Was Progress den Kunden aufgetragen hat

Die Anweisung von Progress Software war unmissverständlich: die Maschine ausschalten. Am 10. Juli 2026, mit breiterer Berichterstattung am Folgetag, wurden Administratoren mit ShareFile und lokalen Storage Zone Controllern aufgefordert, diese Controller wegen einer vom Hersteller als glaubwürdig bezeichneten Bedrohung physisch abzuschalten.

Es gibt keinen Patch, keine benannte CVE und keine öffentlichen Details zur Bedrohung selbst. Progress stellte zudem klar, dass eine Sperrung des Zugriffs auf Cloud-Ebene nicht genügt. Die Gefahr ist der Controller selbst, das Gerät im eigenen Netz des Kunden, und der einzige Rat auf dem Tisch lautet, den Betrieb einzustellen.

Eine Progress-Schwachstelle mit dem Schweregrad 9,8, CVE-2026-2699, kursiert in freier Wildbahn, doch Progress hat sie nicht offiziell mit dieser Warnung verknüpft. Für einen Inhaber ist die praktische Lage einfach und unbequem: ein vertrauter Anbieter sagt, der sicherste Zustand seines Produkts sei ausgeschaltet.

Warum 'Abschalten' besser ist als 'auf einen Patch warten'

Den Stecker zu ziehen ist der ehrliche Schritt, wenn es nichts zu patchen gibt. Eine Abschaltung entfernt die Angriffsfläche sofort, während Abwarten genau das Szenario einlädt, das die Branche mit MOVEit bereits durchlebt hat, dem früheren Progress-Produkt für Dateiübertragung, dessen Krise 2023 eine der größten Datenschutzverletzungs-Wellen in Europa auslöste.

Dieser Präzedenzfall ist der Grund, warum diese Warnung über eine einzelne Produktlinie hinaus Gewicht hat. Dieselbe Kategorie vertrauter Dateiübertragungs-Software, angesiedelt an der Nahtstelle, an der sensible Dokumente zwischen Partnern wandern, hat nun zwei vom Anbieter ausgerufene Notfälle vom selben Lieferanten hervorgebracht. Wenn die Lösung nicht verfügbar ist, ist der einzige Hebel, den ein Inhaber kontrolliert, die Verfügbarkeit, und den Dienst abzuschalten ist die eine Handlung, die kein Angreifer überholen kann.

Die Drittanbieter-Risikoübung, die Sie sich schulden

Die Lehre hier ist nicht dieses eine Produkt. Sie lautet, dass Ihre Anbieter für Managed File Transfer und Dateiaustausch konzentriertes Drittanbieter-Risiko sind, und dass eine plötzliche Anweisung, ein Produktivsystem abzuschalten, eine Übung ist, die Sie unter NIS2 und DORA bereits durchführen können sollten.

Beide Regelwerke behandeln ein solches vom Lieferanten ausgelöstes Ereignis als meldepflichtigen Drittanbieter-Vorfall, und die Frist kann beginnen, bevor eine Kompromittierung bestätigt ist. Das heißt, die heute lohnenden Fragen betreffen nicht ShareFile allein: welche Anbieter Ihnen morgen dieselbe Nachricht schicken könnten, wer die Befugnis hat, ein System binnen einer Stunde abzuschalten, und wie schnell Sie die vom Gesetz erwartete Meldung einreichen könnten.

Führen Sie die Übung jetzt durch, solange sie nichts kostet außer einem Nachmittag. Die Unternehmen, die den nächsten dieser Anrufe ruhig bewältigen, sind jene, die die Abschaltung geprobt haben, bevor ein Anbieter sie erzwang.