MFT-Verstöße bleiben bestehen: Schwächen veralteter Architekturen offengelegt

Die Geschichte der Managed File Transfer-Breaches in den 2020er Jahren ist nicht die Geschichte eines einzelnen schlechten Anbieters in einem schlechten Jahr. Es ist die Geschichte eines architekturbedingten Musters auf Kategorieebene, das zu vorhersehbaren Ausfällen führt. Die Offenlegung vom 30. April 2026 von CVE-2026-4670, einer CVSS-9.8-Authentifizierungsumgehung in MOVEit Automation, und CVE-2026-5174, einer verketteten Schwachstelle zur Privilegieneskalation, macht dieses Muster unmöglich als bloßes Pech abzutun.

Wichtige Erkenntnisse

1. Die Offenlegung 2026 ist die dritte kritische Welle in drei Jahren. Am 30. April veröffentlichte Progress zwei Schwachstellen in MOVEit Automation, eine davon mit CVSS 9.8 bewertet. Es gibt keinen Workaround.
2. Dies ist kein Problem eines einzelnen Anbieters. Cleo im Dezember 2024, CrushFTP im März 2025, Wing FTP im Juli 2025 und erneut MOVEit im April 2026 – vier kritische MFT-Schwachstellen in 18 Monaten, verteilt auf vier Anbieter.
3. Die meisten MFT-Vorfälle sind keine Zero-Days. 59 Prozent der Unternehmen erlitten im vergangenen Jahr einen MFT-bezogenen Vorfall. Die Ausfälle konzentrieren sich auf nicht verschlüsselte Daten im ruhenden Zustand, keine SIEM-Integration und fragmentierte Systeme.
4. Der Schadensumfang wird durch die Architektur bestimmt, nicht durch die Geschwindigkeit beim Patchen. Trifft die gleiche Schwachstellenklasse auf eine gehärtete Single-Tenant-Appliance mit Defense in Depth, sinkt die praktische Auswirkung um Größenordnungen – Log4Shells Branchenwert von CVSS 10 wurde in einer solchen Umgebung auf CVSS 4 begrenzt.
5. Der nächste Patch ist nicht die Lösung. Die architektonische Entscheidung ist, ob Sicherheit eine Kundenkonfigurationslast ist, die an eine internetzugängliche Webanwendung angeflanscht wird, oder eine Produkteigenschaft einer gehärteten Appliance mit einer Policy Engine und einem Audit Log.

Drei Jahre. Elf offengelegte CVEs in den Produktlinien von MOVEit. Fünf davon mit CVSS 9.0 oder höher. Und in jeder Welle herrschten die gleichen architektonischen Bedingungen: eine internetzugängliche Webanwendung, ein vom Kunden verwaltetes Betriebssystem, eine Datenbankebene, die die Anwendung direkt erreichen konnte, und ein Dateispeicher, der sich auf derselben Vertrauensgrenze wie alles andere befand.

Die Welle 2023 war die, die in die Schlagzeilen kam. Am 27. Mai jenes Jahres begann die Cl0p-Ransomware-Gruppe mit der massenhaften Ausnutzung von CVE-2023-34362, einer CVSS-9.8-SQL-Injection-Schwachstelle in MOVEit Transfer. Progress veröffentlichte vier Tage später einen Patch. Mandiant berichtete später, dass die durchschnittliche Zeit vom ersten Eindringen bis zur Datenexfiltration etwa fünf Minuten betrug. Bis Jahresende waren mehr als 2.700 Unternehmen kompromittiert, mit personenbezogenen Daten von rund 93 Millionen Personen, die offengelegt wurden. CISA schätzte, dass weltweit über 8.000 Organisationen betroffen waren, wenn man die nachgelagerte Exposition einbezieht.

Die Welle 2024 bestand aus zwei Authentifizierungsumgehungen – CVE-2024-5805 und CVE-2024-5806, beide schließlich mit CVSS 9.1 bewertet. Die Shadowserver Foundation beobachtete Angriffsversuche innerhalb von Stunden nach der Offenlegung. WatchTowr Labs veröffentlichte am selben Tag funktionsfähigen Proof-of-Concept-Code. Die Offenlegung von CVE-2025-2324 im Jahr 2025 traf das SFTP Shared Accounts-Modul. Und die Warnung 2026 schloss den Kreis: eine CVSS-9.8-Authentifizierungsumgehung und eine verkettete Privilegieneskalation in MOVEit Automation, wobei Shodan mehr als 1.440 internet-exponierte Instanzen mit Risiko identifizierte, darunter 16, die mit US-Bundes- und Kommunalbehörden verbunden sind.

Ein Anbieter hat von Zeit zu Zeit schlechten Code. Eine Kategorie hat jedes Mal eine schlechte Architektur.

Das anbieterübergreifende Muster als Beweis für ein Architekturproblem

Wäre MOVEit der einzige Datenpunkt, wäre der Fall nur Indizienbeweis. Das ist nicht der Fall. In den 18 Monaten von Dezember 2024 bis April 2026 veröffentlichten vier verschiedene Managed File Transfer-Plattformen Schwachstellen mit kritischer Schwere, die jeweils kurz nach der Offenlegung ausgenutzt wurden.

Cleo, Dezember 2024. Cl0p nutzte eine Schwachstellenkette in Cleos Harmony-, VLTrader- und LexiCom-Produkten massenhaft aus. Über 300 Unternehmen aus Transport, Fertigung und Lebensmittelversorgungsketten wurden als Opfer genannt.

CrushFTP, März 2025. Einer Authentifizierungsumgehung in CrushFTP-Servern folgte im Juli 2025 eine Offenlegung, die eine vollständige Übernahme des Servers ermöglichte.

Wing FTP, Juli 2025. Eine nicht authentifizierte Remote-Code-Ausführung über Lua-Injection führte zu Root- und SYSTEM-Privilegien.

MOVEit, April 2026. Die aktuelle Warnung. Kein Workaround. Ein vollständiges Installer-Upgrade ist erforderlich.

Der Dragos 2026 OT/ICS Cybersecurity Report setzt dieses Muster in einen operativen Kontext. Ransomware-Gruppen zielten 2025 verstärkt auf Ingenieurbüros, OT-Managed Service Provider und ICS-Gerätehersteller – genau die Kundengruppe, die auf Legacy-MFT-Plattformen konzentriert ist. Cl0ps Ausnutzung von Cleo MFT, CrushFTP und später Oracle E-Business Suite, so Dragos, zeigte, wie eine einzelne Schwachstelle in weit verbreiteter File-Transfer-Software operative Dokumente, Konstruktionsdaten und Integrationen zwischen Anbietern und Kunden in Hunderten von Industrieunternehmen gefährden kann – selbst wenn der Angreifer nie direkt ein OT-Netzwerk berührt.

So sieht architekturbedingtes Risiko auf Kategorieebene aus. Der Anbietername ändert sich. Das Fehlermuster bleibt.

Was 59 % der Unternehmen bereits aus Erfahrung wissen

Die auffälligste Erkenntnis im Kiteworks Data Security and Compliance Risk: 2025 MFT Survey Report ist, dass das MFT-Vorfallproblem nicht gelegentlich auftritt und nicht primär durch Zero-Days getrieben wird. 59 Prozent der Unternehmen erlitten im vergangenen Jahr einen sicherheitsrelevanten MFT-Vorfall. Nur 39 Prozent blieben komplett verschont.

Die Aufschlüsselung nach Automatisierungsgrad ist noch aufschlussreicher. Unternehmen mit weniger als 50 Prozent automatisierten Dateiübertragungen über MFT meldeten eine Vorfallsrate von 71 Prozent. Bei 50–69 Prozent Automatisierung lag die Rate bei 61 Prozent. Bei 70–89 Prozent Automatisierung sank die Rate auf 52 Prozent. Und die 13 Prozent der Unternehmen, die 90–100 Prozent Ende-zu-Ende-Automatisierung erreichten, meldeten nur 29 Prozent.

Der 2025 MFT Survey Report beschreibt die Ausfälle als drei strukturelle Lücken. Die erste ist eine Verschlüsselungslücke: 76 Prozent der Unternehmen verschlüsseln MFT-Daten während der Übertragung, aber nur 42 Prozent verschlüsseln Daten im ruhenden Zustand mit AES-256. Behörden verschlüsseln nur 8 Prozent der gespeicherten MFT-Daten. Im Gesundheitswesen sind es 11 Prozent. Die Daten im Speicher – also die, die Angreifer bei einer MFT-Schwachstelle erreichen – sind am wenigsten geschützt.

Die zweite ist eine Transparenzlücke. 63 Prozent der Unternehmen haben keine SIEM- oder SOC-Integration für ihre MFT-Umgebung. Ihre Security Operations Center überwachen Netzwerkverkehr und Endpunkte, aber Dateiübertragungen – oft mit den sensibelsten Daten des Unternehmens – laufen im Dunkeln ab.

