Eine weitere MOVEit-Schwachstelle. Gleiches Muster. Neues Risiko.

Am 30. April 2026 hat Progress Software zwei Schwachstellen in MOVEit Automation veröffentlicht – der Workflow- und Scheduling-Engine, die Tausende Unternehmen zur Automatisierung von Managed File Transfer nutzen. Die National Vulnerability Database listete die Einträge am selben Tag. Die Herstellerwarnung erschien in der Progress Customer Community. Sicherheitsteams, die MOVEit Automation einsetzen, befinden sich aktuell in einem Notfall-Patch-Zyklus.

Wichtige Erkenntnisse

1. Zwei kritische Schwachstellen, eine bekannte Produktfamilie. Progress Software veröffentlichte am 30. April 2026 CVE-2026-4670 (CVSS 9.8) und CVE-2026-5174 (CVSS 8.8 NIST/7.7 CNA) in MOVEit Automation. In Kombination ermöglichen sie Angreifern den Übergang von keinem Zugriff zu administrativer Kontrolle.
2. Kein Workaround verfügbar. Die Behebung erfordert ein Upgrade auf MOVEit Automation 2025.1.5, 2025.0.9 oder 2024.1.8 mit dem vollständigen Installer. Während des Upgrades muss das System heruntergefahren werden.
3. Bisher keine bestätigte Ausnutzung. Progress meldet zum Zeitpunkt der Veröffentlichung keine Ausnutzung in freier Wildbahn. Die MOVEit Transfer-Kampagne 2023 begann vier Tage vor der öffentlichen Bekanntgabe. Die Zeitfenster für Patches werden nicht länger.
4. Das ist die Regel, nicht die Ausnahme. Cleo, CrushFTP, Wing FTP und jetzt MOVEit Automation: Managed File Transfer-Software ist ein strukturelles Ziel, da sie am Perimeter sitzt und die wertvollsten Daten hält.
5. Die Architektur ist die entscheidende Frage. Jede weitere MFT-Schwachstelle ist ein neuer Feuerwehreinsatz. Die Konsolidierung auf eine einzige gehärtete, Single-Tenant-Datenaustauschplattform verändert die Ausgangslage grundlegend.

Die zentrale MOVEit-Schwachstelle ist CVE-2026-4670, ein Authentifizierungs-Bypass in MOVEit Automation, von NIST mit CVSS 9.8 – der höchsten Stufe für Remote-Schwachstellen – bewertet. Die zweite, CVE-2026-5174, ist eine Schwachstelle durch fehlerhafte Eingabevalidierung, die NIST mit CVSS 8.8 High und Progress (als CNA) mit CVSS 7.7 bewertet. Beide betreffen die Service-Backend-Befehlsport-Schnittstellen. In Kombination entsteht ein Angriffsweg von nicht authentifiziertem Netzwerkzugriff bis zur administrativen Kontrolle der MOVEit Automation-Umgebung. Progress benennt die Konsequenz klar: „Eine Ausnutzung kann zu unbefugtem Zugriff, administrativer Kontrolle und Datenexponierung führen.“

Die Entdeckung geht auf die Forscher Anaïs Gantet, Delphine Gourdou, Quentin Liddell und Matteo Ricordeau vom Airbus SecLab zurück, laut The Hacker News. Zum Zeitpunkt der Veröffentlichung wurde keine Ausnutzung in freier Wildbahn bestätigt. Es existiert kein öffentliches Proof-of-Concept. Das ist die gute Nachricht. Die schlechte Nachricht liefert die Erfahrung: Kritische MFT-Schwachstellen vor Authentifizierung werden meist schnell ausgenutzt.

Warum MOVEit Automation ein attraktives Ziel ist

MOVEit Automation – früher MOVEit Central bzw. Ipswitch MOVEit Central – ist kein Nischenprodukt. Es ist die Scheduler- und Workflow-Engine, mit der Unternehmen Gehaltsabrechnungen, Finanztransaktionen, Partnerdateien, Gesundheitsdaten und Konstruktionsdaten automatisiert übertragen. Die Plattform speichert oder nutzt regelmäßig Zugangsdaten, die in Automatisierungsaufgaben eingebettet sind, da dies für die Automatisierung erforderlich ist.

Genau dieses Profil macht Managed File Transfer zu einem strukturellen Ziel für Ransomware-Gruppen und Initial Access Broker. Der Dragos 2026 OT/ICS Cybersecurity Year in Review dokumentierte das Muster über mehrere MFT-Plattformen hinweg in 2024 und 2025. Cleo MFT (CVE-2024-50623, CVE-2024-55956) wurde ab Ende 2024 von Cl0p ausgenutzt – mit über 300 betroffenen Unternehmen aus Transport, Fertigung und Lebensmittelbranche. CrushFTP war 2025 Ziel von zwei Kampagnen – CVE-2025-31161 im März und CVE-2025-54309 im Juli. Wing FTP wurde durch CVE-2025-47812 via Lua-Injection mit SYSTEM-Level-RCE kompromittiert. Die Schlussfolgerung von Dragos ist eindeutig: File-Transfer-Plattformen sind ein dauerhaftes Ziel für Ransomware-Gruppen und Initial Access Broker, die durch Erpressung oder Weiterverkauf von Zugängen finanziellen Gewinn erzielen wollen.

