Hack auf Microsoft SharePoint trifft USA, Bundesstaaten, Unternehmen und Organisationen weltweit

 (washingtonpost.com)
6 Punkte von GN⁺ 2025-07-22 | 1 Kommentare | Auf WhatsApp teilen
  • Eine schwerwiegende Schwachstelle in Microsoft-SharePoint-Servern wird ausgenutzt, wodurch Bundesbehörden und Behörden von US-Bundesstaaten, Universitäten, Energieunternehmen, asiatische Telekommunikationsanbieter und Organisationen sowie Unternehmen weltweit Ziel von Hackerangriffen werden
  • Der aktuelle Angriff zielt auf eine „Zero-Day“-Schwachstelle ohne verfügbaren Patch, wodurch Zehntausende SharePoint-Server gefährdet sind. Microsoft hat nur für einige Versionen Patches bereitgestellt, während andere Versionen weiterhin verwundbar bleiben
  • Die Angreifer verursachen gravierende Schäden wie den Diebstahl sensibler Daten, das Sammeln von Passwörtern und den Erwerb von Schlüsseln für erneute Eindringversuche. Teilweise wurden sogar Dokumentenspeicher für die behördliche Informationsfreigabe „gekapert“ und der Zugriff blockiert
  • Das Ausmaß der Schäden beschränkt sich nicht auf die USA, sondern reicht über Europa, Asien und Südamerika bis in zahlreiche Länder weltweit. Behörden wie FBI und CISA haben Sofortmaßnahmen eingeleitet und den Informationsaustausch aufgenommen
  • Microsoft steht seit einigen Jahren wegen wiederholter Sicherheitsvorfälle in der Kritik; auch dieser Vorfall rückt verzögerte Patches, schwache Sicherheitsstrukturen und die Möglichkeit eines erneuten Eindringens durch Angreifer als strukturelle Grenzen erneut in den Fokus

Hack auf Microsoft-SharePoint-Server

  • Unbekannte Angreifer nutzten eine bislang nicht veröffentlichte Sicherheitslücke in SharePoint, Microsofts Kollaborationssoftware, um Behörden und Unternehmen weltweit anzugreifen, darunter US-Bundesbehörden und Behörden der Bundesstaaten, Universitäten, Energieunternehmen und asiatische Telekommunikationsanbieter
  • Der Angriff zielte auf eine Zero-Day-(0-Day)-Schwachstelle, was zu verschiedenen Schäden wie Datenabfluss und -diebstahl innerhalb der Server sowie zur Erlangung von Verschlüsselungsschlüsseln führte

Stand von Schwachstelle und Patches

  • Laut Experten sind Zehntausende SharePoint-Server gefährdet. Betroffen sind ausschließlich On-Premises-Server; cloudbasierte Angebote (wie Microsoft 365) sind nicht betroffen
  • Microsoft veröffentlichte am Sonntag einen Patch für eine Version, zwei Versionen sind jedoch weiterhin ungepatcht. Betroffene Organisationen greifen deshalb zu eigenen Gegenmaßnahmen und Workarounds
  • Selbst nach dem Patch können Angreifer mithilfe bereits erlangter Schlüssel erneut eindringen, weshalb betont wird, dass eine schnelle Patch-Einspielung allein für die Schadensbehebung nicht ausreicht

Umfang von Angriff und Schäden

  • Zahlreiche Sicherheitsunternehmen wie CrowdStrike, Palo Alto Networks und Eye Security bestätigten, dass mehr als Dutzende Organisationen und Unternehmen kompromittiert wurden
  • Zu den betroffenen Organisationen zählen US-Bundesbehörden und Behörden von Bundesstaaten, europäische Regierungsstellen, Universitäten, Energieunternehmen und asiatische Telekommunikationsanbieter
  • Ein Bundesstaat meldete, dass ein offizielles Dokumentenarchiv für Bürgerinformationen gehackt wurde und nicht mehr zugänglich ist; zudem wurden vereinzelt Befürchtungen über einen „Wiper“-Angriff geäußert, bei dem Daten vollständig gelöscht werden

