{"id":162,"date":"2026-06-21T04:18:49","date_gmt":"2026-06-21T04:18:49","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/21\/ivanti-epmm-zero-day-eu-2026\/"},"modified":"2026-06-24T23:46:16","modified_gmt":"2026-06-24T23:46:16","slug":"ivanti-epmm-zero-day-eu-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/ivanti-epmm-zero-day-eu-2026\/","title":{"rendered":"Ivanti EPMM: CVSS 9.8, 92 Systeme kompromittiert [2026]"},"content":{"rendered":"\n

Zwei kritische Zero-Day-L\u00fccken in Ivantis Mobile-Device-Management-Plattform haben im Januar und Februar 2026 eine globale Angriffswelle ausgel\u00f6st, die EU-Institutionen, Beh\u00f6rden in den Niederlanden und Finnland sowie Unternehmen in den USA, Deutschland, Australien und Kanada traf. Die Shadowserver Foundation identifizierte 92 kompromittierte Systeme. Censys z\u00e4hlte \u00fcber 3.700 \u00f6ffentlich exponierte Login-Oberfl\u00e4chen. Der Angriff auf die Europ\u00e4ische Kommission dauerte genau neun Stunden.<\/p>\n\n\n\n

Die zwei Zero-Days: CVE-2026-1281 und CVE-2026-1340 im Detail<\/h2>\n\n\n\n

Am 29. Januar 2026 ver\u00f6ffentlichte Ivanti zwei Sicherheitshinweise zu kritischen Code-Injection-Schwachstellen in seiner Endpoint Manager Mobile (EPMM) Plattform. Beide L\u00fccken tragen einen CVSS-Score von 9,8, den h\u00f6chstm\u00f6glichen Wert f\u00fcr kritische Schwachstellen. Sie erm\u00f6glichen unauthentifizierten Angreifern, aus der Ferne beliebigen Code auf verwundbaren Servern auszuf\u00fchren, ohne Benutzerinteraktion oder Zugangsdaten zu ben\u00f6tigen.<\/p>\n\n\n\n

CVE-2026-1281<\/strong> betrifft den In-House Application Distribution Mechanismus von EPMM. Technisch steckt der Fehler in veralteten Bash-Skripten, die der Apache-Webserver zur URL-Umschreibung nutzt. Angreifer k\u00f6nnen durch speziell gestaltete HTTP-Anfragen Bash-Arithmetik-Expansion missbrauchen und damit beliebige Systembefehle ausf\u00fchren. CISA nahm diese Schwachstelle noch am selben Tag in seinen Known Exploited Vulnerabilities (KEV) Katalog auf und setzte US-Bundesbeh\u00f6rden eine Frist bis zum 1. Februar 2026, um Patches einzuspielen, also gerade einmal drei Tage.<\/p>\n\n\n\n

CVE-2026-1340<\/strong> betrifft den Android File Transfer Konfigurationsmechanismus. Das Angriffsmuster ist technisch verwandt mit CVE-2026-1281, zielt jedoch auf ein anderes Skript: map-aft-store-url statt map-appstore-url. Angreifer triggern die Schwachstelle \u00fcber HTTP GET-Anfragen an Endpunkte, die mit \/mifs\/c\/aftstore\/fob\/ beginnen. Unit 42 von Palo Alto Networks beobachtete, dass die Ausnutzung beider L\u00fccken weitgehend automatisiert ablief, was auf organisierte Angreifergruppen mit vorbereiteten Tools hindeutet.<\/p>\n\n\n\n

