14. Mai 2026 | Artikel drucken |

Ivanti Connect Secure wieder in der CISA KEV: Dritter Vorfall in 18 Monaten

7 Min. Lesezeit · Threat-Briefing

Die CISA hat in dieser Woche eine weitere Ivanti-Connect-Secure-Schwachstelle in ihren Known-Exploited-Vulnerabilities-Katalog aufgenommen. Es ist der dritte größere Vorfall mit dem VPN-Gateway-Hersteller in 18 Monaten. Mandiant beobachtet aktive Ausnutzung durch staatlich gestützte Gruppen in mindestens drei DACH-KRITIS-Sektoren. Parallel hat Eclypsium technische Indikatoren veröffentlicht, die auf eine in-memory-Verankerung deuten. Der M-Trends-Report 2026 ordnet VPN-Appliances zum zweiten Mal in Folge als Initial-Access-Vektor Nummer eins ein, vor exponierten Edge-Services und vor Phishing. Für CISOs ist das kein Patch-Thema, sondern eine strategische Frage: Wie lange bleibt Ivanti im Schlüssel-Pfad, und wenn ja, unter welchen Bedingungen.

Das Wichtigste in Kürze

  • Dritter Ivanti-Vorfall in 18 Monaten: Die kumulative Vertrauensfrage gegenüber dem Hersteller verschärft sich. Strukturelle Probleme im Secure-Development-Lifecycle sind nicht mehr Einzelfall.
  • VPN-Appliances bleiben Initial-Access-Vektor Nr 1: Mandiant M-Trends 2026 dokumentiert das in 38 Prozent der Konzern-Vorfälle. Edge-Geräte sind 2026 das exponierteste Element der Konzern-Topologie.
  • Härten oder ablösen: CISOs stehen 2026 vor einer Entscheidung, die nicht mehr nur taktisch ist. Schnelle Härtung in 30 Tagen ist möglich, eine Ablösung dauert sechs bis zwölf Monate und braucht Vorstands-Mandat.

VerwandteBPF-Monitoring in Kubernetes  /  Detection-Engineering ohne Vendor-Lock

Was passiert ist

Der neue CVE betrifft Ivanti Connect Secure und Ivanti Policy Secure in mehreren aktiv eingesetzten Versionen. CISA hat die Lücke binnen 48 Stunden nach Bekanntwerden in die KEV aufgenommen, die Federal-Frist für betroffene US-Behörden läuft auf zwei Wochen. Im DACH-Raum ist die Frist nicht verbindlich, aber die KEV-Aufnahme ist der inoffizielle Trigger für jeden ernsthaften CISO-Standard.

Mandiant meldet in seinem Flash-Update, dass die Schwachstelle aktiv ausgenutzt wird, mit Pattern, die auf eine bereits etablierte staatlich gestützte Cluster-Aktivität zurückgehen. Erste Indikatoren wurden in DACH-Energie- und Telekommunikations-Netzen beobachtet. Eclypsium hat technische Details zu einem in-memory-Persistenz-Mechanismus veröffentlicht, der klassische Patch-Routinen umgeht: der Patch schließt die initiale Lücke, entfernt aber nicht die im RAM verankerte Backdoor. Wer nur patcht und nicht rebootet plus forensisch prüft, hat das Risiko nicht eliminiert.

Ivanti hat innerhalb von 24 Stunden ein Hotfix-Paket bereitgestellt. In den ersten 72 Stunden nach Release sind aus DACH-NOC-Telemetrie etwa 60 Prozent der exponierten Geräte gepatcht, was schneller ist als bei den beiden Vorfällen in Q4 2024 und Q2 2025. Der operative Reflex sitzt also, aber er reicht 2026 nicht mehr, um die Vertrauensfrage zu beantworten.

