Mir ist aus einer ungenannt bleiben wollenden Quelle die Information zugespielt worden, dass der IT-Dienstleister NTT wohl alle Produkte von Ivanti aus seinem Portfolio rausgeworfen hat. Soweit ich es verstanden habe, sind die Verantwortlichen bei NTT unzufrieden, wie der Hersteller Ivanti mit seinen Kunden über Sicherheitslücken kommuniziert. Tödlich für einen IT-Dienstleister, der bei seinem Kunden dann mit solchen Lösungen in Verantwortung steht.
Einige Bemerkungen zu Ivanti
Ivanti ist ein IT-Softwareunternehmen mit Hauptsitz in South Jordan, Utah, USA. Es produziert Software für IT-Sicherheit, IT-Service-Management, IT-Asset-Management, Unified Endpoint Management, Identity Management, Patch-Management und Supply Chain Management. Klingt erst einmal "Boah", die können was, brauchen wir unbedingt.
Sicherheitsvorfälle: Zahlreiche Treffer im Blog
Der Anbieter Ivanti kommt hier im Blog aber weniger wegen seiner Produkte, sondern häufiger in Verbindung mit Sicherheitslücken in seinen Lösungen, sowie im Kontext von gehackten Ivanti-Nutzern, vor.
- Erstmals in den Fokus geriet Ivanti bei mir, als in Norwegen ein Ministerium gehackt wurde (siehe Norwegens Regierung über Ivanti-Zero-Day gehackt). Ist doof, aber kann ja mal vorkommen.
- Dann habe ich eine Ivanti-Lösung beim mPOL-Hack in Mecklenburg-Vorpommern im Verdacht – obwohl niemand der Verantwortlichen den Hersteller benennt (siehe mPol: Datenabfluss bei Polizei-Handys in Mecklenburg-Vorpommern möglich).
Beim Schreiben des Blog-Beitrags habe ich eine kurze Suche nach Ivanti hier im Blog durchgeführt und bin auf die "Liste der Grausamkeiten" gestoßen (siehe Links am Beitragsende).
US-Sicherheitsagenturen wie die CISA wurden Ivanti-Opfer, und es gibt noch den Artikel Tausende Geräte per Ivanti VPN-Schwachstellen angegriffen – mind. 19 in Deutschland hier im Blog. Letztmalig bin ich am 19. September 2025 auf den Artikel Ivanti EPMM holes let miscreants plant shady listeners, CISA says von The Register gestoßen. Die Botschaft: Es gibt eine Warnung der US Cybersicherheitsbehörde CISA, dass Ivanti EPMM-Lücken es Angreifern ermöglichen, Schadmodule auf Nutzersystemen zu installieren.
Einige Insights
Und es gibt hier im Blog noch zwei Artikel, in denen ich mich prinzipiell mit Ivanti und deren Produkten befasst habe. Im Beitrag Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit hatte ich aufgezeigt, dass die Ivanti VPN-Lösung aus uralten Tools zusammengestoppelt sein muss, die man aus Sicherheitssicht lieber nicht in seiner Software-Landschaft sehen möchte.
Und dann gab es noch den Beitrag Ivantis uralter Software-Klump – fällt auch Sicherheitsforschern auf, der in die gleiche Kerbe haut. Da ist nichts auf meinem Mist gewachsen, sondern ich habe in den Beiträgen lediglich die Erkenntnisse aus anderen Quellen zusammen getragen. So ist wohl auch Sicherheitsforschern von Eclypsiusm im Jahr 2024 aufgefallen, dass die Ivanti Pulse Secure Firmware Version 9.1.18.2-24467.1 unter CentOS 6.4 läuft, welches im November 2020 aus dem Support gefallen ist.
