Zwei kritische Zero-Day-Lücken in Ivantis Mobile-Device-Management-Plattform haben im Januar und Februar 2026 eine globale Angriffswelle ausgelöst, die EU-Institutionen, Behörden in den Niederlanden und Finnland sowie Unternehmen in den USA, Deutschland, Australien und Kanada traf. Die Shadowserver Foundation identifizierte 92 kompromittierte Systeme. Censys zählte über 3.700 öffentlich exponierte Login-Oberflächen. Der Angriff auf die Europäische Kommission dauerte genau neun Stunden.
Die zwei Zero-Days: CVE-2026-1281 und CVE-2026-1340 im Detail
Am 29. Januar 2026 veröffentlichte Ivanti zwei Sicherheitshinweise zu kritischen Code-Injection-Schwachstellen in seiner Endpoint Manager Mobile (EPMM) Plattform. Beide Lücken tragen einen CVSS-Score von 9,8, den höchstmöglichen Wert für kritische Schwachstellen. Sie ermöglichen unauthentifizierten Angreifern, aus der Ferne beliebigen Code auf verwundbaren Servern auszuführen, ohne Benutzerinteraktion oder Zugangsdaten zu benötigen.
CVE-2026-1281 betrifft den In-House Application Distribution Mechanismus von EPMM. Technisch steckt der Fehler in veralteten Bash-Skripten, die der Apache-Webserver zur URL-Umschreibung nutzt. Angreifer können durch speziell gestaltete HTTP-Anfragen Bash-Arithmetik-Expansion missbrauchen und damit beliebige Systembefehle ausführen. CISA nahm diese Schwachstelle noch am selben Tag in seinen Known Exploited Vulnerabilities (KEV) Katalog auf und setzte US-Bundesbehörden eine Frist bis zum 1. Februar 2026, um Patches einzuspielen, also gerade einmal drei Tage.
CVE-2026-1340 betrifft den Android File Transfer Konfigurationsmechanismus. Das Angriffsmuster ist technisch verwandt mit CVE-2026-1281, zielt jedoch auf ein anderes Skript: map-aft-store-url statt map-appstore-url. Angreifer triggern die Schwachstelle über HTTP GET-Anfragen an Endpunkte, die mit /mifs/c/aftstore/fob/ beginnen. Unit 42 von Palo Alto Networks beobachtete, dass die Ausnutzung beider Lücken weitgehend automatisiert ablief, was auf organisierte Angreifergruppen mit vorbereiteten Tools hindeutet.
| Merkmal | CVE-2026-1281 | CVE-2026-1340 |
|---|---|---|
| CVSS-Score | 9,8 (Kritisch) | 9,8 (Kritisch) |
| Angriffsvektor | Netzwerk, kein Zugang nötig | Netzwerk, kein Zugang nötig |
| Schwachstellentyp | Code-Injection via Bash-Arithmetik | Code-Injection via Bash-Arithmetik |
| Betroffene Komponente | In-House App-Distribution | Android File Transfer Config |
| Angriffs-Endpunkt | /mifs/c/appstore/ | /mifs/c/aftstore/fob/ |
| Authentifizierung erforderlich | Nein | Nein |
| CISA KEV-Aufnahme | 29. Januar 2026 | Nicht separat in KEV gelistet |
| CISA-Frist (Bundesbehörden) | 1. Februar 2026 | Kein separates Datum |
| Max. betroffene Version | 12.5.0.0 und früher | 12.5.0.0 und früher |
| Permanent-Fix | Version 12.8.0.0 (Q1 2026) | Version 12.8.0.0 (Q1 2026) |
Beide Schwachstellen betrafen ausschließlich On-Premises-Installationen von EPMM. Cloud-basierte EPMM-Instanzen waren von diesen Angriffsvektoren nicht direkt betroffen. Ivanti bestätigte jedoch, dass aktive Ausnutzung bereits vor der öffentlichen Bekanntgabe stattfand, was diese Fälle als echte Zero-Days klassifiziert.
