{"id":165,"date":"2026-06-21T08:21:14","date_gmt":"2026-06-21T08:21:14","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/21\/moveit-automation-cve-2026-4670\/"},"modified":"2026-06-24T23:46:13","modified_gmt":"2026-06-24T23:46:13","slug":"moveit-automation-cve-2026-4670","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/moveit-automation-cve-2026-4670\/","title":{"rendered":"MOVEit Automation CVE-2026-4670: CVSS 9.8, kein Workaround [2026]"},"content":{"rendered":"\n

Progress Software ver\u00f6ffentlichte am 30. April 2026 einen Sicherheitshinweis zu CVE-2026-4670<\/strong>, einer kritischen Authentifizierungsumgehung in MOVEit Automation<\/strong> mit einem CVSS-Score von 9,8<\/strong>. Die Schwachstelle erm\u00f6glicht nicht authentifizierten Angreifern, vollst\u00e4ndigen administrativen Zugriff auf exponierte Systeme zu erlangen. Entdeckt wurde sie von vier Forschern des Airbus SecLab. Einen Workaround gibt es nicht, nur ein sofortiges Upgrade auf die gepatchten Versionen sch\u00fctzt Unternehmen. F\u00fcr \u00d6sterreich und Europa, wo MOVEit Automation in grenz\u00fcberschreitendem Datentransfer und kritischer Infrastruktur weit verbreitet ist, gilt die Warnung als hochpriorit\u00e4r.<\/p>\n\n\n\n

Was ist CVE-2026-4670?<\/h2>\n\n\n\n

CVE-2026-4670 ist eine Authentifizierungsumgehung durch prim\u00e4re Schw\u00e4che<\/strong> (Authentication Bypass by Primary Weakness<\/em>) in MOVEit Automation, dem automatisierten Dateitransfersystem von Progress Software. Mit einem CVSS-3.1-Basisscore von 9,8<\/strong> liegt die Schwachstelle in der Kategorie Kritisch<\/strong>. Ein nicht authentifizierter Angreifer kann \u00fcber das Netzwerk, ohne Benutzerinteraktion und ohne besondere Privilegien, die Authentifizierung vollst\u00e4ndig umgehen und vollen administrativen Zugriff auf das betroffene System erlangen.<\/p>\n\n\n\n

MOVEit Automation automatisiert die Planung, Steuerung und Ausf\u00fchrung von Datei\u00fcbertragungen zwischen Systemen. Unternehmen nutzen die Plattform, um sensible Gesch\u00e4ftsdaten, Finanztransaktionen, Patienteninformationen und beh\u00f6rdliche Dokumente sicher und protokolliert zu \u00fcbermitteln. Weil MOVEit-Installationen h\u00e4ufig am Netzwerkperimeter platziert werden, also mit direktem Internetzugang, z\u00e4hlt jede kritische Schwachstelle darin zu den gef\u00e4hrlichsten Angriffszielen im Unternehmensumfeld.<\/p>\n\n\n\n

Progress Software best\u00e4tigte, dass es zum Zeitpunkt der Offenlegung keine bekannten aktiven Exploits in freier Wildbahn<\/strong> gab. Dieser Zustand kann sich jedoch innerhalb von Stunden nach \u00f6ffentlicher Bekanntgabe \u00e4ndern, wie die Geschichte \u00e4hnlicher Schwachstellen in MOVEit-Produkten zeigt. Der CVSS-Score von 9,8 entspricht dem h\u00f6chstm\u00f6glichen Risikopotenzial f\u00fcr eine netzwerkbasierte, nicht authentifizierungsgesicherte Schwachstelle.<\/p>\n\n\n\n

Technische Details: Wie die Authentifizierungsumgehung funktioniert<\/h2>\n\n\n\n

Die Schwachstelle betrifft die Backend-Schnittstelle von MOVEit Automation. Angreifer schicken speziell pr\u00e4parierte HTTP-Anfragen an eine exponierte Instanz und umgehen dabei den Authentifizierungsmechanismus vollst\u00e4ndig. Sobald die Authentifizierung \u00fcberwunden ist, erhalten Angreifer vollen Zugriff auf gespeicherte Anmeldeinformationen, automatisierte Aufgaben und Dateitransfer-Workflows.<\/p>\n\n\n\n

Besonders gef\u00e4hrlich: Die Kombination von CVE-2026-4670 mit der im selben Sicherheitshinweis ver\u00f6ffentlichten CVE-2026-5174<\/strong> (Privilege Escalation, CVSS 7,7<\/strong>) erm\u00f6glicht eine zweistufige Kompromittierung. Im ersten Schritt \u00fcberwinden Angreifer die Authentifizierung, im zweiten eskalieren sie ihre Rechte auf Systemebene. Das Ergebnis ist vollst\u00e4ndige Kontrolle \u00fcber die MOVEit Automation-Instanz, inklusive aller gespeicherten Dateien, Zugangsdaten f\u00fcr verbundene Systeme und Automatisierungsregeln.<\/p>\n\n\n\n

Der Sicherheitsanbieter Beazley Security<\/strong> warnte in seiner Analyse: “MOVEit wird h\u00e4ufig am Netzwerkperimeter eingesetzt. Eine erfolgreiche Ausnutzung dieser Schwachstelle kann Angreifern Zugang zu sensiblen Daten und laterale Bewegung im Netzwerk erm\u00f6glichen.” Das Erkennungsunternehmen runZero<\/strong> beschrieb CVE-2026-4670 als kritische CVSS-9,8-Authentifizierungsumgehung und ver\u00f6ffentlichte Erkennungsregeln f\u00fcr betroffene Assets in seiner Asset-Management-Plattform unmittelbar nach der Offenlegung.<\/p>\n\n\n\n

Betroffene Versionen und verf\u00fcgbare Patches<\/h2>\n\n\n\n

Progress Software hat alle betroffenen Versionen und die jeweiligen Patches im Sicherheitshinweis vom 30. April 2026 dokumentiert. Jede MOVEit Automation-Installation, die nicht auf eine der gepatchten Versionen aktualisiert wurde, gilt als gef\u00e4hrdet. Das Unternehmen betont: Es gibt keinen Workaround.<\/strong> Die einzige wirksame Gegenma\u00dfnahme ist die Installation des vollst\u00e4ndigen Installers der Zielversion.<\/p>\n\n\n\n

MOVEit Automation-Zweig<\/th>Betroffene Version (bis einschl.)<\/th>Gepatchte Version<\/th>Patch verf\u00fcgbar seit<\/th><\/tr><\/thead>
2025.1.x (Build-Track 12.x.0.x)<\/td>2025.1.4<\/td>2025.1.5<\/strong><\/td>30. April 2026<\/td><\/tr>
2025.0.x (Build-Track 12.x.0.x)<\/td>2025.0.8<\/td>2025.0.9<\/strong><\/td>30. April 2026<\/td><\/tr>
2024.1.x (Build-Track 12.x.0.x)<\/td>2024.1.7<\/td>2024.1.8<\/strong><\/td>30. April 2026<\/td><\/tr>
2025.0.x (Build-Track 12.x.1.x)<\/td>2025.0.1.0<\/td>2025.0.1.1<\/strong><\/td>30. April 2026<\/td><\/tr>
2024.1.x (Build-Track 12.x.1.x)<\/td>2024.1.1.0<\/td>2024.1.1.1<\/strong><\/td>30. April 2026<\/td><\/tr>
Versionen vor 2024.0.x<\/td>Alle \u00e4lteren Releases<\/td>Upgrade auf unterst\u00fctzte Version erforderlich<\/td>30. April 2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Systemadministratoren m\u00fcssen zun\u00e4chst den aktuell installierten Build-Track ermitteln und das entsprechende Upgrade-Paket von der offiziellen Progress-Sicherheitsseite herunterladen. Progress empfiehlt, den Netzwerkzugriff auf MOVEit Automation zu beschr\u00e4nken, bis das Upgrade abgeschlossen ist, besonders f\u00fcr Installationen mit direktem Internetzugang. \u00c4ltere Versionen als 2024.0.x erhalten keinen direkten Patch und m\u00fcssen auf eine aktuelle, unterst\u00fctzte Version migriert werden.<\/p>\n\n\n\n

CVE-2026-5174: Die zweite kritische L\u00fccke im selben Update<\/h2>\n\n\n\n

Progress Software ver\u00f6ffentlichte CVE-2026-4670 nicht isoliert. Im selben Sicherheitshinweis erschien CVE-2026-5174<\/strong>, eine Privilege-Escalation-Schwachstelle mit einem CVSS-Score von 7,7<\/strong>. Beide L\u00fccken bilden eine gef\u00e4hrliche Kombination: CVE-2026-4670 liefert den initialen Zugriff ohne Authentifizierung, CVE-2026-5174 hebelt anschlie\u00dfend Berechtigungsschranken aus und verschafft Angreifern volle Systemkontrolle.<\/p>\n\n\n\n

