Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnmeldung innerhalb weniger Tage dreimal aktualisiert und die Farbe auf „Orange“ stellt, sollten bei jedem Admin die Alarmglocken läuten. Heute Morgen erschien die Version 1.3 des Hinweises zu Ivanti Endpoint Manager Mobile (EPMM) – vielen noch als MobileIron Core bekannt.
Ich habe das Dokument (BITS-H Nr. 2026-221601-1332) Zeile für Zeile analysiert. Was ich fand, ist beunruhigend: Es geht nicht nur um zwei kritische Sicherheitslücken mit dem maximalen Risikofaktor. Es geht um die hohe Wahrscheinlichkeit, dass Angreifer bereits seit über einem halben Jahr unbemerkt in deutschen Unternehmensnetzwerken operieren.
Der Albtraum eines jeden Admins: CVSS 9.8
Die nackten Zahlen sind brutal. Die Schwachstellen CVE-2026-1281 und CVE-2026-1340 wurden mit einem CVSS-Score von 9.8 („kritisch“) bewertet. Das bedeutet im Klartext: Ein Angreifer benötigt keine Authentifizierung und keinen physischen Zugriff. Er kann aus der Ferne beliebigen Code ausführen – und das mit den höchsten Rechten.
Betroffen sind alle Versionen von Ivanti EPMM ab 12.7.0.0 und niedriger. Das BSI und die Shadowserver Foundation haben allein in Deutschland rund 550 dieser Appliances identifiziert, die offen im Netz stehen. Wenn Sie eine davon betreiben, ist die Wahrscheinlichkeit hoch, dass Sie nicht mehr der alleinige Administrator sind.
Warum Patchen allein diesmal nicht reicht
Das ist der Punkt, an dem diese Warnung sich von anderen unterscheidet. Ivanti hat zwar Hotfixes (RPM-Skripte) bereitgestellt, aber meine Analyse der BSI-Daten zeigt ein düsteres Bild: Die Ausnutzung findet mindestens seit Sommer 2025 statt.
Das bedeutet für mich als Sicherheitsanalyst: Ein Patch schließt heute zwar die Tür, aber der Einbrecher wohnt vielleicht schon seit Monaten im Keller. Angreifer nutzen .jsp-Dateien (z.B. /mifs/401.jsp), die als Backdoors im Arbeitsspeicher fungieren. Wer jetzt nur patcht und nicht nach Spuren sucht, wiegt sich in falscher Sicherheit. Die Täter warten oft nur auf einen Trigger, um zuzuschlagen oder Daten abzuziehen.
Die Jagd nach den „Sleeper Shells“
Was müssen wir jetzt tun? Das bloße Einspielen der RPM-Updates (z.B. für Version 12.x.0.x) ist Pflicht, aber nur der erste Schritt. Das BSI und Ivanti haben in Zusammenarbeit mit dem niederländischen NCSC Erkennungsskripte veröffentlicht.
Ich rate dringend dazu, diese Skripte vor und nach dem Patchen laufen zu lassen. Untersuchen Sie Logs nicht nur auf Aktivitäten der letzten Woche, sondern gehen Sie zurück bis Juli 2025. Achten Sie auf HTTP-Statuscodes 404 bei Zugriffen auf /mifs/ Pfade. Das BSI warnt explizit: Ein Neustart reicht nicht, um die im Speicher residierende Malware loszuwerden.
Laden Sie hier das vollständige Dokument „Ivanti EPMM: Aktive Angriffe über Zero-Day Schwachstellen beobachtet“ (Version 1.3) direkt vom BSI herunter.
PDF Öffnen →Im Endeffekt: Handeln oder Gehackt werden
Die Lage ist ernst. Wer Ivanti EPMM (MobileIron) einsetzt, verwaltet damit die sensibelsten Geräte des Unternehmens – die Smartphones der Mitarbeiter und Führungskräfte. Eine Kompromittierung hier bedeutet den Verlust von Identitäten, Kontakten und Standortdaten.
Im Endeffekt gibt es keine Alternative zur sofortigen „Search & Destroy“-Mission in den eigenen Logs. Spielen Sie die Hotfixes ein, aber gehen Sie davon aus, dass Sie bereits Besuch hatten. Die BSI-Warnung vom 13. Februar 2026 ist kein Weckruf mehr – sie ist die Sirene.
Andere Artikel:
- Metasploit Update-Report Q1/2026
- Taiga.io RCE (CVE-2025-62368)
- Magento „SessionReaper“ (CVE-2025-54236)
- Burp Suite Persistence
- Remote Code Execution (RCE)
- WordPress XML-RPC Attacks erklärt
- Fritzbox Fernzugriff ohne VPN
- Sicherheitslücken bei Bluetooth-Kopfhörern
- Kali Linux vs. BlackArch vs. Parrot OS
- Passwortsicherheit heute
