Oktober 2025
Autorin des Beitrags
Lio
Senior Business Development Managerin
LinkedIn
Veröffentlicht am
23.10.2025 von Lio
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Was Unternehmen jetzt wissen müssen

Hackerangriff auf F5

Ein Sicherheitsanbieter im Visier

Im Sommer 2025 wurde F5 Networks, einer der führenden Anbieter für Netzwerksicherheitslösungen, Opfer eines schwerwiegenden Cyberangriffs. Das US-Unternehmen, dessen Produkte wie BIG-IP und F5OS weltweit in Rechenzentren und Behörden im Einsatz sind, bestätigte im Oktober 2025 den Vorfall offiziell.

Bereits am 9. August 2025 hatte F5 ungewöhnliche Aktivitäten festgestellt. Interne Untersuchungen ergaben, dass eine staatlich unterstützte Hackergruppe über einen längeren Zeitraum unbemerkt Zugriff auf zentrale Systeme erlangt hatte – darunter auch auf Teile der Entwicklungsumgebung.

 

Was genau passiert ist

 

Die Angreifer verschafften sich tiefgehenden Zugang zur Infrastruktur von F5 und entwendeten:

  • Teile des Quellcodes zentraler Produkte,
  • Informationen über bislang unveröffentlichte Schwachstellen,
  • sowie Konfigurations- und Kundendaten.

Laut einem Bericht von heise.de gibt es bislang keine Hinweise auf Manipulationen der Software-Lieferkette. Dennoch stellt der Verlust von Entwicklungsdaten und Sicherheitsinformationen ein erhebliches Risiko dar – insbesondere für Kunden, die auf F5-Produkte angewiesen sind.

Am 15. Oktober 2025 informierte F5 die Öffentlichkeit und die US-Börsenaufsicht SEC. Wie unter anderem TechCrunch und t3n berichteten, blieb der Angriff über Monate hinweg unentdeckt.

 

 

Ursprung und Einordnung

 

Offiziell nennt F5 keine Täter, doch laut Bloomberg deuten Indizien auf eine china-gestützte Hackergruppe hin. Diese soll gezielt westliche Technologieunternehmen angreifen, insbesondere solche mit Bedeutung für kritische Infrastrukturen.
Das Vorgehen erinnert an frühere Angriffe auf Unternehmen wie Cisco, Fortinet und SolarWinds.

 

 

Folgen und aktuelle Einschätzung

 

Der Vorfall hat weltweit Reaktionen ausgelöst:

  • Die US-Cybersicherheitsbehörde CISA spricht von einer „signifikanten Bedrohung“ für Netzwerke, die F5-Produkte einsetzen.
  • Über 260 000 exponierte F5-Systeme wurden identifiziert – viele davon mit veralteten Softwareständen oder ungesicherten Management-Schnittstelle.
  • Unternehmen und Behörden wurden aufgefordert, Sicherheitsupdates umgehend zu installieren und Konfigurationen zu überprüfen.

Zwar betont F5, dass keine aktiven Angriffe oder Manipulationen der Lieferkette bekannt sind, dennoch bewerten Sicherheitsbehörden die Lage als angespannt.
Ein Restrisiko bleibt, da die Angreifer durch den Diebstahl von Quellcode und Entwicklungsdaten detaillierte Kenntnisse über Architektur und potenzielle Schwachstellen erlangt haben.

 

Handlungsempfehlungen für betroffene Unternehmen

  • Sofortige Inventarisierung aller eingesetzten F5-Komponenten (z. B. BIG-IP, F5OS, etc.) und Prüfung, ob öffentlich erreichbare Management-Interfaces vorhanden sind.
  • Unverzügliche Installation der verfügbaren Patches/Updates, insbesondere für Geräte mit End-of-Support (EoS) Status: Diese sollten ersetzt werden.
  • Monitoring und Logging verstärken: z. B. Nutzung des Tools iHealth Diagnostic von F5, SIEM-Integration, Login-Versuche beobachten.
  • Segmentierung und Absicherung: Management-Schnittstellen nicht direkt aus dem Internet erreichbar machen, Zugriff durch VPN bzw. Zero-Trust-Prinzip.
  • Sensibilisierung: Organisationen, die F5-Produkte einsetzen, sollten sich bewusst sein, dass sie durch diesen Vorfall potenziell Zielgruppe sind – entsprechende Maßnahmen zur Risiko­minderung einleiten.