Wie Ivanti aus den Wurzeln in 1985 entstand
Ergänzung: Interessant ist auch die Historie dessen, was heute als Ivanti fungiert. Die Wurzeln liegen bei LANDESK (Gründung 1985, 1991 durch Intel aufgekauft). Im Jahr 1993 habe ich mich selbständig gemacht und LANDESK hat seine "desktop management category" vorgestellt, heißt es in der Wikipedia. 2002 wurde LANDESK Software eigenständig und 2006 durch Avocent für einige hundert Millionen übernommen.
Im Jahr 2010 wurde LANDESK von der Private-Equity-Gesellschaft Thoma Bravo übernommen. In der Wikipedia lässt sich nachlesen, wie ab 2012 plötzlich Unternehmensteile – wie in einem Gemischtwarenladen zugekauft wurden.
Im Januar 2017 kaufte Clearlake Capital, Eigentümer von HEAT Software, LANDESK von Thoma Bravo. Am 23. Januar 2017 fusionierten LANDESK und HEAT Software zu Ivanti. Das fusionierte Unternehmen beschäftigt 1.800 Mitarbeiter in 23 Ländern und vermarktet einige Produkte unter Bezugnahme unter ihren ursprünglichen Namen, wie beispielsweise die Wavelink-Supply-Chain-Software und das Ivanti-Patch-Produkt „powered by Shavlik".
Ab April 2017 gab es dann weitere Zukäufe im Gemischtwarenladen Ivanti. Im September 2020 wurde die Übernahme von MobileIron, die im Endpoint Management tätig waren, bekannt. 2021 gab es weitere Übernahmen, u.a. RiskSense.
Am 20. April 2021 berichtete das Cybersicherheitsunternehmen FireEye, dass Hacker mit mutmaßlichen Verbindungen zur chinesischen Regierung Pulse Secure VPN ausnutzten, um in Regierungsbehörden, Verteidigungsunternehmen und Finanzinstitute in Europa und den USA einzudringen. Seit dieser Zeit begann der Gemischtwarenladen Ivanti den Kapitalgebern und über die Produkte seinen Kunden "um die Ohren zu fliegen".
Beim Schreiben dieses Nachtrags kam mir Collins Aerospace, der gehackte Dienstleister von Check-In-Systemen in Flughäfen, der gerade Welle macht, in den Sinn. Der ist auch ein "Zukaufprodukt", siehe mein Beitrag Nachlese Sicherheitsvorfall bei Collins Aerospace, der Flughäfen lahm legte – Hauptsache, es gibt einen klingenden Namen, ähnlich wie Stellantis als Konglomerat von Autobauern (siehe Datenabfluss bei Stellantis; Cyberangriff auf Jaguar Land Rover; KFZ-Cyber-Sicherheit). Ist natürlich unfaire Dialektik, sind alles hoch repräsentable und respektable Firmen – gegen die bösen Jungs und die Cyber-Incidents kann man nichts machen. Wir müssen halt mehr digitalisieren und neue Schlangenöl-Software mit rein nehmen. Irgendwann muss es doch gelingen, diese Cyberangreifer zu verwirren, so dass die auch nicht mehr durchblicken und aufgeben.
NTT sortiert angeblich Ivanti-Produkte aus
Als IT-Sicherheitsverantwortlicher, oder CISO, wie es modern heißt, hätte ich persönlich äußerste Bauchschmerzen, solche Produkte bei Kunden einzusetzen. Beim japanischen Unternehmen NTT (steht für Nippon Telegraph and Telephone) gibt es die Tochter NTT Data. NTT Data ist ein auf Consulting und IT-Dienstleistungen spezialisiertes Unternehmen der Nippon Telegraph and Telephone Group, mit Hauptsitz in Tokio, Japan. Fokusthemen sind Business & IT Consulting, Customer Management, IT Security und Business Intelligence und Analytics & Performance Management sowie Outsourcing. In Deutschland hat die NTT Data Deutschland SE ihren Sitz in München, betreibt aber weitere Geschäftsstellen in DACH.
