Hacker haben eine neue Angriffsmethode ausgenutzt, um Server von Unternehmen und Behörden zu attackieren. Neben den USA und Deutschland hatten die Cyberkriminellen einen kleinen Inselstaat im Visier.
Update vom 01.08.2025: Microsoft-Sicherheitslücke in Deutschland weit verbreitet
Deutsche Unternehmen, Behörden und Bildungseinrichtungen sind in Europa am meisten von der gravierenden Schwachstelle in der Sharepoint-Software von Microsoft betroffen. Laut einer Untersuchung des europäischen Cybersecurity-Unternehmens Eye Security wurden bisher weltweit 396 infizierte Server in 145 Organisationen identifiziert – 42 davon betreffen demnach Firmen, die in Deutschland tätig sind. Zehn dieser Organisationen haben ihren Hauptsitz in der Bundesrepublik.
Die USA stehen mit 18 Prozent der bestätigten Vorfälle an der Spitze, erklärten die niederländischen Sicherheitsexperten, die vor zwei Wochen die Schwachstelle entdeckt hatten. Auf Platz zwei folgt Mauritius mit acht Prozent der bestätigten Vorfälle, gefolgt von Deutschland (sieben Prozent), Frankreich (fünf Prozent), Spanien, den Niederlanden, Italien mit jeweils vier Prozent und Großbritannien (drei Prozent). Mauritius, ein Inselstaat im Indischen Ozean, ist aufgrund seiner fortschreitenden Digitalisierung, seiner Rolle als regionales Finanzzentrum und seiner gut entwickelten digitalen Infrastruktur zunehmend Ziel von Cyberkriminalität.
Bei den Attacken ging es den Angreifern nicht um Zufallstreffer, sondern um strategisch bedeutende Ziele, sagte Lodi Hensen, VP Security Operations bei Eye Security. "Diese Kampagne war weder zufällig noch opportunistisch. Die Angreifer wussten genau, wonach sie suchten."
Erste Angriffswelle aus China
Nach Einschätzung der Sicherheitsexperten ist die Gefahr weiterhin nicht gebannt. Zwar sei die Schwachstelle von Microsoft inzwischen behoben und ein Sicherheitsupdate veröffentlicht. Man verzeichne jedoch weiter steigende Infektionszahlen. Viele Unternehmen hätten das Update noch nicht eingespielt – oder die Angreifer hätten sich bereits vor dem Update im System festsetzen können.
Microsoft selbst ordnet die ersten Angriffe chinesischen Gruppen wie Linen Typhoon, Violet Typhoon und Storm-2603 zu. Die Experten von Eye Security verweisen darauf, dass inzwischen auch kriminelle Gruppen aktiv sind, die kompromittierte SharePoint-Zugänge beispielsweise zur Vorbereitung von Ransomware-Angriffen nutzen. Bei diesen Attacken verschlüsseln die Angreifer die Daten ihrer Opfer und versuchen damit, Lösegeld (englisch: ransom) zu erpressen.
Eye Security betonte, das Risiko betreffe längst nicht mehr nur Staaten oder Konzerne. Besonders der europäische Mittelstand, der häufig auf Lösungen in eigenen Rechenzentren (On-Premises) setze und keine durchgehende Sicherheitsüberwachung hat, gerät zunehmend ins Visier.
Ursprungsmeldung vom 22.07.2025: Hacker nutzen massenhaft Microsoft-Sicherheitslücke aus
IT-Sicherheitsexperten sind alarmiert, da Behörden und Unternehmen durch eine neu entdeckte Schwachstelle in Microsoft-Software angegriffen werden. Betroffen sind lokale Server für das Programm SharePoint, das zum Teilen von Dateien genutzt wird.
Über die Schwachstelle seien Angreifer bereits in Systeme zahlreicher Organisationen eingedrungen, sowohl in der Wirtschaft als auch im Regierungssektor, sagte ein Manager der IT-Sicherheitsfirma Palo Alto Networks der Washington Post. SharePoint Online in Microsoft 365 ist nicht betroffen.
