SharePoint Zero-Day Sicherheitslücke: Was jetzt zählt – und was Sie sofort tun müssen
Inhaltsverzeichnis
Veröffentlicht: 15. Juli 2026 · Lesezeit: ca. 12 Minuten
Viele Unternehmer glauben, dass eine Sicherheitslücke in Software wie SharePoint sie nur dann betrifft, wenn ihr Unternehmen groß genug ist, um für Hacker interessant zu sein. Die Realität sieht anders aus: Angreifer suchen nicht gezielt nach bekannten Namen – sie suchen automatisiert nach verwundbaren Systemen, unabhängig von Unternehmensgröße oder Branche.
Ein weiterer verbreiteter Irrtum: „Wir haben SharePoint nur intern im Einsatz, da kann von außen nichts passieren.“ Doch genau die exponierte Erreichbarkeit über das Internet – oft für Homeoffice oder Partneranbindungen – macht viele Server angreifbar. Das BSI identifizierte allein in Deutschland über 320 potenziell gefährdete SharePoint-Instanzen.
Und schließlich: „Microsoft regelt das schon mit dem nächsten Update.“ Stimmt – aber der Angriff passiert oft lange vor dem Patch. Bei Zero-Day-Lücken ist genau das der Kern des Problems: Die Lücke wird ausgenutzt, bevor ein Fix verfügbar ist. Der Aha-Effekt kommt meist zu spät – es sei denn, Sie handeln jetzt.
Die SharePoint Zero-Day Sicherheitslücke CVE-2025-53770, auch unter dem Namen „ToolShell“ bekannt, hat die IT-Sicherheitswelt in höchste Alarmbereitschaft versetzt. Mit einem CVSS-Score von 9,8 von 10 erhielt sie die höchstmögliche Risikoeinstufung – und Angreifer nutzen sie aktiv aus, um vollständige Kontrolle über betroffene Server zu übernehmen. Microsoft bestätigte den Angriff, das BSI gab eine offizielle Sicherheitswarnung heraus.
Für kleine und mittlere Unternehmen ist das kein abstraktes Risiko. Wer SharePoint Server im eigenen Haus betreibt oder über das Internet zugänglich macht, ist potenziell betroffen. Laut BSI-Lagebericht erfüllen kleine und mittlere Unternehmen im Schnitt nur rund 56 Prozent der Basisanforderungen an IT-Sicherheit – ein gefährliches Defizit, das Angreifer gezielt ausnutzen.
Dieser Ratgeber erklärt Ihnen verständlich, was hinter der Lücke steckt, welche Fehler Unternehmen jetzt machen, wie Sie systematisch vorgehen und was konkrete Schutzmaßnahmen kosten – damit Sie informiert und handlungsfähig bleiben.
| Kennzahl | Wert | Quelle |
|---|---|---|
| CVSS-Score der SharePoint-Lücke CVE-2025-53770 | 9,8 von 10 (maximal kritisch) | BSI IT-Sicherheitshinweis 2025 |
| Exponierte SharePoint-Instanzen in Deutschland | Über 320 identifiziert | BSI IT-Sicherheitshinweis 2025 |
| Täglich neu bekannte Schwachstellen (aktueller Berichtszeitraum) | Ø 119 pro Tag (+24 % zum Vorjahr) | BSI Lagebericht Cybersicherheit 2025 |
| KMU-Erfüllungsgrad der IT-Sicherheits-Basisanforderungen | Durchschnittlich nur 56 % | BSI Lagebericht Cybersicherheit 2025 |
Was auf dem Spiel steht, wenn Sie die SharePoint Zero-Day Sicherheitslücke ignorieren
Ein Maschinenbauer aus dem Raum Duderstadt, der SharePoint für Angebotsverwaltung und Projektdokumentation nutzt – und plötzlich stellt der IT-Dienstleister fest, dass Unbekannte seit Tagen unbemerkt auf dem Server aktiv sind. Keine Ransomware, kein lauter Alarm. Nur stille Datenausleitung. Genau das ist das Muster hinter CVE-2025-53770: Angreifer übernehmen Server lautlos, ohne dass Antivirenprogramme anschlagen.