Eskalationslage 2026

38 Prozent aller Konzern-Vorfälle laut Mandiant M-Trends 2026 starten an einer VPN- oder Edge-Appliance. Dritter Ivanti-Connect-Secure-Vorfall in 18 Monaten. CISA-KEV-Aufnahme binnen 48 Stunden. Mindestens drei DACH-KRITIS-Sektoren aktiv betroffen. Patch allein reicht nicht: in-memory-Persistenz erfordert Reboot plus forensische Prüfung.

Was CISOs jetzt entscheiden müssen

Drei Entscheidungsfelder lassen sich 2026 nicht in die Operations-Schicht delegieren.

Sofort-Härtung in 30 Tagen. Patch plus Reboot plus Indicator-Sweep ist Minimum. Wer 2026 die Ivanti-Appliances behalten will, sollte zusätzlich Multi-Faktor-Authentifizierung am VPN-Gateway erzwingen, Session-Limits einschränken, geographische Login-Filter aktivieren und das Monitoring auf SAML-Token-Anomalien schärfen. Das sind 30-Tage-Maßnahmen, die in einem ernsthaften SOC machbar sind.

Mittelfristige Architektur-Entscheidung in sechs Monaten. Bleibt Ivanti im Schlüssel-Pfad, oder migriert die Organisation zu einer Zero-Trust-Network-Access-Architektur? ZTNA-Lösungen wie Zscaler Private Access, Cloudflare Access oder Netskope Private Access reduzieren die Angriffsfläche, weil keine direkt exponierte VPN-Appliance mehr existiert. Die Migration dauert sechs bis zwölf Monate und braucht Vorstands-Mandat plus Budget zwischen 600.000 und 2,4 Millionen Euro für mittelgroße DACH-Setups.

Vendor-Diversifikation als Strategie. Auch wer Ivanti behält, sollte mittelfristig nicht mehr alle Standorte über einen Hersteller anbinden. Dual-Vendor-Strategien mit zwei VPN- oder ZTNA-Anbietern auf den kritischen Standorten reduzieren das Single-Vendor-Lock-Risiko, das 2024 bis 2026 wiederholt zur Krise wurde.

Pros und Cons der drei Pfade

Pro Patch + Härten

  • Schnellster Pfad, 30 Tage realistisch
  • Kein Architektur-Change nötig
  • Bestehende Skills im Team nutzbar
  • Vertretbar wenn Vorfall einmalig wäre

Contra Patch + Härten

  • Strukturelles Vendor-Vertrauensrisiko bleibt
  • Nächster Vorfall ist statistisch fällig
  • Reputation gegenüber Aufsicht angeschlagen
  • Kosten kumulieren über Vorfälle hinweg

Pro ZTNA-Migration

  • Angriffsfläche signifikant reduziert
  • Zero-Trust-Stand bei Audits
  • Cloud-native Integration mit IdP
  • Reduziert Edge-Appliance-Komplexität

Contra ZTNA-Migration

  • Sechs bis zwölf Monate Migrationszeit
  • Budget-Wirkung sechsstellig bis siebenstellig
  • Vorstands-Mandat erforderlich
  • Lernkurve für Team und Anwender

Pro Dual-Vendor

  • Risikostreuung über zwei Hersteller
  • Verhandlungs-Hebel bei Procurement
  • Bei Vendor-Krise schneller Switch
  • Pragmatischer Kompromiss

Contra Dual-Vendor

  • Doppelte Betriebskomplexität
  • Zwei Update-Zyklen, zwei Audit-Trails
  • Höhere Lizenzkosten in Summe
  • Skill-Anforderungen wachsen

Der 30-60-180-Tage-Plan

Operative Sequenz nach KEV-Aufnahme

Tag 1 bis 7. Patch deployen, alle Appliances rebooten, Indicator-of-Compromise-Sweep gegen Eclypsium- und Mandiant-Indikatoren, betroffene Sessions invalidieren, alle aktiven SAML-Token rotieren.

Tag 8 bis 30. Forensische Tiefenprüfung der Appliances auf in-memory-Persistenz, MFA-Pflicht am VPN-Login durchsetzen, Geo-Filter aktivieren, Session-Limits einschränken, SOC-Detections auf SAML-Token-Anomalien schärfen.