Die dritte ist eine Komplexitätslücke. 62 Prozent der Unternehmen betreiben fragmentierte Architekturen über MFT, E-Mail, Filesharing und Web-Formulare hinweg. Jedes Tool hat eigene Richtlinien, eigene Audit Logs und eigene Konfigurationen. Jede Lücke dazwischen ist ein Ort, an dem Beweise verloren gehen.

Das sind keine exotischen Schwachstellen. Es sind grundlegende Kontrollen, die schon vor zehn Jahren Standard hätten sein sollen.

Warum die MFT-Architektur immer wieder auf die gleiche Weise versagt

Vier architektonische Eigenschaften definieren die Legacy-MFT-Kategorie, und jede lässt sich direkt einem dokumentierten Fehlermuster im CVE-Register zuordnen.

Internetzugängliche Webanwendungsoberfläche. Jede Legacy-MFT-Plattform benötigt eine öffentliche Webschnittstelle für Partnerzugriffe. Über diese Oberfläche wurden alle bekannten SQL-Injections, Authentifizierungsumgehungen und Input-Validierungsfehler ausgenutzt. Sie lässt sich nicht eliminieren, ohne die Kernfunktion des Produkts zu zerstören.

Kundenverwaltete Infrastruktur. Legacy-MFT-Plattformen laufen auf kundenseitig gehärteten Windows-Servern, IIS, SQL Server und kundenseitig konfigurierten Netzwerkkontrollen. Die Sicherheit hängt davon ab, dass der Kunde jede Komponente korrekt härtet. Jede Fehlkonfiguration ist ein potenzieller CVE im Betriebsumfeld. Jeder Patch-Zyklus ist vom Kunden zu koordinieren.

Keine Eindämmung nach dem Eindringen. Hat ein Angreifer Remote-Code-Ausführung in einer Legacy-MFT-Umgebung erreicht, gibt es keine Isolation zwischen Anwendungsebene, Datenbank, Dateispeicher oder Cloud-Speicher-Zugangsdaten. Der Schadensumfang ist die Plattform selbst. Die Cl0p-Attacke 2023 zeigte dies deutlich: SQL-Injection in der Webebene ermöglichte Zugriff auf Sysadmin-Tokens, ein Deserialisierungsfehler wandelte das Token in Remote-Code-Ausführung um, und eine speziell entwickelte ASP.NET-Webshell namens LEMURLOOT leitete die Exfiltration über eigene HTTP-Header. Nichts in dieser Kette bot einen wirksamen Schutz auf Ebene der einzelnen Schichten.

Patch-Zyklus ohne Workaround. Jede veröffentlichte MOVEit-CVE erforderte ein vollständiges Installer-Upgrade. In mehreren Fällen wurden Angriffe innerhalb von Stunden nach der Offenlegung beobachtet. Der Zyklus verstärkt sich: Je länger die Plattform im Einsatz bleibt, desto mehr CVEs sammeln sich an und desto schwieriger wird es, die Weiterführung zu rechtfertigen.

Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report beschreibt das übergeordnete Kategoriemuster so: Legacy-Infrastruktur kann moderne Data Governance nicht unterstützen. Zersplittertes Filesharing und jahrzehntealte MFT-Lösungen fehlen die Sicherheitsfunktionen, um wirksame Eindämmung, Audit-Trails in Beweisqualität oder Souveränitätsgarantien zu ermöglichen. Der 2026 Forecast Report fand heraus, dass nur 39 Prozent der Unternehmen einen einheitlichen Datenaustausch mit Durchsetzung haben; 34 Prozent haben nur teilweise Abdeckung mit Lücken; 16 Prozent betreiben nur kanalspezifische Lösungen; 11 Prozent haben minimale oder gar keine Governance.

61 Prozent der Unternehmen versuchen, Audit-Trails in Beweisqualität auf fragmentierter Infrastruktur aufzubauen. Die Infrastruktur kann nicht leisten, was der Regulator heute verlangt.

Was die Regulierungsbehörden mit dem Muster machen

Jeder MFT-Breach erzeugt einen regulatorischen Vorgang. Und die Regulierungsbehörden werden immer besser darin, diese Vorgänge auszuwerten.

Die SEC leitete am 2. Oktober 2023 eine formelle Untersuchung gegen Progress Software ein, nach der Cl0p-MOVEit-Kampagne. Gemäß SEC Item 1.05 müssen börsennotierte Unternehmen wesentliche Cybersecurity-Vorfälle innerhalb von vier Werktagen auf Formular 8-K melden. Diese Frist beginnt, sobald das Unternehmen die Wesentlichkeit des Vorfalls feststellt – und nach Cl0p hat die SEC klar signalisiert, dass Verzögerungen bei der Wesentlichkeitsbewertung selbst unter Beobachtung stehen.