Die SharePoint Zero-Day Sicherheitslücke ermöglicht sogenannte Remote Code Execution (RCE) – Angreifer führen auf Ihrem Server beliebigen Programmcode aus, ohne lokalen Zugang zu benötigen. Mindestens 85 Server wurden weltweit bereits kompromittiert. Das Besondere: Die Angriffskampagne wird nach Erkenntnissen des Landesamts für Verfassungsschutz Baden-Württemberg chinesischen APT-Gruppen mit mutmaßlich staatlichem Hintergrund zugeordnet. Das Ziel sind nicht nur große Konzerne – die Suche nach verwundbaren Systemen ist vollautomatisiert.
Als ISO/IEC 27001 zertifiziertes IT-Systemhaus – TTG GmbH erleben wir in der Praxis immer wieder: Unternehmen unterschätzen die Angriffsfläche, die ein einzelner exponierter SharePoint-Server darstellt. Folgen eines erfolgreichen Angriffs können sein:
- Vollständiger Datenverlust oder Verschlüsselung aller Unternehmensdaten
- Auslesen vertraulicher Kunden- und Geschäftsdaten (Industriespionage)
- Meldepflicht nach DSGVO und mögliche Bußgelder
- Tagelanger bis wochenlanger Betriebsausfall
- Vertrauensverlust bei Kunden und Geschäftspartnern
Wer die SharePoint Zero-Day Sicherheitslücke ignoriert, riskiert nicht nur Datenverlust – sondern den Fortbestand des Betriebs. Handeln Sie, bevor Ihr System zur Statistik wird.
Die häufigsten Fehler rund um die SharePoint Zero-Day Sicherheitslücke
Bei der SharePoint Zero-Day Sicherheitslücke begegnen uns in der Praxis immer wieder dieselben Denkmuster – und genau diese werden Angreifern zum Vorteil. Die IT-Sicherheitslösungen der TTG GmbH zeigen täglich, wie viel Potenzial bei einfachen Schutzmaßnahmen ungenutzt bleibt.
Fehler 1: „Wir nutzen SharePoint Online – wir sind sicher.“
SharePoint Online (Microsoft 365) ist von CVE-2025-53770 nicht betroffen. Wer jedoch SharePoint Server lokal oder in einer eigenen Cloud-Umgebung betreibt, ist potenziell verwundbar. Viele Unternehmen wissen gar nicht genau, welche Variante sie einsetzen.
Fehler 2: „Der Angriff betrifft uns nicht, wir sind zu klein.“
Angreifer scannen das Internet automatisiert nach verwundbaren Systemen. Unternehmensgröße ist dabei irrelevant. Das BSI identifizierte über 320 exponierte Instanzen allein in Deutschland – darunter mit hoher Wahrscheinlichkeit auch mittelständische Betriebe.
Fehler 3: „Wir warten auf das automatische Update.“
Windows-Updates allein reichen nicht. Der Patch für CVE-2025-53770 muss gezielt für SharePoint Server eingespielt werden. Wer auf automatische Updates vertraut, ohne zu prüfen, ob der SharePoint-Patch tatsächlich angewendet wurde, wiegt sich in falscher Sicherheit.
Fehler 4: Die Lage nicht aktiv zu beobachten.
Aktuell veröffentlicht das BSI in kurzen Abständen neue Sicherheitswarnungen. Wer diese nicht im Blick hat, reagiert zu spät. Nutzen Sie konkret folgende Gegenmaßnahmen:
- Prüfen Sie jetzt, welche SharePoint-Version Sie einsetzen (On-Premises oder Online)
- Abonnieren Sie BSI-Warnmeldungen oder beauftragen Sie einen IT-Partner mit der Überwachung
- Führen Sie eine Inventarisierung aller extern erreichbaren Dienste durch
- Kontrollieren Sie, ob automatische Update-Prozesse tatsächlich greifen – manuell
- Informieren Sie Ihre Mitarbeiter über aktuelle Bedrohungslagen ohne Alarmismus
Schritt für Schritt: So gehen Sie bei der SharePoint Zero-Day Sicherheitslücke systematisch vor
Die gute Nachricht: Es gibt einen klaren Fahrplan, mit dem Sie die SharePoint Zero-Day Sicherheitslücke gezielt adressieren – auch ohne eigene IT-Abteilung. Entscheidend ist die richtige Reihenfolge, denn blinder Aktionismus kann den Schaden noch vergrößern. Ihr sichere IT-Infrastruktur für KMU – TTG GmbH zeigt Ihnen, wie ein strukturiertes Vorgehen aussieht.
