strukturelles Problem auf: Die zunehmende Komplexität und Konvergenz von Sicherheitssystemen bringt neue Angriffsflächen – direkt dort, wo sich eigentlich Vertrauen konzentrieren sollte.
Die sogenannte „Vertrauensinfrastruktur“ entwickelt sich zur Achillesferse, wenn Angreifer die unumstößlichen Vertrauensanker – Authentifizierungs- und Autorisierungssysteme – ins Visier nehmen.
Zudem zeigt sich, dass Systeme wie Cisco ISE häufig „unterhalb des Radars“ von klassischen Schwachstellenscannern liegen. Denn diese scannen in der Regel nicht die internen APIs zugelassener Sicherheitsanwendungen – oft aus Angst, die Systeme zu beeinträchtigen. Dieses Sicherheitsvakuum kostet nun möglicherweise Millionen.
Hinzu kommt: Viele Unternehmen verlassen sich noch immer auf einen reaktiven Sicherheitsansatz – und nicht auf kontinuierliche Risikoanalysen. Die Schwachstelle in Cisco ISE ist der Weckruf, IT-Sicherheit als unternehmerische Resilienzaufgabe zu begreifen.
Als CEO, CFO, CIO oder CISO treffen Sie heute eine Richtungsentscheidung: Setzen Sie weiter auf technologische Fragmentierung mit Einzelprodukten – oder orchestrieren Sie stattdessen einen unternehmensweiten Sicherheitsansatz, der mit der Bedrohungslage Schritt hält?
Die entscheidende Frage lautet: Möchten Sie Systeme absichern – oder das Risiko unter Kontrolle bringen?
Dabei werden drei Dimensionen immer wichtiger:
Als ProSec sind wir nicht Teil einer einzigen technologischen Wahrheit – sondern Partner in der operativen, taktischen und strategischen Umsetzung von Cyber-Resilienz.
In der aktuellen Lage unterstützen wir Sie durch folgende Leistungen:
✅ Sofortige technische Analyse Ihrer Cisco ISE-Instanzen inklusive Validierung gegen CVE-2025-20281, -20282, -20337
✅ Forensische Sichtung von Log-, API- und Netzwerkaktivitäten auf Indikatoren für bereits erfolgte Angriffe
✅ Unterstützung beim Patch- und Backupprozess Ihrer Sicherheitsinfrastruktur
✅ Ableitung von Lessons Learned auf Management-Ebene im Rahmen unseres CSIRP (Cyber Security Incident Response Plan)
✅ Vorbereitung auf künftige Ereignisse durch eine strukturierte Schwachstellen- und Risikoanalyse mit besonderem Fokus auf „vertrauensbasierte Systeme“
Diese aktuelle Bedrohung ist kein Ausnahmefall – sie ist ein Vorzeichen. Nur wer heute handelt, kann morgen noch vertrauen. Nicht den Produkten. Sondern den eigenen Strukturen.
Bleiben Sie führungsfähig. Bleiben Sie widerstandsfähig. Sichern Sie Ihr Unternehmen jetzt ab – bevor andere es übernehmen.