Der Zugang zu den Servern biete potenziell die Möglichkeit, Daten zu stehlen und Passwörter abzugreifen, warnte das niederländische Unternehmen Eye Security. Schlimmer noch: Nach Erkenntnissen seiner Experten könnten Angreifer auch digitale Schlüssel stehlen, mit denen sie sich später erneut Zugang zu Computersystemen mit geschlossener Sicherheitslücke verschaffen könnten.
Sicherheitslücke bei SharePoint - Nutzer sollten von Angriff ausgehen
Jeder, der einen SharePoint-Server betreibe, habe ein Problem, sagte ein Manager der Sicherheitsfirma Crowdstrike. "Es ist eine bedeutende Schwachstelle." Eye Security empfiehlt angesichts der Angriffe auf tausende Server, diese zu isolieren oder abzuschalten.
Charles Carmakal, Technikchef der Google-Sicherheitsfirma Mandiant, sagte, Unternehmen müssten sofort Maßnahmen zur Risikominderung ergreifen und den Patch installieren, sobald er verfügbar sei. Ein Patch ist ein Softwareupdate, das jedoch keine neue Funktionalität bringt, sondern lediglich die Sicherheitslücke schließt. Das reiche aber nicht aus: "Es ist ratsam, von einer Kompromittierung auszugehen", sagte Carmakal. Die Firmen sollten sich also so verhalten, als ob sie von einem Angriff betroffen seien - unabhängig davon, ob dies tatsächlich der Fall sei.
Microsoft bestätigte das Problem in einem Blogeintrag und veröffentlichte Updates, die die Sicherheitslücke schließen sollen. Wer hinter den Angriffen steckt, blieb zunächst unklar. In den USA seien Server von zwei Bundesbehörden erfolgreich attackiert worden, schrieb die Washington Post unter Berufung auf Experten. Angaben dazu, um welche Behörden es sich handelt, wurden nicht gemacht.
Auch US-Behörde warnt
Microsoft hatte kürzlich mit einem Update mehrere Schwachstellen beseitigt. Die Angreifer entdeckten danach eine ähnliche Sicherheitslücke an anderer Stelle. Die amerikanische IT-Sicherheitsbehörde CISA forderte betroffene staatliche Stellen und Unternehmen zu schnellem Handeln auf. Erste Hinweise auf die Angriffe gab es am Freitag (18. Juli 2025).
Zuletzt hatten sich im Jahr 2023 mutmaßlich chinesische Hacker Zugang zu E-Mails in einigen US-Behörden über eine Schwachstelle in Microsoft-Software verschafft.
Dieser Artikel enthält Angebote und wie wir künstliche Intelligenz einsetzen
Hinweis: In der Redaktion sind wir immer auf der Suche nach tollen Angeboten und nützlichen Produkten für unsere Leser - nach Dingen, die uns selbst begeistern und Schnäppchen, die zu gut sind, um sie links liegenzulassen. Es handelt sich bei den in diesem Artikel bereitgestellten und mit einem Piktogramm beziehungsweise einem Einkaufswagen-Symbol, einem Ticket-Symbol, einem Hotel-/Reise-Symbol oder Sternchen gekennzeichneten Links um sogenannte Affiliate-Links/Werbelinks. Wenn du auf einen dieser Links klickst bzw. darüber einkaufst, bekommen wir eine Provision vom Händler, Anbieter oder Dienstleister. Für dich ändert sich dadurch nichts am Preis. Unsere redaktionelle Berichterstattung ist grundsätzlich unabhängig vom Bestehen oder der Höhe einer Provision.
Ein Redakteur hat diesen Artikel unter Verwendung eines KI-Sprachmodells verfasst und/oder optimiert. Sämtliche Informationen wurden sorgfältig geprüft.Erfahre hier mehr über unsere KI-Richtlinien.
