Ein Standpunkt zur IT-Sicherheit in kleinen und mittelständischen Unternehmen
Was UniFi ist – und warum es so verbreitet ist
Ubiquiti UniFi ist eines der bekanntesten Netzwerk-Ökosysteme weltweit. Switches, Access Points, Firewalls, Kameras und Zutrittskontrolle – alles aus einer Hand, verwaltet über eine einzige Managementkonsole, zu einem Preis, der professionelle Konkurrenzprodukte deutlich unterbietet. Keine laufenden Lizenzgebühren, eine aktive Community, eine optisch ansprechende Oberfläche. Es ist verständlich, dass UniFi in den vergangenen Jahren massenhaft in KMU-Netzwerken, Arztpraxen, Fachhandelsgeschäften und Büros Einzug gehalten hat.
Auch CSLonz hat UniFi über Jahre hinweg begleitet, bewertet und in Einzelfällen eingesetzt. Wir kennen die Stärken des Systems aus dem Praxisbetrieb.
Unsere heutige Entscheidung lautet trotzdem: Wir setzen UniFi nicht mehr ein. Und wo es bei Bestandskunden installiert ist, bauen wir es bei passender Gelegenheit aktiv ab.
Der Grund ist nicht der Preis. Nicht die Oberfläche. Nicht fehlende Featuretiefe.
Der Grund ist IT-Sicherheit.
Das Kernproblem: Die Management-Ebene als dauerhaftes Angriffsziel
UniFi funktioniert nach einem zentralisierten Prinzip: Sämtliche Geräte – Switches, Access Points, Gateways, Kameras, Türleser – werden über eine einzige Software gesteuert, die sogenannte UniFi Network Application oder das übergeordnete Betriebssystem UniFi OS. Diese Architektur ist der Hauptgrund für die Benutzerfreundlichkeit des Systems. Sie ist gleichzeitig sein größtes Sicherheitsproblem.
Wer diese Management-Ebene kompromittiert, kontrolliert das gesamte Netzwerk. In Installationen mit UniFi Access auch die physischen Türen. In Installationen mit UniFi Protect auch die Überwachungskameras. Sicherheitsforscher von Bishop Fox haben es 2026 in einem technischen Bericht präzise formuliert: Ein Angreifer, der Root-Zugriff auf die Management-Konsole erlangt, hat administrative Kontrolle über alles, was diese Konsole verwaltet – Netzwerk, Identitäten, Türen, Kameras. In Umgebungen mit mehreren Standorten, die an denselben Ubiquiti-Cloud-Account gebunden sind, kann ein kompromittierter Standort als Sprungbrett für alle anderen dienen – aus dem lokalen Netzwerk wird ein organisationsweites, internetfähiges Problem.
Und genau diese Management-Ebene stand in den vergangenen zwölf Monaten wiederholt vollständig offen.
Die Schwachstellenbilanz 2024–2026: eine Serie mit System
Wir dokumentieren die wichtigsten belegten Schwachstellen der vergangenen zwei Jahre – nicht um technisch zu erschrecken, sondern weil diese Aufstellung zeigt, dass es sich nicht um Einzelfälle handelt:
CVE-2024-42028 (August 2024): Lokale Privilege-Escalation im selbst gehosteten UniFi Network Server. CVSS 8.8. Ein normaler Betriebssystem-Benutzer kann Hochprivileg-Aktionen auf dem Server ausführen. Betroffen: alle Versionen bis 8.4.62.
CVE-2025-23123 (Januar 2025): Heap Buffer Overflow in UniFi Protect Camera Firmware. CVSS 10.0. Unauthentifizierte Remote Code Execution über das Management-Netz. Entdeckt im Rahmen des internationalen Sicherheitswettbewerbs Pwn2Own.
CVE-2025-27212 (Juli 2025): Command Injection in UniFi Access (Türleser, Gegensprechanlagen). CVSS 9.8. Kein Login erforderlich. Sechs verschiedene Produktlinien betroffen.