Schritt 1: Bestandsaufnahme (sofort, heute)
Klären Sie, ob Sie SharePoint Server On-Premises betreiben und ob dieser aus dem Internet erreichbar ist. Ihr IT-Dienstleister oder Administrator kann das innerhalb weniger Minuten prüfen.
Schritt 2: Netzwerkzugang einschränken (innerhalb von 24 Stunden)
Ist Ihr SharePoint-Server aus dem Internet erreichbar, ohne dass dies zwingend notwendig ist? Schränken Sie den Zugang sofort auf bekannte IP-Adressen oder via VPN ein. Das reduziert die Angriffsfläche unmittelbar.
Schritt 3: Sicherheitspatch einspielen (so schnell wie möglich)
Microsoft hat einen Patch veröffentlicht. Dieser muss explizit für SharePoint Server eingespielt werden. Prüfen Sie den Patchstatus – und dokumentieren Sie den Zeitpunkt. Das BSI – IT-Grundschutz für Unternehmen empfiehlt ausdrücklich, kritische Patches innerhalb von 24 bis 72 Stunden nach Veröffentlichung einzuspielen.
Schritt 4: Systemlogs prüfen
Haben Unbekannte den Server bereits vor dem Patch erreicht? Lassen Sie die Protokolldateien durch einen Fachmann auswerten. Kompromittierte Systeme müssen bereinigt werden, bevor sie wieder in Betrieb gehen.
Schritt 5: Backup validieren
Prüfen Sie jetzt, ob ein aktuelles, funktionsfähiges Backup Ihrer SharePoint-Daten existiert. Im Ernstfall ist das Ihre wichtigste Lebensversicherung.
- Bestandsaufnahme: Welche SharePoint-Version, welche Erreichbarkeit?
- Netzwerkzugang auf das notwendige Minimum reduzieren
- Patch einspielen und Patchstatus dokumentieren
- Systemlogs auf Anomalien prüfen lassen
- Backup auf Aktualität und Wiederherstellbarkeit testen
Was hinter der SharePoint Zero-Day Sicherheitslücke steckt – technisch erklärt ohne Fachjargon
Um die SharePoint Zero-Day Sicherheitslücke wirklich einordnen zu können, hilft ein kurzer Blick unter die Haube – verständlich erklärt, ohne IT-Studium. Der Begriff „Zero-Day“ bedeutet schlicht: Die Schwachstelle wurde von Angreifern entdeckt und ausgenutzt, bevor der Hersteller überhaupt von ihr wusste. Es gab null Tage Vorwarnzeit für Nutzer und Anbieter. Aus den IT-Dienstleistungen der TTG GmbH wissen wir: Genau das ist das Gefährlichste – kein Warnsystem schlägt an, kein Antivirusprogramm kennt die Methode.
CVE-2025-53770 nutzt eine Schwachstelle in der Art, wie SharePoint Server bestimmte Anfragen verarbeitet. Ein Angreifer kann dadurch von außen Code auf dem Server ausführen – so als würde er direkt vor der Tastatur sitzen. Fachleute nennen das „Remote Code Execution“. Der Server selbst merkt es zunächst nicht.
Hier eine Entscheidungshilfe, welche SharePoint-Variante betroffen ist:
| Situation | Betroffen? | Empfehlung |
|---|---|---|
| SharePoint Online (Microsoft 365) | Nein | Kein Handlungsbedarf für CVE-2025-53770 |
| SharePoint Server (eigener Server / Hosting) | Ja | Patch sofort einspielen, Systemcheck durchführen |
| Unsicher, welche Variante im Einsatz ist | Unklar | IT-Dienstleister umgehend kontaktieren |
Wichtig zu wissen: Angreifer scannen das gesamte Internet automatisiert nach offenen SharePoint-Ports. Wer seinen Server nicht patcht, wird früher oder später gefunden – unabhängig davon, wie unbekannt das eigene Unternehmen ist. Aktuell veröffentlichte Microsoft allein im Juli einen Rekord-Patchday mit 622 geschlossenen Sicherheitslücken – ein deutliches Signal, wie aktiv die Bedrohungslandschaft gerade ist.