Merkmal<\/th>CVE-2026-1281<\/th>CVE-2026-1340<\/th><\/tr><\/thead>
CVSS-Score<\/td>9,8 (Kritisch)<\/td>9,8 (Kritisch)<\/td><\/tr>
Angriffsvektor<\/td>Netzwerk, kein Zugang n\u00f6tig<\/td>Netzwerk, kein Zugang n\u00f6tig<\/td><\/tr>
Schwachstellentyp<\/td>Code-Injection via Bash-Arithmetik<\/td>Code-Injection via Bash-Arithmetik<\/td><\/tr>
Betroffene Komponente<\/td>In-House App-Distribution<\/td>Android File Transfer Config<\/td><\/tr>
Angriffs-Endpunkt<\/td>\/mifs\/c\/appstore\/<\/td>\/mifs\/c\/aftstore\/fob\/<\/td><\/tr>
Authentifizierung erforderlich<\/td>Nein<\/td>Nein<\/td><\/tr>
CISA KEV-Aufnahme<\/td>29. Januar 2026<\/td>Nicht separat in KEV gelistet<\/td><\/tr>
CISA-Frist (Bundesbeh\u00f6rden)<\/td>1. Februar 2026<\/td>Kein separates Datum<\/td><\/tr>
Max. betroffene Version<\/td>12.5.0.0 und fr\u00fcher<\/td>12.5.0.0 und fr\u00fcher<\/td><\/tr>
Permanent-Fix<\/td>Version 12.8.0.0 (Q1 2026)<\/td>Version 12.8.0.0 (Q1 2026)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Beide Schwachstellen betrafen ausschlie\u00dflich On-Premises-Installationen von EPMM. Cloud-basierte EPMM-Instanzen waren von diesen Angriffsvektoren nicht direkt betroffen. Ivanti best\u00e4tigte jedoch, dass aktive Ausnutzung bereits vor<\/em> der \u00f6ffentlichen Bekanntgabe stattfand, was diese F\u00e4lle als echte Zero-Days klassifiziert.<\/p>\n\n\n\n

Zeitlinie: Von der stillen Ausnutzung bis zum globalen Alarm<\/h2>\n\n\n\n

Angreifer exploiteten beide L\u00fccken bereits vor dem 29. Januar 2026 im Verborgenen. Ivanti r\u00e4umte ein, dass eine “sehr begrenzte Anzahl von Kunden” zum Zeitpunkt der Bekanntgabe bereits kompromittiert worden war. Der genaue Zeitraum der Zero-Day-Ausnutzung vor der Offenlegung blieb unklar, was f\u00fcr betroffene Organisationen bedeutete: Sie standen ohne Wissen um die Gefahr da.<\/p>\n\n\n\n

Nach der \u00f6ffentlichen Offenlegung der Patches beschleunigte sich die Ausnutzung massiv. Forscher von Rapid7 dokumentierten einen klaren Anstieg der Angriffe in den Tagen nach der Bekanntgabe. Den H\u00f6hepunkt erreichte die Angriffswelle am 5. Februar 2026 mit 525 registrierten Ausnutzungsversuchen innerhalb von 24 Stunden. Danach sank die Intensit\u00e4t langsam ab, auf rund 200 Versuche pro Tag in der Folgewoche. Das Muster ist typisch f\u00fcr opportunistische Massenscanning-Kampagnen nach Zero-Day-Offenlegungen.<\/p>\n\n\n\n

watchTowr beschrieb die Schwachstellen in einer technischen Analyse als “unauthentifizierte Code-Injection-L\u00fccken”, die jedem mit Internetzugang und grundlegenden technischen Kenntnissen vollst\u00e4ndige Systemkontrolle erm\u00f6glichen. Ein \u00f6ffentlicher Proof-of-Concept war innerhalb von 24 Stunden nach der Offenlegung verf\u00fcgbar, was die rasche Eskalation der Angriffe erkl\u00e4rte.<\/p>\n\n\n\n

Europ\u00e4ische Kommission: Angriff in neun Stunden einged\u00e4mmt<\/h2>\n\n\n\n