Zeitlinie: Von der stillen Ausnutzung bis zum globalen Alarm
Angreifer exploiteten beide Lücken bereits vor dem 29. Januar 2026 im Verborgenen. Ivanti räumte ein, dass eine “sehr begrenzte Anzahl von Kunden” zum Zeitpunkt der Bekanntgabe bereits kompromittiert worden war. Der genaue Zeitraum der Zero-Day-Ausnutzung vor der Offenlegung blieb unklar, was für betroffene Organisationen bedeutete: Sie standen ohne Wissen um die Gefahr da.
Nach der öffentlichen Offenlegung der Patches beschleunigte sich die Ausnutzung massiv. Forscher von Rapid7 dokumentierten einen klaren Anstieg der Angriffe in den Tagen nach der Bekanntgabe. Den Höhepunkt erreichte die Angriffswelle am 5. Februar 2026 mit 525 registrierten Ausnutzungsversuchen innerhalb von 24 Stunden. Danach sank die Intensität langsam ab, auf rund 200 Versuche pro Tag in der Folgewoche. Das Muster ist typisch für opportunistische Massenscanning-Kampagnen nach Zero-Day-Offenlegungen.
watchTowr beschrieb die Schwachstellen in einer technischen Analyse als “unauthentifizierte Code-Injection-Lücken”, die jedem mit Internetzugang und grundlegenden technischen Kenntnissen vollständige Systemkontrolle ermöglichen. Ein öffentlicher Proof-of-Concept war innerhalb von 24 Stunden nach der Offenlegung verfügbar, was die rasche Eskalation der Angriffe erklärte.
Europäische Kommission: Angriff in neun Stunden eingedämmt
Am 30. Januar 2026, einen Tag nach der öffentlichen Bekanntgabe der Schwachstellen, traf der erste bestätigte Angriff auf eine EU-Institution die zentrale Mobile-Device-Management-Infrastruktur der Europäischen Kommission. Der Angreifer verschaffte sich Zugang zur EPMM-Plattform und erreichte damit potenziell die Verwaltungsoberfläche für tausende Dienstsmartphones von Kommissionsbeamten.
Die Europäische Kommission bestätigte den Vorfall am 8. Februar 2026, also neun Tage nach der Erstbekanntgabe der Schwachstellen. Laut offizieller Erklärung wurde der Einbruch innerhalb von neun Stunden nach Entdeckung vollständig eingedämmt. Folgende Daten wurden möglicherweise eingesehen: Mitarbeiter-Namen, Mobiltelefonnummern und geschäftliche E-Mail-Adressen einiger Angestellter. Mobile Endgeräte von Kommissionsmitarbeitern wurden nach Angaben des Hauses nicht kompromittiert.
Lars Hilse, Cybersicherheitsexperte und Analyst, kommentierte den Vorfall scharf: “Die Europäische Kommission ist dieselbe Institution, die Unternehmen mit massiven DSGVO-Bußgeldern für Datensicherheitsversäumnisse belegt. Dass die eigene MDM-Infrastruktur durch eine bekannte Zero-Day-Lücke kompromittiert werden konnte, wirft ernsthafte Fragen über die interne Patch-Disziplin und die Sicherheitsarchitektur europäischer Institutionen auf.”
Der Fall verdeutlicht ein strukturelles Problem: Zwischen der Zero-Day-Ausnutzung am 30. Januar und der öffentlichen Kommunikation durch die Kommission am 8. Februar lagen acht Tage. Für andere Organisationen, die möglicherweise Angreifer im System hatten, bedeutete dieser Zeitraum fehlende Warnzeichen und verpasste Reaktionsmöglichkeiten.
Niederlande und Finnland: Weitere EU-Behörden bestätigen Einbrüche
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) und der Rat der Justiz (Raad voor de rechtspraak) bestätigten gegenüber dem niederländischen Parlament, ebenfalls Opfer der Ivanti-EPMM-Angriffswelle geworden zu sein. Beide Institutionen kommunizierten den Vorfall über einen Parlamentsbrief, ohne Details zu kompromittierten Daten zu nennen. Ivanti arbeitete nach dem Vorfall eng mit dem niederländischen NCSC zusammen und veröffentlichte gemeinsam Indicators of Compromise sowie ein RPM-Erkennungsskript.