Hinweis einer Quelle
Nun meldete sich eine ungenannt bleiben wollende Quelle aus der Leserschaft, die mir einige Informationen aus einer "internen" Mail zugeflüstert hat. Er schrieb mir: "Ich habe heute erfahren, dass der Dienstleister NTT weltweit entschieden hat, jegliche Ivanti-Produkte aus seinem Portfolio zu streichen. Dies bedeutet nicht nur intern im Haus sondern auch als Re-Seller für Ihre Kunden (und zukünftige Kunden)."
Ein "internes" Dokument
Ich konnte ein Dokument einsehen, aus dem hervor geht, dass der NTT CISO mit Ivanti wohl lange Gespräche geführt und Ivantis schlechte Kommunikation zur Behandlung von Lücken beanstandet hat. Mir ist in diesem Kontext dieser heise-Beitrag aus April 2024 in Erinnerung, wo kolportiert wird, dass der Ivanti-CEO öffentlich Besserung gelobt. Scheint bei NTT-Data aber nicht gefruchtet zu haben. Denn deren Verantwortliche scheinen nach einer Analyse beschlossen zu haben, Ivanti aktuell "auszulisten".
Eine interne Risikobewertung
Es gebe eine "Bedrohungs- und Risikobewertung seitens NTT Data", die feststellt, dass Ivanti-Produkte in den letzten 12 Monaten mehrere kritische Sicherheitslücken aufgewiesen habe, darunter einige, die über einen längeren Zeitraum nicht behoben wurden , heißt es im Dokument.
Diese Einschätzung deckt sich mit dem Bild, was ich oben und in den am Artikelende verlinkten Blog-Beiträgen zeichne. Es heißt in der NTT Data Risikobewertung, dass sich trotz kontinuierlicher Überwachung und Kontaktaufnahme keine wesentliche Verbesserung der Sicherheitslage feststellen ließ.
Angeblich inakzeptables Risiko
Die Sicherheitsverantwortlichen bei NTT Data sind angeblich zum Schluss gelangt, dass "die weitere Nutzung [der Ivanti-Produkte] ein inakzeptables Risiko für den [eigenen] Betrieb, die Datenintegrität und das Vertrauen der Kunden darstelle. Daher habe man beschlossen, intern und bei Kunden auf alle Ivanti-Produkte zu verzichten.
Weltweiter Stopp des Einsatzes
Neue Verträge, Verlängerungen oder Käufe im Zusammenhang mit Ivanti seien unter diesem Aspekt nicht mehr zulässig. Es heißt, dass das NTT Data-Team für Informationssicherheit die NTT-Data-Geschäftsbereiche und deren Kunden bei der Identifizierung und Umstellung auf sichere Alternativen unterstützt.
Begründet wird die Entscheidung zur Ausmusterung von Ivanti, dass dies im Einklang mit dem NTT Data-Engagement stehe, das Vertrauen der Kunden kontinuierlich zu gewinnen, die eigenen Systeme zu schützen, sensible Daten zu sichern und die Widerstandsfähigkeit gegenüber Bedrohungen in der Lieferkette aufrechtzuerhalten.
Weitere Informationen zum Thema
Offiziell scheint noch nichts öffentlich geworden zu sein. Die Seite von NTT Data gibt auch nichts in Sachen Bestätigung her, listet aber auch nichts von Ivanti. Aber meine Quelle zitiert einen NTT-Kunden, der angibt, vom Unternehmen in einer E-Mail entsprechend informiert worden zu sein. Es wurde kolportiert, dass weder NTT Data noch Ivanti hier irgend etwas offiziell verlautbaren lassen wollen.
Hinter vorgehaltener Hand heißt es: "NTT Data sei ein großes Unternehmen, und die Information würden gerade an Kunden verteilt". Man geht daher davon aus, dass die Information früher oder später an die Öffentlichkeit gelangt. Hat jemand aus der Leserschaft bereits etwas in dieser Hinsicht vernommen?