Die MOVEit-Offenlegungen 2026 fügen sich in dieses Muster ein – sie sind nicht dessen Ursache. Die Ökonomie der Angreifer treibt diese Entwicklung. MFT sitzt am Perimeter, hält wertvolle Daten, ist weit verbreitet und wird von IT-Teams betrieben, die Patches nicht immer im Notfalltempo einspielen. Aus Angreifersicht ist das ein strukturell attraktives Ziel. Für Käufer ist das eine Information, die Architekturentscheidungen beeinflussen sollte.

Was das Jahr 2023 tatsächlich gezeigt hat

Im Mai 2023 veröffentlichte Progress CVE-2023-34362, eine SQL-Injection-Schwachstelle in MOVEit Transfer – einem anderen Produkt der MOVEit-Familie als MOVEit Automation und einer anderen Schwachstellenklasse als die Offenlegungen 2026. Innerhalb weniger Tage nutzte die Cl0p-Ransomware-Gruppe, von CISA als TA505 verfolgt, die Schwachstelle im großen Stil über den LEMURLOOT-Webshell aus. CISA nahm die CVE am 2. Juni 2023 in den Known Exploited Vulnerabilities Catalog auf. Bis zum Ende der Kampagne waren mehr als 2.700 Unternehmen betroffen und mehrere zehn Millionen Personen waren betroffen. Die Sammelklagen vor Bundesgerichten folgten.

Die richtige Lehre aus dieser Geschichte ist nicht, vorherzusagen, was mit CVE-2026-4670 passieren wird. Die Produkte sind unterschiedlich, die Schwachstellen auch. Zum Zeitpunkt der Offenlegung gibt es keine Hinweise auf eine Ausnutzung der 2026er-Schwachstellen. Die falsche Lehre wäre, diese Historie als irrelevant für die Risikobewertung abzutun. 2023 wurde eine Basisrate etabliert: Kritische MFT-Schwachstellen vor Authentifizierung werden meist schnell ausgenutzt. Die Cl0p-Kampagne begann am 27. Mai 2023 – vier Tage vor der öffentlichen Warnung von Progress. Verteidiger, die erst nach der öffentlichen Warnung reagierten, lagen bereits vier Tage hinter den Angreifern zurück.

Genau diese Rechnung stellen Sicherheitsteams, die jetzt MOVEit Automation betreiben. Patchen mit dem vollständigen Installer, geplante Ausfallzeit akzeptieren und hoffen, dass sich das Muster nicht wiederholt. Die langfristige Frage für alle, die MFT betreiben, lautet: Ist die Architekturentscheidung, einen eigenständigen Befehlsport am Perimeter zu betreiben, noch sinnvoll?

Was die Zahlen heute über MFT-Sicherheit aussagen

Eine fundierte Antwort auf diese Architekturfrage braucht Daten. Der Kiteworks Data Security and Compliance Risk: 2025 MFT Survey Report zeigt: 59 % der Unternehmen hatten im vergangenen Jahr MFT-bezogene Sicherheitsvorfälle – trotz angeblich ausgereifter Sicherheitsprogramme. Die Ursachen liegen in der Architektur, nicht in der Bedrohungskomplexität. 63 % haben MFT nicht mit SIEM oder SOC integriert – mit erheblichen Blind Spots bei der Bedrohungserkennung. 62 % betreiben fragmentierte Systeme für MFT, E-Mail, Filesharing und Web-Formulare. Jeder Fragmentierungspunkt bedeutet eine eigene Richtlinie, ein eigenes Audit-Log und eine eigene Notfall-Patch-Strategie.

Der Automatisierungsgrad korreliert noch deutlicher mit den Vorfallzahlen. Der 2025 MFT Survey Report zeigt: Unternehmen mit weniger als 50 % MFT-Automatisierung meldeten eine Vorfallrate von 71 %. Die 13 % der Unternehmen mit 90 bis 100 % Automatisierung – die MFT als strategische Kontrolle und nicht als manuellen Prozess betrachten – meldeten nur 29 %. Der Unterschied ist kein Zufall. Ende-zu-Ende-Automatisierung erzwingt die Konsolidierung auf Kontrollen, die einen Notfall überstehen. Manuelle Prozesse schaffen die Lücken, die kritische CVEs ausnutzen.