CVE-2025-52665 (Oktober 2025): Unauthentifizierte Remote Code Execution in der UniFi Access Application über den Backup-API-Endpunkt. CVSS 10.0. Ubiquiti zahlte 25.000 US-Dollar Bug-Bounty – den Höchstbetrag ihres Programms. Parallel wurden weitere unauthentifizierte API-Endpunkte gefunden, über die private kryptografische Schlüssel für NFC-Zugangskarten auslesbar waren.
CVE-2026-22557 (März 2026): Path Traversal in der UniFi Network Application. CVSS 10.0. Kein Login, keine Benutzerinteraktion erforderlich. Vollständige Account-Übernahme möglich. Ubiquiti veröffentlichte ein Notfall-Update. Betroffen: alle Versionen vor dem 18. März 2026. Zum Zeitpunkt der Entdeckung waren laut dem Analysedienst Censys knapp 87.000 UniFi-Network-Instanzen direkt aus dem Internet erreichbar.
CVE-2026-34908, -34909, -34910 (Mai 2026): Drei simultane Schwachstellen in UniFi OS mit CVSS 10.0 – Improper Access Control, Path Traversal und Command Injection. Zusammen bilden sie eine vollständige, unauthentifizierte Root-RCE-Kette. Sicherheitsforscher von Bishop Fox demonstrierten, wie sich mit einem einzigen präparierten Netzwerkpaket eine Root-Shell auf der Management-Konsole öffnen lässt. Die US-Behörde CISA nahm alle drei in ihren „Known Exploited Vulnerabilities"-Katalog auf und setzte für US-Bundesbehörden eine Patchfrist von drei Tagen. Rund 100.000 UniFi-OS-Endpunkte waren weltweit zum Zeitpunkt der Veröffentlichung direkt aus dem Internet erreichbar.
Sicherheitsforscher bezeichnen das Muster inzwischen offen als systemisch: Drei CVSS-10.0-Lücken in der UniFi Network Application innerhalb von zwölf Monaten sind kein Zufall, sondern ein Indiz für strukturelle Schwächen in der Management-Software.
Reale Angriffe: Staatliche Akteure und kriminelle Botnets
UniFi-Hardware wird aktiv angegriffen – und nicht nur von opportunistischen Angreifern. Im Februar 2024 zerschlug das FBI in der „Operation Dying Ember" ein Botnet aus hunderten kompromittierten Ubiquiti-Routern. Kriminelle hatten Geräte mit unveränderten Standard-Zugangsdaten automatisiert übernommen und mit der Malware „Moobot" infiziert. Der russische Militärgeheimdienst GRU (Einheit 26165, bekannt als „Fancy Bear" / APT28) nutzte Teile dieses Botnets für Cyberespionage gegen westliche Regierungen – inklusive Credential-Harvesting und Einschleusen eigener Backdoors. Ein gemeinsames Advisory von FBI, NSA, CISA und Partnerdiensten aus Deutschland, Frankreich, Großbritannien und weiteren NATO-Staaten machte diesen Sachverhalt öffentlich.
Vier Monate nach dem Takedown stellte das Sicherheitsunternehmen Trend Micro fest, dass über 350 der betroffenen Systeme weiterhin kompromittiert waren – teils gleichzeitig durch mehrere Angreifergruppen.
Das Grundmuster ist dabei seit Jahren unverändert: Standard-Zugangsdaten, internet-exponiertes Management, kein automatisches Update. Ein Neustart entfernt vorhandene Malware nicht. Ein Factory-Reset ohne Passwortänderung führt direkt zurück zu Default-Credentials – und zur nächsten Infektion.
„Aber ihr seid doch unser IT-Dienstleister – betreibt das doch sicher für uns"
Das ist ein berechtigter Einwand, und wir nehmen ihn ernst.