- Klären Sie, ob Ihr SharePoint-Server On-Premises oder als Cloud-Dienst läuft
- Fragen Sie Ihren IT-Betreuer nach dem aktuellen Patch-Level Ihres SharePoint-Servers
- Lassen Sie prüfen, ob der Server aus dem Internet erreichbar ist – und ob das notwendig ist
- Aktivieren Sie erweiterte Protokollierung (Logging) auf dem Server, um Angriffe nachvollziehen zu können
Was die SharePoint Zero-Day Sicherheitslücke kostet – und was es kostet, nichts zu tun
Viele Unternehmer scheuen den Aufwand für IT-Sicherheitsmaßnahmen – und unterschätzen gleichzeitig, was ein erfolgreicher Angriff tatsächlich kostet. Bei der SharePoint Zero-Day Sicherheitslücke lohnt sich ein ehrlicher Vergleich. Als regionaler IT-Partner der TTG GmbH haben wir Schadensfälle begleitet und können die Realkosten einschätzen.
Was Schutzmaßnahmen kosten:
Ein gezielter Patch-Einsatz durch einen IT-Dienstleister liegt je nach Systemkomplexität im Bereich von 2 bis 4 Stunden Arbeitszeit. Ein einmaliger Sicherheitscheck inklusive Logfile-Analyse kostet typischerweise einen Arbeitstag. Das ist überschaubar.
Was ein erfolgreicher Angriff kostet:
Der BSI-Lagebericht weist 950 angezeigte Ransomware-Angriffe aus – und die Dunkelziffer ist deutlich höher. Realistische Schadensposten nach einem Angriff:
- IT-Forensik und Systembereinigung: mehrere Tausend Euro
- Betriebsausfall: bei einem mittelständischen Betrieb schnell 5-stellig pro Tag
- Datenverlust: Kundendaten, Projektunterlagen, Angebote – oft unwiederbringlich
- DSGVO-Meldepflicht und mögliche Bußgelder: ab 72 Stunden nach Bekanntwerden
- Reputationsschaden bei Kunden und Lieferanten: schwer in Euro zu beziffern, aber real
Hinzu kommt: Der BSI-Lagebericht verzeichnet täglich durchschnittlich 119 neu bekannte Schwachstellen – ein Anstieg von 24 Prozent gegenüber dem Vorjahreszeitraum. Wer IT-Sicherheit als einmalige Aufgabe betrachtet, gerät strukturell ins Hintertreffen.
Unsere klare Einschätzung: Für die meisten Betriebe sind die Kosten eines gezielten Schutzes ein Bruchteil des potenziellen Schadens. Wer das als Kostenfaktor sieht, hat die Rechnung noch nicht zu Ende gemacht.
Was wirklich funktioniert: Praxiserfahrungen zur SharePoint Zero-Day Sicherheitslücke
Ein Maschinenbauunternehmen aus dem Raum Duderstadt nutzte SharePoint Server für seine interne Projektdokumentation – zugänglich auch für externe Monteure über das Internet. Als die SharePoint Zero-Day Sicherheitslücke bekannt wurde, stellte der IT-Verantwortliche zunächst fest, dass der Patchstand mehrere Monate veraltet war. In enger Zusammenarbeit mit einem IT-Partner wurde der Zugang innerhalb von zwei Stunden auf VPN-Verbindungen umgestellt, der Patch eingespielt und die Logfiles der vergangenen Wochen analysiert. Ergebnis: kein Einbruch, keine Datenverluste. Der Aufwand: ein halber Arbeitstag.
Was in diesem Fall funktioniert hat, lässt sich verallgemeinern: schnelle Reaktion, strukturiertes Vorgehen und ein IT-Partner mit klarem Prozess. Als ISO/IEC 27001-zertifizierter IT-Partner mit über 25 Jahren Erfahrung in Nordthüringen und dem Eichsfeld begleitet die TTG GmbH genau solche Situationen – von der ersten Risikoeinschätzung bis zur vollständigen Absicherung. Hier können Sie jetzt unverbindlich Kontakt aufnehmen.