Am 30. Januar 2026, einen Tag nach der \u00f6ffentlichen Bekanntgabe der Schwachstellen, traf der erste best\u00e4tigte Angriff auf eine EU-Institution die zentrale Mobile-Device-Management-Infrastruktur der Europ\u00e4ischen Kommission. Der Angreifer verschaffte sich Zugang zur EPMM-Plattform und erreichte damit potenziell die Verwaltungsoberfl\u00e4che f\u00fcr tausende Dienstsmartphones von Kommissionsbeamten.<\/p>\n\n\n\n

Die Europ\u00e4ische Kommission best\u00e4tigte den Vorfall am 8. Februar 2026, also neun Tage nach der Erstbekanntgabe der Schwachstellen. Laut offizieller Erkl\u00e4rung wurde der Einbruch innerhalb von neun Stunden nach Entdeckung vollst\u00e4ndig einged\u00e4mmt. Folgende Daten wurden m\u00f6glicherweise eingesehen: Mitarbeiter-Namen, Mobiltelefonnummern und gesch\u00e4ftliche E-Mail-Adressen einiger Angestellter. Mobile Endger\u00e4te von Kommissionsmitarbeitern wurden nach Angaben des Hauses nicht kompromittiert.<\/p>\n\n\n\n

Lars Hilse, Cybersicherheitsexperte und Analyst, kommentierte den Vorfall scharf: “Die Europ\u00e4ische Kommission ist dieselbe Institution, die Unternehmen mit massiven DSGVO-Bu\u00dfgeldern f\u00fcr Datensicherheitsvers\u00e4umnisse belegt. Dass die eigene MDM-Infrastruktur durch eine bekannte Zero-Day-L\u00fccke kompromittiert werden konnte, wirft ernsthafte Fragen \u00fcber die interne Patch-Disziplin und die Sicherheitsarchitektur europ\u00e4ischer Institutionen auf.”<\/p>\n\n\n\n

Der Fall verdeutlicht ein strukturelles Problem: Zwischen der Zero-Day-Ausnutzung am 30. Januar und der \u00f6ffentlichen Kommunikation durch die Kommission am 8. Februar lagen acht Tage. F\u00fcr andere Organisationen, die m\u00f6glicherweise Angreifer im System hatten, bedeutete dieser Zeitraum fehlende Warnzeichen und verpasste Reaktionsm\u00f6glichkeiten.<\/p>\n\n\n\n

Niederlande und Finnland: Weitere EU-Beh\u00f6rden best\u00e4tigen Einbr\u00fcche<\/h2>\n\n\n\n

Die niederl\u00e4ndische Datenschutzbeh\u00f6rde (Autoriteit Persoonsgegevens) und der Rat der Justiz (Raad voor de rechtspraak) best\u00e4tigten gegen\u00fcber dem niederl\u00e4ndischen Parlament, ebenfalls Opfer der Ivanti-EPMM-Angriffswelle geworden zu sein. Beide Institutionen kommunizierten den Vorfall \u00fcber einen Parlamentsbrief, ohne Details zu kompromittierten Daten zu nennen. Ivanti arbeitete nach dem Vorfall eng mit dem niederl\u00e4ndischen NCSC zusammen und ver\u00f6ffentlichte gemeinsam Indicators of Compromise sowie ein RPM-Erkennungsskript.<\/p>\n\n\n\n

In Finnland meldete Valtori, der staatliche IT-Dienstleister der finnischen Regierung, \u00e4hnliche Einbr\u00fcche durch die Ivanti-Schwachstellen. Valtori versorgt zentrale IT-Infrastruktur f\u00fcr mehrere finnische Ministerien und Beh\u00f6rden, was die potenzielle Reichweite des Schadens erheblich vergr\u00f6\u00dfert. Konkrete Details zu kompromittierten Daten wurden nicht \u00f6ffentlich gemacht.<\/p>\n\n\n\n

