Kritische Ivanti-Sicherheitslücke: Was deutsche Unternehmen jetzt sofort tun müssen

Amerikanische Behörden haben drei Tage Zeit, eine aktiv ausgenutzte Schwachstelle in Ivanti Sentry zu schließen – eine Dringlichkeit, die auch für deutsche IT-Abteilungen ein klares Signal sein sollte.

1. Was ist passiert – und warum betrifft das auch Deutschland?

Die US-amerikanische Cybersicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency) hat am 12. Juni 2026 eine verbindliche Anweisung herausgegeben: Bundesbehörden müssen eine aktiv ausgenutzte Schwachstelle in Ivanti Sentry innerhalb von nur drei Tagen schließen. Grundlage ist die sogenannte Binding Operational Directive (BOD) 26-04 – ein Instrument, das US-Behörden zu sofortigem Handeln bei kritischen Sicherheitslücken verpflichtet.

Für viele deutsche IT-Verantwortliche klingt das zunächst wie eine amerikanische Behördenangelegenheit. Doch der Eindruck täuscht: Ivanti-Produkte sind weltweit im Einsatz, auch in zahlreichen deutschen Behörden, Kommunen, Krankenhäusern und Unternehmen aus dem KRITIS-Umfeld. Ivanti Sentry ist eine Mobile-Device-Management-Lösung (MDM), die als Gatekeeper zwischen mobilen Endgeräten und Unternehmensservern fungiert – ein zentrales Element vieler IT-Infrastrukturen.

Wenn eine solche Komponente aktiv angegriffen wird, ist das kein akademisches Problem mehr. Es ist ein laufender Angriff – und die Uhr tickt.

2. Technischer Hintergrund: Was steckt hinter der Ivanti-Sentry-Schwachstelle?

Ivanti Sentry (früher bekannt als MobileIron Sentry) ist eine Middleware-Lösung, die den Datenverkehr zwischen mobilen Geräten und Backend-Systemen wie Microsoft Exchange oder internen Applikationsservern steuert und absichert. Sie sitzt damit an einer besonders sensiblen Stelle im Netzwerk.

Die aktuell ausgenutzte Schwachstelle ermöglicht es Angreifern nach aktuellem Kenntnisstand, ohne vorherige Authentifizierung auf administrative Funktionen zuzugreifen – ein sogenannter Unauthenticated Remote Code Execution (RCE)-Angriff oder ein vergleichbarer Angriffspfad mit hohem CVSS-Score. Solche Lücken werden in der Praxis für folgende Szenarien missbraucht:

  • Einschleusen von Malware auf den Sentry-Server selbst
  • Seitliche Bewegung im Netzwerk (Lateral Movement) zu angebundenen Systemen
  • Abgriff von Zugangsdaten aus dem Datenverkehr mobiler Geräte
  • Manipulation von MDM-Konfigurationen, um Endgeräte dauerhaft zu kompromittieren

Besonders gefährlich: Ivanti-Produkte wurden in den vergangenen Jahren wiederholt Ziel hochkarätiger Angriffe – unter anderem durch staatlich gesponserte Akteure aus China und Russland. Das BSI hat in diesem Zusammenhang bereits mehrfach Warnmeldungen und Sicherheitshinweise herausgegeben.

Wichtig: Prüfen Sie sofort, ob Ivanti Sentry in Ihrer Umgebung eingesetzt wird – auch in Tochtergesellschaften und bei externen Dienstleistern.

3. NIS2-Relevanz: Welche Pflichten entstehen für deutsche Unternehmen?

Die NIS2-Richtlinie (EU 2022/2555), in Deutschland umgesetzt durch das überarbeitete BSI-Gesetz (BSIG), stellt klare Anforderungen an betroffene Einrichtungen – und aktiv ausgenutzte Schwachstellen wie diese sind genau der Anwendungsfall, für den diese Pflichten geschaffen wurden.

Welche Unternehmen sind betroffen?

NIS2 gilt für wesentliche und wichtige Einrichtungen in 18 Sektoren, darunter:

Sektor Beispiele
Gesundheitswesen Krankenhäuser, Labore, MDR-Hersteller
Digitale Infrastruktur Rechenzentren, Cloud-Anbieter, DNS
Öffentliche Verwaltung Bundesbehörden, Landesbehörden
Transport & Verkehr Flughäfen, Eisenbahnen, Logistik
Energie Strom-, Gas- und Wärmeversorger
Finanzwesen Banken, Zahlungsdienstleister

Konkrete Pflichten im aktuellen Fall

  1. Schwachstellenmanagement (Art. 21 NIS2): Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um Schwachstellen zeitnah zu identifizieren und zu beheben. Eine aktiv ausgenutzte Lücke wie diese erfordert sofortiges Handeln.

  2. Meldepflicht (Art. 23 NIS2 / § 30 BSIG-neu): Kommt es zu einem Sicherheitsvorfall, der durch diese Schwachstelle verursacht wurde, gilt eine 24-Stunden-Erstmeldepflicht beim BSI. Eine vollständige Meldung muss innerhalb von 72 Stunden erfolgen.

  3. Lieferkettenrisiken (Art. 21 Abs. 2d NIS2): Wenn Ivanti Sentry als Produkt eines Drittanbieters eingesetzt wird, sind Sie als Betreiber dennoch für die Absicherung verantwortlich. Hersteller und Dienstleister müssen in Ihr Risikomanagement einbezogen werden.

  4. Dokumentationspflicht: Alle ergriffenen Maßnahmen – Patches, Workarounds, Monitoring-Aktivitäten – sollten lückenlos dokumentiert werden. Im Ernstfall ist das gegenüber dem BSI und möglichen Aufsichtsbehörden Ihr wichtigstes Entlastungsdokument.

