Einstieg: Wenn das Tor nach innen dauerhaft unter Beschuss steht
Es gibt Systeme in der IT, die niemand mag, aber jeder braucht. VPN-Gateways gehören genau in diese Kategorie. Sie stehen am Rand des Netzwerks, verbinden Außen mit Innen, und sollen genau das leisten, was man ihnen technisch abverlangt: Zugang ermöglichen, ohne Sicherheit zu opfern. Über Jahre hinweg galten sie als vergleichsweise robuste, langweilige Infrastrukturkomponenten. Patchen, Zertifikate erneuern, fertig.
Der Ivanti-Connect-Secure-Komplex hat dieses Bild nachhaltig zerstört.
Was sich über Monate hinweg abzeichnete, war kein einzelner Sicherheitsvorfall, sondern ein Dauerzustand: aktiv ausgenutzte Zero-Days, neue Schwachstellen noch während laufender Incident-Response, staatliche Akteure, Ransomware-Gruppen und opportunistische Angreifer – alle gleichzeitig. Ivanti-VPNs wurden damit zu einem der sichtbarsten Beispiele dafür, wie Edge-Infrastruktur in einer Welt permanenter Angriffe strukturell überfordert sein kann.
Dieser Artikel analysiert nicht nur einzelne CVEs, sondern ein Muster:
Wenn das Eintrittstor selbst komplexer wird als das, was es schützt, kippt das Sicherheitsmodell.
Ivanti Connect Secure: Warum diese Plattform so verbreitet ist
Ivanti Connect Secure (ICS), früher Pulse Secure, ist in vielen Organisationen fest verankert. Gründe dafür sind:
- langfristige Nutzung in Behörden, Industrie und kritischer Infrastruktur
- Integration in bestehende Identity- und Access-Modelle
- Unterstützung für Remote-Arbeit und Drittzugriffe
- historisch gewachsene Vertrauensstellung als „sicheres Gateway“
Typische Einsatzszenarien:
- Remote-Zugriff für Mitarbeiter
- Zugriff für Dienstleister und Partner
- Administrativer Zugang zu internen Systemen
- Übergangslösung zwischen Legacy-Netzwerken und moderner Cloud
Das bedeutet:
Wer das Ivanti-Gateway kontrolliert, sitzt nicht im Netzwerk – er ist das Netzwerk.
Die Chronologie eines Eskalationsmusters
Phase 1: Erste Zero-Days und aktive Ausnutzung
Ende 2023 und Anfang 2024 wurden mehrere kritische Schwachstellen in Ivanti Connect Secure öffentlich. Darunter:
- unauthentifizierte Remote Code Execution
- Command Injection
- Authentication Bypass
- Privilege Escalation
Was diese Schwachstellen besonders machte, war nicht ihre Existenz – sondern die Geschwindigkeit, mit der sie aktiv ausgenutzt wurden. Bereits kurz nach Bekanntwerden zeigten Telemetriedaten:
- automatisiertes Scannen
- gezielte Exploitation
- Platzierung von Webshells
- Manipulation von Systemdateien
Ivanti bestätigte, dass staatliche Akteure zu den frühen Nutzern der Lücken gehörten.
Phase 2: Patches, die zu spät kamen
Zwar veröffentlichte Ivanti Updates und Workarounds, doch viele Organisationen standen vor einem Dilemma:
- Gateways sind geschäftskritisch
- Updates erfordern Downtime
- Konfigurationsfehler können Zugriffe lahmlegen
In der Praxis bedeutete das:
Nicht alle Systeme wurden sofort gepatcht.
Und selbst gepatchte Systeme waren nicht automatisch sauber.
Denn:
Ein Patch schließt die Lücke – er entfernt keine bereits platzierten Backdoors.
Phase 3: Persistenz statt einmaliger Kompromittierung
Untersuchungen zeigten, dass Angreifer:
- Webshells außerhalb regulärer Verzeichnisse platzierten
- Logfiles manipulierten oder deaktivierten
- eigene Benutzerkonten anlegten
- Systemintegrität gezielt unterliefen
Damit wurde aus einem „Patch-Problem“ ein Forensik- und Wiederherstellungsproblem. Organisationen mussten sich fragen:
- Ist mein Gateway wirklich sauber?
- Oder ist es nur aktuell – aber kompromittiert?
Diese Unsicherheit ist einer der gefährlichsten Zustände in der IT-Sicherheit.
Warum VPN-Gateways heute ein strukturelles Risiko sind
Die Verschiebung des Angriffsmodells
Früher war der typische Angriffsweg:
- Phishing
- Malware auf Endgeräten
- Laterale Bewegung
Heute ist der effizienteste Weg oft:
- Edge Device
- unauthentifizierte Schwachstelle
- direkter Netzwerkzugang
VPNs und Gateways sind deshalb so attraktiv, weil sie:
- exponiert sind
- komplexe Codebasen haben
- selten neu installiert werden
- oft jahrelang laufen
Sie vereinen Angriffsfläche, Privilegien und Persistenz.
MFA hilft – aber nicht gegen Exploits
Ein häufiger Trugschluss: „Wir haben MFA, also sind wir sicher.“
Im Ivanti-Fall spielte MFA keine Rolle, weil:
- viele Lücken unauthentifiziert waren
- der Angreifer vor dem Login ansetzte
- nach der Kompromittierung interne Mechanismen missbraucht wurden
Das zeigt eine unbequeme Wahrheit:
MFA schützt Identitäten – nicht verwundbare Edge-Software.