In Finnland meldete Valtori, der staatliche IT-Dienstleister der finnischen Regierung, ähnliche Einbrüche durch die Ivanti-Schwachstellen. Valtori versorgt zentrale IT-Infrastruktur für mehrere finnische Ministerien und Behörden, was die potenzielle Reichweite des Schadens erheblich vergrößert. Konkrete Details zu kompromittierten Daten wurden nicht öffentlich gemacht.
Die Häufung europäischer Regierungsbehörden unter den Opfern ist kein Zufall: Ivanti EPMM ist besonders stark in öffentlichen Institutionen verbreitet, die On-Premises-MDM-Lösungen aus Datenschutz- oder Datensouveränitätsgründen bevorzugen. Genau dieser Ansatz wurde zur Schwachstelle, da Cloud-Instanzen von den spezifischen Angriffsvektoren verschont blieben.
Globale Ausbreitung: USA, Deutschland, Australien, Kanada
Unit 42, die Bedrohungsforschungsabteilung von Palo Alto Networks, dokumentierte eine weltweite Angriffswelle, die mehrere Sektoren und Länder betraf. Besonders stark betroffen waren staatliche und lokale Regierungsbehörden, das Gesundheitswesen, die Fertigung, Rechts- und Beratungsdienstleistungen sowie High-Tech-Unternehmen. Unit 42 stoppte die aktive Überwachung der Kampagne am 24. März 2026, nachdem die unmittelbare Exploitationsaktivität deutlich zurückgegangen war.
Geografisch konzentrierten sich die Angriffe auf Organisationen in den USA, Deutschland, Australien und Kanada. Censys-Daten zum Zeitpunkt des Angriffs zeigten über 3.700 öffentlich zugängliche EPMM-Login-Interfaces, wobei die Mehrheit in Deutschland und den USA lokalisiert war. Nicht alle dieser Systeme galten als verwundbar, jedoch repräsentierten sie die Gesamtheit der potenziellen Angriffsfläche.
Piotr Kijewski, CEO der Shadowserver Foundation, erklärte gegenüber Cybersecurity Dive: “Wir haben 92 kompromittierte Instanzen identifiziert und erwarten, dass diese Zahl steigen wird, da wir es mit einer massiven Kampagne gegen CVE-2026-1281 zu tun haben.” Die Foundation betonte, dass öffentlich sichtbare Kompromittierungen nur einen Bruchteil der tatsächlichen Opferzahl darstellen, da viele Angriffe keine extern erkennbaren Spuren hinterlassen.
Technische Analyse: Bash-Arithmetik-Expansion als kritischer Angriffspunkt
Die technische Ursache beider Schwachstellen liegt im unsicheren Umgang mit Bash-Skripting innerhalb des Apache-Webservers, der in EPMM On-Premises-Installationen eingesetzt wird. Bash ermöglicht durch die sogenannte Arithmetik-Expansion die Auswertung von Ausdrücken in Doppelklammern, zum Beispiel $((ausdruck)). Wenn benutzerkontrollierte Eingaben ungefiltert in solche Ausdrücke einfließen, können Angreifer beliebige Systembefehle einschleusen.
Konkret konnten Angreifer speziell präparierte HTTP GET-Anfragen an zwei Endpunkte senden, ohne sich vorher zu authentifizieren. Das System übergab Anfrageparameter direkt an Bash-Skripte, die für URL-Umschreibung und Feature-Verwaltung zuständig sind. Das Ergebnis: vollständige Remote Code Execution mit den Rechten des Webserver-Prozesses. Angreifer erhielten damit Zugriff auf alle vom EPMM-System verwalteten Geräte, Administratoren-Zugangsdaten, Benutzerdaten, Gerätekennungen und GPS-Standortdaten, sofern aktiviert.
Nach erfolgreicher Ausnutzung installierten Angreifer Web-Shells auf den kompromittierten Servern, was persistenten Zugang auch nach eingespielten Patches ermöglicht. NVISO Labs dokumentierte im März 2026 sogenannte “Sleeper Shells”: Web-Shells, die absichtlich inaktiv blieben, um Erkennung zu vermeiden und für spätere Aktivierung bereit zu stehen. Dieser Befund ist besonders beunruhigend, da Organisationen, die nur gepatcht haben, ohne forensische Prüfung durchzuführen, weiterhin kompromittiert sein könnten.