Das BSI empfiehlt, die eigene Warn- und Informationsdienste (WID)-Seite regelmäßig zu prüfen: https://wid.cert-bund.de

4. Praktische Schutzmaßnahmen: Was Sie jetzt konkret tun sollten

✅ Maßnahme 1: Sofortige Bestandsaufnahme

Überprüfen Sie unverzüglich, welche Version von Ivanti Sentry in Ihrer Umgebung betrieben wird. Nutzen Sie Ihr CMDB (Configuration Management Database) oder befragen Sie Ihren MDM-Dienstleister. Vergessen Sie dabei nicht:

  • Cloud-gehostete Instanzen
  • Instanzen in Tochterfirmen oder Niederlassungen
  • Extern verwaltete Systeme bei Managed Service Providern (MSPs)

✅ Maßnahme 2: Patch sofort einspielen

Ivanti hat für die betroffene Schwachstelle einen Sicherheitspatch veröffentlicht. Spielen Sie diesen umgehend ein – idealerweise noch heute. Folgen Sie dabei den offiziellen Ivanti-Sicherheitshinweisen unter https://forums.ivanti.com/s/article/Security-Advisory und dem zugehörigen CVE-Eintrag im National Vulnerability Database (NVD).

Kann ein sofortiger Patch nicht eingespielt werden (z. B. aufgrund von Wartungsfenstern), setzen Sie temporäre Gegenmaßnahmen um:
- Zugriff auf den Sentry-Administrationsport auf bekannte IP-Adressen beschränken
- Netzwerksegmentierung verschärfen
- Externe Erreichbarkeit vorübergehend deaktivieren

✅ Maßnahme 3: Aktive Angriffserkennung aktivieren

Prüfen Sie Ihre SIEM- und EDR-Systeme auf Indicators of Compromise (IoCs), die mit dieser Schwachstelle in Verbindung stehen. Ivanti und CISA veröffentlichen in solchen Fällen in der Regel IoC-Listen. Typische Anzeichen eines Angriffs:

  • Ungewöhnliche Prozesse auf dem Sentry-Server
  • Neue oder unbekannte Administratorenkonten
  • Anomaler ausgehender Datenverkehr
  • Fehlgeschlagene und erfolgreiche Logins aus unbekannten IP-Adressen

✅ Maßnahme 4: Lieferanten und MSPs in die Pflicht nehmen

Falls Ivanti Sentry von einem externen Dienstleister betrieben wird: Fordern Sie unverzüglich eine schriftliche Bestätigung, dass der Patch eingespielt wurde oder wann dies geplant ist. Dokumentieren Sie diese Kommunikation. Gemäß NIS2 tragen Sie als Auftraggeber die Verantwortung für die Sicherheit Ihrer gesamten Lieferkette – auch für Systeme, die Sie nicht selbst betreiben.

✅ Maßnahme 5: Vorfallsreaktion vorbereiten und proben

Nutzen Sie diesen Vorfall als Anlass, Ihren Incident-Response-Plan zu überprüfen. Stellen Sie sicher, dass folgende Punkte geklärt sind:

  • Wer ist im Ernstfall der BSI-Melder? (Benennung eines Ansprechpartners ist Pflicht nach NIS2)
  • Wie wird intern über Sicherheitsvorfälle kommuniziert?
  • Welche externen Dienstleister (forensische IT, Rechtsanwalt) sind im Notfall erreichbar?
  • Ist die 24-Stunden-Meldefrist operativ umsetzbar?

✅ Bonus-Maßnahme: Zero-Trust-Architektur vorantreiben

Vorfälle wie dieser zeigen, warum der Ansatz „Vertraue, aber überprüfe" ausgedient hat. Überprüfen Sie, ob Sie auf dem Weg zu einer Zero-Trust-Architektur sind, bei der kein Gerät und kein Benutzer per se als vertrauenswürdig gilt – auch nicht innerhalb des eigenen Netzwerks.

5. Fazit: Schnelligkeit ist kein Luxus – sie ist Pflicht

Die Anweisung der CISA mag amerikanisches Recht sein. Die Realität dahinter ist global: Aktiv ausgenutzte Schwachstellen in weit verbreiteten Enterprise-Produkten wie Ivanti Sentry warten nicht auf Wartungsfenster oder Genehmigungsprozesse. Angreifer – staatliche wie kriminelle – bewegen sich schnell und gezielt.

Für deutsche Unternehmen unter NIS2 kommt hinzu: Wer nicht handelt, riskiert nicht nur einen Sicherheitsvorfall, sondern auch empfindliche Bußgelder (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen) und regulatorische Konsequenzen.

Die gute Nachricht: Wer ein strukturiertes Schwachstellenmanagement, klare Meldeprozesse und ein gepflegtes Asset-Inventar hat, kann auf solche Vorfälle schnell und souverän reagieren.

💡 Tipp für Ihre NIS2-Compliance

Vorfälle wie dieser machen deutlich, wie entscheidend ein zentrales NIS2-Compliance-Management ist: von der automatisierten Schwachstellenverfolgung über die Dokumentation von Schutzmaßnahmen bis hin zur revisionssicheren Meldung an das BSI. Spezialisierte NIS2-Compliance-Software hilft IT-Teams dabei, den Überblick zu behalten, Fristen einzuhalten und im Auditfall alle Maßnahmen lückenlos nachzuweisen. Eine Investition, die sich spätestens beim nächsten kritischen Patch-Dienstag auszahlt.

Quellen: CISA BOD 26-04 (12.06.2026), Bleeping Computer, BSI-Warnmeldungen (cert-bund.de/wid), ENISA Threat Landscape 2025, NIS2-Richtlinie EU 2022/2555, BSI-Gesetz (BSIG)