Sicherheitsforscher stufen Schwachstellenpaare dieser Art als besonders kritisch ein, weil sie eine vollst\u00e4ndige Angriffskette ohne zus\u00e4tzliche Hilfsmittel erm\u00f6glichen. Angreifer m\u00fcssen keine weiteren Schwachstellen suchen oder Social Engineering einsetzen: CVE-2026-4670 \u00f6ffnet die T\u00fcr, CVE-2026-5174 gibt die vollst\u00e4ndigen Schl\u00fcssel. Progress Software behandelt beide Schwachstellen mit demselben Patch-Set, ein einzelnes Upgrade schlie\u00dft beide L\u00fccken gleichzeitig.<\/p>\n\n\n\n

Die Entdecker: Airbus SecLab meldet verantwortungsvoll<\/h2>\n\n\n\n

Die Schwachstellen wurden von vier Forschern des Airbus SecLab<\/strong> entdeckt und gem\u00e4\u00df dem Prinzip der verantwortungsvollen Offenlegung (Responsible Disclosure<\/em>) privat an Progress Software gemeldet. Die Forscher sind Ana\u00efs Gantet<\/strong>, Delphine Gourdou<\/strong>, Quentin Liddell<\/strong> und Matteo Ricordeau<\/strong>. Progress Software koordinierte die Entwicklung und Bereitstellung der Patches, bevor die Schwachstellen \u00f6ffentlich bekannt wurden.<\/p>\n\n\n\n

Help Net Security berichtete, dass kein \u00f6ffentlicher Proof-of-Concept-Exploit vorlag, bevor Progress die gepatchten Versionen ver\u00f6ffentlichte. Das ist ein wichtiger Unterschied zum MOVEit-Vorfall 2023, bei dem die Cl0p-Gruppe die Schwachstelle bereits aktiv ausnutzte, als Progress die erste Warnung herausgab. Das Airbus SecLab hat durch die koordinierte Offenlegung den Unternehmen weltweit einen zeitlichen Vorsprung vor potenziellen Angreifern verschafft, der jedoch nur dann nutzt, wenn Administratoren unverz\u00fcglich patchen.<\/p>\n\n\n\n

Quentin Liddell vom Airbus SecLab verwies auf das grundlegende Problem bei MFT-Backend-Architekturen: “Backend-Schnittstellen von MFT-Software werden h\u00e4ufig unter der Annahme designed, dass sie nur intern erreichbar sind. In der Praxis sind sie oft direkt oder indirekt \u00fcber das Internet zug\u00e4nglich, was ihre Sicherheitsarchitektur grundlegend in Frage stellt.” Das Airbus-Team zeigt damit, dass europ\u00e4ische Sicherheitsforschung zunehmend in der Lage ist, kritische Schwachstellen in global eingesetzter Enterprise-Software aufzudecken.<\/p>\n\n\n\n

Warum MOVEit Automation ein hochwertiges Angriffsziel ist<\/h2>\n\n\n\n

Managed File Transfer-Systeme (MFT) wie MOVEit Automation vereinen mehrere Eigenschaften, die sie f\u00fcr Angreifer besonders attraktiv machen. Sie verarbeiten gro\u00dfe Mengen sensibler Daten, sie sind oft mit externen Partnern, Kunden und Beh\u00f6rden verbunden, und sie speichern Zugangsdaten f\u00fcr zahlreiche Drittsysteme. Ein einziger kompromittierter MFT-Server kann einem Angreifer den Zugang zu Dutzenden nachgelagerten Systemen \u00f6ffnen.<\/p>\n\n\n\n

Branchen, die MOVEit Automation intensiv nutzen, umfassen den Finanzsektor<\/strong> (Banken, Versicherungen, Zahlungsdienstleister), das Gesundheitswesen<\/strong> (Krankenh\u00e4user, Labore, Krankenversicherungen), Beh\u00f6rden und \u00f6ffentliche Verwaltung<\/strong> sowie produzierende Unternehmen<\/strong> mit komplexen Lieferketten. Alle diese Branchen verarbeiten personenbezogene Daten in gro\u00dfem Umfang, was bei einer Kompromittierung sofortige DSGVO-Meldepflichten ausl\u00f6st.<\/p>\n\n\n\n

