Fortinet streicht SSL-VPN-Tunnelmodus – ein Sicherheitsgewinn oder Rückzug vor der Komplexität?
Mit dem Update auf FortiOS 7.6.3 sorgt Fortinet für eine weitreichende Änderung: Der SSL-VPN-Tunnelmodus wird vollständig aus der Firmware entfernt – unabhängig vom Modell oder der Gerätegröße. Bereits in früheren Versionen wurde diese Funktion bei Geräten mit nur 2 GB RAM abgeschaltet, nun erfolgt die vollständige Abkehr vom SSL-VPN im Tunnelbetrieb. Die offizielle Begründung: Sicherheitsbedenken und die strategische Neuausrichtung auf IPsec- und ZTNA-basierte Zugangsmodelle.
Doch bei näherer Betrachtung stellt sich die Frage: Geht es hier wirklich um objektive Sicherheitsverbesserung – oder ist es auch ein Eingeständnis dafür, dass man die eigene Implementierung nicht mehr sicher und wartbar halten konnte?
Die offizielle Argumentation: Sicherheit durch Reduktion
In der Fortinet-Community und offiziellen Dokumentation wird betont, dass SSL-VPN ein nicht standardisiertes Protokoll sei – mit je nach Hersteller stark unterschiedlichen Implementierungen. Diese Vielfalt führe zu einer hohen Fehleranfälligkeit und regelmäßig zu sicherheitskritischen Schwachstellen. Zudem sei der Wartungsaufwand hoch, insbesondere in Kombination mit älteren Hardwareplattformen.
Statt in diese Problematik weiter zu investieren, geht Fortinet nun einen radikalen Schritt: Der SSL-VPN-Tunnelmodus wird nicht mehr unterstützt. Admins, die auf FortiOS 7.6.3 oder höher wechseln, müssen auf IPsec oder alternative Zugriffsmethoden umsteigen.
Der kritische Blick: Nicht das Protokoll ist unsicher – sondern die Implementierung
Tatsächlich steht nicht SSL-VPN als Konzept grundsätzlich infrage. Im Gegenteil: Der Tunnel über HTTPS ist ein bewährter Standard, der in vielen Unternehmen weltweit eingesetzt wird. Die Probleme liegen meist nicht in der Idee, sondern in der konkreten Umsetzung.
Auch Fortinet selbst war in den vergangenen Jahren mehrfach von teils schwerwiegenden Schwachstellen in seiner SSL-VPN-Implementierung betroffen – von Authentifizierungsumgehungen bis hin zu Remote Code Execution. Dass der Hersteller nun ausgerechnet diesen Teil seiner Appliance einstellt, wirkt auf manche Beobachter weniger wie eine Sicherheitsstrategie, sondern eher wie eine technologische Kapitulation: Statt durch Investitionen und saubere Architektur die Probleme zu lösen, wird das Feature gestrichen.
Open Source zeigt: Es geht auch anders
Ein Gegenbeispiel bietet die Open-Source-Welt – konkret das Projekt OPNsense in Kombination mit OpenVPN. Hier wird SSL-VPN über einen offenen, dokumentierten Standard umgesetzt, dessen Quellcode öffentlich einsehbar ist und weltweit von der Community geprüft wird. Sicherheitslücken werden transparent behandelt und in der Regel schnell geschlossen – ein Vorteil, den proprietäre Systeme oft nicht bieten können.
Im Gegensatz zur FortiGate-Entscheidung setzt OPNsense nicht auf eigene Protokollvarianten oder intransparente Anpassungen, sondern integriert OpenVPN weitgehend unverändert. Das bedeutet für Administratoren: Klare Standards, breite Dokumentation, Community-Support – und vor allem: keine überraschenden Funktionseinstellungen durch einen Herstellerwechsel.
Für Unternehmen bedeutet das: Planungsdruck – aber auch neue Chancen
Für alle, die bislang auf SSL-VPN-Tunnel über FortiGate gesetzt haben, ist klar: Ein einfaches Update auf FortiOS 7.6.3 ist ohne strukturelle Änderungen nicht mehr möglich. Die Migration auf IPsec oder Fortinets Zero-Trust-Angebote ist technisch machbar, erfordert aber oft neue Clients, zusätzliche Konfigurationsarbeit und in manchen Fällen auch Lizenzanpassungen.
Gerade jetzt lohnt es sich deshalb, über Alternativen nachzudenken. Projekte wie OPNsense zeigen, dass leistungsfähige VPN-Zugänge auch mit Open-Source-Software möglich sind – ohne funktionale Einbußen und mit einem Maß an Kontrolle, das bei proprietären Appliances oft fehlt. Unternehmen erhalten so nicht nur technische Flexibilität, sondern reduzieren auch Abhängigkeiten von einzelnen Herstellern.
Fazit
Die Abschaltung des SSL-VPN-Tunnelmodus bei FortiGate ist ein signifikanter Einschnitt. Sie mag aus Sicht des Herstellers nachvollziehbar sein – schließlich war die eigene Implementierung mehrfach Ziel kritischer Schwachstellen. Doch sie wirft auch Fragen auf: Warum wird das Feature gestrichen, statt verbessert? Und warum wird das Problem als generelles Protokollversagen dargestellt, obwohl alternative Implementierungen sehr wohl sicher und stabil betrieben werden?
Transparente, offene Software wie OPNsense bietet hier eine spannende Alternative – nicht als ideologischer Gegenentwurf, sondern als technisch nachvollziehbare und praxisbewährte Lösung. Wer heute VPN-Zugänge für Mitarbeitende oder Partner bereitstellt, sollte die Entscheidung nicht allein vom Hersteller treiben lassen – sondern prüfen, welche Architektur langfristig Vertrauen verdient.
Stehen Sie vor der Herausforderung eine Alternative zu FortiGates SSL-VPN zu implementieren?
Nutzen Sie unser Kontaktformular – wir freuen uns auf Ihre Nachricht!
Ihre m.a.x. it