Was sich in der Praxis bewährt hat:
- Regelmäßige Patch-Zyklen mit dokumentiertem Nachweis – keine Ad-hoc-Updates
- Netzwerksegmentierung: SharePoint-Server nicht direkt aus dem Internet erreichbar
- VPN als einziger Zugangsweg für externe Nutzer
- Monatliche Sicherheitschecks durch einen IT-Dienstleister
- Backup nach der 3-2-1-Regel: 3 Kopien, 2 Medien, 1 extern
Der BSI Lagebericht Cybersicherheit empfiehlt explizit, dass auch kleine und mittlere Unternehmen ein Mindestniveau an IT-Sicherheitsmaßnahmen einhalten – und benennt konkrete Basismaßnahmen, die auch ohne großes IT-Budget umsetzbar sind.
Was Sie jetzt tun können: Drei konkrete erste Schritte gegen die SharePoint Zero-Day Sicherheitslücke
Die SharePoint Zero-Day Sicherheitslücke verlangt keine wochenlange Projektplanung – sie verlangt sofortiges, gezieltes Handeln. Drei Schritte, die Sie noch heute anstoßen können, ohne tief in technische Details einzutauchen.
Erster Schritt: Klären Sie Ihre SharePoint-Situation.
Fragen Sie Ihren IT-Verantwortlichen oder IT-Dienstleister heute: „Betreiben wir SharePoint Server On-Premises? Ist der aktuelle Sicherheitspatch eingespielt?“ Diese Frage dauert fünf Minuten – die Antwort kann alles verändern.
Zweiter Schritt: Netzwerkzugang sofort einschränken.
Ist Ihr SharePoint-Server direkt aus dem Internet erreichbar? Dann ist das Ihr größtes Risiko. Beauftragen Sie Ihren IT-Dienstleister, den Zugang auf VPN zu beschränken. Das ist kein großes Projekt – das ist eine gezielte Konfigurationsänderung. In vielen Fällen ist das innerhalb weniger Stunden erledigt.
Dritter Schritt: Backup und Notfallplan prüfen.
Existiert ein aktuelles Backup Ihrer SharePoint-Daten? Wurde es jemals auf Wiederherstellbarkeit getestet? Wenn die Antwort „weiß ich nicht“ lautet, ist das Ihr Handlungsauftrag für diese Woche.
Darüber hinaus lohnt es sich, das Thema strukturell zu angehen. Die SharePoint Zero-Day Sicherheitslücke ist der aktuelle Anlass – aber das eigentliche Thema ist ein dauerhafter Sicherheitsprozess. Wer heute reagiert und daraus einen regelmäßigen Patch- und Prüfzyklus etabliert, ist beim nächsten Vorfall deutlich besser aufgestellt.
- SharePoint-Version und Patchstatus heute klären
- Netzwerkzugang auf VPN einschränken lassen
- Backup auf Aktualität und Wiederherstellbarkeit prüfen
- BSI-Sicherheitswarnungen abonnieren oder durch IT-Partner überwachen lassen
- Sicherheitsverantwortung klar benennen – intern oder extern
Ihre Checkliste: So starten Sie jetzt
- Prüfen Sie, ob Sie SharePoint Server On-Premises betreiben oder SharePoint Online (Microsoft 365) nutzen – das klärt Ihre Betroffenheit sofort.
- Fragen Sie Ihren IT-Betreuer nach dem aktuellen Patchstand des SharePoint-Servers und fordern Sie eine schriftliche Bestätigung an.
- Stellen Sie sicher, dass der Zugang zu SharePoint Server ausschließlich über VPN erfolgt – kein direkter Internetzugang ohne Authentifizierung.
- Lassen Sie die Systemlogs der vergangenen vier bis acht Wochen auf Auffälligkeiten prüfen, um eine mögliche stille Kompromittierung auszuschließen.
- Überprüfen Sie, ob ein aktuelles Backup Ihrer SharePoint-Daten existiert und testen Sie die Wiederherstellbarkeit an einem Testsystem.