Ryan Hicks vom Sicherheitsdienstleister Beazley Security erkl\u00e4rte: “Managed File Transfer-Systeme sind strukturell als Datenkonzentratoren designed. Das macht sie zu idealen Angriffszielen, weil der Return on Investment f\u00fcr Angreifer pro kompromittierter Installation extrem hoch ist. Eine einzige MFT-Instanz kann Daten von Dutzenden oder Hunderten von Gegenparteien b\u00fcndeln.” Diese Einsch\u00e4tzung deckt sich mit dem Angriffsmuster der Cl0p-Gruppe, die seit 2021 systematisch MFT-Plattformen als prim\u00e4re Ziele w\u00e4hlt.<\/p>\n\n\n\n

R\u00fcckblick: Der MOVEit-Transfer-Angriff 2023 als Blaupause<\/h2>\n\n\n\n

Um das Risiko von CVE-2026-4670 richtig einzuordnen, lohnt ein Blick auf den gr\u00f6\u00dften MFT-Sicherheitsvorfall der Geschichte: den MOVEit-Transfer-Angriff der Cl0p-Ransomware-Gruppe im Mai und Juni 2023<\/strong>. Damals nutzte Cl0p eine SQL-Injection-Schwachstelle in MOVEit Transfer (CVE-2023-34362<\/strong>) aus, um massenhaft Daten zu exfiltrieren und Unternehmen mit deren Ver\u00f6ffentlichung zu erpressen.<\/p>\n\n\n\n

Die Cl0p-Gruppe und ihr Angriffsmuster<\/h3>\n\n\n\n

Die Cl0p-Gruppe, auch bekannt als TA505, betreibt seit Jahren eine Strategie der massenhaften Ausnutzung von Schwachstellen in Dateitransfer-Software. 2021 griff Cl0p die Accellion FTA-Plattform an, 2023 folgte GoAnywhere MFT (CVE-2023-0669) und unmittelbar danach MOVEit Transfer. Das Muster ist konstant: eine kritische Schwachstelle im MFT-Sektor, koordinierte Massenausnutzung innerhalb weniger Tage, Datendiebstahl ohne Verschl\u00fcsselung, dann Erpressung. Die Effizienz dieser Methode machte Cl0p zur profitabelsten Erpressungsgruppe des Jahres 2023.<\/p>\n\n\n\n

Beim MOVEit-Transfer-Vorfall 2023 exploitierte Cl0p die SQL-Injection-Schwachstelle bereits aktiv, als Progress Software die erste \u00f6ffentliche Warnung herausgab. Akamai Security Intelligence Group detektierte Angriffsversuche ab dem 27. Mai 2023<\/strong>. Mandiant nannte denselben Zeitpunkt als ersten bekannten Angriff. Die Folgen waren historisch: Laut dem Emsisoft-Tracker betrafen die best\u00e4tigten Vorf\u00e4lle bis Oktober 2023 2.559 Organisationen<\/strong> und 66,3 Millionen Einzelpersonen<\/strong>. Zu den betroffenen Unternehmen z\u00e4hlten Shell, Deutsche Bank, PricewaterhouseCoopers, Ernst & Young, BBC, British Airways, Siemens, Sony, Deloitte, TIAA und das US-Energieministerium. Der modellierte Gesamtschaden wird auf bis zu 12,15 Milliarden US-Dollar<\/strong> gesch\u00e4tzt.<\/p>\n\n\n\n

Akamai identifizierte damals rund 2.500 \u00fcber das Internet erreichbare MOVEit-Server<\/strong> via Shodan. Angesichts dieser Exposition und der Angriffsmuster aus 2023 gilt jede neu entdeckte kritische Schwachstelle in der MOVEit-Produktlinie als hochrangige Bedrohung. CVE-2026-4670 betrifft zwar MOVEit Automation statt MOVEit Transfer, aber die Risikoarchitektur ist identisch.<\/p>\n\n\n\n

Historische MFT-Sicherheitsvorf\u00e4lle im Vergleich<\/h2>\n\n\n\n

MOVEit ist nicht die einzige MFT-Plattform mit gravierenden Sicherheitsproblemen. Die Geschichte der letzten f\u00fcnf Jahre zeigt, dass der gesamte MFT-Sektor ein systematisches Ziel f\u00fcr staatlich gef\u00f6rderte Akteure und kriminelle Gruppen ist. Die folgende Tabelle gibt einen \u00dcberblick \u00fcber die wichtigsten MFT-Sicherheitsvorf\u00e4lle seit 2021.<\/p>\n\n\n\n