Die Supply-Chain-Perspektive aus dem Black Kite 2026 Third-Party Breach Report ist noch schärfer: 136 verifizierte Third-Party-Breach-Ereignisse in 2025, 719 namentlich genannte Opferunternehmen, geschätzt 26.000 weitere betroffene Unternehmen, die nie genannt wurden. Der mittlere Zeitraum zwischen Vorfall und öffentlicher Bekanntgabe beträgt 73 Tage. Wird eine MFT-Plattform wie MOVEit großflächig kompromittiert, erfahren die meisten nachgelagerten Unternehmen im Schnitt erst nach über zwei Monaten von ihrer Betroffenheit. Die Kontrolle liegt upstream: Wählen Sie eine Datenaustausch-Infrastruktur mit möglichst geringer Angriffsfläche und maximaler Audit-Sicherheit.

Wie die Bedrohungslage 2026 aussieht

Die MOVEit-Schwachstelle 2026 trifft auf ein angespanntes Bedrohungsumfeld. Der CrowdStrike 2026 Global Threat Report dokumentiert einen Anstieg KI-gestützter Angreiferaktivitäten um 89 % gegenüber dem Vorjahr, eine durchschnittliche eCrime-Breakout-Zeit von 29 Minuten vom Erstzugriff bis zur lateralen Bewegung und 82 % aller Erkennungen sind inzwischen malwarefrei. Das Signal: Angreifer agieren schneller, nutzen Identitäts- und Konfigurationsschwächen statt Signaturen und beschleunigen Aufklärung und Social Engineering mit KI-Unterstützung.

Die Datenlage hinkt hinterher. Der 2026 Thales Data Threat Report zeigt: Nur 33 % der Unternehmen wissen genau, wo ihre Daten gespeichert sind. Können zwei Drittel ihre sensiblen Daten nicht lokalisieren, können sie das Risiko bei einem Plattformvorfall nicht eingrenzen. Der WEF Global Cybersecurity Outlook 2026 bestätigt: Lieferkettenstörungen sind inzwischen das zweitgrößte Cyber-Risiko für CISOs und klettern auch auf der CEO-Agenda nach oben. KI-Schwachstellen zählen zu den Top 5 bei CEOs hochresilienter Unternehmen.

Stellen Sie diese Signale der MOVEit-Offenlegung 2026 gegenüber, ist die Konsequenz für Sicherheitsteams klar: Patch-Zyklen werden kürzer, Angreifer agieren schneller, die Datentransparenz verbessert sich nicht und das strukturelle Risiko in MFT-Software bleibt bestehen. Ein Patch schließt eine Schwachstelle. Patches beheben keine architektonische Exponierung.

Die architektonische Alternative von Kiteworks

Kiteworks nutzt die MOVEit-Offenlegung nicht aus, sondern bietet eine architektonische Alternative, die Käufer nach objektiven Kriterien bewerten sollten. Das Angebot ist strukturell: Konsolidieren Sie Managed File Transfer, Secure Email, Filesharing, SFTP, Web-Formulare und KI-Datenintegrationen auf einer einzigen gehärteten virtuellen Appliance – mit einer Policy Engine, einem zentralen Audit-Log und einem einheitlichen Satz an Sicherheitskontrollen. Die Architektur verändert die Ausgangslage in drei Punkten.

Erstens ist die Plattform auf Appliance-Ebene gehärtet, nicht auf der Infrastruktur des Kunden. Eingebettete Netzwerk-Firewall, Web Application Firewall und Intrusion Detection werden von Kiteworks gepflegt. Die Sicherheitskonfiguration auf Kundenseite ist keine Abhängigkeit wie bei MFT-Produkten auf kundeneigener Infrastruktur. Das Defense-in-Depth-Modell ist belegbar: Als Log4Shell einen CVSS von 10 erreichte, lag die Auswirkung innerhalb der Kiteworks-Architektur bei CVSS 4, da die Schichten den Schaden begrenzten. Das ist kein Anspruch auf Immunität gegenüber Schwachstellen – keine Plattform ist das. Es ist eine Aussage darüber, wie die Architektur die Exponierung begrenzt, wenn eine Schwachstelle auftritt.

Zweitens ist jede Kiteworks-Instanz Single-Tenant. Datenbanken, Dateisysteme und Laufzeitumgebungen werden nicht zwischen Kunden geteilt. Cross-Tenant-Angriffsmuster, wie sie Multi-Tenant-Cloud-Services betreffen, sind hier ausgeschlossen. Für regulierten Datenaustausch – Finanztransaktionen, Gesundheitsdaten, Verteidigungsdaten, Partnerzugänge – ist Single-Tenant-Isolierung ein strukturelles Kontrollmerkmal, keine Konfigurationsoption.

