Ivanti: Notfall-Patches nach Angriffen auf EU-Behörden

Zwei kritische Zero-Day-Lücken in Ivantis Mobile-Management-Software wurden bereits für Angriffe auf europäische Regierungsstellen genutzt. Das Unternehmen drängt Kunden zur sofortigen Installation von Notfall-Patches. Betroffen ist die On-Premise-Lösung Endpoint Manager Mobile (EPMM).

Die Sicherheitslücken mit den Kennungen CVE-2026-1281 und CVE-2026-1340 gelten als extrem kritisch. Sie ermöglichen Angreifern die vollständige Fernsteuerung betroffener Systeme – ohne dass eine Anmeldung oder Benutzerinteraktion nötig wäre. Die Schwachstellen liegen in den Funktionen „In-House Application Distribution“ und „Android File Transfer“. Grundproblem: Das System verarbeitet Web-Anfragen mit simplen Bash-Skripten, die sich für die Ausführung von Schadcode missbrauchen lassen.

EU-Institutionen im Visier der Angreifer

Die praktische Gefahr wurde durch jüngste Angriffe auf europäische Behörden schlagartig deutlich. Die niederländische Regierung bestätigte am 9. Februar 2026 einen Hack vom 29. Januar. Betroffen waren die nationale Datenschutzbehörde (AP) und der Rat für die Rechtspflege (RVDR). Angreifer erbeuteten personenbezogene Daten von Mitarbeitern.

Viele Android-Geräte sind aktuell ein bevorzugtes Ziel — Funktionen wie „Android File Transfer“ lassen sich für Fernzugriff missbrauchen, wie der Ivanti-Fall zeigt. Das kostenlose Sicherheitspaket „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ erklärt praxisnah, welche Einstellungen Sie prüfen müssen, wie Sie Apps und Berechtigungen kontrollieren und wie Sie Datenlecks vermeiden. Ideal für IT‑Verantwortliche und Admins, die verwaltete Geräte sofort härten wollen. Gratis-Sicherheitspaket für Android anfordern

Fast zeitgleich wurde die Europäische Kommission getroffen. Ihr Mobile-Device-Management-System wurde am 30. Januar angegriffen, der Vorfall konnte binnen neun Stunden eingedämmt werden. Obwohl die Kommission die betroffene Software nicht nannte, deuten Zeitpunkt und Angriffsmuster stark auf die Ivanti-Lücken hin. Für das Unternehmen ist es ein weiterer Vorfall in einer Serie: Seit 2024 wurden bereits 19 seiner Produktschwachstellen aktiv ausgenutzt.

Notfall-Patches mit Haken – Behörden schlagen Alarm

Ivanti hat zwar Notfall-Patches bereitgestellt, doch diese sind nur temporäre Lösungen in Form von RPM-Skripten. Ein entscheidender Nachteil: Die Skripte müssen nach jeder Software-Aktualisierung erneut angewendet werden, bis ein offizielles Update erscheint.

Die US-Cybersicherheitsbehörde CISA hat CVE-2026-1281 in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen und forderte Bundesbehörden zur sofortigen Absicherung auf. Europäische Sicherheitsexperten gehen noch weiter. Das niederländische NCSC rät allen betroffenen Organisationen, von einer Kompromittierung ihrer Systeme auszugehen – selbst wenn bereits gepatcht wurde. Einige Analysten empfehlen gar, gefährdete, internetzugängliche Systeme komplett neu aufzusetzen und von einem schwerwiegenden Sicherheitsvorfall auszugehen.

Netzwerk-Komponenten im Fadenkreuz

Der Fall ist symptomatisch für eine bedrohliche Entwicklung: Immer häufiger werden internetorientierte Netzwerk-Komponenten zum Ziel von Angriffen. Produkte wie Ivanti EPMM sind prädestiniert für solche Attacken, da sie für ihre Funktion oft von außen erreichbar sein müssen – und so ein Einfallstor ins Firmennetzwerk bieten.

Ivanti steht dabei besonders im Fokus. Die CISA listet seit Ende 2021 insgesamt 31 kritische Ivanti-Schwachstellen in ihrem Katalog. Der Rhythmus aus Entdeckung und sofortiger, massiver Ausbeutung legt nahe, dass sowohl Cyberkriminelle als auch staatlich unterstützte Akteure die Produkte des Unternehmens genau beobachten.

Dauerhafte Lösung erst für Frühjahr 2026 angekündigt

Ein permanenter Fix ist in Arbeit. Ivanti plant, die endgültigen Patches in der Version EPMM 12.8.0.0 zu integrieren, die für das erstes Quartal 2026 angekündigt ist. Bis dahin bleibt die Lage angespannt.

Für alle betroffenen Organisationen – darunter möglicherweise auch deutsche Behörden und Unternehmen – bedeutet das: Die temporären Patches sind nur der erste Schritt. Nun müssen sie aktiv nach Anzeichen für Kompromittierungen suchen, Zugangslogs prüfen, alle relevanten Passwörter zurücksetzen und sich für das endgültige Update bereithalten. Die Lehre aus diesem Vorfall ist eindeutig: In der heutigen Bedrohungslage ist das Einspielen von Patches nur die Basis. Vom schlimmsten Fall auszugehen, ist die einzig vernünftige Strategie.

Übrigens: Verantwortliche für mobile Endgeräte in Unternehmen und Behörden können sofort handeln. Der kostenlose Android‑Schutz‑Report liefert Checklisten für sichere MDM‑Konfigurationen, automatische Update‑Kontrollen, App‑Prüfungen und praktische Schritte zur Schadsoftware‑Erkennung – alles leicht umsetzbar und per E‑Mail verfügbar. So machen Sie verwaltete Smartphones nicht zum Einfallstor in Ihr Firmennetz. Jetzt kostenlosen Android‑Schutz‑Report herunterladen