Tag 31 bis 90. Architektur-Review mit Vorstand: ZTNA-Migration vorbereiten oder Dual-Vendor-Plan aufsetzen, Procurement-Verträge mit Sicherheits-SLA-Klauseln nachverhandeln, NIS2-Reporting-Pflicht für DACH-betroffene Töchter prüfen.

Tag 91 bis 180. ZTNA-Pilot in zwei Geschäftsbereichen starten, Dual-Vendor-Setup für kritische Standorte vorbereiten, Lessons-Learned in den Konzern-Standard zurückführen, externe Audit-Validierung beauftragen.

Zeitstrahl mit den drei Phasen der Incident-Response nach einem kritischen Sicherheitsvorfall bei Ivanti-Appliances.
30-60-180-Tage-Plan: Schrittweise Sicherheit von der Sofortreaktion bis zur langfristigen Absicherung.

Häufige Fragen

Wie schwerwiegend ist der dritte Ivanti-Vorfall im Vergleich zu den vorherigen?

Vergleichbar in Auswirkung, schwerer in der Vertrauensdimension. Der dritte Vorfall in 18 Monaten verschiebt die Frage vom Einzelvorfall zur strukturellen Lieferantenfrage. Aufsichten, Versicherer und Cyber-Insurance-Carrier werden 2026 zunehmend nach einem konkreten Maßnahmenplan fragen, nicht nach einer Patch-Bestätigung.

Welche Indikatoren sollten SOC-Teams jetzt
einbauen?

Mandiant und Eclypsium haben Hash-Indikatoren, IP-R
anges und Behavioral-Indicators veröffentlicht. SOC-Teams sollten YARA-Regeln gegen die in-memory-Persistenz-Signaturen, Sigma-Rules für SAML-Token-Reuse-Anomalien und EDR-Detections für anomale Outbound-Verbindungen aus der VPN-Appliance einrichten. Falco oder Tetragon mit eBPF-Telemetrie liefert dabei die belastbarste Sicht.

Müssen NIS2-Pflichtige die KEV-Aufnahme melden?

Nicht die Aufnahme selbst, aber jeden bestätigten Vorfall. Wer in seiner Telemetrie Hinweise auf eine erfolgreiche Ausnutzung sieht, muss innerhalb der NIS2-Fristen melden, das sind 24 Stunden für die Frühwarnung und 72 Stunden für den Vorfallsbericht. Eine reine KEV-Aufnahme ohne eigene Indikatoren ist nicht meldepflichtig.

Lohnt sich eine sofortige ZTNA-Migration?

Wenn die Organisation ohnehin in den nächsten 18 Monaten ihre Edge-Architektur überdenken muss, ja. ZTNA löst nicht nur das Ivanti-Problem, sondern reduziert auch andere VPN-Risiken und liefert eine bessere Audit-Position für NIS2 und Cyber-Insurance. Wer kurzfristig ZTNA aufsetzt, ohne strategische Planung, baut sich neue Komplexität ein.

Was ist der häufigste Fehler nach einer KEV-Aufnahme?

Patch und Akte schließen. In-memory-Persistenz wird so übersehen, weil die Schwachstelle als geschlossen gilt. Eine ernsthafte Reaktion umfasst Patch, Reboot, forensische Prüfung und mindestens 90-Tage-Monitoring. Wer das auf Tag 1 reduziert, hat das Risiko nicht beseitigt, sondern aus dem Reporting entfernt.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazinKI frisst Strom, die Cloud bekommt die Rechnung

MyBusinessFutureProduktivität statt Sparprogramm: Wie der Mittelstand 2026 wirklich entlastet

Digital ChiefsPost-Quantum-Kryptographie: Der Countdown für die Konzern-IT läuft

Quelle Titelbild: KI-generiert via nano

Titelbild und Infografik: KI-generiert (Mai 2026)

Artikel drucken
Tobias Massow

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH