Die Polizei in Mecklenburg-Vorpommern darf seit Wochen ihrer Diensthandys nicht mehr verwenden, und muss auf Funk ausweichen. Hintergrund ist ein Angriff auf den Verwaltungs-Server der Geräte. Nun gibt es neue Informationen – ein Datenabfluss kann nicht ausgeschlossen werden. Zeit für einen zweiten Blick.
mPol-Benutzungsverbot, worum geht es?
Die Polizei in Mecklenburg-Vorpommern wurde 2023 mit Diensthandys ausgestattet, um Abfragen von Ausweisen und Fahrzeughaltern bei Kontrollen besser abwickeln zu können. Meinen Informationen nach wurden dafür Apple iPhones angeschafft, die mit diversen mPol-Apps ausgestattet wurden. Eine kleine Anfrage des FDP-Abgeordneten David Wulff, hier als PDF einsehbar, lieferte im März 2025 einige Details. E-Mails werden über Microsofts Outlook-Dienst abgewickelt.
Verwaltet werden die Geräte über ein zentrales Mobile Device Management (MDM), um diese bei Verlust sperren zu können. Anfang Juni 2025 gab es dann die Information (siehe diese Pressemitteilung), dass die Diensthandys vorübergehend "für einige Tage" nicht mehr eingesetzt werden können und die Polizei die Abfragen per Funk vornehmen muss.
Als Hintergrund wurde ein versuchtet Hacker-Angriff auf die Diensthandys der Landespolizei Mecklenburg-Vorpommern über den Server, der diese Smartphones vernetzt, angegeben. Es hieß, dass auf den Servern, die diese polizeilichen Diensthandys kontrollieren und vor Hacker-Angriffen schützen, Ermittlungen und Analysen stattfänden.
Zitat aus der Mitteilung: "Während der Untersuchungen und Ermittlungen werden die sogenannten mPol (mobile Polizei)-Handys der Polizei für einige Tage nicht in vollem Umfang durch die Polizeibeamtinnen und -beamten im Streifendienst genutzt werden können. Mit den Geräten können auf Streifenfahrten und -gängen online Abfragen nach Fahrzeughaltern, Prüfungen von Ausweispapieren oder weitergehende Recherchen erfolgen."
Klingt alles recht harmlos, ich hatte den Vorfall am Rande im Blog-Beitrag Sicherheitsinfos: Insolvenzen durch Ransomware, Schwachstellen und mehr (Juni 2025) erwähnt. Bei heise gab es diesen Artikel mit einigen Informationen. Stutzig machte mich der Hinweis, dass der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern informiert wurde und ein entsprechendes Ermittlungsverfahren eingeleitet habe. Das deutet für mich auf einen Datenabfluss hin.
Datenabfluss nicht ausgeschlossen
Zum 12. Juli 2025 berichtete der NDR in diesem Beitrag, dass Ermittler den Angriff auf den Server für Polizei-Handys in Mecklenburg-Vorpommern rekonstruieren konnten. Dazu hätten Experten den angegriffenen Server nachgebaut und verschiedene Angriffswege nachgestellt. Die Ermittler gehen mittlerweile davon aus, dass Daten abgefischt worden sein könnten.
Betroffen war der Management-Server der Geräte, auf dem sich die Rufnummern der Mobiltelefone, Gerätenummern und die Namen der Nutzer (Polizeibeamten) eingetragen waren. Die Angreifer hatten nachweisbar eine große Datei mit zumindest einem Teil dieser dort verfügbaren Daten bereitgestellt. "Es musste davon ausgegangen werden, dass sie versucht haben, diese verhältnismäßig große Datei in sehr kleinen Teilpäckchen vom Server auszuleiten", zitiert der NDR eine Ministeriumssprecherin.
Möglicherweise haben die Hacker den von den Ermittlern getesteten Weg genutzt, um doch einen Teil der Daten abzugreifen, heißt es. Ob und in welchem Umfang auf diesem Weg tatsächlich Daten abgeflossen sind, sei aber weiter unklar.
Im NDR-Beitrag war die Rede davon, dass zwei Sicherheitslücken der Software, die zur Geräteverwaltung eingesetzt wird, ausgenutzt wurden. Es hieß, dass die Software weltweit von Behörden und Unternehmen zum Management von Mobilfunkgeräten genutzt werde. Die Software stamme von einem renommierten Produzenten. heise hatte den Sachverhalt zeitnah in diesem Beitrag aufgegriffen und merkte an, dass man den Hersteller der MDM-Software nicht nennen wolle.
Ein wenig recherchiert und spekuliert
Wenn das Mobile Device Management (MDM)-System auf dem Server angegriffen wurde, ist die Preisfrage, wer der Hersteller ist. Hier gibt es einige Stellen, die auf Ivanti hindeuten. Ich bin beim Landtag von Mecklenburg-Vorpommern auf eine Anfrage vom 31.1.2023 zu den Diensthandys der Polizei gestoßen (PDF-Dokument). Dort findet sich die Bestätigung, dass Apps und Verwaltungswerkzeuge eingesetzt werden, die von den folgenden Unternehmen entwickelt wurden:
- Secunet AG,
- Heinekingmedia GmbH,
- Ivanti,
- Sector 27 GmbH,
- Acronis International GmbH.
Zum 13. Mai 2025 gab es vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Warnung vor zwei neuen Sicherheitslücken in Open-Source Bibliotheken, die in Ivantis EPMM verwendet werden.
- Die Schwachstelle mit der Kennung CVE-2025-4427 erlaubt Angreifern den Zugriff auf geschützte Ressourcen ohne Authentifizierung (CWE-288) und wurde nach CVSS v3.0 mit 5.3 ("mittel") bewertet.
- Die zweite Schwachstelle mit der Kennung CVE-2025-4428 ermöglicht es externen authentifizierten Angreifern, Code auf betroffenen Systemen auszuführen (CWE-94) und wurde nach CVSS v3.0 mit 7.2 ("hoch") bewertet.
Durch die Kombination beider Schwachstellen sind Angreifer in der Lage, Ivanti EPMM Systeme zu kompromittieren, ungehindert auf die API zuzugreifen und aus der Ferne Code auf verwundbaren Systemen auszuführen. Diese 0-day Schwachstellen wurden aktiv angegriffen.
In diesem NDR-Beitrag findet sich die Information, dass Warnhinweise des BSI zu spät gesehen und beachtet wurden. Erst nach Hinweisen der Telekom seien die Smartphones und der Server abgeschaltet worden. Leider lief der Angriff bereits einige Zeit. Die Ostsee-Zeitung schreibt in diesem Beitrag (Paywall), dass Chinas Geheimdienst die Polizei von Mecklenburg-Vorpommern ausgetrickst habe. Jemand bei heise diesen Kommentar eingestellt, dass Ivanti-Warnungen bereits am 8. Mai erfolgten, aber bei den Verantwortlichen für die Server nicht ankamen.
Die Politik hält den Deckel auf dem Topf, um möglichst wenig Informationen öffentlich werden zu lassen, und formuliert im Ungefähren. Datenabfluss sei möglich gewesen, aber man habe einen renommierten Produzenten für das MDM verwendet, der weltweit bei Behörden und Unternehmen im Einsatz sei.
Das ist zwar nicht falsch, aber mir gehen meine zwei Blog-Beiträge Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit und Ivantis uralter Software-Klump – fällt auch Sicherheitsforschern auf von Februar 2024 im Kopf herum. Das hört sich alles nicht so sonderlich positiv an – oder ist es ein Beispiel, was in Deutschland bei der Digitalisierung falsch läuft?
MVP: 2013 – 2016
Den Begriff "renommiert" bringt man seit geraumer Zeit i.V.m. Ivanti am besten niemals in einem Satz! Ivanti genießt einzig bei Hackern großes Ansehen, im umgekehrten Sinne.
Es vergeht fast keine Woche wo über irgendeine Schwachstelle in Ivanti-Produkten bei Heise, Golem usw. berichtet wird.
Das BSI oder Frau Plattner (die gibt in letzter Zeit ja recht viele Statements ab) möge doch bitte mal eine Warnung gegen solche Unternehmen aussprechen. Mit der kommenden "Cyberschutzverpflichtung" wird dann grloß wieder die Möglichkeit geschaffen, weiter Ivanti und Konsorten einzusetzen um im Fall der Fälle abwiegeln zu können, weil man ja die "Cyberschutzverpflichtung" eingehalten hat.
Der letzte Satz hat den Nagel auf dem Kopf getroffen.
> oder ist es ein Beispiel, was in Deutschland bei der Digitalisierung falsch läuft? <
Nein. Meines Erachtens müsste der Satz lauten 'was in Deutschland falsch läuft'. Denn der Fehler liegt nicht im schiefgegangenen Versuch zu digitalisieren, sondern dem Umstand, dass man alles digitalisieren will, ohne Ansehen der Sinnhaftigkeit, Beherrschbarkeit und Resilienz bei Eintreten widriger Umstände wie Personalmangel, Budgetknappheit, unqualifizierte und intellektuell überforderte Mitarbeiter, Naturkatastrophen, Terrorismus etc.
Danke für den Artikel und die damit verbundene Recherche.
Den einleitenden Satz in dem Abschnitt "Ein wenig recherchiert und spekuliert" finde ich allerdings etwas seltsam. Dass in diesem Fall das MDM von Ivanti verwendet wurde wird ist eigentlich kein Geheimnis, denn das steht ja schon in dem PDF mit der Antwort auf die kleine Anfrage drin. Dieses PDF wurde ein paar Absätze vorher erwähnt. Bei der Aufstellung der Kosten werden darin die Lizenzkosten für "MobileThreatDefence" erwähnt. Also eindeutig Ivanti.
könnte ja im letzten Monat geändert worden sein … und da das Ministerium partout keine Details nennen will, spekuliere ich – die Leser können dann noch Wahrscheinlichkeiten in ihren Schlüssen einfließen lassen.
Wieso soll MobileThreatDefence eindeutig Ivanti sein? MTD ist ein allgemeiner Begriff und wird von vielen Herstellern angeboten.