- Aktivieren Sie erweiterte Protokollierung auf dem SharePoint-Server, damit künftige Angriffe schneller erkannt werden können.
- Abonnieren Sie die BSI-Sicherheitswarnungen oder beauftragen Sie Ihren IT-Dienstleister, diese für Sie zu monitoren und sofort zu reagieren.
- Sprechen Sie mit Ihrem IT-Partner über einen regelmäßigen Patch-Zyklus mit dokumentiertem Nachweis – einmal im Quartal ist das Minimum.
Häufig gestellte Fragen
Sind wir betroffen, wenn wir Microsoft 365 nutzen?
Nein – die SharePoint Zero-Day Sicherheitslücke CVE-2025-53770 betrifft ausschließlich SharePoint Server, der lokal oder in einer eigenen Serverumgebung betrieben wird. SharePoint Online als Teil von Microsoft 365 ist nicht verwundbar. Wenn Sie unsicher sind, welche Variante bei Ihnen im Einsatz ist, fragen Sie Ihren IT-Dienstleister – das lässt sich in wenigen Minuten klären.
Was kostet es, den Patch einzuspielen?
Das hängt von der Komplexität Ihrer Umgebung ab, aber in den meisten mittelständischen Betrieben liegt der Aufwand bei zwei bis vier Stunden IT-Dienstleisterzeit. Dazu kommt eine empfohlene Prüfung der Systemlogs, was einen weiteren halben Tag in Anspruch nehmen kann. Verglichen mit dem potenziellen Schaden eines erfolgreichen Angriffs – Betriebsausfall, Datenverlust, DSGVO-Meldepflicht – ist dieser Aufwand sehr überschaubar.
Wie dringend ist das wirklich – können wir noch eine Woche warten?
Nein, das empfehlen wir nicht. Das BSI stuft die Lücke als kritisch ein, und Angriffe laufen aktiv. Angreifer scannen das Internet automatisiert und unterscheiden nicht nach Unternehmensgröße. Jeder Tag ohne Patch ist ein weiterer Tag mit offenem Risiko. Der erste Schritt – Patchstatus abfragen – kostet Sie fünf Minuten. Das sollte heute noch passieren.
Müssen wir bei einem Angriff die Datenschutzbehörde informieren?
Ja, wenn personenbezogene Daten betroffen sind. Die DSGVO schreibt vor, dass Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Datenschutzbehörde gemeldet werden müssen. Ein kompromittierter SharePoint-Server, auf dem Kundendaten, Mitarbeiterdaten oder Auftragsdaten gespeichert sind, löst diese Meldepflicht in der Regel aus. Zuwiderhandlungen können mit empfindlichen Bußgeldern belegt werden.
Wir haben keinen eigenen IT-Mitarbeiter – was können wir tun?
Das ist kein Hinderungsgrund. Viele mittelständische Unternehmen in Nordthüringen, dem Eichsfeld und Südniedersachsen verlassen sich vollständig auf externe IT-Dienstleister – und das ist für diese Situation genau richtig. Beauftragen Sie Ihren IT-Partner, den Patchstatus zu prüfen, den Zugang abzusichern und die Logs auszuwerten. TTG GmbH begleitet solche Situationen regelmäßig und kurzfristig.
Martin Trappe ist Geschäftsführer der TTG Daten- und Bürosysteme GmbH in Dingelstädt. Mit über 25 Jahren Erfahrung im IT-Mittelstand betreut er kleine und mittelständische Unternehmen in Nordthüringen, Eichsfeld und Südniedersachsen. Die TTG GmbH ist ISO/IEC 27001 zertifiziert – dem höchsten Standard für Informationssicherheit.
Kontakt aufnehmen · Über TTG GmbH
Wissen Sie gerade mit Sicherheit, ob Ihr SharePoint-Server gepatcht und vor Angriffen von außen geschützt ist – oder müssten Sie erst nachfragen?
Ihre IT-Sicherheit jetzt stärken
Schützen Sie Ihr Unternehmen vor Cyberangriffen und Datenverlust. Die TTG GmbH berät KMU in Nordthüringen und Eichsfeld – ISO/IEC 27001 zertifiziert, persönlich vor Ort.