Im Gesundheitswesen meldete die Centers for Medicare and Medicaid Services den MOVEit-bezogenen Vorfall mit 3,1 Millionen betroffenen Personen an das HHS Office for Civil Rights. Der „reasonable safeguards“-Standard der HIPAA Security Rule nach 45 CFR §164.308 ist der regulatorische Rahmen, und OCR-Strafen können sich auf bis zu 2,1 Millionen US-Dollar pro Jahr und Verstoßstufe belaufen.

In der EU verlangt DSGVO Artikel 32 angemessene technische und organisatorische Maßnahmen entsprechend dem Risiko, und die NIS 2-Richtlinie, seit Oktober 2024 in Kraft, schreibt eine 24-stündige Frühwarnung und eine 72-stündige Meldepflicht für Vorfälle vor. Das Bußgeld der britischen ICO gegen Capita im Oktober 2025 in Höhe von 14 Millionen Pfund bezog sich direkt auf Artikel 32.

In Australien erhöhte der Privacy Amendment Act 2024 die maximalen zivilrechtlichen Strafen auf 50 Millionen AUD oder 30 Prozent des bereinigten Umsatzes bei schwerwiegenden oder wiederholten Datenschutzverstößen. Die Zahl der meldepflichtigen Datenschutzverletzungen beim Office of the Australian Information Commissioner stieg 2024 um 25 Prozent gegenüber dem Vorjahr.

Die Frage der Regulierungsbehörden nach drei kritischen MFT-Wellen in drei Jahren ist nicht, ob der Vorfall vorhersehbar war. Sie lautet, ob der Weiterbetrieb einer Plattform mit dieser Offenlegungshistorie als angemessene Schutzmaßnahme gilt.

Die architektonische Alternative

Der Austausch eines Legacy-MFT-Produkts gegen ein anderes setzt den Patch-Zyklus lediglich zurück, ohne das zugrunde liegende Modell zu ändern. Die architektonische Antwort ist ein anderes Modell.

Kiteworks konsolidiert den Datenaustausch – E-Mail, Filesharing, SFTP, MFT, Web-Formulare, APIs und KI-Integrationen – auf einer einzigen gehärteten virtuellen Appliance mit einer Policy Engine und einem Audit Log. Die Appliance verfügt über eine integrierte Netzwerk-Firewall, eine integrierte Web Application Firewall, ein integriertes Intrusion Detection System und ein abgespecktes Betriebssystem, das von Kiteworks gepflegt wird. Kunden konfigurieren das Betriebssystem nicht. Sie verwalten die Datenbank nicht. Sie patchen den zugrundeliegenden Stack nicht separat. Mit einem Klick werden vollständige Systemupdates für die gesamte Appliance durchgeführt – Anwendung, Laufzeit, Betriebssystem, Bibliotheken – in einem einzigen koordinierten Vorgang.

Innerhalb dieser Appliance isoliert eine mehrschichtige Architektur die Webebene von der Datenbank und dem Dateispeicher. Eine kompromittierte Anwendungsschicht kann die Datenbank nicht direkt abfragen oder Dateischlüssel ableiten. Dateien im ruhenden Zustand sind durch zwei unabhängige Verschlüsselungsebenen geschützt – datei- plus datenträgerebene – mit FIPS 140-3-validierten kryptografischen Modulen. TLS 1.3 schützt Daten während der Übertragung. Optional ist ein vom Kunden kontrolliertes Schlüsselmanagement für souveränitätskritische Workloads verfügbar.

Auch das Administrationsmodell ist hier entscheidend. Bei Legacy-MFT ist die Administrationskonsole das Betriebssystem selbst. Administratoren haben Zugriff auf Servercode, Dateisystem und können Anwendungen installieren. Ein Angreifer, der die Administrationskonsole erreicht, erreicht alles. Im Kiteworks-Modell haben Administratoren keinen Zugriff auf Betriebssystem, Dateisystem, Anwendungscode oder Datenbank. Die Administrationskonsole ist eine Weboberfläche mit strikter rollenbasierter Zugriffskontrolle. Admin-Funktionen steuern das System ausschließlich über spezifische API-Aufrufe. Administratoren können keine Software auf der Appliance installieren.