> Dass in diesem Fall das MDM von Ivanti verwendet wurde wird ist eigentlich kein Geheimnis, …<
Als Beleg für 'Ivanti im Einsatz': Google Suche ergibt Trefferübersicht mit u. a. Artikelanriss (1).
_
(1) Hacker-Angriff auf Polizei-Handys in MV: Wohl doch Daten …
Ostsee Zeitung
https://www.ostsee-zeitung.de › hacker-angriff-auf-poli…
vor 4 Tagen — Sogar schon am 8. Mai hatte das US-Softwareunternehmen Ivanti, dessen Produkt die MV-Polizei nutzt, einen Sicherheitshinweis veröffentlicht.
> … denn das steht ja schon in dem PDF mit der Antwort auf die kleine Anfrage drin. Dieses PDF wurde ein paar Absätze vorher erwähnt. Bei der Aufstellung der Kosten werden darin die Lizenzkosten für "MobileThreatDefence" erwähnt. Also eindeutig Ivanti.<
Kann ich nicht nachvollziehen. In (1) kommt die Zeichenkette MobileThreatDefence nicht vor. Die Zeichenkette Lizenzkosten kommt zwar vor (1 mal) aber ohne Nennung von Lizenzgeberfirmen. Von Ivanti Software, Inc. gibt es kein Produkt namens MobileThreatDefence, deren Anwendung heisst Ivanti Neurons for Mobile Threat Defense.
(1) https://www.landtag-mv.de/fileadmin/media/Dokumente/Parlamentsdokumente/Drucksachen/8_Wahlperiode/D08-1000/Drs08-1735.pdf
Gemeint ist wohl dieses im o.g. Artikel verlinkte PDF:
Dort steht in den Kosten Tabellen:
– Erwerb von Mobile Threat Defence (MTD)-Erweiterungs-Lizenzen
– Erwerb von MTD-Folge-Lizenzen
– Lizenzen für erweiterte IT-Sicherung für die Geräteverwaltung (MobileThreatDefence)
Danke für Klarstellung!
Ivanti Neurons for Mobile Threat Defense habe ich bei einer Suche nach mPol + Ivanti mal auf einer Ivanti -Seite gefunden. Habe aber aktuell keinen Link mehr.
Im von Dir verlinkten PDF steht: "… wurden im Zuge des Projektes
mPOL … 3 940 000 Euro aufgewendet"
Weiterhin: "… werden Apps und Verwaltungswerkzeuge eingesetzt, die von den folgenden Unternehmen entwickelt wurden: … Ivanti …"
> Jemand bei heise diesen Kommentar eingestellt, dass Ivanti-Warnungen bereits am 8. Mai erfolgten, aber bei den Verantwortlichen für die Server nicht ankamen. <
Starker Tobak, sich auf so etwas herausreden zu wollen.
Wenn bspw. eine Backup-Software regelmässig per eMail benachrichtigt, welche Datensicherungsjobs liefen und mit welchem Ergebnis, diese eMails dann aber irgendwann ausbleiben und fehlgeschlagene Datensicherungen unbemerkt zu bleiben drohen, muss ich als Administrator Vorkehrungen getroffen haben. Eine unterbrochene Benachrichtigungskette darf niemals unbemerkt bleiben, sowas kann man überwachen!
Statt heise Kommentaren kann man auch beim Hersteller nachlesen:
https://www.ivanti.com/blog/may-2025-security-update
"Today, Ivanti is disclosing vulnerabilities in … and Neurons for MDM."
https://forums.ivanti.com/s/article/Security-Advisory-May-2025-Ivanti-Neurons-for-MDM-N-MDM
"Ivanti has released updates for Ivanti Neurons for MDM (N-MDM) which addresses a medium severity vulnerability. Successful exploitation could allow a remote unauthenticated attacker to edit or delete predicates they do not own."
Die Daten der Veröffentlichung der Updates sollte man mal mit dem Datum des Hacks vergleichen.
Können Sie das konkretisieren?
Ich lese (1) nicht so, dass sich Ivanti mit der Bereitstellung von Patches und Informationen verspätet hätte oder sich gar eine unterbrochene Benachrichtigungskette vorwerfen lassen müsste.
Die Worte des Innenministers lassen eher vermuten, dass eine im Rahmen von Dienstwegen errichtete, interne Benachrichtigungskette nicht funktioniert hat.
_
(1) 19.07.2025: https://www.heise.de/news/Cyberangriff-auf-Polizei-Server-in-MV-Politiker-diskutieren-Konsequenzen-10493526.html:
"Innenminister Christian Pegel (SPD) räumte erneut ein, dass Defizite im internen Meldesystem den Erfolg des Hackerangriffs begünstigt hatten. Warnhinweise zu Lücken in der Betreibersoftware des Servers für die Polizei-Handys seien mit deutlicher Verzögerung bei den zuständigen Stellen im Land angekommen. Gegenmaßnahmen seien so zu spät erfolgt. „Wir werden, und das ist unstreitig, in der Landespolizei künftig durch weitergehende organisatorische Absicherungen sicherstellen müssen, dass solche Warnmeldungen die zuständigen Beteiligten sicher erreichen", sagte Pegel."