Kritische Sicherheitslücken in FatFs: Millionen Embedded-Geräte betroffen – Was IT-Verantwortliche jetzt tun müssen

Einleitung: Eine Bibliothek, ein Problem – Millionen betroffene Geräte

Sieben ungepatchte Schwachstellen in einer winzigen, aber allgegenwärtigen Softwarekomponente – das klingt zunächst nach einem technischen Randproblem. Doch wer einen näheren Blick auf die betroffene Software wirft, versteht schnell, warum dieser Fund die gesamte Branche aufhorchen lässt: Die Sicherheitsfirma runZero hat am 4. Juli 2026 sieben Sicherheitslücken in FatFs offengelegt, einer schlanken Dateisystembibliothek, die in der Firmware unzähliger eingebetteter Systeme steckt – von Industriesteuerungen über Drohnen bis hin zu Hardware-Krypto-Wallets und Sicherheitskameras.

Für IT-Verantwortliche und Geschäftsführer in Deutschland ist das aus mehreren Gründen alarmierend: FatFs ist keine obskure Nischenkomponente, sondern de facto ein Standard in der Embedded-Welt. Die Bibliothek ermöglicht es Geräten, FAT- und exFAT-Dateisysteme zu lesen und zu schreiben – also genau das Format, das auf USB-Sticks und SD-Karten eingesetzt wird. Und genau hier beginnt die Gefahr: Wer einen manipulierten USB-Stick oder eine präparierte SD-Karte an ein betroffenes Gerät anschließt, könnte die Kontrolle über dieses Gerät übernehmen.


Technischer Hintergrund: Was ist FatFs – und warum ist die Bibliothek so verbreitet?

FatFs in aller Kürze

FatFs ist eine quelloffene, ressourcenschonende Dateisystembibliothek, die ursprünglich für Mikrocontroller entwickelt wurde. Sie benötigt kaum Arbeitsspeicher, ist leicht portierbar und unterstützt FAT12, FAT16, FAT32 sowie exFAT – die Dateisystemformate, die auf nahezu jedem USB-Stick und jeder SD-Karte weltweit genutzt werden. Genau diese Eigenschaften machen FatFs so attraktiv für Hersteller eingebetteter Systeme.

Die Bibliothek findet sich in der Firmware von:

  • Industriellen Steuerungssystemen (ICS/SCADA)
  • Sicherheitskameras und NVR-Systemen
  • Drohnen und unbemannten Luftfahrzeugen
  • Hardware-Krypto-Wallets
  • Medizinischen Geräten
  • Netzwerkausrüstung und Routern

Die sieben Schwachstellen im Überblick

Laut runZero handelt es sich bei den gefundenen Lücken um verschiedene Klassen von Speicherverwaltungsfehlern, darunter Heap-Buffer-Overflows, Out-of-Bounds-Reads sowie Integer-Overflow-Schwachstellen. Diese können ausgelöst werden, wenn ein Gerät ein manipuliertes FAT- oder exFAT-Dateisystem einliest – zum Beispiel beim Einstecken eines präparierten USB-Sticks oder einer manipulierten SD-Karte.

Das Besonders Gefährliche: Ein Angreifer muss in vielen Szenarien keine Netzwerkverbindung zu dem Zielgerät haben. Physischer Zugang – oder in manchen Industrieumgebungen sogar der Austausch von Speichermedien zwischen Maschinen – reicht potenziell aus, um Schadcode einzuschleusen oder ein System vollständig zu kompromittieren.

Ein weiteres Problem ist die sogenannte Supply-Chain-Problematik: Da FatFs tief in der Firmware verankert ist, müssen nicht nur die Geräte selbst, sondern auch die Firmware-Updates der jeweiligen Hersteller abgewartet werden. Der Endanwender hat hier wenig direkten Einfluss.


NIS2-Relevanz: Was bedeutet das für deutsche Unternehmen?

NIS2 und die Pflicht zur Risikobetrachtung

Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) sind Unternehmen in kritischen und wichtigen Sektoren verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz ihrer Netz- und Informationssysteme zu ergreifen. Dazu zählt ausdrücklich auch das Management von Lieferkettensicherheit (Art. 21 NIS2-Richtlinie).

Die FatFs-Schwachstellen sind ein Paradebeispiel für genau das Problem, das der europäische Gesetzgeber im Blick hatte: Softwarekomponenten aus der Lieferkette, die tief in kritische Infrastrukturen eingebettet sind, ohne dass Betreiber einen direkten Überblick darüber haben.

Betroffene Sektoren in Deutschland

Besonders im Fokus stehen:

Sektor Typische betroffene Geräte
Energie & Versorgung Industriecontroller mit SD-Karten-Interface
Gesundheitswesen Medizinische Geräte mit USB-Schnittstelle
Verkehr & Logistik Drohnen, Tracking-Systeme
Fertigung CNC-Maschinen, SCADA-Terminals
Finanzwesen Hardware-Security-Module, Krypto-Wallets

Meldepflichten beachten

Sollte es in Ihrem Unternehmen zu einem Sicherheitsvorfall kommen, der auf diese Schwachstellen zurückzuführen ist, greifen die Meldepflichten nach § 30 BSIG (neu): Erhebliche Sicherheitsvorfälle müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Folgemeldung) gemeldet werden. Eine Abschlussmeldung ist innerhalb eines Monats einzureichen.