Drittens ersetzt die Konsolidierung Einzellösungen. MFT ist nur ein Kanal. Unternehmen übertragen sensible Daten auch per E-Mail, Web-Formularen, Filesharing, SFTP, APIs und zunehmend über KI-Assistenten und -Agents. Wenn jeder dieser Kanäle auf einem anderen Stack mit eigenem Patch-Zyklus läuft, wird jede Schwachstellenmeldung zum separaten Feuerwehreinsatz. Die Vereinheitlichung auf einer Plattform mit einem Audit-Log reduziert Angriffsfläche und Betriebsaufwand. Das ist die architektonische Antwort auf den wiederkehrenden MFT-CVE-Zyklus.

Was diese Woche, dieses Quartal und dieses Jahr zu tun ist

Konkrete Maßnahmen statt Absichtserklärungen. Erstens: Wenn Sie MOVEit Automation betreiben, patchen Sie jetzt. Führen Sie das Upgrade auf 2025.1.5, 2025.0.9 oder 2024.1.8 mit dem vollständigen Installer gemäß Progress-Hinweis durch. Es gibt keinen Workaround und keine Abkürzung. Planen Sie die Ausfallzeit, informieren Sie die betroffenen Geschäftsbereiche und führen Sie das Upgrade gemäß dem vom Anbieter vorgegebenen Zeitplan durch. Überprüfen Sie nach dem Upgrade die Version unter Hilfe > Info.

Zweitens: Prüfen Sie Ihre MFT-Exponierung. Finden Sie jede MOVEit Automation-Instanz – auch solche mit dem alten Branding MOVEit Central oder Ipswitch MOVEit Central in Ihrem Bestand. Legacy-Umgebungen werden oft in-place aktualisiert statt neu aufgebaut, wodurch Komponenten zurückbleiben, die Patch-Zyklen verpassen. Gerade langlaufende Automatisierungsumgebungen sind der Ort, an dem unverwaltete Instanzen verborgen bleiben.

Drittens: Beschränken Sie die Netzwerkanbindung der Service-Backend-Befehlsport-Schnittstellen. Diese sollten nicht aus dem öffentlichen Internet erreichbar sein. Stellen Sie sicher, dass der Zugriff nur autorisierten Systemen möglich ist, und überprüfen Sie dies mit einem Netzwerkscan – nicht nur durch Konfigurationsprüfung. Laut Kiteworks 2025 MFT Survey Report haben 63 % der Unternehmen MFT nicht mit SIEM oder SOC integriert – das heißt, selbst wenn sich die Exponierung ändert, sehen die meisten Teams es nicht im Monitoring.

Viertens: Prüfen Sie die Audit-Logs für den Zeitraum zwischen Offenlegung und Patch. Suchen Sie nach unerwarteten Rechteänderungen, neuen administrativen Konten, Anomalien im Zusammenhang mit den Backend-Service-Schnittstellen und Dateitransfers, die nicht zu dokumentierten Workflows passen. Laut 2026 Black Kite Third-Party Breach Report beträgt der mittlere Zeitraum zwischen Vorfall und öffentlicher Bekanntgabe bei Drittparteien 73 Tage. Die Entdeckung im eigenen Umfeld ist schneller als auf eine externe Meldung zu warten.

Fünftens: Setzen Sie die Architektur-Überprüfung für dieses Quartal auf die Agenda. Die Frage ist nicht, ob Sie MOVEit patchen – das tun Sie bereits. Die Frage ist, wie viele weitere MFT-Schwachstellenzyklen Ihr Team und Ihr Unternehmen auf der aktuellen Architektur noch verkraften können. Laut Kiteworks 2025 MFT Survey Report betreiben 62 % der Unternehmen fragmentierte Systeme für MFT, E-Mail, Filesharing und Web-Formulare. Jedes dieser Fragmente ist eine potenzielle Notfallreaktion in Wartestellung.

Sechstens: Suchen Sie das Gespräch mit Legal und Compliance. Sobald eine CVE in der NVD veröffentlicht wird, sind Unternehmen für Compliance-Frameworks, die die Behebung bekannter Schwachstellen verlangen, in der Pflicht. Die Nachweislage ändert sich mit der Offenlegung. Dokumentieren Sie den Patch-Zeitplan, die Audit-Prüfung und die Architekturentscheidung. Die Nachweisbarkeit der Reaktion hängt von der Beweiskette ab, nicht nur von der Geschwindigkeit des Patches.

Die abschließende Frage ist nicht, ob MOVEit Automation in freier Wildbahn ausgenutzt wird. Vielleicht. Vielleicht auch nicht. Die entscheidende Frage für jedes Unternehmen, das sensible Daten mit Managed File Transfer-Software überträgt, lautet: Wird die nächste kritische Offenlegung ein hektischer Notfall oder nur eine Randnotiz? Die Architektur entscheidet.