 

 

Der Wechsel zu NetScaler könnte insbesondere für Citrix Kunden eine Alternative sein

 

Für Unternehmen, die bereits eine Citrix-Infrastruktur im Einsatz haben, kann sich in diesem Zuge ein Blick auf NetScaler (ehemals Citrix ADC) lohnen.

Die Lösung bietet vergleichbare Funktionen im Bereich Load Balancing, Gateway und Application Delivery, lässt sich in Citrix-Umgebungen integrieren und ist bei Citrix Universal Hybrid Multi-Cloud (UHMC)-Lizenzen bereits ohne Zusatzkosten enthalten.

Neben der Kosteneffizienz sprechen vor allem technische und sicherheitsbezogene Aspekte für eine Prüfung:

  • Zero-Trust-Architektur und moderne Zugriffskontrolle,
  • Web Application Firewall (WAF) mit maschinellem Lernen,
  • API- und Bot-Security,
  • sowie native Multi-Cloud-Fähigkeit (Azure, AWS, GCP, On-Prem).

 

 

Fazit

 

Der Hackerangriff auf F5 ist ein ernstzunehmender Vorfall mit weitreichenden Implikationen, nicht nur für das betroffene Unternehmen, sondern für die gesamte Breite von Firmen und Behörden, die F5-Produkte einsetzen.

Auch wenn bislang keine aktive Ausnutzung oder Lieferkettenmanipulation nachgewiesen ist, darf das Risiko nicht unterschätzt werden. Die Tatsache, dass Quellcode und unveröffentlichte Schwachstellen entwendet wurden, bedeutet, dass Angreifer potenziell über erhebliches Wissen verfügen, um gezielte Angriffe zu konstruieren.

Insbesondere für Citrix-Kunden, die Universal Hybrid Multi-Cloud-Lizenzen beziehen, könnten daher von einer Migration zu NetScaler profitieren, da NetScaler kostenfrei in der bestehenden Lizenz inkludiert ist.

Sie wünschen eine Beratung oder benötigen Unterstützung bei Ihrer Migration zu NetScaler?
Provectus begleitet Sie von der Bedarfsanalyse über die Planung und Umsetzung bis hin zum Managed Service. Kontaktieren Sie uns gerne.

 

 

Quellen:

Heise Online
„Datenklau bei Netzwerkanbieter F5: Angreifer stehlen Code und Sicherheitslücken“
https://www.heise.de/news/Datenklau-bei-Netzwerkanbieter-F5-Angreifer-stehlen-Code-und-Sicherheitsluecken-10767663.html

t3n Magazin
„Quellcode von F5 gestohlen: Anbieter von Sicherheitslösungen im Visier staatlicher Hacker“
https://t3n.de/news/quellcode-von-f5-gestohlen-anbieter-von-sicherheitsloesungen-im-visier-staatlicher-hacker-1712556/

TechCrunch
„Cyber giant F5 Networks says government hackers had long-term access to its systems, stole code and customer data“
https://techcrunch.com/2025/10/15/cyber-giant-f5-networks-says-government-hackers-had-long-term-access-to-its-systems-stole-code-and-customer-data/

Bloomberg / Reuters
„Breach at US-based cybersecurity provider F5 blamed on China, Bloomberg News reports“
https://www.reuters.com/technology/breach-us-based-cybersecurity-provider-f5-blamed-china-bloomberg-news-reports-2025-10-16/

TechRadar Pro
„F5 breach fallout: over 260,000 instances exposed to remote attacks“
https://www.techradar.com/pro/security/f5-breach-fallout-over-266-000-instances-exposed-to-remote-attacks

CRN.de
„Admins müssen nach Datendiebstahl bei F5 schnell reagieren“
https://www.crn.de/news/2025/admins-mussen-nach-datendiebstahl-bei-f5-schnell-reagieren

IT Pro
„F5 Security Incident: What we know so far“
https://www.itpro.com/security/cyber-attacks/f5-security-incident-what-we-know-so-far

F5 Networks
Offizielle Sicherheitsmitteilung: F5 Security Incident – Customer Guidance
https://my.f5.com/manage/s/article/K000154696

Sie möchten mehr infos?

Wir sind für Sie da.