Ergänzung: Scheint etwas brisant zu sein – auf meinen Beitrag hin hat sich ein weiterer Leser per Kommentar der Art "Nur Information an dich, Günter" gemeldet und gebeten, ihn nicht zu benennen oder den Kommentar freizuschalten. Aber die Information könne gerne im Artikel nachgetragen werden. Der Kommentar besagt, dass der Anbieter Ivanti "vor einiger Zeit" auch im VW-Umfeld rausgeflogen ist. Das heißt, dass auch der Volkswagen Konzern nicht mehr auf Ivanti setzt. Der Leser meint "da geht aktuell sicherlich einiges an Kohle bei Ivanti flöten…" – was ich nicht beurteilen kann. Aber die Zukunftsaussichten würde ich nicht mit der Prognose positiv belegen.
Ähnliche Artikel:
Ivantis uralter Software-Klump – fällt auch Sicherheitsforschern auf
Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit
Ivanti Information Disclosure-Schwachstelle seit 2019 offen – keine Reaktion
Cybersicherheit: Bei FortiOS SSL VPN und Ivanti Connect Secure "brennt die Hütte"
MITRE über Ivanti-Schwachstelle kompromittiert
Sicherheitsmeldungen (12.3.2024): Datenlecks bei Tonerdumping, Roku; CISA über Ivanti-Bug gehackt und mehr
Ivanti Endpoint Manager Schwachstelle CVE-2021-44529: Code-Injection oder Backdoor?
Sicherheitslücken/Schadsoftware, Hacks (Dez. 2024): Windows, 7-Zip, Ivanti etc.
Massive Angriffswelle auf Ivanti VPN-Appliances; Warnung, Konfigurations-Pushes kann Härtungsmaßnahmen gefährden
Tausende Geräte per Ivanti VPN-Schwachstellen angegriffen – mind. 19 in Deutschland
Diensttelefone des Digitalministeriums über Ivanti-Schwachstellen angreifbar
mPol: Datenabfluss bei Polizei-Handys in Mecklenburg-Vorpommern möglich
Norwegens Regierung über Ivanti-Zero-Day gehackt
Ivanti bestätigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung
Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)
Ivanti fixt kritische Schwachstelle CVE-2023-39336 in EPM
MVP: 2013 – 2016
"Hat jemand aus der Leserschaft bereits etwas in dieser Hinsicht vernommen?"
Interessant ist, dass ich vor ein paar Wochen mit jemandem aus dem Channel gesprochen habe. Die Person berichtete mir von Gerüchten, dass ein "größerer Dienstleister" (man nannte keinen Namen) erwägt, Ivanti aus dem Portfolio delisten zu wollen. Es ist nur eine Mutmaßung, aber vielleicht war damit NTT gemeint.
Ich weiß aber auch aus anderen Gesprächen, dass das Delisting von Ivanti oder auch SolarWinds hier und da zwar Thema war, wenn es um die Risikoabwägung ging, aber oft verworfen wurde, weil man nicht nur den Unmut der Kunden, sondern auch die damit verbundenen Kosten (es fehlen oft Alternativen im Portfolio und folglich auch die nötigen Produktkenntnisse für jene Alternativen) und einen möglichen Imageschaden fürchtet.
Das Prinzip lautet: No risk, no fun. ;)
Haben letzten Monat Mobile Iron durch Intune abgelöst.
Jetzt haben wir keine Ivanti Produkte mehr. Die Lücken waren immer gravierend.
Von Pest zu Cholera :-)
Gruß
wir gehen wieder zurück auf die MobileIron, gerade wenn man mit Gruppen, bei den MI-Labels, arbeitet ist Intune ein hoffnungsloser Fall, deren Dynamischer Filter auf AD-Gruppen ist ein Witz, in der MI oder anderen MDMs kann ich mit Wildcards im Namen arbeiten nur bei EntraID/Intune, muss ich die Objekt-IDs der Gruppen eintragen, auch passiert es häufig das die Dynamische Gruppe auf einmal aufhört sich zu aktualisieren oder es werden User aufgenommen, die eigentlich nicht in den Filter gehören.