Reaktion von Sicherheitsbranche und Behörden

  • US-Behörden wie FBI und CISA führen umgehend Untersuchungen und koordinierte Gegenmaßnahmen durch
  • CISA arbeitete nach Eingang von Meldungen privater Informationssicherheitsfirmen sofort mit Microsoft zusammen und drängte auf die Entwicklung von Patches
  • Organisationen wie das Center for Internet Security verschickten dringende Schwachstellenwarnungen an rund 100 Einrichtungen; zugleich erschweren starke Budgetkürzungen, durch die Personal für Informationsaustausch und Incident Response deutlich reduziert wurde, die Reaktion

Microsoft und die wiederkehrenden Sicherheitskontroversen

  • Microsoft hat in den vergangenen zwei Jahren durch aufeinanderfolgende Hackerangriffe (z. B. den mutmaßlich aus China stammenden Hack von Regierungs-E-Mails 2023, die Kompromittierung des eigenen Netzwerks und Fehler in der Cloud-Programmierung) Vertrauen bei öffentlichen Einrichtungen und Regierungskunden eingebüßt
  • Dieser Vorfall legt erneut strukturelle Grenzen offen, darunter verzögerte Patches, nicht berücksichtigte Ähnlichkeiten zwischen Schwachstellen und wiederholt nachlässiges Sicherheitsmanagement
  • Zusammen mit der Kontroverse um den Einsatz in China ansässiger Ingenieure zur Unterstützung eines Cloud-Projekts des US-Verteidigungsministeriums wachsen die Sorgen über die Abhängigkeit des öffentlichen Sektors von Microsoft

Fazit und Ausblick

  • Der Vorfall zeigt, dass eine einzelne Schwachstelle in einer großflächig eingesetzten Kollaborationslösung schwerwiegende Auswirkungen auf zahllose Organisationen und Unternehmen weltweit haben kann
  • Da Angreifer mit erlangten Verschlüsselungsschlüsseln auch nach dem Patch langfristig im System verbleiben könnten, sind grundlegende Sicherheitsverbesserungen jenseits eines einfachen Patches erforderlich
  • Der Abbau von Sicherheitspersonal und Budgets sowie fehlende IT-Governance werden als strukturelle Schwachstellen der Reaktion des öffentlichen Sektors auf Cyberbedrohungen benannt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-07-22
Hacker-News-Kommentare

  • CISA hat Organisationen mit der Sicherheitslücke empfohlen, das betroffene Produkt bis zum Erscheinen eines offiziellen Patches vom Internet zu trennen. Ich finde es allerdings bemerkenswert, dass es überhaupt Organisationen gibt, die SharePoint selbst On-Premises hosten und dann noch direkt ins Internet stellen. Ich hätte erwartet, dass solche Organisationen in der Regel VPN-Nutzung erzwingen.

    • Ich finde es bedauerlich, dass CISA im Vergleich zu früher offenbar viele fähige Leute verloren hat und zu einer Gruppe geworden ist, die vor allem politischen Konformismus wichtig nimmt. Als Beispiel wird ein aktueller Fall aus Arizona genannt, wo ein Angriff durch iranische Hacker erfolgt sein soll, ohne dass um Hilfe gebeten wurde: Artikel-Link. Organisationen wie CISA, die groß angelegte Angriffe untersuchen, sind wirklich wichtig, und es wird die Sorge geäußert, dass sie derzeit zu stark von politischen Maßstäben beeinflusst werden: Techdirt-Link

    • Best Practice ist, davon auszugehen, dass das Netzwerk bereits kompromittiert wurde. Auch ein VPN garantiert keine perfekte Sicherheit. Je größer eine Organisation ist, desto eher gehen Geräte verloren oder lassen sich schwer verwalten. Deshalb ist ein konsequenter Zero-Trust-Ansatz wichtig, ebenso wie die Möglichkeit, von überall aus zugreifen zu können. Organisationen wollen ihre Daten kontrollieren und zugleich flexibel arbeiten.