92 Kompromittierungen, 3.700 exponierte Server: Die Kennzahlen im Überblick
Die statistischen Ausmaße der Angriffswelle übersteigen frühere Ivanti-Vorfälle deutlich. Alle wesentlichen Metriken zusammengefasst:
| Metrik | Wert | Quelle |
|---|---|---|
| Bestätigte kompromittierte Instanzen | 92 (steigend) | Shadowserver Foundation |
| Öffentlich exponierte EPMM-Login-Interfaces | über 3.700 | Censys |
| Peak-Angriffe in 24 Stunden | 525 (5. Februar 2026) | Rapid7 |
| Tägliche Angriffsversuche nach Peak | ca. 200 | Rapid7 |
| CISA-Frist für US-Bundesbehörden | 1. Februar 2026 (3 Tage) | CISA KEV |
| EC-Einbruch eingedämmt nach | 9 Stunden | Europäische Kommission |
| Ivanti-Einträge in CISA KEV gesamt | über 30 | CISA KEV-Katalog |
| Bestätigte EU-Institutionen (Opfer) | mindestens 4 | Cybersecurity Dive, The Record |
| Betroffene Sektoren | 5 (Behörden, Gesundheit, Fertigung, Recht, Tech) | Unit 42 |
| Betroffene Länder (bestätigt) | USA, Deutschland, Australien, Kanada, NL, FI | Unit 42, The Record |
Ein kritischer Aspekt bleibt der Zeitraum zwischen der ersten stillen Ausnutzung und der öffentlichen Bekanntgabe. Da Ivanti bestätigte, dass Angriffe bereits vor dem 29. Januar 2026 stattfanden, der genaue Startzeitpunkt aber unbekannt ist, könnten betroffene Organisationen wochenlang ohne jedes Wissen um ihre Kompromittierung agiert haben.
CISA und der KEV-Katalog: Ivanti als Dauerkandidat
Die US-amerikanische Cybersecurity and Infrastructure Security Agency reagierte auf die Ivanti-Krise ungewöhnlich schnell. Noch am 29. Januar 2026, dem Tag der Ivanti-Offenlegung, wurde CVE-2026-1281 in den Known Exploited Vulnerabilities (KEV) Katalog aufgenommen, mit einer Frist von nur drei Tagen für US-Bundesbehörden. Die Schnelligkeit dieser Reaktion spiegelt die Schwere der Bedrohung wider, aber auch CISAs wachsendes Bewusstsein für Ivantis Sicherheitsprobleme.
Der CISA KEV-Katalog führt bereits über 30 Ivanti-Schwachstellen, die aktiv in der freien Wildbahn ausgenutzt wurden. Ivanti, früher bekannt als MobileIron und LANDesk, hat sich damit als einer der häufigsten Kandidaten im KEV-Katalog etabliert. Zum Vergleich: Die meisten großen Softwareanbieter haben deutlich weniger als zehn Einträge je Produktlinie. Die Konzentration von mehr als 30 aktiv ausgenutzten Schwachstellen auf eine einzelne Produktfamilie spricht für strukturelle Sicherheitsprobleme.
Forscher von Rapid7 bestätigten gegenüber Medien eine “Beschleunigung der Bedrohungsaktivität” nach der Offenlegung und beschrieben einen Rückgang von einem Peak von 525 Exploitationsversuchen am 5. Februar auf rund 200 tägliche Versuche in der Folgewoche. Diese Kurve zeigt, dass der organisierte Erstzugriff relativ schnell abflachte, während opportunistische Akteure noch wochenlang aktiv blieben.
Ivantis Sicherheits-Track-Record: Ein Muster wiederkehrender Krisen
Die Ivanti-EPMM-Krise von 2026 ist kein Einzelfall, sondern Teil eines wiederkehrenden Musters. Bereits 2023 und 2024 erschütterten kritische Schwachstellen in Ivanti Connect Secure und Ivanti Policy Secure das Vertrauen in den Anbieter. Staatlich geförderte Hackergruppen nutzten damals Ivanti-Lücken für Spionageangriffe auf US-Regierungsbehörden und internationale Organisationen. CISA musste bereits 2024 eine dringende Warnung herausgeben, in der US-Bundesbehörden aufgefordert wurden, alle Ivanti Connect Secure und Policy Secure Produkte vom Netz zu nehmen.