Bei welchem Projekt oder welcher Herausforderung dürfen wir Sie unterstützen?
Wir sind gerne für Sie da.

 

HEIKO WESSELS

+49 89 71040920

heiko@provectus.de

 

Zum Kontaktformular

 

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

Alles wissenswerte

auf einen Blick
Zum Infohub
Webinar

Vortrag: Moderne Apps brauchen moderne Plattformen: Warum der Betrieb über Ihren Erfolg entscheidet

Für alle, die beim Expert Day von Midrange verstehen wollen, warum Cloud-Projekte nicht an der Migration scheitern, sondern im Betrieb. Viele Unternehmen kämpfen danach mit steigenden Kosten, fehlender Transparenz und neuen Risiken. Der Grund: Cloud ist kein Infrastrukturthema, sondern ein Betriebsmodell mit klaren Anforderungen.
Weiterlesen
Blogbeitrag

Virtual Workplace Evolution 2026

Wir sind dabei und freuen uns auf einen spannenden Austausch zur Transformation von IT Workplaces.
Weiterlesen
Webinar

DORA-konformer Cloud-Betrieb: So setzen Sie Anforderungen praxisnah um

WEBINAR, 18.06: DORA-konformer Cloud-Betrieb praxisnah erklärt: Erfahren Sie im Webinar, wie Finanzunternehmen regulatorische Anforderungen wirksam, prüfbar und dauerhaft im IT-Betrieb umsetzen.
Weiterlesen
Blogbeitrag

Azure Arc, SQL-Updates, regionale Produktgrenze: Der MVP-Vorteil

Updates, die scheinbar laufen, aber nie ankommen. Ein Support-Ticket ohne belastbare Antwort. Und ein Betriebsproblem, das schnell zum Sicherheitsproblem werden kann. Wie ein Microsoft MVP in genau dieser Situation den entscheidenden Unterschied macht.
Weiterlesen
Blogbeitrag

Anthropic in Microsoft 365 Copilot: Warum das neue KI-Feature zum Governance-Test für Unternehmen wird 

Neue KI-Modelle in Microsoft 365 Copilot: Warum die Anthropic-Integration für Unternehmen Chancen, Pflichten und Risiken verändert.
Weiterlesen
Blogbeitrag

Azure Files im Enterprise Scale: Architektur mit Herstellervalidierung

Wenn Datenvolumina, verteilte Standorte und hybride Synchronisation zusammentreffen, reicht die Dokumentation oft nicht mehr aus. Wie eine Validierung mit der Microsoft Produktgruppe in solchen Fällen den Unterschied macht.
Weiterlesen
Webinar

Webinar – Need for Speed – wie Microsoft 365 Unternehmen in Zugzwang bringt

Für alle Unternehmen, die M365 stabil, sicher und effizient betreiben wollen. Wer souverän mit Changes umgeht, gewinnt Kontrolle und entlastet endlich das Tagesgeschäft. In diesem Webinar zeigen unsere Experten, wie Sie die Update‑Flut proaktiv statt reaktiv managen.
Weiterlesen
Blogbeitrag

Provectus und das IAMCP Business Chapter Azure Infrastruktur

Interview mit Matthias Braun über das IAMCP-Netzwerk, aktuelle Trends in der Azure Infrastruktur und den konkreten Mehrwert für Microsoft-Partner und deren Kunden.
Weiterlesen
Blogbeitrag

Citrix LAS kommt: Warum Sie jetzt handeln müssen 

Die Zeit der klassischen, dateibasierten Citrix-Lizenzierung läuft ab. Citrix hat klar kommuniziert: Am 15. April 2026 ist endgültig Schluss. Ab diesem Zeitpunkt wird ausschließlich noch der Citrix License Activation Service (LAS) unterstützt.
Weiterlesen
Webinar

Webinar – Automatisieren ohne IT-Frust: Microsoft Power Platform sicher betreiben und Potenzial nutzen

In diesem Webinar zeigen unsere Experten anhand praxisnaher Live-Demos, wie Unternehmen mit der Microsoft Power Platform Prozesse effizient automatisieren, externe Tools ersetzen und durch klare Governance sowie ein Center of Excellence einen sicheren und nachhaltigen Betrieb sicherstellen.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Facebook LinkedIn Instagram Youtube
©provectus 2024