Der eigentliche Schaden: Vertrauensverlust im Inneren
Wenn das Gateway selbst nicht mehr vertrauenswürdig ist
Ein kompromittiertes VPN-Gateway ist kein einzelnes infiziertes System. Es ist ein Manipulationspunkt für Vertrauen:
- Traffic kann mitgelesen werden
- Sessions können übernommen werden
- interne IPs werden sichtbar
- Zugangskontrollen lassen sich umgehen
Damit wird jede nachgelagerte Sicherheitsmaßnahme geschwächt.
Forensik auf Appliances ist extrem schwierig
Ein weiterer Kernpunkt:
VPN-Appliances sind keine klassischen Server.
- eingeschränkter Zugriff
- proprietäre Dateisysteme
- begrenzte Logging-Funktionen
- wenig Transparenz
Das erschwert:
- saubere Incident-Analyse
- Beweisführung
- zuverlässige Wiederherstellung
Viele Organisationen entschieden sich deshalb für einen radikalen Schritt: kompletter Austausch der Geräte.
Warum Ivanti kein Einzelfall ist
Vergleichbare Muster bei anderen Anbietern
Ivanti steht stellvertretend für eine ganze Klasse von Vorfällen, u. a. bei:
- Fortinet
- Citrix NetScaler
- SonicWall
- Palo Alto GlobalProtect (in Teilbereichen)
Das Muster ist immer ähnlich:
- Edge-Produkt
- komplexe Codebasis
- Zero-Day
- aktive Ausnutzung
- hohe Verbreitung
Das Problem ist nicht ein Hersteller.
Das Problem ist das Architekturprinzip.
Der Designfehler: Dauerhafte Exponierung komplexer Systeme
VPNs als Relikt eines alten Sicherheitsmodells
VPNs wurden für eine Welt gebaut, in der:
- Netzwerke klar abgegrenzt waren
- Benutzerstandorte stabil
- Anwendungen intern
Diese Welt existiert nicht mehr.
Heute sind:
- Anwendungen verteilt
- Nutzer mobil
- Identitäten dynamisch
VPNs versuchen, dieses neue Modell mit alter Technik abzubilden – und werden dadurch immer komplexer.
Warum Angreifer Edge-Zero-Days bevorzugen
Hoher ROI, geringer Aufwand
Aus Sicht eines Angreifers bieten VPN-Zero-Days:
- keine Benutzerinteraktion notwendig
- hohe Erfolgsquote
- direkter Zugang zu sensiblen Netzen
- Wiederverwendbarkeit über viele Opfer
Das macht sie besonders attraktiv für:
- staatliche Akteure
- Initial-Access-Broker
- Ransomware-Gruppen
Der Ivanti-Fall zeigte genau das: unterschiedliche Akteure nutzten dieselben Schwachstellen für völlig unterschiedliche Ziele.
Was Organisationen konkret falsch gemacht haben
Zu viel Vertrauen in „Perimeter-Hardware“
Viele Unternehmen behandelten VPNs als:
- stabile Appliance
- „läuft halt“
- kein aktives Risiko
Das führte zu:
- seltenen Security-Reviews
- verspäteten Updates
- fehlender Integritätsprüfung
Keine Exit-Strategie
Ein weiteres Problem:
Es gab oft keinen Plan B.
- kein alternatives Zugangsmodell
- keine segmentierten Remote-Zugriffe
- keine schnellen Abschaltoptionen
Das machte schnelle Reaktionen fast unmöglich.
Was Unternehmen jetzt anders machen müssen
Edge-Geräte als Hochrisiko-Assets behandeln
- gleiche Priorität wie Domain Controller oder Identity Provider
- kontinuierliches Monitoring
- aggressive Patch-Zyklen
- klare Austauschstrategien
Integritätsprüfungen einführen
- regelmäßige Checks auf Manipulation
- Vergleich mit bekannten Good-States
- externe Validierung, nicht nur Hersteller-Tools
Architektur überdenken
Statt:
- „ein VPN für alles“
hin zu:
- anwendungsbasiertem Zugriff
- Zero-Trust-Network-Access
- kurzlebigen Sessions
- geringeren Blast Radien
Warum „Patchen reicht“ nicht mehr aus
Der Ivanti-Komplex hat gezeigt:
- Zero-Days kommen in Wellen
- Patches folgen zeitverzögert
- Angreifer sind schneller
- Persistenz bleibt
In solchen Szenarien ist Patchen nur Schadensbegrenzung, nicht Lösung.
Die regulatorische Dimension
In mehreren Ländern führten die Ivanti-Vorfälle zu:
- Warnungen von CERTs
- Empfehlungen zum Austausch der Systeme
- Neubewertung von VPNs in kritischer Infrastruktur
Das zeigt:
Edge-Sicherheit ist kein internes IT-Thema mehr, sondern nationale Sicherheitsfrage.
Der unbequeme Schluss
Der Ivanti-Connect-Secure-Fall ist kein einzelner Ausreißer. Er ist ein Symptom. Ein Symptom dafür, dass wir:
- hochkomplexe Systeme dauerhaft exponieren
- ihnen zentrale Vertrauensfunktionen geben
- und hoffen, dass Patches schneller sind als Angreifer
Diese Hoffnung ist trügerisch.
Die wichtigste Lehre lautet:
Ein dauerhaft exponiertes, komplexes System ist keine Verteidigung – es ist eine Einladung.
Cybersecurity #EdgeSecurity #VPN #ZeroDay #AttackSurface #CriticalInfrastructure #CyberRisk