Die H\u00e4ufung europ\u00e4ischer Regierungsbeh\u00f6rden unter den Opfern ist kein Zufall: Ivanti EPMM ist besonders stark in \u00f6ffentlichen Institutionen verbreitet, die On-Premises-MDM-L\u00f6sungen aus Datenschutz- oder Datensouver\u00e4nit\u00e4tsgr\u00fcnden bevorzugen. Genau dieser Ansatz wurde zur Schwachstelle, da Cloud-Instanzen von den spezifischen Angriffsvektoren verschont blieben.<\/p>\n\n\n\n

Globale Ausbreitung: USA, Deutschland, Australien, Kanada<\/h2>\n\n\n\n

Unit 42, die Bedrohungsforschungsabteilung von Palo Alto Networks, dokumentierte eine weltweite Angriffswelle, die mehrere Sektoren und L\u00e4nder betraf. Besonders stark betroffen waren staatliche und lokale Regierungsbeh\u00f6rden, das Gesundheitswesen, die Fertigung, Rechts- und Beratungsdienstleistungen sowie High-Tech-Unternehmen. Unit 42 stoppte die aktive \u00dcberwachung der Kampagne am 24. M\u00e4rz 2026, nachdem die unmittelbare Exploitationsaktivit\u00e4t deutlich zur\u00fcckgegangen war.<\/p>\n\n\n\n

Geografisch konzentrierten sich die Angriffe auf Organisationen in den USA, Deutschland, Australien und Kanada. Censys-Daten zum Zeitpunkt des Angriffs zeigten \u00fcber 3.700 \u00f6ffentlich zug\u00e4ngliche EPMM-Login-Interfaces, wobei die Mehrheit in Deutschland und den USA lokalisiert war. Nicht alle dieser Systeme galten als verwundbar, jedoch repr\u00e4sentierten sie die Gesamtheit der potenziellen Angriffsfl\u00e4che.<\/p>\n\n\n\n

Piotr Kijewski, CEO der Shadowserver Foundation, erkl\u00e4rte gegen\u00fcber Cybersecurity Dive: “Wir haben 92 kompromittierte Instanzen identifiziert und erwarten, dass diese Zahl steigen wird, da wir es mit einer massiven Kampagne gegen CVE-2026-1281 zu tun haben.” Die Foundation betonte, dass \u00f6ffentlich sichtbare Kompromittierungen nur einen Bruchteil der tats\u00e4chlichen Opferzahl darstellen, da viele Angriffe keine extern erkennbaren Spuren hinterlassen.<\/p>\n\n\n\n

Technische Analyse: Bash-Arithmetik-Expansion als kritischer Angriffspunkt<\/h2>\n\n\n\n

Die technische Ursache beider Schwachstellen liegt im unsicheren Umgang mit Bash-Skripting innerhalb des Apache-Webservers, der in EPMM On-Premises-Installationen eingesetzt wird. Bash erm\u00f6glicht durch die sogenannte Arithmetik-Expansion die Auswertung von Ausdr\u00fccken in Doppelklammern, zum Beispiel $((ausdruck))<\/code>. Wenn benutzerkontrollierte Eingaben ungefiltert in solche Ausdr\u00fccke einflie\u00dfen, k\u00f6nnen Angreifer beliebige Systembefehle einschleusen.<\/p>\n\n\n\n

Konkret konnten Angreifer speziell pr\u00e4parierte HTTP GET-Anfragen an zwei Endpunkte senden, ohne sich vorher zu authentifizieren. Das System \u00fcbergab Anfrageparameter direkt an Bash-Skripte, die f\u00fcr URL-Umschreibung und Feature-Verwaltung zust\u00e4ndig sind. Das Ergebnis: vollst\u00e4ndige Remote Code Execution mit den Rechten des Webserver-Prozesses. Angreifer erhielten damit Zugriff auf alle vom EPMM-System verwalteten Ger\u00e4te, Administratoren-Zugangsdaten, Benutzerdaten, Ger\u00e4tekennungen und GPS-Standortdaten, sofern aktiviert.<\/p>\n\n\n\n

Nach erfolgreicher Ausnutzung installierten Angreifer Web-Shells auf den kompromittierten Servern, was persistenten Zugang auch nach eingespielten Patches erm\u00f6glicht. NVISO Labs dokumentierte im M\u00e4rz 2026 sogenannte “Sleeper Shells”: Web-Shells, die absichtlich inaktiv blieben, um Erkennung zu vermeiden und f\u00fcr sp\u00e4tere Aktivierung bereit zu stehen. Dieser Befund ist besonders beunruhigend, da Organisationen, die nur gepatcht haben, ohne forensische Pr\u00fcfung durchzuf\u00fchren, weiterhin kompromittiert sein k\u00f6nnten.<\/p>\n\n\n\n

92 Kompromittierungen, 3.700 exponierte Server: Die Kennzahlen im \u00dcberblick<\/h2>\n\n\n\n

Die statistischen Ausma\u00dfe der Angriffswelle \u00fcbersteigen fr\u00fchere Ivanti-Vorf\u00e4lle deutlich. Alle wesentlichen Metriken zusammengefasst:<\/p>\n\n\n\n

Metrik<\/th>Wert<\/th>Quelle<\/th><\/tr><\/thead>
Best\u00e4tigte kompromittierte Instanzen<\/td>92 (steigend)<\/td>Shadowserver Foundation<\/td><\/tr>
\u00d6ffentlich exponierte EPMM-Login-Interfaces<\/td>\u00fcber 3.700<\/td>Censys<\/td><\/tr>
Peak-Angriffe in 24 Stunden<\/td>525 (5. Februar 2026)<\/td>Rapid7<\/td><\/tr>
T\u00e4gliche Angriffsversuche nach Peak<\/td>ca. 200<\/td>Rapid7<\/td><\/tr>
CISA-Frist f\u00fcr US-Bundesbeh\u00f6rden<\/td>1. Februar 2026 (3 Tage)<\/td>CISA KEV<\/td><\/tr>
EC-Einbruch einged\u00e4mmt nach<\/td>9 Stunden<\/td>Europ\u00e4ische Kommission<\/td><\/tr>
Ivanti-Eintr\u00e4ge in CISA KEV gesamt<\/td>\u00fcber 30<\/td>CISA KEV-Katalog<\/td><\/tr>
Best\u00e4tigte EU-Institutionen (Opfer)<\/td>mindestens 4<\/td>Cybersecurity Dive, The Record<\/td><\/tr>
Betroffene Sektoren<\/td>5 (Beh\u00f6rden, Gesundheit, Fertigung, Recht, Tech)<\/td>Unit 42<\/td><\/tr>
Betroffene L\u00e4nder (best\u00e4tigt)<\/td>USA, Deutschland, Australien, Kanada, NL, FI<\/td>Unit 42, The Record<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ein kritischer Aspekt bleibt der Zeitraum zwischen der ersten stillen Ausnutzung und der \u00f6ffentlichen Bekanntgabe. Da Ivanti best\u00e4tigte, dass Angriffe bereits vor dem 29. Januar 2026 stattfanden, der genaue Startzeitpunkt aber unbekannt ist, k\u00f6nnten betroffene Organisationen wochenlang ohne jedes Wissen um ihre Kompromittierung agiert haben.<\/p>\n\n\n\n

CISA und der KEV-Katalog: Ivanti als Dauerkandidat<\/h2>\n\n\n\n

Die US-amerikanische Cybersecurity and Infrastructure Security Agency reagierte auf die Ivanti-Krise ungew\u00f6hnlich schnell. Noch am 29. Januar 2026, dem Tag der Ivanti-Offenlegung, wurde CVE-2026-1281 in den Known Exploited Vulnerabilities (KEV) Katalog aufgenommen, mit einer Frist von nur drei Tagen f\u00fcr US-Bundesbeh\u00f6rden. Die Schnelligkeit dieser Reaktion spiegelt die Schwere der Bedrohung wider, aber auch CISAs wachsendes Bewusstsein f\u00fcr Ivantis Sicherheitsprobleme.<\/p>\n\n\n\n