Das sich wiederholende Muster zeigt, dass Ivanti trotz massiver Kritik und wiederholter CISA-Warnungen keine ausreichenden strukturellen Verbesserungen in der Sicherheitsarchitektur seiner Produkte vorgenommen hat. Der Grundfehler bei CVE-2026-1281 und CVE-2026-1340, die unsichere Verwendung von Bash-Skripting in exponierter Webserver-Software, hätte durch grundlegende Secure-Coding-Praktiken und Code-Reviews vermieden werden können.
Ivanti veröffentlichte nach den Angriffen eine offizielle Stellungnahme: “Wir arbeiten eng mit unseren Kunden sowie vertrauenswürdigen Regierungs- und Sicherheitspartnern zusammen, um die Bedrohung zu bekämpfen. Wir verpflichten uns zu Transparenz und helfen unseren Kunden und dem breiteren Ökosystem.” Das Unternehmen kooperierte mit dem niederländischen NCSC und kündigte für die Version 12.8.0.0 in Q1 2026 einen vollständigen permanenten Fix an.
Sicherheitsrechtlich stellte der Übergangspatch eine zusätzliche Herausforderung dar: RPM 12.x.0.x oder 12.x.1.x musste nach bestimmten Systemänderungen erneut eingespielt werden, da er sonst automatisch zurückgerollt wurde. Diese Eigenschaft schuf Verwirrung und erhöhte das Risiko, dass Systeme nach initialen Patches erneut in einen verwundbaren Zustand zurückfielen, ohne dass Administratoren dies bemerkten.
Marktauswirkungen: MDM-Anbieter und der Vertrauensverlust
Die Angriffswelle hat die Frage nach der Sicherheit von Mobile Device Management Plattformen in den Mittelpunkt gerückt. MDM-Software verwaltet tausende Dienstgeräte in Unternehmens- und Behördenumgebungen, setzt Sicherheitsrichtlinien durch und schützt Unternehmensdaten. Genau diese zentrale Rolle macht MDM-Systeme zu hochattraktiven Zielen: Wer den MDM-Server kontrolliert, kontrolliert potenziell alle verwalteten Geräte.
Ivantis Hauptkonkurrenten in diesem Segment sind Microsoft Intune, VMware Workspace ONE und Jamf. Im Unterschied zu Ivanti EPMM werden Microsoft Intune und moderne Workspace-ONE-Konfigurationen als Cloud-Services betrieben, was die Angriffsfläche für On-Premises-Exploits eliminiert. Analysten erwarten, dass der Ivanti-Vorfall Migrationsprojekte hin zu Cloud-MDM beschleunigen wird, besonders bei Organisationen ohne dedizierte Security-Operations-Kapazität.
Für österreichische Unternehmen ist der Ivanti-Vorfall ein deutliches Warnsignal. Laut U.S. Commercial Service sind 14 Prozent der österreichischen Unternehmen täglich Cyberangriffen ausgesetzt. Der österreichische Cybersicherheitsmarkt wurde für 2025 auf 9,35 Milliarden US-Dollar geschätzt, mit einer prognostizierten Wachstumsrate von 5,1 Prozent jährlich bis 2029, was auf stark steigende Investitionen in Cybersicherheit hindeutet. Unternehmen, die Ivanti EPMM On-Premises betreiben, sollten umgehend prüfen, ob ihre Systeme vollständig auf Version 12.8.0.0 aktualisiert und forensisch auf Sleeper Shells geprüft wurden.
Was österreichische Unternehmen jetzt konkret tun müssen
Sofortmaßnahmen: Alle On-Premises-EPMM-Installationen auf Version 12.8.0.0 aktualisieren, die den permanenten Fix enthält. Falls ein Upgrade nicht sofort möglich ist, das System vom Internet isolieren und den Zugang auf VPN-gesicherte interne Verbindungen beschränken. Das von Ivanti bereitgestellte RPM-Erkennungsskript ausführen, um Kompromittierungen rückwirkend zu identifizieren.