Defense in Depth ist in dieser Architektur keine Theorie. Während des Log4Shell-Vorfalls im Dezember 2021 lag der Branchen-CVSS-Score für die zugrunde liegende Log4j-Schwachstelle bei 10,0. Innerhalb der Kiteworks-Appliance reduzierten gestaffelte Kontrollen die praktische Auswirkung auf CVSS 4,0, noch bevor der offizielle Patch verfügbar war. Die nächste kritische CVE kündigt sich nicht an. Was den Schadensumfang bestimmt, ist die Architektur, die beim Auftreten der Schwachstelle bereits besteht.

Was Unternehmen mit Legacy-MFT jetzt tun sollten

Erstens: Sofort patchen. Wenn Sie MOVEit Automation betreiben, aktualisieren Sie auf 2025.1.5, 2025.0.9 oder 2024.1.8 mit dem vollständigen Installer. Progress bestätigt, dass es keinen Workaround für CVE-2026-4670 oder CVE-2026-5174 gibt. Die gleiche Dringlichkeit gilt für jede Legacy-MFT-Umgebung, die sich noch im unterstützten Patch-Zyklus befindet – das Zeitfenster von Offenlegung bis Ausnutzung wurde bei mehreren Anbietern in Stunden gemessen.

Zweitens: Die Lücke prüfen. Der Kiteworks Data Security and Compliance Risk: 2025 MFT Survey Report fand heraus, dass 63 Prozent der Unternehmen keine SIEM-Integration für ihr MFT haben, 58 Prozent verschlüsseln MFT-Daten im ruhenden Zustand nicht mit AES-256 und 33 Prozent haben keine attributbasierte Zugriffskontrolle implementiert. Vergleichen Sie Ihre aktuelle MFT-Umgebung mit diesen drei Kontrollen, bevor die nächste Offenlegung die Diskussion unter Druck erzwingt.

Drittens: Die Kanäle inventarisieren. Die meisten Unternehmen tauschen sensible Daten über fünf bis zehn verschiedene Tools aus – sichere E-Mail, Filesharing-Plattformen, SFTP-Server, MFT, Web-Formulare, APIs und zunehmend KI-Integrationen. Daten aus dem Kiteworks 2026 Forecast Report zeigen, dass 61 Prozent der Unternehmen eine fragmentierte Infrastruktur für den Datenaustausch betreiben, was bedeutet, dass Audit-Trails in Beweisqualität auf der aktuellen Basis nicht möglich sind. Listen Sie jeden Kanal auf, über den regulierte Daten Ihr Unternehmen verlassen, und prüfen Sie, welche davon eine gemeinsame Policy Engine nutzen – und welche nicht.

Viertens: Architektur in die Planung aufnehmen. Die Migration von einer Legacy-MFT-Plattform ist ein echtes Projekt mit echten Zeitplänen. Es geht nicht darum, in einem Quartal zu migrieren. Es geht darum, die architektonische Alternative in den nächsten Budgetzyklus, die nächste Architekturüberprüfung oder das nächste größere MFT-Upgrade-Fenster aufzunehmen – bevor die CVE-Historie der Plattform die Diskussion zur Notwendigkeit macht. Daten aus dem Kiteworks 2025 MFT Survey Report zeigen, dass die 13 Prozent der Unternehmen mit 90–100 Prozent Automatisierung weniger als halb so viele Vorfälle melden wie diejenigen, die noch viele manuelle Workflows betreiben. Die Investition in Konsolidierung zahlt sich bereits innerhalb eines Offenlegungszyklus aus.

Fünftens: Das Richtige messen. Patch-Geschwindigkeit ist nicht die Kennzahl. Der Schadensumfang ist die Kennzahl. Zwei Unternehmen, die von derselben CVE betroffen sind, erzielen unterschiedliche Ergebnisse, wenn eines eine gehärtete Single-Tenant-Appliance betreibt und das andere eine kundenverwaltete Webanwendung auf einer flachen Vertrauensgrenze. Laut Black Kite’s 2026 Third-Party Breach Report beträgt die mittlere Verzögerung bei der Offenlegung von Drittanbieter-Breaches 73 Tage. Die Architektur, die die Exposition in diesen 73 Tagen begrenzt, bestimmt das regulatorische und reputationsbezogene Ergebnis.

Die MOVEit-Historie ist keine Geschichte über Progress Software. Es ist die Geschichte einer Kategorie von Datenaustausch-Architekturen, die unter heutigen Bedrohungsbedingungen nicht mehr vertretbar ist. Die nächste kritische MFT-Schwachstelle wird bereits entdeckt. Welche Schlagzeile Sie betrifft, entscheidet das Plattformmodell, das Sie gewählt haben, bevor die Offenlegung kam.