Der CISA KEV-Katalog f\u00fchrt bereits \u00fcber 30 Ivanti-Schwachstellen<\/strong>, die aktiv in der freien Wildbahn ausgenutzt wurden. Ivanti, fr\u00fcher bekannt als MobileIron und LANDesk, hat sich damit als einer der h\u00e4ufigsten Kandidaten im KEV-Katalog etabliert. Zum Vergleich: Die meisten gro\u00dfen Softwareanbieter haben deutlich weniger als zehn Eintr\u00e4ge je Produktlinie. Die Konzentration von mehr als 30 aktiv ausgenutzten Schwachstellen auf eine einzelne Produktfamilie spricht f\u00fcr strukturelle Sicherheitsprobleme.<\/p>\n\n\n\n

Forscher von Rapid7 best\u00e4tigten gegen\u00fcber Medien eine “Beschleunigung der Bedrohungsaktivit\u00e4t” nach der Offenlegung und beschrieben einen R\u00fcckgang von einem Peak von 525 Exploitationsversuchen am 5. Februar auf rund 200 t\u00e4gliche Versuche in der Folgewoche. Diese Kurve zeigt, dass der organisierte Erstzugriff relativ schnell abflachte, w\u00e4hrend opportunistische Akteure noch wochenlang aktiv blieben.<\/p>\n\n\n\n

Ivantis Sicherheits-Track-Record: Ein Muster wiederkehrender Krisen<\/h2>\n\n\n\n

Die Ivanti-EPMM-Krise von 2026 ist kein Einzelfall, sondern Teil eines wiederkehrenden Musters. Bereits 2023 und 2024 ersch\u00fctterten kritische Schwachstellen in Ivanti Connect Secure und Ivanti Policy Secure das Vertrauen in den Anbieter. Staatlich gef\u00f6rderte Hackergruppen nutzten damals Ivanti-L\u00fccken f\u00fcr Spionageangriffe auf US-Regierungsbeh\u00f6rden und internationale Organisationen. CISA musste bereits 2024 eine dringende Warnung herausgeben, in der US-Bundesbeh\u00f6rden aufgefordert wurden, alle Ivanti Connect Secure und Policy Secure Produkte vom Netz zu nehmen.<\/p>\n\n\n\n

Das sich wiederholende Muster zeigt, dass Ivanti trotz massiver Kritik und wiederholter CISA-Warnungen keine ausreichenden strukturellen Verbesserungen in der Sicherheitsarchitektur seiner Produkte vorgenommen hat. Der Grundfehler bei CVE-2026-1281 und CVE-2026-1340, die unsichere Verwendung von Bash-Skripting in exponierter Webserver-Software, h\u00e4tte durch grundlegende Secure-Coding-Praktiken und Code-Reviews vermieden werden k\u00f6nnen.<\/p>\n\n\n\n

Ivanti ver\u00f6ffentlichte nach den Angriffen eine offizielle Stellungnahme: “Wir arbeiten eng mit unseren Kunden sowie vertrauensw\u00fcrdigen Regierungs- und Sicherheitspartnern zusammen, um die Bedrohung zu bek\u00e4mpfen. Wir verpflichten uns zu Transparenz und helfen unseren Kunden und dem breiteren \u00d6kosystem.” Das Unternehmen kooperierte mit dem niederl\u00e4ndischen NCSC und k\u00fcndigte f\u00fcr die Version 12.8.0.0 in Q1 2026 einen vollst\u00e4ndigen permanenten Fix an.<\/p>\n\n\n\n

Sicherheitsrechtlich stellte der \u00dcbergangspatch eine zus\u00e4tzliche Herausforderung dar: RPM 12.x.0.x oder 12.x.1.x musste nach bestimmten System\u00e4nderungen erneut eingespielt werden, da er sonst automatisch zur\u00fcckgerollt wurde. Diese Eigenschaft schuf Verwirrung und erh\u00f6hte das Risiko, dass Systeme nach initialen Patches erneut in einen verwundbaren Zustand zur\u00fcckfielen, ohne dass Administratoren dies bemerkten.<\/p>\n\n\n\n

