Wer eine unbefristete Vmware-Lizenz besitzt, aber kein aktuelles Abo abgeschlossen hat, schaut bei Sicherheits-Updates derzeit in die Röhre. Broadcom verkompliziert den Zugang – trotz gegenteiliger Versprechen.

Die Kollegen von The Register hatten es zuerst gemeldet: Einige Kunden mit unbefristeten VMware-Lizenzen erhalten derzeit keine Sicherheits-Patches mehr – es sei denn, sie beugen sich Broadcoms Abo-Politik.

Das betrifft Anwender, die zwar rechtmäßig eine Perpetual License für Produkte wie vSphere besitzen, aber keinen aktiven Support-Vertrag vorweisen können. Und weil Broadcom bekanntlich keine klassischen Wartungsverträge mehr anbietet, bleibt diesen Nutzern aktuell nur eins: warten. Und hoffen, dass keine Zero-Day-Lücke vor ihnen zuschlägt.

Anzeige

Sicherheits-Patches: Das war anders versprochen

Dabei hatte Broadcom-CEO Hock Tan noch im April 2024 groß versprochen, dass alle Kunden mit gültiger Lizenz »freien Zugang zu Zero-Day-Sicherheits-Patches« erhalten sollen – damit der Betrieb »sicher und geschützt« weiterlaufen könne. Klingt gut, klingt kundenfreundlich – klingt vor allem wie Vergangenheit.

Denn der Zugang zu diesen Patches erfolgt über das Broadcom-Portal – und dieses verlangt eine sogenannte »Entitlement-Validierung«. Wer dort nicht mehr als »berechtigt« geführt wird, bekommt schlicht keinen Zugriff. So berichten es mehrere betroffene Nutzer gegenüber The Register. Ein Vmware-Support-Mitarbeiter soll gar von bis zu 90 Tagen Verzögerung gesprochen haben, bevor entsprechende Fixes verfügbar gemacht werden.

Offiziell bestätigt Vmware das Problem mit gewohnt technokratischer Gelassenheit: »Unser Support-Portal erfordert die Validierung von Kundenansprüchen für Software-Patches, weshalb derzeit nur berechtigte Kunden Zugriff haben«, heißt es. Und man arbeite angeblich an einem »separaten Patch-Zyklus für nicht-berechtigte Kunden« – irgendwann später. Wann genau, bleibt nebulös.

Broadcom spielt mit der IT-Sicherheit seiner Nutzer

Für Unternehmen, die sicherheitskritische Workloads auf Vmware laufen lassen, ist das eine denkbar ungünstige Lage. 2025 wurden bereits elf Security-Advisories veröffentlicht, darunter auch Schwachstellen, mit denen Angreifer über eine kompromittierte VM direkt den Host übernehmen könnten – was in einer virtualisierten Umgebung ungefähr das virtuelle Äquivalent eines Küchenbrands neben dem Gasanschluss darstellt.

Besonders pikant: Bereits im Juni entschied ein niederländisches Gericht, dass Broadcoms Vmware-Tochter dem Infrastrukturministerium weiterhin Support gewähren muss – trotz verweigerter Abo-Buchung. Der Fall Rijkswaterstaat zeigt exemplarisch, dass selbst staatliche Institutionen sich die neuen Lizenzbedingungen nicht einfach gefallen lassen. Der Aufpreis für das Abo-Modell hätte laut Angaben der Behörde bei satten 85  Prozent gelegen – für die gleiche Leistung, versteht sich.

Vmware schweigt derweil weiter zu dem Fall. Nutzer können aktuell nur hoffen, dass der Hersteller schnell einlenkt. Oder nun doch eine Migrarion in Angriff nehmen. Eine Übersicht von Vmware-Alternativen finden Sie hier auf speicherguide.de (Virtualisierungslösungen im Überblick).