Ja, CSLonz betreibt Kundensysteme. Ja, wir könnten UniFi mit den notwendigen Härtungsmaßnahmen ausrollen: VPN-only-Management, dediziertes Management-VLAN, erzwungene Zwei-Faktor-Authentifizierung, konsequente VLAN-Segmentierung, RADIUS-basierte WLAN-Authentifizierung, zentrales Logging, Patch-Management innerhalb von 24 bis 72 Stunden nach Veröffentlichung eines Security Advisories. Das ist technisch alles machbar.
Das eigentliche Problem liegt jedoch tiefer: Wir übernehmen für unsere Kunden Verantwortung für deren IT-Sicherheit. Und zu dieser Verantwortung gehört die Frage, welche Plattformen wir als Grundlage einsetzen wollen – unabhängig davon, wie gut wir ein System konfigurieren. Eine Plattform, die in zwölf Monaten drei Schwachstellen mit dem maximalen CVSS-Score 10.0 in ihrer zentralen Management-Software produziert und von staatlichen Angreifern aktiv ausgenutzt wird, ist kein geeignetes Fundament für die IT-Sicherheit eines Unternehmens, das Patientendaten verarbeitet, Kassensysteme betreibt oder Personalakten führt.
Hinzu kommt: Das Sicherheitsmodell von UniFi legt die Patch-Verantwortung vollständig beim Betreiber. Jede kritische Schwachstelle erfordert, dass wir als externer Dienstleister innerhalb weniger Stunden oder Tage reagieren, die richtigen Update-Pakete für jede betroffene Komponente identifizieren und in Produktivumgebungen einspielen – ohne herstellerseitigen SLA, ohne automatisierten zentralen Rollout. Das ist leistbar, aber es ist ein kontinuierlich hohes Aufwands- und Fehlerpotenzial, das wir unseren Kunden nicht aufbürden möchten.
Wir bevorzugen eine Plattform, bei der das Sicherheitsmodell selbst auf das Problem ausgelegt ist – nicht nur unsere Konfiguration darüber.
Was wir stattdessen einsetzen: Sophos
CSLonz setzt auf die Sophos-Plattform – für Firewalls, Switches, Access Points und Endpoint-Schutz gleichermaßen. Das ist keine Werbeaussage, sondern eine bewusste Entscheidung, die wir begründen:
Firewall: Sophos XGS-Serie mit Xstream-Architektur
Die Sophos XGS-Firewalls laufen mit einer Dual-Prozessor-Architektur: ein leistungsstarker x86-CPU und ein dedizierter Xstream Flow Processor, der TLS-Inspektion, IPS und Application-Traffic hardwareseitig beschleunigt. TLS-Inspektion ist entscheidend, weil heute rund 90 Prozent des Netzwerkverkehrs verschlüsselt sind – und fast die Hälfte aller Malware genau diese Verschlüsselung nutzt, um klassische Sicherheitsmaßnahmen zu umgehen. Die XGS-Linie ist explizit für lärmsensible Umgebungen wie Arztpraxen und Einzelhandel ausgelegt: mehrere Modelle sind fanless und damit geräuschlos.
Ab Sophos Firewall OS v21 ist erstmals Network Detection and Response direkt in die Firewall integriert – also die Erkennung von verdächtigem Verhalten auf Netzwerkebene, ohne dass ein separates System erforderlich wäre. Das war bisher Konzernlösungen vorbehalten.
Switches: Sophos Switch
Sophos Switches sind direkt in Sophos Central eingebunden und werden über dieselbe Plattform verwaltet wie Firewall, Access Points und Endpoint-Schutz. Das bedeutet unter anderem: Wenn ein Endpunkt als kompromittiert erkannt wird, kann die Firewall automatisch den entsprechenden Switch-Port isolieren – ohne manuelles Eingreifen, ohne Zeitverzug. Dieses Konzept nennt sich Synchronized Security und ist eine der wesentlichen architektonischen Unterschiede zu UniFi, bei dem Firewall, Switch und Endpoint ohne gegenseitige Kommunikation arbeiten.