Vorfall<\/th>CVE \/ Schwachstellentyp<\/th>CVSS<\/th>Betroffene Organisationen<\/th>Angreifer<\/th>Jahr<\/th><\/tr><\/thead>
Accellion FTA<\/td>Multiple (SQLi + RCE)<\/td>9,8<\/td>Ca. 100 Org. (Singtel, Shell, Uni Melbourne u.a.)<\/td>Cl0p \/ FIN11<\/td>2021<\/td><\/tr>
GoAnywhere MFT<\/td>CVE-2023-0669 (RCE)<\/td>7,2<\/td>130+ Organisationen best\u00e4tigt<\/td>Cl0p<\/td>2023<\/td><\/tr>
MOVEit Transfer<\/td>CVE-2023-34362 (SQL-Injection)<\/td>9,8<\/td>2.559 Org., 66,3 Mio. Personen<\/td>Cl0p<\/td>2023<\/td><\/tr>
MOVEit Transfer<\/td>CVE-2024-5806 (Auth Bypass)<\/td>9,1<\/td>Nicht \u00f6ffentlich quantifiziert<\/td>Unbekannt<\/td>2024<\/td><\/tr>
MOVEit Automation<\/td>CVE-2026-4670 (Auth Bypass)<\/td>9,8<\/td>Hunderte potenziell betroffen<\/td>Kein aktiver Exploit best\u00e4tigt<\/td>2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Die Tabelle zeigt ein klares Muster: MFT-Software wird wiederholt mit kritischen CVSS-Scores angegriffen, die Cl0p-Gruppe dominiert die Attribution, und die Ausnutzungszeit von der Offenlegung bis zur aktiven Kampagne liegt h\u00e4ufig unter 72 Stunden. F\u00fcr CVE-2026-4670 gilt: Die koordinierte Offenlegung mit gleichzeitig verf\u00fcgbarem Patch war kein Zufall, sondern eine gelernte Reaktion auf die Fehler von 2023.<\/p>\n\n\n\n

Reaktion von CISA, BSI und CERT.at<\/h2>\n\n\n\n

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) erlie\u00df nach Bekanntwerden von CVE-2026-4670 eine dringende Empfehlung f\u00fcr alle Bundesbeh\u00f6rden, die MOVEit Automation einsetzen, und rief zur sofortigen Patchumsetzung auf. CISA hat CVE-2026-4670 in seinen bekannten Empfehlungen mit hoher Priorit\u00e4t gef\u00fchrt, auch wenn zum Zeitpunkt der Offenlegung keine best\u00e4tigte aktive Ausnutzung vorlag.<\/p>\n\n\n\n

Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) in Deutschland ver\u00f6ffentlichte eine Sicherheitsmeldung und empfahl Betreibern kritischer Infrastruktur, den Status ihrer MOVEit Automation-Installationen sofort zu \u00fcberpr\u00fcfen. Das \u00f6sterreichische CERT.at<\/strong> stufte CVE-2026-4670 als kritisch ein und informierte registrierte Meldestellen. Progress Software selbst kommunizierte unmissverst\u00e4ndlich: “Wir sind uns zum Zeitpunkt der Offenlegung einer sehr begrenzten Anzahl von Kunden bewusst, deren Systeme m\u00f6glicherweise gef\u00e4hrdet sein k\u00f6nnten. Die einzige Gegenma\u00dfnahme ist ein Upgrade auf eine der gepatchten Versionen.”<\/p>\n\n\n\n

Dieses Statement ist vergleichbar mit der fr\u00fchen Kommunikation zu Ivanti-Schwachstellen im Januar 2026, bei denen die tats\u00e4chliche Ausnutzungsbreite erst Wochen nach der Erstmeldung vollst\u00e4ndig bekannt wurde. Organisationen sollten nicht darauf vertrauen, dass “begrenzte Opferzahl bei Offenlegung” eine dauerhafte Aussage ist.<\/p>\n\n\n\n