    • SharePoint wurde ursprünglich auch aktiv für den Betrieb öffentlicher Websites beworben. Vor der Cloud-Migration kamen Microsoft-Vertriebsleute ins Büro und warben sogar damit, dass mit dem neuesten SharePoint WordPress verschwinden würde. Wegen dieser Trägheit gibt es offenbar noch immer viele Organisationen, die bei der alten Vorgehensweise geblieben sind.

    • Es ist auch nicht ungewöhnlich, interne Dienste wie SharePoint oder Exchange hinter einem Pre-Auth-Reverse-Proxy zu betreiben.

    • Microsoft hat SharePoint früher stark für Intranets vermarktet, weshalb viele Einrichtungen es eingeführt haben. Wegen des Support-Endes von SharePoint 2019 versuchen viele Organisationen jetzt, schnell Ersatzsysteme aufzubauen.

  • Ich frage mich, warum Principal Engineer Copilot solche Schwachstellen nicht verhindern konnte.

    • Die Schwachstelle könnte schon existiert haben, bevor Copilot diesen Titel bekam. Vielleicht stammt das Problem noch aus der Praktikantenzeit.

    • Hacker, Kunden, Mitarbeiter und Administratoren sind am Ende alle ähnlich. Man wurde immer wieder von China, von den eigenen Kunden und von Administratoren oder Mitarbeitern mit Bezug zu China gehackt. Ich habe den Eindruck, dass das ganze Unternehmen bereits kompromittiert ist. Es wird sogar Misstrauen geäußert, dass der PE Copilot eher den Angriff unterstützen könnte.

    • Hacker können schließlich auch Copilot nutzen, also muss am Ende wohl eine Seite gewinnen (?)

  • Ich habe viel zu viel Zeit mit SharePoint verbracht. Es ans Internet zu hängen, halte ich auf keinen Fall für eine gute Entscheidung. Ab irgendeiner Version scheint es zwar auch als öffentlicher Webserver beworben worden zu sein, aber ich habe stattdessen alle Instanzen strikt vom Netzwerk getrennt installiert.

    • Anfang der 2010er hat Microsoft SharePoint aggressiv als Lösung für Internetseiten vermarktet, und ich habe sogar Fälle gesehen, in denen europäische Autohersteller wie BMW oder Ferrari es für globale Marketingseiten genutzt haben. Allerdings war es mit 40.000 Dollar pro Website viel zu teuer, sodass sich das nicht lange gehalten hat.

    • Als ich SharePoint vor vielen Jahren kurzzeitig verwendet habe, dachte ich sogar, öffentliches Webhosting sei eigentlich sein ursprünglicher Zweck.

  • Unter Pentagon-Mitarbeitern hört man oft den Witz: „Wenn man das US-Militär lahmlegen will, muss man nur SharePoint abschalten.“ Das ist bei Militärreden offenbar ein wiederkehrender Scherz.

    • Eine Zeit lang wurde SharePoint in unserer Organisation stark genutzt.

  • Mein Echtzeit-Feed für Sicherheitswarnungen hatte diese Nachricht früher als die großen Medien: ZeroDayPublishing-Feed

    • Gibt es dafür vielleicht auch einen RSS-Feed?

  • Im On-Premises-Enterprise-Geschäft sollte es meiner Meinung nach mehr Red Hat und weniger Microsoft geben. Gerade für wichtige Kunden wie das DoD sind solche Schwachstellen nicht akzeptabel. Während oft gesagt wird, Google sei kaum zu kompromittieren, nutzen Behörden weiterhin anfällige On-Premises-Lösungen wie SharePoint. Ich frage mich, warum man nicht stärker auf günstigere und weiter verbreitete Linux-Systeme setzt. Ist Sicherheit wirklich nicht die wichtigste Priorität?

    • Meiner Ansicht nach liegt das daran, dass Microsoft sehr gut darin ist, die vielen regulatorischen Anforderungen und bürokratischen Prozesse staatlicher Stellen zu bedienen. Ich kenne im Linux-Bereich niemanden, der das in diesem Maß beherrscht.

