Der IT-Dienstleister NTT Data will künftig nicht mehr mit dem Hersteller für Security-Appliances Ivanti zusammenarbeiten. Das schreibt das Unternehmen in einer internen E-Mail, die heise security auszugsweise vorliegt. Der Dienstleister geht hart mit seinem Lieferanten ins Gericht und bezeichnet dessen Geräte dank verschiedener Sicherheitslücken als „inakzeptables Risiko“.

In der Nachricht, die offenbar NTT-Data-intern versandt wurde, heißt es wörtlich: „Trotz kontinuierlicher Überwachung und Kontaktaufnahme konnten wir keine wesentliche Verbesserung der Sicherheitslage feststellen. Daher stellt die weitere Nutzung ein inakzeptables Risiko für unseren Betrieb, die Datenintegrität und das Vertrauen unserer Kunden dar“.

Unsicherheit jahrelang bekannt

Ivanti fällt immer wieder durch teilweise schwere Sicherheitslücken in seinen Security Appliances auf, zuletzt vor zwei Wochen. Im vergangenen Jahr hatte die US-Cybersicherheitsbehörde CISA gar angeordnet, dass ihr unterstellte Behörden bestimmte Ivanti-Geräte abschalten müssen. Der CEO des Unternehmens hatte dann in einem offenen Brief Besserung gelobt. Die ist jedoch offenbar nur teilweise eingetreten: Zwar hat Ivanti im Vorjahresvergleich etwa zwei Drittel weniger CVE-Nummern für Sicherheitslücken veröffentlicht. Das kann an weniger Fehlern, aber auch weniger Fehlersuche liegen. Doch auch im Jahr 2025 musste die CISA vor einer Schadsoftware warnen, die sich direkt auf den Geräten des Herstellers einnistet – dessen eigenes Sicherheitsteam übersah eine kritische Sicherheitslücke und stufte sie als normalen Programmfehler ein.

Die Sicherheitsprobleme bei Ivanti sind also bereits seit Jahren bekannt, dennoch ist die nun angeblich erfolgende Auslistung bei NTT Data ein ungewöhnlicher Schritt. Das Unternehmen will künftig, so die interne Mitteilung weiter, auf alle Ivanti-Produkte verzichten. Das gelte nicht nur für die eigenen Systeme, sondern insbesondere auch für den Weiterverkauf an Dritte. Auch Verlängerungen für bestehende Verträge sollen unterbleiben und interne Security-Spezialisten würden bei der Umstellung unterstützen, so das Memo. Die japanische NTT Data ist mit ihrer Tochterfirma in Deutschland an mehreren Standorten aktiv und bietet unter anderem Security-Dienstleistungen wie „Managed SOC“ an.

Eine offizielle Bestätigung des Unternehmens steht noch aus. Auf die E-Mail angesprochen, versprach eine Sprecherin des Unternehmens am gestrigen Mittwoch interne Klärung – sowie diese erfolgt ist, werden wir diese Meldung aktualisieren. Ivanti war kurzfristig nicht für eine Stellungnahme zu erreichen.

(cku)

Für Windows-10-Nutzer ist es eine gute Nachricht: Der Konzern macht die „Extended Security Updates“ (ESU) ein Jahr lang für Privatnutzer im Europäischen Wirtschaftsraum (EU-Staaten und Island, Norwegen und Liechtenstein) bis zum 14. Oktober 2026 kostenfrei verfügbar. Das geht aus einem Schriftwechsel zwischen einer Verbraucherorganisation und Microsoft hervor. Microsoft hat das inzwischen gegenüber Windows Central bestätigt.

Anders als etwa in den USA, wo das Update-Jahr 30 US-Dollar kosten soll, können Verbraucher in Europa die Sicherheitsupdates kostenfrei erhalten. Das sicherte Microsoft dem Verband Euroconsumers zu. Nur einen Haken wird es weiterhin geben: Die Sicherheitsupdates bekommen nur Privatnutzer, die ihre Windows-10-Installation mit einem Microsoft-Konto verknüpft haben. Trotzdem sei das ein Fortschritt, findet Els Bruggemann von der Verbraucherorganisation Euroconsumers, die Microsoft dazu gedrängt hatte.

