Es ist ein Angriff, der einmal mehr zeigt, wie verwundbar selbst die etabliertesten IT-Infrastrukturen sein können: Microsoft hat am Wochenende einen Notfall-Patch für eine gravierende Sicherheitslücke in seiner weit verbreiteten SharePoint-Software veröffentlicht. Die Lücke, die von Hackern bereits aktiv ausgenutzt wird, betrifft nicht nur Unternehmen weltweit, sondern auch mehrere US-Behörden. Das Ausmaß des Schadens ist noch nicht vollständig erfasst, doch Experten sprechen von einem „erheblichen Risiko“ für alle Organisationen, die noch auf lokal gehostete SharePoint-Server setzen.
Der Angriff basiert auf einem sogenannten Zero-Day-Exploit – einem Cyberangriff, der eine bislang unbekannte Schwachstelle ausnutzt, für die es zum Zeitpunkt des Angriffs noch keinen Schutz gibt. Laut der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) handelt es sich um eine Variante der bekannten Schwachstelle CVE-2025-49706, die gezielt auf On-Premise-Installationen von SharePoint Server abzielt. Betroffen sind insbesondere die Versionen 2019 und die Subscription Edition – für die ältere 2016er-Version arbeitet Microsoft noch an einer vollständigen Lösung. Sicherheitsforscher warnen, dass der Exploit, unter dem Namen „ToolShell“ bekannt, Angreifern nicht nur Zugriff auf gesamte SharePoint-Dateisysteme verschafft, sondern auch auf verbundene Dienste wie Microsoft Teams, OneDrive und angebundene Identitätsdienste. Besonders alarmierend ist der Hinweis der Google Threat Intelligence Group, dass Angreifer über diese Lücke möglicherweise sogar künftige Sicherheitsupdates umgehen könnten.
Wie groß das Problem ist, lässt sich derzeit nur erahnen. Das niederländische Sicherheitsunternehmen Eye Security hat weltweit über 8.000 SharePoint-Server gescannt und bereits Dutzende kompromittierte Systeme identifiziert. Die Angriffe sollen bereits am 18. Juli begonnen haben – in der Welt der Cybersicherheit eine Ewigkeit. Zwar ist die Cloud-basierte Version SharePoint Online nicht betroffen, doch Michael Sikorski von Palo Alto Networks warnt: „On-Premise-Deployments, insbesondere bei Behörden, Schulen, Krankenhäusern und Großunternehmen, sind jetzt akut gefährdet.“ Es geht also nicht nur um technische Infrastruktur, sondern um zentrale Versorgungssysteme, öffentliche Verwaltung und kritische Dienstleistungen.
Was jetzt zu tun ist, lässt sich nicht auf Abwarten reduzieren. Microsoft hat für die Subscription Edition und SharePoint Server 2019 konkrete Updates veröffentlicht, die umgehend installiert werden sollten. Für SharePoint 2016 gilt es, die bereitgestellten Zwischenschritte konsequent umzusetzen, bis ein vollständiger Fix erscheint. Zentral ist dabei die Aktivierung beziehungsweise Überprüfung der Antimalware Scan Interface Integration (AMSI) in SharePoint, der Einsatz einer aktuellen Endpoint-Schutzlösung wie Defender for Endpoint sowie das zeitnahe Rotieren der ASP.NET Machine Keys – jene kryptografischen Materialien, deren Kompromittierung dauerhafte Hintertüren schaffen kann. CISA empfiehlt Organisationen mit Anzeichen einer Kompromittierung, betroffene Server sofort vom Internet zu trennen, bis sie gehärtet sind. Wer AMSI nicht aktivieren oder zeitnah patchen kann, sollte den Stecker vorsorglich ziehen. Ergänzend raten sowohl CISA als auch führende Incident-Response-Teams zu einer forensischen Prüfung der Systeme, einer detaillierten Log-Analyse und einem vollständigen Schlüsselwechsel über alle angebundenen SharePoint-Verbundsysteme hinweg, um vertikale Folgeschäden durch vernetzte Dienste zu vermeiden. Der Vorfall verdeutlicht einmal mehr: IT-Sicherheit ist kein Randthema – sie ist das Rückgrat funktionierender Strukturen in Staat und Gesellschaft.
Investigativer Journalismus braucht Mut, Haltung und Mittel.
German 
English 
Danke für den Bericht.
Hacker aus def ganzen Welt freuen sich.
Vielleicht sind schon zig Trojaner unbemerkt auf staatlichen Servern installiert.
Grundsätzlich wird sowas ja gegenüber der Öffentlichkeit erstmal runter gespielt
gerne, ich gebs weiter;)