Mehr als 90 staatliche und lokale Regierungsbehörden sind bereits Opfer einer kritischen Sicherheitslücke in Microsoft SharePoint geworden. Die Angriffswelle erreichte nach Angaben des niederländischen Cybersicherheitsunternehmens Eye Security mindestens 400 Organisationen.

Besonders brisant: Angreifer konnten die von Microsoft bereitgestellten Sicherheitsupdates problemlos umgehen. Obwohl Microsoft bis zum 21. Juli Updates für alle betroffenen Versionen veröffentlicht hatte, waren zu diesem Zeitpunkt bereits über 400 Organisationen von mindestens zwei chinesischen staatlich unterstützten Hackergruppen kompromittiert. Die Schwachstelle ermöglichte den direkten Zugang zu Systemen von Dutzenden Organisationen in Wirtschaft und Verwaltung.

Während Grossunternehmen und Behörden oft spezialisierte IT-Sicherheitsteams unterhalten, stehen kleine und mittlere Unternehmen vor strukturellen Problemen: Ihnen fehlen die Ressourcen und das Fachwissen für angemessene Reaktionen auf solche Bedrohungen.

Die SharePoint-Attacke zeigt exemplarisch, wie verwundbar unzureichend geschützte IT-Infrastrukturen sind. Für KMUs stellt sich die Frage nicht mehr, ob sie Ziel von Cyberangriffen werden – sondern wann. Die Antwort liegt in klaren Sicherheitskonzepten, die auch mit begrenzten Mitteln umsetzbar sind.

Chronologie einer kritischen Sicherheitslücke

Die Entdeckung der SharePoint-Schwachstelle begann am Pwn2Own Berlin Hacking-Wettbewerb im Mai 2025. Sicherheitsforscher Dinh Ho Anh Khoa von Viettel Cyber Security demonstrierte eine kritische Schwachstelle in SharePoint und erhielt dafür ein Preisgeld von CHF 89055.01. Er bezeichnete seine Angriffskette als "ToolShell".

Die technische Basis der Attacke: Eine Kombination aus zwei distinkten Sicherheitslücken – einem Authentifizierungs-Bypass (CVE-2025-49706) und einer unsicheren Deserialisierung (CVE-2025-49704). Diese Verbindung ermöglichte Angreifern, ohne jegliche Anmeldedaten Schadcode direkt auf SharePoint-Servern auszuführen.

Microsoft reagierte am 8. Juli 2025 mit ersten Patches für die identifizierten Schwachstellen. Diese Sicherheitsupdates erwiesen sich jedoch als unvollständig. Bereits am 7. Juli – einen Tag vor der Patch-Veröffentlichung – wurden erste Angriffsversuche dokumentiert.

Ein brisantes Detail: Microsoft hatte ausgewählte Sicherheitsanbieter bereits am 24. Juni über sein "Microsoft Active Protections Program" (MAPP) über die Schwachstellen informiert. Microsoft untersucht derzeit, ob Informationen aus diesem Programm durchgesickert sein könnten.

Die Unzulänglichkeit der ursprünglichen Patches wurde schnell offensichtlich. Am 19. Juli musste Microsoft zusätzliche Sicherheitsupdates für zwei neue CVEs (CVE-2025-53770 und CVE-2025-53771) veröffentlichen.

KMUs als bevorzugte Angriffsziele

Kleine und mittlere Unternehmen stehen bei Cyberangriffen wie der SharePoint-Sicherheitslücke vor strukturellen Nachteilen. Die Zahlen sprechen eine klare Sprache: KMUs bilden mit 99% aller Unternehmen in der EU das Rückgrat der Wirtschaft, doch 43% aller Cyberangriffe zielen gezielt auf diese Unternehmensgruppe ab.

Die Folgen treffen KMUs besonders hart: 90% der betroffenen Unternehmen berichten von schwerwiegenden Geschäftsauswirkungen innerhalb einer Woche nach einem Cybersicherheitsvorfall. 57% sehen sogar ihre Existenz bedroht.

