In den letzten Wochen haben mehrere europäische öffentliche Stellen bestätigt, dass sie Computerintrusionen erlitten haben, die mit Sicherheitsausfällen in einem mobilen Gerätemanagement-Tool verbunden sind. Dazu gehören die Niederlande Datenschutzbehörde (Autoriteit Persoonsgegevens, AP) und die Berater für die niederländische Justizverwaltung, die dem Parlament mitgeteilt, dass ihre Systeme nach der Ausnutzung von Sicherheitslücken in Ivanti Endpoint Manager Mobile (EPMM) beeinträchtigt wurden.
Ivanti EPMM ist eine Plattform zur Verwaltung mobiler Endgeräte, Anwendungen und Unternehmensinhalte und wird in der Regel verwendet, um Richtlinien zu gewährleisten, Anwendungen zu implementieren und Gerätevorräte zu verwalten. Wird ein Werkzeug mit dieser Steuerungsebene belichtet, so führt dies nicht nur die einzelnen Geräte, sondern auch die der Dienstverwaltung zugeordneten Betriebsinformationen durch. Gerade das Risiko, dass die jüngsten Vorfälle gezeigt haben: In einigen Fällen erreichten die Angreifer Daten über den Betrieb des Dienstes und der Mitarbeiter selbst, einschließlich Namen, Berufsposten und Telefonnummern.
Die Europäische Kommission berichtete auch über ähnliche Ergebnisse in ihrer zentralen Infrastruktur für mobiles Management, in der "Reisen" eines Zugangsversuchs entdeckt wurden, der es ermöglicht hätte, Namen und Mobilfunknummern von ihren Mitarbeitern zu sammeln. Laut der Institution war die Episode in weniger als neun Stunden enthalten und es gibt keine kompromittierten mobilen Geräte, obwohl die Forschung weiter. Die offizielle Mitteilung der Kommission ist verfügbar unter kommuniziert.
Finnland veröffentlichte ihrerseits eine Datenlücke, in der der staatliche Informationstechnologie-Anbieter Valerori er erklärte, dass bis zu 50.000 öffentliche Mitarbeiter seine Arbeitsinformationen offen gesehen hätten. Valtori hat den Vorfall auf die Ausbeutung einer Null-Tage-Verwundbarkeit im Gerätemanagement-Service zurückgeführt und behauptet, das Patch am selben Tag angewendet zu haben, dass Ivanti die Korrekturen veröffentlicht.
Ivanti veröffentlichte Lösungen für zwei identifizierte Fehler wie CVE-2026-1281 und CVE-2026-1340, beide mit sehr hohen CVSS-Scores (9.8), die Remote-Code Ausführung ohne Authentifizierung ermöglichen. Das Unternehmen erkannte auch, dass diese Schwachstellen bereits in der Natur als Nulltage genutzt wurden. Für diejenigen, die technische Informationen kontrastieren möchten, liefern die öffentlichen Sicherheitsdatensätze die entsprechenden Datenblätter in der nationalen Sicherheitsdatenbank: CVE-2026-1281 und CVE-2026-1340, und Ivanti selbst hält einen Abschnitt mit Sicherheitshinweisen auf ihrer offiziellen Website ( Iwanti Sicherheitsberater)
Ein besorgniserregendes Detail, das die Untersuchungen gezeigt haben, ist, dass das Managementsystem offenbar nicht dauerhaft einige Informationen gelöscht hat, wenn es gelöscht wurde: es markierte Daten als gelöscht, sondern tatsächlich beibehalten. Dies verstärkt den Umfang des Vorfalls, da Daten von Organisationen, die den Dienst im Laufe der Zeit genutzt haben, zugänglich gemacht werden konnten. Darüber hinaus kann in Unternehmensumgebungen das gleiche Gerät von mehreren Personen verwendet worden sein, was die Bilanzierung der Exposition weiter erschwert.
Diese Situationen sind nicht nur ein technisches Problem: ihre Folgen beinhalten Risiken von Supplantieren, gezielte Phishing und Bedrohungen für die Privatsphäre von Richtern, Beamten und öffentlichen Mitarbeitern. Wenn Namen, Arbeitsposten und Telefonnummern gefiltert werden, haben Angreifer sehr wertvolles Material, um überzeugende Social Engineering-Kampagnen zu erstellen. Darüber hinaus bedeutet die Wirkung von Managementsystemen die Möglichkeit, einen späteren Zugang zu vertiefen, wenn er nicht schnell und transparent gehandelt wird.
Die übliche Antwortagenda ist, Patches sofort anzuwenden, den Zugang zu prüfen, die Wiederherstellung von Anmeldeinformationen bei Bedarf zu zwingen und die Authentifizierungskontrollen von Multi-Faktoren zu überprüfen. Es ist auch wichtig zu untersuchen, ob andere Datentypen ausgefiltert wurden, die Beharrlichkeit des Angreifers zu bewerten und die zuständigen Behörden und die betroffenen Personen gemäß den rechtlichen Verpflichtungen jedes Landes zu benachrichtigen. Im niederländischen Fall sind Informationen über die Kommunikation mit dem Parlament und erste Maßnahmen in dem oben genannten offiziellen Dokument enthalten.
Aus einer breiteren Perspektive stellten diese Vorfälle erneut die Bedeutung der Bewältigung von Risiken in der digitalen Lieferkette auf den Tisch. Viele Organisationen delegieren kritische Funktionen an externe Lieferanten und Management-Tools, die, wenn sie ausnutzbare Schwachstellen enthalten, einen einzigen Schwachpunkt in einen Vektor mit kreuzschneidender Wirkung verwandeln. Die Überwachung von Patches, Netzwerksegmentierung, kontinuierliche Überwachung und klare Sicherheitsvereinbarungen mit Lieferanten sind Praktiken, die nach solchen Ereignissen verstärkt werden sollten.
Für diejenigen, die sich vertiefen wollen: Das National Cybersecurity Centre (NCSC) der Niederlande ist in der Regel der erste Akteur, der Antworten auf solche Warnungen auf nationaler Ebene koordiniert und nützliche Anleitungen und Warnungen für Verwaltungen und Unternehmen veröffentlicht. Die englischsprachige Website enthält praktische Beratungsressourcen für das Vorfallmanagement. Die amtlichen Anmerkungen der betroffenen Stellen - wie die der Europäischen Kommission, der niederländischen Regierung und Valtori - bieten gleichzeitig Transparenz über den Umfang, die Zeit und die getroffenen Maßnahmen.
Kurz gesagt, wir stehen vor einer starken Erinnerung, dass Werkzeuge, die Geräte und Daten in Unternehmens- und Regierungsumgebungen verwalten, die gleiche Sicherheitshinweise erhalten sollten wie Systeme, die kritische Informationen speichern. Die Geschwindigkeit und Klarheit der Kommunikation mit Mitarbeitern und Bürgern sind heute die erste Linie der Verteidigung gegen Leckagen, die, obwohl in vielen Fällen nicht Kompromisse endgültige Geräte, kann das öffentliche Vertrauen untergraben und spätere Angriffe erleichtern.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...