Warum CSLonz auf Ubiquiti UniFi verzichtet – und es bei Bestandskunden aktiv abbaut
von Redaktion CSLonz Am 07.07.2026 14:38:40
Ein Standpunkt zur IT-Sicherheit in kleinen und mittelständischen Unternehmen
Was UniFi ist – und warum es so verbreitet ist
Ubiquiti UniFi ist eines der bekanntesten Netzwerk-Ökosysteme weltweit. Switches, Access Points, Firewalls, Kameras und Zutrittskontrolle – alles aus einer Hand, verwaltet über eine einzige Managementkonsole, zu einem Preis, der professionelle Konkurrenzprodukte deutlich unterbietet. Keine laufenden Lizenzgebühren, eine aktive Community, eine optisch ansprechende Oberfläche. Es ist verständlich, dass UniFi in den vergangenen Jahren massenhaft in KMU-Netzwerken, Arztpraxen, Fachhandelsgeschäften und Büros Einzug gehalten hat.
Auch CSLonz hat UniFi über Jahre hinweg begleitet, bewertet und in Einzelfällen eingesetzt. Wir kennen die Stärken des Systems aus dem Praxisbetrieb.
Unsere heutige Entscheidung lautet trotzdem: Wir setzen UniFi nicht mehr ein. Und wo es bei Bestandskunden installiert ist, bauen wir es bei passender Gelegenheit aktiv ab.
Der Grund ist nicht der Preis. Nicht die Oberfläche. Nicht fehlende Featuretiefe.
Der Grund ist IT-Sicherheit.
Das Kernproblem: Die Management-Ebene als dauerhaftes Angriffsziel
UniFi funktioniert nach einem zentralisierten Prinzip: Sämtliche Geräte – Switches, Access Points, Gateways, Kameras, Türleser – werden über eine einzige Software gesteuert, die sogenannte UniFi Network Application oder das übergeordnete Betriebssystem UniFi OS. Diese Architektur ist der Hauptgrund für die Benutzerfreundlichkeit des Systems. Sie ist gleichzeitig sein größtes Sicherheitsproblem.
Wer diese Management-Ebene kompromittiert, kontrolliert das gesamte Netzwerk. In Installationen mit UniFi Access auch die physischen Türen. In Installationen mit UniFi Protect auch die Überwachungskameras. Sicherheitsforscher von Bishop Fox haben es 2026 in einem technischen Bericht präzise formuliert: Ein Angreifer, der Root-Zugriff auf die Management-Konsole erlangt, hat administrative Kontrolle über alles, was diese Konsole verwaltet – Netzwerk, Identitäten, Türen, Kameras. In Umgebungen mit mehreren Standorten, die an denselben Ubiquiti-Cloud-Account gebunden sind, kann ein kompromittierter Standort als Sprungbrett für alle anderen dienen – aus dem lokalen Netzwerk wird ein organisationsweites, internetfähiges Problem.
Und genau diese Management-Ebene stand in den vergangenen zwölf Monaten wiederholt vollständig offen.
Die Schwachstellenbilanz 2024–2026: eine Serie mit System
Wir dokumentieren die wichtigsten belegten Schwachstellen der vergangenen zwei Jahre – nicht um technisch zu erschrecken, sondern weil diese Aufstellung zeigt, dass es sich nicht um Einzelfälle handelt:
CVE-2024-42028 (August 2024): Lokale Privilege-Escalation im selbst gehosteten UniFi Network Server. CVSS 8.8. Ein normaler Betriebssystem-Benutzer kann Hochprivileg-Aktionen auf dem Server ausführen. Betroffen: alle Versionen bis 8.4.62.
CVE-2025-23123 (Januar 2025): Heap Buffer Overflow in UniFi Protect Camera Firmware. CVSS 10.0. Unauthentifizierte Remote Code Execution über das Management-Netz. Entdeckt im Rahmen des internationalen Sicherheitswettbewerbs Pwn2Own.
CVE-2025-27212 (Juli 2025): Command Injection in UniFi Access (Türleser, Gegensprechanlagen). CVSS 9.8. Kein Login erforderlich. Sechs verschiedene Produktlinien betroffen.
CVE-2025-52665 (Oktober 2025): Unauthentifizierte Remote Code Execution in der UniFi Access Application über den Backup-API-Endpunkt. CVSS 10.0. Ubiquiti zahlte 25.000 US-Dollar Bug-Bounty – den Höchstbetrag ihres Programms. Parallel wurden weitere unauthentifizierte API-Endpunkte gefunden, über die private kryptografische Schlüssel für NFC-Zugangskarten auslesbar waren.
CVE-2026-22557 (März 2026): Path Traversal in der UniFi Network Application. CVSS 10.0. Kein Login, keine Benutzerinteraktion erforderlich. Vollständige Account-Übernahme möglich. Ubiquiti veröffentlichte ein Notfall-Update. Betroffen: alle Versionen vor dem 18. März 2026. Zum Zeitpunkt der Entdeckung waren laut dem Analysedienst Censys knapp 87.000 UniFi-Network-Instanzen direkt aus dem Internet erreichbar.
CVE-2026-34908, -34909, -34910 (Mai 2026): Drei simultane Schwachstellen in UniFi OS mit CVSS 10.0 – Improper Access Control, Path Traversal und Command Injection. Zusammen bilden sie eine vollständige, unauthentifizierte Root-RCE-Kette. Sicherheitsforscher von Bishop Fox demonstrierten, wie sich mit einem einzigen präparierten Netzwerkpaket eine Root-Shell auf der Management-Konsole öffnen lässt. Die US-Behörde CISA nahm alle drei in ihren „Known Exploited Vulnerabilities"-Katalog auf und setzte für US-Bundesbehörden eine Patchfrist von drei Tagen. Rund 100.000 UniFi-OS-Endpunkte waren weltweit zum Zeitpunkt der Veröffentlichung direkt aus dem Internet erreichbar.
Sicherheitsforscher bezeichnen das Muster inzwischen offen als systemisch: Drei CVSS-10.0-Lücken in der UniFi Network Application innerhalb von zwölf Monaten sind kein Zufall, sondern ein Indiz für strukturelle Schwächen in der Management-Software.
Reale Angriffe: Staatliche Akteure und kriminelle Botnets
UniFi-Hardware wird aktiv angegriffen – und nicht nur von opportunistischen Angreifern. Im Februar 2024 zerschlug das FBI in der „Operation Dying Ember" ein Botnet aus hunderten kompromittierten Ubiquiti-Routern. Kriminelle hatten Geräte mit unveränderten Standard-Zugangsdaten automatisiert übernommen und mit der Malware „Moobot" infiziert. Der russische Militärgeheimdienst GRU (Einheit 26165, bekannt als „Fancy Bear" / APT28) nutzte Teile dieses Botnets für Cyberespionage gegen westliche Regierungen – inklusive Credential-Harvesting und Einschleusen eigener Backdoors. Ein gemeinsames Advisory von FBI, NSA, CISA und Partnerdiensten aus Deutschland, Frankreich, Großbritannien und weiteren NATO-Staaten machte diesen Sachverhalt öffentlich.
Vier Monate nach dem Takedown stellte das Sicherheitsunternehmen Trend Micro fest, dass über 350 der betroffenen Systeme weiterhin kompromittiert waren – teils gleichzeitig durch mehrere Angreifergruppen.
Das Grundmuster ist dabei seit Jahren unverändert: Standard-Zugangsdaten, internet-exponiertes Management, kein automatisches Update. Ein Neustart entfernt vorhandene Malware nicht. Ein Factory-Reset ohne Passwortänderung führt direkt zurück zu Default-Credentials – und zur nächsten Infektion.
„Aber ihr seid doch unser IT-Dienstleister – betreibt das doch sicher für uns"
Das ist ein berechtigter Einwand, und wir nehmen ihn ernst.
Ja, CSLonz betreibt Kundensysteme. Ja, wir könnten UniFi mit den notwendigen Härtungsmaßnahmen ausrollen: VPN-only-Management, dediziertes Management-VLAN, erzwungene Zwei-Faktor-Authentifizierung, konsequente VLAN-Segmentierung, RADIUS-basierte WLAN-Authentifizierung, zentrales Logging, Patch-Management innerhalb von 24 bis 72 Stunden nach Veröffentlichung eines Security Advisories. Das ist technisch alles machbar.
Das eigentliche Problem liegt jedoch tiefer: Wir übernehmen für unsere Kunden Verantwortung für deren IT-Sicherheit. Und zu dieser Verantwortung gehört die Frage, welche Plattformen wir als Grundlage einsetzen wollen – unabhängig davon, wie gut wir ein System konfigurieren. Eine Plattform, die in zwölf Monaten drei Schwachstellen mit dem maximalen CVSS-Score 10.0 in ihrer zentralen Management-Software produziert und von staatlichen Angreifern aktiv ausgenutzt wird, ist kein geeignetes Fundament für die IT-Sicherheit eines Unternehmens, das Patientendaten verarbeitet, Kassensysteme betreibt oder Personalakten führt.
Hinzu kommt: Das Sicherheitsmodell von UniFi legt die Patch-Verantwortung vollständig beim Betreiber. Jede kritische Schwachstelle erfordert, dass wir als externer Dienstleister innerhalb weniger Stunden oder Tage reagieren, die richtigen Update-Pakete für jede betroffene Komponente identifizieren und in Produktivumgebungen einspielen – ohne herstellerseitigen SLA, ohne automatisierten zentralen Rollout. Das ist leistbar, aber es ist ein kontinuierlich hohes Aufwands- und Fehlerpotenzial, das wir unseren Kunden nicht aufbürden möchten.
Wir bevorzugen eine Plattform, bei der das Sicherheitsmodell selbst auf das Problem ausgelegt ist – nicht nur unsere Konfiguration darüber.
Was wir stattdessen einsetzen: Sophos
CSLonz setzt auf die Sophos-Plattform – für Firewalls, Switches, Access Points und Endpoint-Schutz gleichermaßen. Das ist keine Werbeaussage, sondern eine bewusste Entscheidung, die wir begründen:
Firewall: Sophos XGS-Serie mit Xstream-Architektur
Die Sophos XGS-Firewalls laufen mit einer Dual-Prozessor-Architektur: ein leistungsstarker x86-CPU und ein dedizierter Xstream Flow Processor, der TLS-Inspektion, IPS und Application-Traffic hardwareseitig beschleunigt. TLS-Inspektion ist entscheidend, weil heute rund 90 Prozent des Netzwerkverkehrs verschlüsselt sind – und fast die Hälfte aller Malware genau diese Verschlüsselung nutzt, um klassische Sicherheitsmaßnahmen zu umgehen. Die XGS-Linie ist explizit für lärmsensible Umgebungen wie Arztpraxen und Einzelhandel ausgelegt: mehrere Modelle sind fanless und damit geräuschlos.
Ab Sophos Firewall OS v21 ist erstmals Network Detection and Response direkt in die Firewall integriert – also die Erkennung von verdächtigem Verhalten auf Netzwerkebene, ohne dass ein separates System erforderlich wäre. Das war bisher Konzernlösungen vorbehalten.
Switches: Sophos Switch
Sophos Switches sind direkt in Sophos Central eingebunden und werden über dieselbe Plattform verwaltet wie Firewall, Access Points und Endpoint-Schutz. Das bedeutet unter anderem: Wenn ein Endpunkt als kompromittiert erkannt wird, kann die Firewall automatisch den entsprechenden Switch-Port isolieren – ohne manuelles Eingreifen, ohne Zeitverzug. Dieses Konzept nennt sich Synchronized Security und ist eine der wesentlichen architektonischen Unterschiede zu UniFi, bei dem Firewall, Switch und Endpoint ohne gegenseitige Kommunikation arbeiten.
Access Points: Sophos AP6-Serie
Die Sophos AP6-Serie unterstützt Wi-Fi 6 und Wi-Fi 6E, wird vollständig über Sophos Central verwaltet und ist nahtlos in die Firewall-Segmentierungslogik eingebunden. WLAN-Sicherheitsrichtlinien greifen auf dieselbe Regelstruktur zurück wie die Firewall – kein separates Konfigurationsmodell, kein Medienbruch.
Zentrales Management: Sophos Central
Sophos Central ist die cloudbasierte Managementplattform, über die sämtliche Sophos-Komponenten gesteuert werden – Firewalls, Switches, Access Points, Endpoints, E-Mail-Security. Für CSLonz als Managed Service Provider bedeutet das: ein einziger Mandant, vollständig mandantenfähig, mit zentralem Alert-Management, Reporting und Patch-Steuerung. Sicherheitsupdates werden von Sophos zentral bereitgestellt und können mit wenigen Klicks organisationsweit ausgerollt werden – kein manuelles Recherchieren betroffener Firmware-Versionen pro Gerätetyp.
MDR: 24/7-Überwachung durch Sophos-eigene Analysten
Sophos bietet Managed Detection and Response als Service an – also die kontinuierliche Überwachung aller Systeme durch menschliche Sicherheitsanalysten, rund um die Uhr, 365 Tage im Jahr. Frost & Sullivan zeichnete Sophos 2025 als Leader im MDR-Bereich aus. Das ist das Sicherheitsniveau, das Konzerne intern aufbauen – und das KMU über diesen Managed Service in Anspruch nehmen können, ohne eigene SOC-Infrastruktur aufzubauen.
Synchronized Security: Wenn alle Komponenten miteinander sprechen
Das technisch differenzierende Merkmal der Sophos-Plattform ist die sogenannte Synchronized Security. Firewall, Switch, Access Point und Endpoint-Schutz sind nicht nur über eine gemeinsame Managementkonsole verbunden – sie kommunizieren aktiv miteinander. Erkennt Sophos Intercept X auf einem Endpunkt eine Bedrohung, sendet es diesen Status an die Firewall, die den betroffenen Netzwerkverkehr sofort isoliert, bevor ein Angreifer lateral im Netzwerk navigieren kann. Dieses Prinzip ist in UniFi strukturell nicht abbildbar, weil die Komponenten architektonisch keine gemeinsame Sicherheitssprache sprechen.