Forensische Prüfung: Auch bereits gepatchte Systeme sollten auf Web-Shells und persistente Implantate untersucht werden. NVISO Labs dokumentierte Fälle, in denen Angreifer Sleeper Shells installierten: Web-Shells, die nach dem Patch inaktiv blieben und auf Reaktivierung warteten. Die von Ivanti in Kooperation mit dem niederländischen NCSC veröffentlichten Indicators of Compromise (IOCs) bieten Anhaltspunkte für die Erkennung.
Mittelfristige Strategie: Unternehmen ohne dediziertes Security Operations Center sollten eine Migration zu Cloud-basierten MDM-Lösungen evaluieren. Zusätzlich empfiehlt sich eine rückwirkende Prüfung der Zugriffsprotokolle für den Zeitraum vor dem 29. Januar 2026, um potenzielle Zero-Day-Ausnutzungen zu identifizieren, die vor der offiziellen Offenlegung stattgefunden haben könnten. Im Rahmen der NIS2-Umsetzung in Österreich sind solche Incident-Response-Dokumentationen ohnehin verpflichtend.
Fünf Prognosen zur weiteren Entwicklung
1. Weitere Sleeper-Shell-Aktivierungen in H2 2026. NVISO Labs’ Analyse zeigt, dass Angreifer kompromittierte Systeme für spätere Operationen bereithalten. Organisationen, die Patches eingespielt haben, ohne forensische Untersuchungen durchzuführen, dürften in der zweiten Jahreshälfte 2026 mit Folgeangriffen konfrontiert werden.
2. EU reguliert MDM-Software mit strengeren Patch-Fristen. Der Angriff auf EU-Kommission und niederländische Behörden wird in den NIS2-Umsetzungsdebatten als Musterbeispiel dienen. Erwartbar sind strengere Auflagen für On-Premises-MDM in staatlichen Institutionen, mit verpflichtenden Patch-Fristen unter 72 Stunden nach Veröffentlichung von CVSS-9-plus-Schwachstellen.
3. Ivantis Marktanteil im Behörden-Segment schrumpft bis Ende 2026 messbar. Zwei schwere Sicherheitszyklen in aufeinanderfolgenden Jahren, kombiniert mit dem öffentlichkeitswirksamen Breach der EU-Kommission, werden Ausschreibungen zugunsten cloud-nativer MDM-Alternativen verschieben. Besonders europäische Behörden, die von den Angriffen direkt betroffen waren, dürften bei nächsten Ausschreibungen explizit Cloud-MDM fordern.
4. Nation-State-Akteure haben persistenten Zugang in Regierungsnetzwerken hinterlassen. Die Kombination aus Zero-Day-Ausnutzung, Web-Shells, Sleeper Shells und der breiten Verteilung in Regierungsumgebungen passt zum Profil staatlich gesponserter Spionagekampagnen. Die vollständige Reichweite dürfte erst durch laufende Incident-Response-Untersuchungen in den kommenden Monaten sichtbar werden.
5. CISA verschärft Sicherheitsanforderungen für MDM-Produkte in kritischer Infrastruktur. Der Katalog mit über 30 Ivanti-Einträgen und der öffentliche Druck nach EU-Behörden-Breaches dürfte die CISA veranlassen, spezifische Mindeststandards für MDM-Software zu definieren, die in kritischen Infrastrukturen und Bundesbehörden eingesetzt wird. Ähnliche Schritte werden auf EU-Ebene im Rahmen des Cyber Resilience Act erwartet.
Verwandte Berichte
Weitere Analysen zu aktuellen Cybersicherheitsvorfällen:
- Fünfter Chrome Zero-Day 2026: CVE-2026-11645 mit CVSS 8.8 aktiv ausgenutzt
- DragonForce: Backdoor.Turn versteckt C2 in Microsoft Teams-Relays [2026]
- Oracle-Datenleck: Cl0p trifft über 100 Firmen [2026]
- Stryker-Hack: 200.000 Geräte gelöscht, 50 TB weg [2026]
- Cyber Resilience Act: 15 Mio. Euro Strafe ab 2026
- ClickFix-Kampagne: 250 WordPress-Sites gekapert, 12 Länder betroffen [2026]
Häufig gestellte Fragen
Was ist Ivanti EPMM und warum nutzen es Behörden?