Access Points: Sophos AP6-Serie
Die Sophos AP6-Serie unterstützt Wi-Fi 6 und Wi-Fi 6E, wird vollständig über Sophos Central verwaltet und ist nahtlos in die Firewall-Segmentierungslogik eingebunden. WLAN-Sicherheitsrichtlinien greifen auf dieselbe Regelstruktur zurück wie die Firewall – kein separates Konfigurationsmodell, kein Medienbruch.
Zentrales Management: Sophos Central
Sophos Central ist die cloudbasierte Managementplattform, über die sämtliche Sophos-Komponenten gesteuert werden – Firewalls, Switches, Access Points, Endpoints, E-Mail-Security. Für CSLonz als Managed Service Provider bedeutet das: ein einziger Mandant, vollständig mandantenfähig, mit zentralem Alert-Management, Reporting und Patch-Steuerung. Sicherheitsupdates werden von Sophos zentral bereitgestellt und können mit wenigen Klicks organisationsweit ausgerollt werden – kein manuelles Recherchieren betroffener Firmware-Versionen pro Gerätetyp.
MDR: 24/7-Überwachung durch Sophos-eigene Analysten
Sophos bietet Managed Detection and Response als Service an – also die kontinuierliche Überwachung aller Systeme durch menschliche Sicherheitsanalysten, rund um die Uhr, 365 Tage im Jahr. Frost & Sullivan zeichnete Sophos 2025 als Leader im MDR-Bereich aus. Das ist das Sicherheitsniveau, das Konzerne intern aufbauen – und das KMU über diesen Managed Service in Anspruch nehmen können, ohne eigene SOC-Infrastruktur aufzubauen.
Synchronized Security: Wenn alle Komponenten miteinander sprechen
Das technisch differenzierende Merkmal der Sophos-Plattform ist die sogenannte Synchronized Security. Firewall, Switch, Access Point und Endpoint-Schutz sind nicht nur über eine gemeinsame Managementkonsole verbunden – sie kommunizieren aktiv miteinander. Erkennt Sophos Intercept X auf einem Endpunkt eine Bedrohung, sendet es diesen Status an die Firewall, die den betroffenen Netzwerkverkehr sofort isoliert, bevor ein Angreifer lateral im Netzwerk navigieren kann. Dieses Prinzip ist in UniFi strukturell nicht abbildbar, weil die Komponenten architektonisch keine gemeinsame Sicherheitssprache sprechen.
Was das für bestehende UniFi-Installationen bedeutet
Wo UniFi bei Bestandskunden installiert ist, führen wir im Rahmen regulärer Wartungsfenster eine Bewertung durch. Kriterien sind: Ist das Management-Interface vom Internet isoliert? Ist eine saubere VLAN-Struktur vorhanden? Ist der aktuelle Patch-Stand vollständig und zeitnah? Gibt es eine dokumentierte Verantwortlichkeit für zukünftige Updates?
Sind diese Voraussetzungen nicht erfüllt – was bei der überwiegenden Mehrheit der bisher gesehenen KMU-UniFi-Installationen der Fall ist – empfehlen wir den Abbau und Ersatz durch die Sophos-Plattform. Das ist keine Entscheidung gegen Ubiquiti als Unternehmen. Es ist eine Entscheidung für die Sicherheit unserer Kunden und für die Qualität unserer eigenen Arbeit.
Wer Fragen zur eigenen Netzwerkinfrastruktur hat oder eine kostenlose Erstbewertung wünscht, kann sich jederzeit direkt an uns wenden.
Quellen (Auswahl): BleepingComputer, SecurityWeek, Bishop Fox Research Blog, CISA Known Exploited Vulnerabilities Catalog, Ubiquiti Security Advisory Bulletins SAB-043/056/062/064/065, Catchify Security, Trend Micro „Router Roulette" (April 2024), FBI/NSA/CISA Joint Advisory (Februar 2024), Censys Internet Exposure Data (März/Mai 2026), Sophos Produktdokumentation und Partner News (2024/2025/2026), Frost & Sullivan Frost Radar MDR 2025.