\u00d6sterreich und die EU: NIS2, DORA und DSGVO im Fokus<\/h2>\n\n\n\n

Dreifache Meldepflicht bei Kompromittierung<\/h3>\n\n\n\n

\u00d6sterreichische Unternehmen, die eine Kompromittierung ihrer MOVEit Automation-Instanz durch CVE-2026-4670 erleiden, stehen vor einem regulatorischen Dreifachproblem. Unter der NIS2-Richtlinie<\/strong>, die seit Oktober 2024 in \u00f6sterreichisches Recht umgesetzt ist, m\u00fcssen essentielle und wichtige Einrichtungen erhebliche Sicherheitsvorf\u00e4lle unverz\u00fcglich, sp\u00e4testens innerhalb von 24 Stunden<\/strong>, an die zust\u00e4ndige Beh\u00f6rde melden. Eine kompromittierte MOVEit Automation-Instanz, die personenbezogene Daten verarbeitet oder kritische Dienste unterst\u00fctzt, l\u00f6st diese Pflicht automatisch aus.<\/p>\n\n\n\n

Unter der DSGVO<\/strong> besteht bei Verlust, unbefugtem Zugriff auf oder Offenlegung personenbezogener Daten eine Meldepflicht an die \u00f6sterreichische Datenschutzbeh\u00f6rde (DSB) innerhalb von 72 Stunden<\/strong> nach Kenntniserlangung. Betroffene Personen m\u00fcssen informiert werden, wenn das Risiko f\u00fcr ihre Rechte und Freiheiten als hoch eingestuft wird. Bu\u00dfgelder k\u00f6nnen bis zu 4 Prozent des weltweiten Jahresumsatzes<\/strong> oder 20 Millionen Euro betragen, je nachdem, welcher Betrag h\u00f6her ist.<\/p>\n\n\n\n

Der Digital Operational Resilience Act (DORA)<\/strong>, der ab Januar 2025 f\u00fcr Finanzunternehmen in der EU gilt, f\u00fcgt eine dritte Dimension hinzu. Regulierte Finanzinstitute in \u00d6sterreich, von Banken \u00fcber Versicherungen bis zu Zahlungsdienstleistern, m\u00fcssen IKT-bezogene Vorf\u00e4lle klassifizieren, interne Eskalationsprozesse aktivieren und bei \u00dcberschreitung bestimmter Schwellenwerte an die Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht (FMA) berichten. Eine kompromittierte MFT-Plattform, die Zahlungsdaten oder Finanztransaktionen \u00fcbertr\u00e4gt, f\u00e4llt klar in den DORA-Geltungsbereich.<\/p>\n\n\n\n

In der Praxis bedeutet das f\u00fcr \u00f6sterreichische Organisationen: Eine ungepatchte MOVEit Automation-Instanz, die kompromittiert wird, kann regulatorische Konsequenzen ausl\u00f6sen, die den technischen Schaden um ein Vielfaches \u00fcbersteigen. Compliance-Teams sollten CVE-2026-4670 nicht als rein technisches Problem behandeln, sondern als Ausl\u00f6ser f\u00fcr den vollst\u00e4ndigen Incident-Response-Prozess inklusive Rechtsberatung und beh\u00f6rdlicher Abstimmung.<\/p>\n\n\n\n

MFT-Plattformen im Sicherheitsvergleich 2026<\/h2>\n\n\n\n

CVE-2026-4670 wirft die Frage auf, ob alternative MFT-Plattformen eine bessere Sicherheitsbilanz aufweisen. Die Wahrheit ist komplex: Keine gro\u00dfe MFT-Plattform ist immun gegen kritische Schwachstellen, aber Unterschiede in Deployment-Modell, Patch-Geschwindigkeit und Sicherheitsarchitektur sind relevant f\u00fcr Beschaffungsentscheidungen.<\/p>\n\n\n\n