Ivanti Endpoint Manager Mobile (EPMM), früher bekannt als MobileIron, ist Enterprise-Software zur Verwaltung mobiler Geräte (MDM). Behörden nutzen es, um Sicherheitsrichtlinien auf Dienstsmartphones und Tablets durchzusetzen, Unternehmensdaten zu schützen und Apps zentral zu verteilen. On-Premises-Installationen sind bei Regierungen beliebt, die Daten nicht in externe Cloud-Systeme auslagern wollen, was allerdings eigene Sicherheitsrisiken mit sich bringt.
Welche Daten wurden bei der Europäischen Kommission kompromittiert?
Die Europäische Kommission bestätigte, dass Mitarbeiter-Namen, Mobiltelefonnummern und geschäftliche E-Mail-Adressen einiger Angestellter möglicherweise eingesehen wurden. Klassifizierte Dokumente oder Inhalte von mobilen Geräten wurden laut Kommission nicht kompromittiert. Der Angriff vom 30. Januar 2026 wurde innerhalb von neun Stunden eingedämmt.
Bin ich von CVE-2026-1281 betroffen, wenn ich Ivanti EPMM in der Cloud nutze?
Nein. CVE-2026-1281 und CVE-2026-1340 betreffen ausschließlich On-Premises-Installationen von EPMM. Cloud-basierte EPMM-Instanzen, die von Ivanti selbst gehostet werden, waren von diesen spezifischen Angriffsvektoren nicht direkt betroffen. Dennoch empfiehlt Ivanti allen Kunden, die Systemkonfiguration zu prüfen.
Wie schnell muss ich den Patch einspielen?
CISA gab US-Bundesbehörden gerade einmal drei Tage Frist für CVE-2026-1281. Für österreichische Unternehmen gilt: EPMM sollte sofort auf Version 12.8.0.0 aktualisiert werden. Systeme, die noch nicht gepatcht wurden, sollten umgehend vom öffentlichen Internet getrennt werden. Der Übergangspatch (RPM 12.x.0.x oder 12.x.1.x) muss nach Systemänderungen möglicherweise erneut eingespielt werden.
Wie erkenne ich eine Kompromittierung meines Systems?
Ivanti hat in Zusammenarbeit mit dem niederländischen NCSC ein RPM-Erkennungsskript sowie Indicators of Compromise (IOCs) veröffentlicht. Verdächtige Aktivitäten umfassen unerklärliche neue Prozesse auf dem EPMM-Server, neue Dateien in Web-Verzeichnissen, anomale ausgehende Verbindungen und ungewöhnliche Anmeldemuster. NVISO Labs empfiehlt eine vollständige forensische Analyse auch auf bereits gepatchten Systemen, da Sleeper Shells nach Patches inaktiv bleiben.
Welche Alternativen zu Ivanti EPMM gibt es?
Etablierte Alternativen sind Microsoft Intune (integriert in Microsoft 365, cloud-nativ), VMware Workspace ONE (ebenfalls cloud-fähig) und Jamf (speziell für Apple-Geräte). Für Behörden mit Datensouveränitätsanforderungen bieten einige Anbieter EU-Datencenter-Optionen. Nach den Ivanti-Vorfällen 2024 und 2026 wird bei der nächsten MDM-Ausschreibung eine cloud-native Lösung mit Zero-Trust-Architektur empfohlen.
Was bedeutet NIS2 für österreichische Unternehmen bei solchen Vorfällen?
Unter der NIS2-Richtlinie, die in Österreich umgesetzt wurde, sind Betreiber kritischer Infrastrukturen und wichtige Einrichtungen verpflichtet, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden zu melden und innerhalb von 72 Stunden einen vollständigen Bericht einzureichen. Ein kompromittiertes MDM-System, das tausende Dienstgeräte verwaltet, fällt klar in diese Kategorie. Fehlende Meldungen können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes nach sich ziehen.
Quellen: Cybersecurity Dive, Palo Alto Networks Unit 42, The Record, Hadrian.io, watchTowr, NVISO Labs