Das BSI empfiehlt zudem, die eigene Software-Stückliste (SBOM – Software Bill of Materials) aktuell zu halten, um schnell feststellen zu können, ob und wo FatFs im eigenen Gerätebestand eingesetzt wird.


Praktische Schutzmaßnahmen: Was Sie jetzt konkret tun können

1. Bestandsaufnahme: Welche Geräte nutzen FatFs?

Der erste Schritt ist eine vollständige Inventarisierung aller Embedded-Geräte in Ihrer Organisation. Fragen Sie bei Geräteherstellern aktiv nach, ob FatFs in der Firmware enthalten ist. Nutzen Sie vorhandene SBOM-Daten (Software Bill of Materials) oder fordern Sie diese beim Hersteller an – dies ist im Rahmen von NIS2 ohnehin empfehlenswert.

2. Herstellerupdates aktiv verfolgen

Eingebettete Systeme erhalten Sicherheitsupdates oft spät oder gar nicht. Richten Sie dennoch aktive Monitoring-Prozesse für Firmware-Updates ein. Abonnieren Sie die Security Advisories der jeweiligen Gerätehersteller sowie die Warnmeldungen des BSI (CERT-Bund / BSI-Warn- und Informationsdienst). Sobald ein Hersteller ein Patch veröffentlicht, sollte dieser zeitnah und strukturiert eingespielt werden.

3. Physischen Zugang zu Geräten einschränken

Da viele dieser Schwachstellen über physische Schnittstellen (USB, SD-Karte) ausgenutzt werden können, ist die physische Zutrittskontrolle ein wirksames Mittel:

  • USB-Ports an kritischen Geräten deaktivieren oder versiegeln
  • Zugang zu Serverräumen und Maschinenhallen auf autorisiertes Personal beschränken
  • Einsatz von USB-Port-Blockern oder Port-Managementsoftware

4. Netzwerksegmentierung und Anomalieerkennung

Auch wenn der Angriffsvektor oft physisch ist, sollten betroffene Geräte in isolierten Netzwerksegmenten betrieben werden. So lässt sich im Kompromittierungsfall eine Ausbreitung im Netzwerk verhindern. Ergänzen Sie dies durch Intrusion-Detection-Systeme (IDS), die ungewöhnliches Verhalten eingebetteter Systeme erkennen.

5. Lieferkettensicherheit strukturell verankern

Die FatFs-Schwachstellen zeigen einmal mehr, dass Third-Party-Komponenten ein erhebliches Risiko darstellen. Etablieren Sie einen strukturierten Vendor-Risk-Management-Prozess: Fordern Sie von Lieferanten regelmäßig Sicherheitsnachweise, SBOMs und Informationen zu eingesetzten Open-Source-Komponenten. Verankern Sie entsprechende Klauseln in Einkaufsverträgen.

6. Incident-Response-Pläne aktualisieren

Überprüfen und aktualisieren Sie Ihren Notfallplan für Sicherheitsvorfälle mit Blick auf Embedded-Geräte. Definieren Sie klare Verantwortlichkeiten für den Fall, dass ein betroffenes Gerät kompromittiert wird, und stellen Sie sicher, dass Ihre Teams mit den BSI-Meldeprozessen vertraut sind.

7. Mitarbeiterschulung: Bewusstsein für physische Angriffsvektoren

Technische Maßnahmen allein reichen nicht aus. Schulen Sie Ihre Mitarbeitenden darin, unbekannte USB-Sticks und SD-Karten niemals an betriebliche Geräte anzuschließen. Social-Engineering-Angriffe, bei denen präparierte Speichermedien absichtlich "verloren" werden, sind in der Praxis erprobt und gefährlich.


Fazit: Supply-Chain-Sicherheit ist keine Option mehr

Die FatFs-Schwachstellen machen deutlich, dass Cybersicherheit bei Embedded-Geräten kein Randthema mehr ist. Unternehmen, die industrielle Steuerungen, Sicherheitskameras oder andere eingebettete Systeme betreiben, müssen dieselbe Sorgfalt walten lassen wie bei klassischer IT-Infrastruktur – und im Rahmen von NIS2 sind sie dazu auch rechtlich verpflichtet.

Die gute Nachricht: Wer jetzt handelt, verbessert nicht nur seine Sicherheitslage, sondern erfüllt gleichzeitig regulatorische Anforderungen und schützt sein Unternehmen vor haftungsrechtlichen Konsequenzen.


Call-to-Action: NIS2-Compliance strukturiert angehen

Vorfälle wie die FatFs-Schwachstellen zeigen, wie komplex das Management von Cybersicherheitsanforderungen in der Praxis ist – besonders wenn Lieferketten und Embedded-Systeme ins Spiel kommen. Spezialisierte NIS2-Compliance-Software kann dabei helfen, den Überblick zu behalten: Sie unterstützt bei der Inventarisierung von Assets, dem Tracking von Schwachstellen, der Dokumentation von Maßnahmen und der fristgerechten Erstellung von BSI-Meldungen. Informieren Sie sich über entsprechende Lösungen, die Ihren spezifischen Sektoranforderungen gerecht werden – und machen Sie NIS2-Compliance zu einem strukturierten, nachvollziehbaren Prozess statt zu einer Ad-hoc-Reaktion auf den nächsten Vorfall.