Was das für bestehende UniFi-Installationen bedeutet
Wo UniFi bei Bestandskunden installiert ist, führen wir im Rahmen regulärer Wartungsfenster eine Bewertung durch. Kriterien sind: Ist das Management-Interface vom Internet isoliert? Ist eine saubere VLAN-Struktur vorhanden? Ist der aktuelle Patch-Stand vollständig und zeitnah? Gibt es eine dokumentierte Verantwortlichkeit für zukünftige Updates?
Sind diese Voraussetzungen nicht erfüllt – was bei der überwiegenden Mehrheit der bisher gesehenen KMU-UniFi-Installationen der Fall ist – empfehlen wir den Abbau und Ersatz durch die Sophos-Plattform. Das ist keine Entscheidung gegen Ubiquiti als Unternehmen. Es ist eine Entscheidung für die Sicherheit unserer Kunden und für die Qualität unserer eigenen Arbeit.
Wer Fragen zur eigenen Netzwerkinfrastruktur hat oder eine kostenlose Erstbewertung wünscht, kann sich jederzeit direkt an uns wenden.
Quellen (Auswahl): BleepingComputer, SecurityWeek, Bishop Fox Research Blog, CISA Known Exploited Vulnerabilities Catalog, Ubiquiti Security Advisory Bulletins SAB-043/056/062/064/065, Catchify Security, Trend Micro „Router Roulette" (April 2024), FBI/NSA/CISA Joint Advisory (Februar 2024), Censys Internet Exposure Data (März/Mai 2026), Sophos Produktdokumentation und Partner News (2024/2025/2026), Frost & Sullivan Frost Radar MDR 2025.
Jetzt teilen
Jetzt teilen
- IT-Blog (64)
- Anleitung (36)
- Tutorial (32)
- It-security (26)
- Unternehmens-News (23)
- officesafety (20)
- updates (18)
- Akustik (12)
- DSGVO (11)
- Ransomware (9)
- how-to (9)
- patch (9)
- IT-Schulung (8)
- Ransomware-Hack (8)
- microsoft patch day (7)
- securitybreach (7)
- Hörakustik (6)
- Installation (6)
- hack (5)
- kommunen (5)
- release (5)
- KRITIS (4)
- Suedwestfalen-IT (4)
- #cloud (3)
- EUHAEV (3)
- KI (3)
- homeoffice (3)
- EUHA2023 (2)
- Leistungen (2)
- Zahnarzt (2)
- windows11 (2)
- Augenoptik (1)
- Drucker (1)
- EUHA2024 (1)
- EU_Richtlinie (1)
- Exchange 2016 (1)
- NIS2 (1)
- TI (1)
- TI-Gatway (1)
- Zahnarzt Zahnarztpraxis (1)
- akademie (1)
- batch (1)
- googlechrome (1)
- printer (1)
- Juli 2026 (1)
- Mai 2026 (2)
- April 2026 (1)
- März 2026 (2)
- Dezember 2025 (1)
- November 2025 (1)
- Oktober 2025 (1)
- Juli 2025 (2)
- Juni 2025 (2)
- April 2025 (1)
- März 2025 (3)
- Februar 2025 (2)
- Januar 2025 (4)
- Dezember 2024 (1)
- November 2024 (2)
- Oktober 2024 (2)
- September 2024 (1)
- Juli 2024 (1)
- Juni 2024 (1)
- Mai 2024 (5)
- April 2024 (10)
- März 2024 (4)
- Februar 2024 (8)
- Januar 2024 (4)
- Dezember 2023 (7)
- November 2023 (6)
- Oktober 2023 (3)
- September 2023 (1)
- August 2023 (5)
- Juli 2023 (3)
- Juni 2023 (2)
- Mai 2023 (2)
- April 2023 (2)
- März 2023 (1)
- Februar 2023 (2)
- Januar 2023 (3)
- Dezember 2022 (1)
- Oktober 2022 (2)
- August 2022 (1)
- Juni 2022 (1)
- April 2022 (1)
- Januar 2022 (1)
- November 2021 (1)
- September 2021 (1)
- August 2021 (1)
- April 2021 (1)
- März 2021 (2)
- Januar 2021 (3)
- Dezember 2020 (4)
- November 2020 (1)
- Oktober 2020 (2)
- September 2020 (2)
- August 2020 (1)

Bisher keine Kommentare
Sag uns, was du denkst!