MFT-Plattform<\/th>Deployment-Modell<\/th>Kritische CVEs (2021-2026)<\/th>Typische Patch-Zeit<\/th>Externe Angreifbarkeit<\/th><\/tr><\/thead>
MOVEit Automation (Progress)<\/td>On-Premises \/ Cloud<\/td>CVE-2026-4670 (9,8), CVE-2024-5806 (9,1)<\/td>1-3 Tage (seit 2023 verbessert)<\/td>Hoch (Perimeter-Deployment typisch)<\/td><\/tr>
MOVEit Transfer (Progress)<\/td>On-Premises \/ Cloud<\/td>CVE-2023-34362 (9,8), CVE-2023-35036 (9,1)<\/td>1-2 Tage<\/td>Sehr hoch (internet-facing designed)<\/td><\/tr>
GoAnywhere MFT (Fortra)<\/td>On-Premises \/ Cloud<\/td>CVE-2023-0669 (7,2)<\/td>2-4 Tage<\/td>Hoch (Admin-Panel oft exponiert)<\/td><\/tr>
IBM Sterling File Gateway<\/td>On-Premises \/ Hybrid<\/td>Keine kritischen CVEs 2023-2026 publiziert<\/td>Variiert stark<\/td>Mittel (komplexes Deployment)<\/td><\/tr>
Kiteworks MFT<\/td>Cloud \/ On-Premises<\/td>Keine kritischen CVEs 2023-2026 publiziert<\/td>k.A.<\/td>Mittel (Cloud-first reduziert Exposition)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Der Vergleich zeigt: Cloudbasierte oder cloud-first MFT-L\u00f6sungen reduzieren die direkte Angriffsfl\u00e4che, indem der Anbieter f\u00fcr Patches und Exposition verantwortlich ist. On-premises-Deployments bieten mehr Datensouver\u00e4nit\u00e4t, erfordern aber konsequentes und schnelles Patch-Management. Organisationen, die ihren MFT-Stack nach dem MOVEit-Vorfall 2023 nicht neu bewertet haben, sollten CVE-2026-4670 als Ausl\u00f6ser f\u00fcr eine vollst\u00e4ndige Risikoanalyse nutzen.<\/p>\n\n\n\n

Expertenmeinungen: Systemisches Risiko in MFT-Infrastruktur<\/h2>\n\n\n\n

Sicherheitsexperten sehen in CVE-2026-4670 nicht nur eine weitere kritische Schwachstelle, sondern den Beleg f\u00fcr ein systemisches Problem im MFT-Sektor. Ryan Hicks von Beazley Security beschreibt das strukturelle Dilemma: “MFT-Systeme sind architektonisch als Konvergenzpunkte f\u00fcr Datenfl\u00fcsse designed. Das ist ihr Wert f\u00fcr Unternehmen und gleichzeitig ihr Risiko: Wer einen solchen Konvergenzpunkt kontrolliert, kontrolliert potentiell alle Datenfl\u00fcsse der Organisation.”<\/p>\n\n\n\n

runZero betonte in seiner Analyse: “Ein CVSS-Score von 9,8 f\u00fcr eine nicht authentifizierungsgesicherte Schwachstelle ist die h\u00f6chstm\u00f6gliche Risikoeinstufung. Jede \u00fcber das Internet erreichbare MOVEit Automation-Instanz ist bis zur Patchumsetzung als kompromittiert zu behandeln.” Das Unternehmen ermutigte alle Asset-Management-Kunden, sofort nach betroffenen Systemen zu suchen und Erkennungsregeln zu aktivieren.<\/p>\n\n\n\n

Auf Branchenebene warnen mehrere Analysten, dass die zunehmende Automatisierung von Dateitransfers, ausgel\u00f6st durch Digitalisierungsprojekte in der \u00f6ffentlichen Verwaltung und im Finanzsektor, die Angriffsfl\u00e4che f\u00fcr MFT-Schwachstellen systematisch vergr\u00f6\u00dfert. Jede neue Integration, jede neue Partnerverbindung \u00fcber MOVEit Automation, erh\u00f6ht den potenziellen Schaden einer zuk\u00fcnftigen Kompromittierung. Die NIS2-Richtlinie und DORA treiben genau diese Digitalisierung voran, ohne dass in allen F\u00e4llen die Sicherheitsarchitektur der eingesetzten Plattformen parallel mitbewertet wird.<\/p>\n\n\n\n

F\u00fcnf Prognosen f\u00fcr MFT-Sicherheit 2026 und 2027<\/h2>\n\n\n\n

Die Enth\u00fcllung von CVE-2026-4670 wird Konsequenzen haben, die \u00fcber den unmittelbaren Patch hinausgehen. Basierend auf dem Muster fr\u00fcherer MFT-Schwachstellen und der aktuellen Bedrohungslandschaft sind diese f\u00fcnf Entwicklungen wahrscheinlich:<\/p>\n\n\n\n