Auch ist MS in Sachen Security gerade noch schlimmer unterwegs als Invanti, meiner persönlichen Meinung nach.
Warum nicht einfach Securepoint?
Weil wir drei Admins sind die das Produkt schon kennen, auch konnten wir mittels Restore das System innerhalb eines Tages wieder online bringen, aber das soll nicht heißen das wir immer und ewig drauf bleiben.
Die Externalisierung von ISMS, Service-, Asset- und vor allem dem Identity-Management gleicht der Titanic-Fahrt: Es glänzt alles so neu im besten Licht, die Technik gilt als unfehlbar, die KPIs sehen gut aus, die Musik spielt beruhigend im Hintergrund weiter obwohl unterhalb der Wasserlinie der Rumpf aufgeschlitzt ist.
Alles so schön "unified" hinter Web UIs wegabstrahiert. Die Rettungsboote – sprich das Know-how und Handlungsoptionen – wurden eingespart. Den Werbeversprechen "unsinkbar" wird wider besserem Wissen und Lebenserfahrung um des kurzfristigen Vorteiles blind vertraut. Warnungen vor einem Eisfeld werden ignoriert. Statt die Fahrt zu verlangsamen, mit voller Fahrt nachts "auf Sicht" gefahren.
"Bis jetzt ist immer alles gut gelaufen…" höre ich oft.
Dann kommt der Eisberg.
Als der Mann, der vom Hochhaus sprang am 1. Stock angekommen war, sagte er zu sich bis jetzt ging alles gut. Das ist doch die Strategie die hier gefahren wird. Man vertaut blind auf hochglanz Management Informationen, denn selbst hat man keinerlei Expertise mehr, und fällt dann auf die Schnauze und holt sich eine blutige Nase. S.S.K.M (selbst schuld, kein Mitleid).
Nett zusammengefasst. Ich nutze sowas zum Glück nicht. Habe auch mal in LanSweeper reingeschaut aber nein danke.
Die Kommunikation von Ivanti ist wirklich unterirdisch. Früher gab es zumindest bei kritischen Sicherheitslücken Benachrichtigungen per Mail, das klappt aber seit mindestens zwei Jahren nicht mehr.
Man kriegt nur was mit, wenn man sich deren Security Bulletin als RSS Feed abonniert.
Wir entfernen es derzeit auch bei all unseren Kunden.
Die Ivanti-Patchmanagementlösung wird auch beim Matrix42 Produkt Empirum eingesetzt. Sollte ich mir langsam Sorgen machen?
Ja
Sicher? Ich dachte, nur die Patchkalaloge stammen von Ivanti.
Ich kann nicht genau sagen, wieviel "Ivanti" im Patchmanagement von Empirum steckt. Wenn im Patchkatalog auch die Installationsumgebung von Ivanti steckt, wäre das auch eine potentielle Bugquelle. Hat jemand beide Lösungen im Zugriff und kann darüber etwas sagen?
Oh…das wusste ich tatsächlich noch nicht. Wir setzen Matrix42 Empirum ein…
Andere große, namhafte Hersteller glänzen auch regelmäßig mit Sicherheitslücken – Blogartikel auf dieser Website sind dazu aber witzigerweise kaum so reißerisch. Warum eigentlich? Auf Sicherheitslücken hat natürlich keiner Lust. Außerdem ist es immer schwierig, alle rechtzeitig zu erreichen und zu informieren: Den einen reichen die aktuellen Kommunikationswege, den anderen halt nicht. Es ist immer eine Hol- und Bringschuld. Spannend wäre zu wissen, wie viele Kunden/Admins wirklich konstruktives Feedback geben – oder ob es für manche einfacher ist, überspitzt zu kommentieren…
Interessanter Artikel, aber ich finde, dass die Darstellung etwas zu reißerisch und pauschal ausfällt.