Diese Verwundbarkeit hat konkrete Ursachen:

· Fehlende Spezialisierung: KMUs verfügen selten über dedizierte Sicherheitsteams oder das nötige Fachwissen für komplexe Bedrohungslagen
· Budgetbeschränkungen: Umfassende IT-Sicherheitslösungen übersteigen oft die verfügbaren Mittel
· Trugschluss der Unsichtbarkeit: Viele KMU-Inhaber glauben fälschlicherweise, sie seien für Cyberkriminelle uninteressant

Der SharePoint-Vorfall zeigt exemplarisch ein weiteres Problem: Vernachlässigte Software-Updates. Viele KMUs schieben kritische Patches auf oder übersehen sie ganz. Gleichzeitig arbeiten sie oft mit veralteten Systemen ohne Herstellersupport. Windows Server 2012/R2 beispielsweise verlor im Oktober 2023 den regulären Support.

Die Pandemie hat diese Risiken noch verstärkt: Hastige Cloud-Migrationen und spontane Fernarbeitsregelungen schufen neue Schwachstellen, die Angreifer heute systematisch ausnutzen. Was als Notlösung begann, wurde oft zur dauerhaften IT-Architektur – ohne angemessene Sicherheitskonzepte.

Schutzkonzepte für KMUs: Proaktive Sicherheit statt Reaktion auf Angriffe

KMUs benötigen wirksame Schutzkonzepte gegen Bedrohungen wie die SharePoint-Sicherheitslücke. Der Ansatz muss proaktiv sein: Präventive Massnahmen implementieren, bevor Angreifer zuschlagen können. Über 80 Prozent aller Cybersicherheitsvorfälle in Unternehmen entstehen durch menschliche Fehler. KMUs müssen Cybersicherheit daher als Geschäftsproblem behandeln, nicht als rein technische Herausforderung.

Automatisierte Patch-Management-Lösungen bilden das Fundament effektiven Schutzes. Diese Systeme erkennen, melden und installieren fehlende Sicherheitsupdates ohne manuellen Eingriff. Entscheidend sind Wartungsfenster ausserhalb der Geschäftszeiten, um die Serververfügbarkeit zu gewährleisten.

Die Secure Cloud von META10 bietet KMUs eine wartungsfreie IT-Umgebung. Die Lösung umfasst den kompletten IT-Infrastrukturbetrieb inklusive Antiviren- und Antispam-Schutz sowie tägliche Backups.

Fazit

Die SharePoint-Sicherheitslücke offenbart ein grundsätzliches Problem: Selbst etablierte Windows-Sicherheitsupdates bieten keinen verlässlichen Schutz gegen moderne Angriffsmethoden. KMUs stehen dabei vor einem strukturellen Dilemma – sie müssen mit begrenzten Ressourcen angemessene Sicherheit gewährleisten.

Reaktive Sicherheitskonzepte reichen nicht mehr aus. Die zeitnahe Installation von Sicherheitsupdates und automatisierte Patch-Management-Lösungen sind heute Mindestvoraussetzungen, nicht mehr optionale Zusätze. Wer kritische Schwachstellen nicht binnen Stunden schliessen kann, wird zum bevorzugten Angriffsziel.

KMUs müssen sich von der Illusion verabschieden, für Cyberkriminelle uninteressant zu sein. Das Gegenteil ist der Fall: Ihre oft schwächeren Sicherheitsmechanismen machen sie zu attraktiven Zielen. Spezialisierte Cloud-basierte Sicherheitslösungen mit professioneller Überwachung und automatischen Updates bieten hier einen pragmatischen Ausweg.

Die Secure Cloud von META10 zeigt, wie KMUs eine wartungsfreie IT-Umgebung erhalten können: vollständig gemanagte Infrastruktur, Antiviren- und Antispam-Schutz sowie tägliche Backups – ohne eigenes Sicherheitsteam.

Cybersicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. KMUs, die proaktive Sicherheitskonzepte umsetzen, werden besser gegen aktuelle und zukünftige Bedrohungen geschützt sein.