  1. Aktive Ausnutzung innerhalb von 30 Tagen nach Offenlegung.<\/strong> Der Zeitraum zwischen der Ver\u00f6ffentlichung eines CVSS-9,8-Patches und dem ersten best\u00e4tigten aktiven Exploit hat sich in der MFT-Kategorie seit 2021 konsistent auf unter 30 Tage verk\u00fcrzt. CVE-2026-4670 wird voraussichtlich diesem Muster folgen, sobald Angreifer Proof-of-Concept-Exploits entwickeln und testen.<\/li>
  2. Cl0p oder Nachfolgegruppen nehmen MOVEit Automation ins Visier.<\/strong> Die Cl0p-Gruppe hat bewiesen, dass massenhafte Ausnutzung von MFT-Schwachstellen profitabel ist. CVE-2026-4670 wird als Vorlage f\u00fcr eine erneute Kampagne analysiert, selbst wenn kein aktiver Angriff im ersten Offenlegungsfenster stattfindet.<\/li>
  3. EU-Regulatoren f\u00fchren Pflicht-MFT-Audits f\u00fcr NIS2-Entit\u00e4ten ein.<\/strong> Die H\u00e4ufigkeit kritischer MFT-Schwachstellen wird Regulatoren wie ENISA dazu veranlassen, sektorspezifische Richtlinien f\u00fcr sichere MFT-Deployment-Muster zu ver\u00f6ffentlichen, m\u00f6glicherweise mit verpflichtenden Audits f\u00fcr kritische Infrastruktur bis Ende 2027.<\/li>
  4. Cloudbasierte MFT-L\u00f6sungen gewinnen Marktanteile auf Kosten von On-Premises-Produkten.<\/strong> Jede kritische Schwachstelle in on-premises MFT-Software verst\u00e4rkt den Druck auf CISOs, zu SaaS-basierten Alternativen zu wechseln, bei denen der Anbieter f\u00fcr Patches und Perimeter-Schutz verantwortlich ist. Dieser Trend beschleunigt sich nach CVE-2026-4670.<\/li>
  5. Netzwerksegmentierung wird zur regulatorischen Pflichtanforderung f\u00fcr MFT-Deployments.<\/strong> Sicherheitsframeworks werden Segmentierungsanforderungen f\u00fcr MFT-Systeme explizit vorschreiben, um Lateral Movement nach einer Kompromittierung zu begrenzen. BSI Grundschutz und ISO 27001-Implementierungsanleitungen werden entsprechende Aktualisierungen erhalten.<\/li><\/ol>\n\n\n\n

    Empfohlene Sofortma\u00dfnahmen f\u00fcr Administratoren<\/h2>\n\n\n\n

    F\u00fcr Organisationen, die MOVEit Automation einsetzen, ergibt sich ein klarer Handlungsplan. Progress Software hat keine Mehrdeutigkeit in ihrer Kommunikation gelassen: Es gibt keinen Workaround, nur ein Upgrade sch\u00fctzt.<\/p>\n\n\n\n

    1. Bestandsaufnahme:<\/strong> Alle MOVEit Automation-Installationen identifizieren und installierte Versionsnummern dokumentieren. Dabei den Build-Track (12.x.0.x oder 12.x.1.x) feststellen.<\/li>
    2. Netzwerkzugriff einschr\u00e4nken:<\/strong> Bis zum abgeschlossenen Upgrade den Netzwerkzugriff auf MOVEit Automation auf vertrauensw\u00fcrdige interne IPs beschr\u00e4nken und alle eingehenden Verbindungen aus dem Internet blockieren.<\/li>
    3. Upgrade durchf\u00fchren:<\/strong> Das vollst\u00e4ndige Installer-Paket der Zielversion von der Progress-Webseite herunterladen und das Upgrade nach interner Testprozedur umsetzen. F\u00fcr kritische Produktionssysteme empfiehlt sich ein vorheriger Snapshot oder Backup.<\/li>
    4. Forensische \u00dcberpr\u00fcfung:<\/strong> Nach dem Upgrade Zugriffslogs auf anomale Aktivit\u00e4ten pr\u00fcfen, besonders auf ungew\u00f6hnliche Authentifizierungsversuche und administrative Zugriffsaktionen aus unbekannten IPs.<\/li>
    5. Incident-Response-Plan aktivieren:<\/strong> Wenn Anzeichen einer Kompromittierung vorliegen, den vollst\u00e4ndigen Incident-Response-Plan aktivieren und rechtliche sowie beh\u00f6rdliche Meldepflichten nach NIS2, DSGVO und DORA pr\u00fcfen.<\/li><\/ol>\n\n\n\n

      H\u00e4ufig gestellte Fragen zu CVE-2026-4670<\/h2>\n\n\n\n