Marktauswirkungen: MDM-Anbieter und der Vertrauensverlust<\/h2>\n\n\n\n

Die Angriffswelle hat die Frage nach der Sicherheit von Mobile Device Management Plattformen in den Mittelpunkt ger\u00fcckt. MDM-Software verwaltet tausende Dienstger\u00e4te in Unternehmens- und Beh\u00f6rdenumgebungen, setzt Sicherheitsrichtlinien durch und sch\u00fctzt Unternehmensdaten. Genau diese zentrale Rolle macht MDM-Systeme zu hochattraktiven Zielen: Wer den MDM-Server kontrolliert, kontrolliert potenziell alle verwalteten Ger\u00e4te.<\/p>\n\n\n\n

Ivantis Hauptkonkurrenten in diesem Segment sind Microsoft Intune, VMware Workspace ONE und Jamf. Im Unterschied zu Ivanti EPMM werden Microsoft Intune und moderne Workspace-ONE-Konfigurationen als Cloud-Services betrieben, was die Angriffsfl\u00e4che f\u00fcr On-Premises-Exploits eliminiert. Analysten erwarten, dass der Ivanti-Vorfall Migrationsprojekte hin zu Cloud-MDM beschleunigen wird, besonders bei Organisationen ohne dedizierte Security-Operations-Kapazit\u00e4t.<\/p>\n\n\n\n

F\u00fcr \u00f6sterreichische Unternehmen ist der Ivanti-Vorfall ein deutliches Warnsignal. Laut U.S. Commercial Service sind 14 Prozent der \u00f6sterreichischen Unternehmen t\u00e4glich Cyberangriffen ausgesetzt. Der \u00f6sterreichische Cybersicherheitsmarkt wurde f\u00fcr 2025 auf 9,35 Milliarden US-Dollar gesch\u00e4tzt, mit einer prognostizierten Wachstumsrate von 5,1 Prozent j\u00e4hrlich bis 2029, was auf stark steigende Investitionen in Cybersicherheit hindeutet. Unternehmen, die Ivanti EPMM On-Premises betreiben, sollten umgehend pr\u00fcfen, ob ihre Systeme vollst\u00e4ndig auf Version 12.8.0.0 aktualisiert und forensisch auf Sleeper Shells gepr\u00fcft wurden.<\/p>\n\n\n\n

Was \u00f6sterreichische Unternehmen jetzt konkret tun m\u00fcssen<\/h2>\n\n\n\n

Sofortma\u00dfnahmen:<\/strong> Alle On-Premises-EPMM-Installationen auf Version 12.8.0.0 aktualisieren, die den permanenten Fix enth\u00e4lt. Falls ein Upgrade nicht sofort m\u00f6glich ist, das System vom Internet isolieren und den Zugang auf VPN-gesicherte interne Verbindungen beschr\u00e4nken. Das von Ivanti bereitgestellte RPM-Erkennungsskript ausf\u00fchren, um Kompromittierungen r\u00fcckwirkend zu identifizieren.<\/p>\n\n\n\n

Forensische Pr\u00fcfung:<\/strong> Auch bereits gepatchte Systeme sollten auf Web-Shells und persistente Implantate untersucht werden. NVISO Labs dokumentierte F\u00e4lle, in denen Angreifer Sleeper Shells installierten: Web-Shells, die nach dem Patch inaktiv blieben und auf Reaktivierung warteten. Die von Ivanti in Kooperation mit dem niederl\u00e4ndischen NCSC ver\u00f6ffentlichten Indicators of Compromise (IOCs) bieten Anhaltspunkte f\u00fcr die Erkennung.<\/p>\n\n\n\n

