Microsoft warnt vor einem kritischen Zero-Day-Lücke (CVE‑2025‑53770, auch „ToolShell“ genannt), die aktiv ausgenutzt wird – ausschließlich bei on‑premises SharePoint-Servern, nicht bei SharePoint Online. Die Lücke ermöglicht unauthentifizierten Remote-Code-Ausführung, wodurch Angreifer in Server eindringen und Daten auslesen, Schlüssel stehlen oder Backdoors installieren können.
Wer ist betroffen?
- Weltweit potenziell über 8.000 bis 10.000 Server gefährdet.
- Aktuell sind mindestens rund 100 Organisationen kompromittiert, darunter zahlreiche in Deutschland – speziell Behörden, Finanzdienstleister und Gesundheitseinrichtungen.
- Experten verweisen auf China-verknüpfte Hackergruppen, doch auch andere Akteure könnten aktiv sein.
Bedeutung für deutsche Unternehmen
- Selbst kleine und mittelständische Firmen mit on-premises SharePoint-Servern sind hochgradig gefährdet.
- Datenlecks, Sabotage und Industriespionage sind mögliche Konsequenzen – besonders brisant bei Kunden- oder Gesundheitsdaten.
Was können Unternehmen jetzt tun?
- Sofortige Installation der Patches für SharePoint Server 2019 und Subscription Edition.
- Bei noch fehlendem Patch (z. B. für SharePoint 2016):
- Server vom Internet trennen (Air-gap).
- AMSI aktivieren und Microsoft Defender AV / Defender for Endpoint einsetzen.
- MachineKeys rotieren, IIS neustarten und Logfiles für Breach-Response sichern:
- Nach Möglichkeit professionelle Unterstützung durch Cybersicherheitsdienstleister einholen.
Strategische Lehren
- Der Vorfall zeigt die Risiken von on-premises-Infrastrukturen: Patches verzögern sich, und Zero-Day-Exploits breiten sich schnell aus.
- Cloud-Migration (z. B. SharePoint Online) bietet bessere Sicherheit durch zentralisierte Updates und integrierte Abwehrmechanismen.
Dieser SharePoint‑Angriff ist kein Einzelfall – auf dem Spiel stehen sensible Daten, Wettbewerbsvorteile und Vertrauen. Das Motto bleibt: Datenschutz geht auch einfach – aber nicht ohne Sicherheit.