Denn Euroconsumers sah in den Bedingungen, die die Firma zum Zugang für einen längeren Sicherheitsupdate-Support bislang aufstellte, gleich mehrere Verstöße gegen EU-Gesetze. Microsoft habe den Zugang zu Updates von weiteren Daten abhängig gemacht. Angesichts der Marktmacht des US-Konzerns unter dem Digital Markets Act (DMA) und unter der kaum bekannten „Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen“ sei das nicht möglich, so die Organisation. Die Richtlinie formuliert Anforderungen für digitale Inhalte und Dienstleistungen. Euroconsumers wirft Microsoft aber weiterhin vor, durch willkürliche Hardwareanforderungen für Windows 11 gegen das Recht zu verstoßen und unnötige Obsoleszenz herbeizuführen.

Neuregelung gilt nur in Europa

Mit dem nun eingeschlagenen Weg, dass Privatnutzer für die Sicherheitsupdates auf ein Microsoft-Konto angewiesen sind, zeigte sich Euroconsumers etwas besänftigt: Zumindest rechtlich sei das, anders als etwa die Verknüpfung mit der Teilnahme am Reward-Programm oder mit Microsofts OneDrive kein Verstoß gegen die Regeln des Digital Markets Act, erklärt Bruggeman gegenüber heise online. Für Unternehmen und andere kommerzielle Nutzer gilt allerdings weiterhin: Die Teilnahme am ESU-Programm bleibt für sie kostenpflichtig.

Mit dem Zugeständnis an die Verbraucherschützer bevorteilt Microsoft bei ihrem ersten Verbraucher-ESU-Programm die Nutzer in der EU und dem verbundenen Wirtschaftsraum deutlich – was für weitere Diskussionen auch in anderen Regionen sorgen könnte. Dass das EU-Recht hier offenbar eine Besserstellung der Nutzer gegenüber anderen Rechtsordnungen bietet, dürfte die zuständigen Politiker in Brüssel mit einiger Freude sehen.

BSI begrüßt Gnadenfrist – und fordert Nutzer zum Handeln auf

Das Bundesamt für Sicherheit in der Informationstechnik (BS) begrüßt ausdrücklich die längere Verfügbarkeit wichtiger Sicherheitsupdates für Privatnutzer mit Windows 10: „Anwenderinnen und Anwender bekommen damit etwas mehr Zeit, sich um ein Betriebssystem zu bemühen, das langfristig mit Sicherheitsupdates versorgt wird“, erklärt ein Sprecher. Über eigene Erkenntnisse zur Zahl der Windows-10-Nutzer in Deutschland verfügt die Bonner Behörde nicht. Öffentliche Statistiken weisen aber nach wie vor einen hohen Marktanteil aus – demnach läuft etwa die Hälfte der Systeme in Deutschland noch mit dem vor zehn Jahren erstmals veröffentlichten Betriebssystem.

(ps)

Dank neuer Funktionen und Tools in Kali Linux 2025.3 kann man IT-Sicherheitsprobleme nun noch effektiver aufspüren und eingrenzen. Die aktuelle Version ist ab sofort verfügbar.

Softwareschwachstellen aufspüren

In einem Beitrag listen die Entwickler die Neuerungen auf. Dank der neu implementierten HashiCorp-Tools Packer und Vagrant soll der Umgang mit virtuellen Maschinen jetzt noch besser von der Hand gehen. Außerdem ist Nexmon zum Untersuchen von Netzwerkverkehr wieder nutzbar. Dafür eignet sich unter anderem ein Raspberry Pi 5.

Um Sicherheitsprobleme noch effektiver aufzuspüren, haben die Entwickler zehn neue Tools eingebaut. Darunter sind etwa Detect It Easy (DiE) zum Untersuchen von Dateien und Gemini CLI, um den Open-Source-KI-Agenten über das Terminal nutzen zu können.

Zusätzlich haben die Entwickler den Funktionsumfang von CARsenal zum Abklopfen der IT-Sicherheit von Autos erweitert. Dazu gehören unter anderem neue Funktionen und Anpassungen beim Nutzerinterface.

(des)