Mittelfristige Strategie:<\/strong> Unternehmen ohne dediziertes Security Operations Center sollten eine Migration zu Cloud-basierten MDM-L\u00f6sungen evaluieren. Zus\u00e4tzlich empfiehlt sich eine r\u00fcckwirkende Pr\u00fcfung der Zugriffsprotokolle f\u00fcr den Zeitraum vor dem 29. Januar 2026, um potenzielle Zero-Day-Ausnutzungen zu identifizieren, die vor der offiziellen Offenlegung stattgefunden haben k\u00f6nnten. Im Rahmen der NIS2-Umsetzung in \u00d6sterreich sind solche Incident-Response-Dokumentationen ohnehin verpflichtend.<\/p>\n\n\n\n

F\u00fcnf Prognosen zur weiteren Entwicklung<\/h2>\n\n\n\n

1. Weitere Sleeper-Shell-Aktivierungen in H2 2026.<\/strong> NVISO Labs’ Analyse zeigt, dass Angreifer kompromittierte Systeme f\u00fcr sp\u00e4tere Operationen bereithalten. Organisationen, die Patches eingespielt haben, ohne forensische Untersuchungen durchzuf\u00fchren, d\u00fcrften in der zweiten Jahresh\u00e4lfte 2026 mit Folgeangriffen konfrontiert werden.<\/p>\n\n\n\n

2. EU reguliert MDM-Software mit strengeren Patch-Fristen.<\/strong> Der Angriff auf EU-Kommission und niederl\u00e4ndische Beh\u00f6rden wird in den NIS2-Umsetzungsdebatten als Musterbeispiel dienen. Erwartbar sind strengere Auflagen f\u00fcr On-Premises-MDM in staatlichen Institutionen, mit verpflichtenden Patch-Fristen unter 72 Stunden nach Ver\u00f6ffentlichung von CVSS-9-plus-Schwachstellen.<\/p>\n\n\n\n

3. Ivantis Marktanteil im Beh\u00f6rden-Segment schrumpft bis Ende 2026 messbar.<\/strong> Zwei schwere Sicherheitszyklen in aufeinanderfolgenden Jahren, kombiniert mit dem \u00f6ffentlichkeitswirksamen Breach der EU-Kommission, werden Ausschreibungen zugunsten cloud-nativer MDM-Alternativen verschieben. Besonders europ\u00e4ische Beh\u00f6rden, die von den Angriffen direkt betroffen waren, d\u00fcrften bei n\u00e4chsten Ausschreibungen explizit Cloud-MDM fordern.<\/p>\n\n\n\n

4. Nation-State-Akteure haben persistenten Zugang in Regierungsnetzwerken hinterlassen.<\/strong> Die Kombination aus Zero-Day-Ausnutzung, Web-Shells, Sleeper Shells und der breiten Verteilung in Regierungsumgebungen passt zum Profil staatlich gesponserter Spionagekampagnen. Die vollst\u00e4ndige Reichweite d\u00fcrfte erst durch laufende Incident-Response-Untersuchungen in den kommenden Monaten sichtbar werden.<\/p>\n\n\n\n

5. CISA versch\u00e4rft Sicherheitsanforderungen f\u00fcr MDM-Produkte in kritischer Infrastruktur.<\/strong> Der Katalog mit \u00fcber 30 Ivanti-Eintr\u00e4gen und der \u00f6ffentliche Druck nach EU-Beh\u00f6rden-Breaches d\u00fcrfte die CISA veranlassen, spezifische Mindeststandards f\u00fcr MDM-Software zu definieren, die in kritischen Infrastrukturen und Bundesbeh\u00f6rden eingesetzt wird. \u00c4hnliche Schritte werden auf EU-Ebene im Rahmen des Cyber Resilience Act erwartet.<\/p>\n\n\n\n

Verwandte Berichte<\/h2>\n\n\n\n

Weitere Analysen zu aktuellen Cybersicherheitsvorf\u00e4llen:<\/p>\n\n\n\n