Natürlich ist es wichtig, auf Sicherheitslücken hinzuweisen – vor allem dann, wenn sie kritisch sind oder aktiv ausgenutzt werden. Was mir allerdings fehlt, ist eine genauere Einordnung. Ivanti hat ein sehr breites Portfolio an Produkten, die in ganz unterschiedlichen Bereichen zum Einsatz kommen. Nicht jede Lösung ist gleichermaßen betroffen, und es ist wenig zielführend, alle Produkte des Unternehmens über einen Kamm zu scheren.
Ein gutes Beispiel: Bei Citrix tauchen in den letzten Jahren regelmäßig schwerwiegende Sicherheitslücken im Bereich NetScaler bzw. ADC auf – teilweise alle paar Monate. Trotzdem käme kaum ein Unternehmen auf die Idee, Citrix als Hersteller komplett auszutauschen oder pauschal als „unsicher" abzustempeln. Stattdessen wird bewertet, wie das Unternehmen mit den Lücken umgeht: Wie schnell werden Patches veröffentlicht? Wie transparent wird kommuniziert? Wie gut werden Administratoren dabei unterstützt, Systeme abzusichern? Genau diese Fragen sollten meiner Meinung nach auch bei Ivanti gestellt werden.
Sicherheitslücken sind in der IT-Welt leider unvermeidbar – ganz egal, ob es sich um Ivanti, Citrix, Microsoft, VMware oder andere Hersteller handelt. Entscheidend ist, wie professionell und verantwortungsvoll damit umgegangen wird.
Ein pauschales Urteil kann leicht zu Fehlentscheidungen führen, zum Beispiel wenn Unternehmen aus Unsicherheit Systeme abschalten oder vorschnell auf andere Lösungen umsteigen, ohne dass dies wirklich notwendig wäre.
Mein Vorschlag wäre daher, den Fokus stärker auf konkrete Produkte, betroffene Versionen und die Reaktionsgeschwindigkeit von Ivanti zu legen. Das hilft Lesern deutlich mehr, weil sie klar einschätzen können, ob und wie dringend Handlungsbedarf besteht – anstatt nur ein allgemeines Gefühl der Unsicherheit zurückzubehalten.
Ob der Artikel etwas "reißerisch" ist oder nicht, mag jeder beurteilen, wie er meint. Auch darf jeder seine Entscheidung, was er einsetzt, selbst treffen. Ich weise in obigem Text darauf hin, dass mit Ivanti-Produkten teilweise uralte Bibliotheken mit bekannten Schwachstellen auf die Systeme kommen. Und ich weise darauf hin, dass NTT Data sich das Thema intern auf die Agenda gesetzt und mit Ivanti diskutiert hat. Danach gab es eine Entscheidung – bei NTT Data, und auch beim Volkswagen-Konzern. Natürlich darf jeder Leser so wie Du daherkommen und eigene Entscheidungen fällen. Aber unter dem hier aufgezeigten Spannungsfeld ist mir dein Kommentar – mit Verweis auf Citrix und andere Hersteller und deren Sicherheitslücken a bisserl zu platt. Wer kein Ivanti nutzt, geht weiter. Wer Ivanti-Produkte einsetzt, muss sich informieren und dann entscheiden. Damit bin ich hier raus.
Wie geht man mit dem Sicherheitsrisiko 'Mitarbeiter' um, wenn interne Informationen oder vertrauliche Dokumente hier einfach weitergegeben werden? Mal gespannt, wie NTT das Insider-Risiko einschätzt und welche Maßnahmen sie dagegen ergreifen…
So ganz spontan stach mir die Frage: "Wo kommen alle diese Sockenpuppen her, die mit ihrem Whataboutism jetzt am Ivanti-Thema" kommentieren. Mag mich aber täuschen.
Jeder nimmt Dinge eben aus seiner eigenen Perspektive wahr. Deshalb sind neutrale und sachliche Berichte meist am angenehmsten zu lesen. Wie so oft melden sich eher die, die etwas negativ empfinden – während die Zufriedenen meist still bleiben…