  • Ich frage mich, ob Microsoft tatsächlich einmal Server des US-Verteidigungsministeriums durch Mitarbeiter mit Wohnsitz in China verwalten ließ. Vermutlich wird im DoD ebenfalls SharePoint eingesetzt.

    • Es gibt zwar eine eigene Version von M365 für das DoD, einschließlich SPO, aber das hat mit diesem Artikel nichts zu tun.

    • Passender Artikel: Reuters-Artikel

    • Wenn man den Artikel zitiert: „Programmierfehler in Cloud-Diensten ermöglichten es mit China verbundenen Hackern, E-Mails der Bundesregierung zu stehlen, und ProPublica deckte auf, dass Microsoft bis vor Kurzem chinesisches Personal als Supportkräfte in einem Cloud-Programm des US-Verteidigungsministeriums eingesetzt hatte. Der Verteidigungsminister ordnete daraufhin eine vollständige Überprüfung an.“

  • Ich fand es bemerkenswert, dass durch die massiven Budgetkürzungen bei CISA auch das Personal für Incident Response um 65 % reduziert wurde, wodurch die Bewältigung von Sicherheitsvorfällen viel länger dauerte.

    • Ich weiß nicht, was mich mehr wütend macht: dass so viele Fachkräfte ihren Job verloren haben, oder dass man trotz dieser Kürzungen kaum tatsächliche Verschwendung gefunden hat. Die Lage ist wirklich absurd.

  • Das mag etwas provokant sein, aber ein Teil von mir hofft fast, dass noch mehr solcher Vorfälle passieren, damit Unternehmen endlich aufhören, SharePoint zu benutzen. Ich habe es seit 2017 nicht mehr verwendet, aber jedes Mal war es absolut grauenhaft. Ich hatte sogar ein T-Shirt mit dem Spruch „SharepoIT Happens“. Auch meine Kollegen waren sich alle einig, dass SharePoint schrecklich ist.

    • Solange man M365 nicht aufgibt, kann man SharePoint faktisch nicht loswerden. Wenn man in Teams ein Team erstellt, wird automatisch eine M365-Gruppe angelegt, und zu jeder Gruppe gehören eine SharePoint-Site und ein Exchange-Postfach. Kanaldateien werden in SharePoint gespeichert, Nachrichten in Exchange. Persönliche Dateien landen in OneDrive (= SharePoint). Im Grunde ist also das gesamte M365 auf SharePoint und Exchange aufgebaut.

    • Ich war einmal in einer Firma, die versucht hat, ein automatisches DRM-System auf SharePoint-Basis einzuführen. Wenn man ein Dokument hochlud, sollte SharePoint automatisch DRM anwenden, und beim Download sollte sich die Datei nur auf bestimmten Geräten öffnen lassen. Je nach Login-Methode konnte man jedoch auch weiterhin ungeschützte Dateien herunterladen, und selbst Microsoft-Berater konnten das Problem am Ende nicht lösen.

    • Unser Unternehmen hat sowohl SharePoint als auch eine separate interne Doku-/Notizseite, etwa in Richtung Notion, Quip oder Confluence. Die meisten Entwickler nutzen Letztere. Manche Mitarbeiter laden jedoch nur Word-Dateien hoch, sodass am Ende doch alle SharePoint verwenden müssen und man Dokumente an zwei Stellen suchen muss.

    • Mein Vorgesetzter ließ mich über ein Jahr lang immer wieder an einer SharePoint-Einrichtung arbeiten, aber als ich nach sechs Monaten ernsthaft recherchierte, wirkte das Ganze ziemlich unerquicklich. Am Ende stellte der Chef einen anderen Techniker ein, der es an einem Tag installierte, aber niemand benutzte es. Das Einzige, was davon blieb, war, dass mein schneller USB-Stick gestohlen wurde.

    • Für mittelständische Unternehmen, die mit Behörden arbeiten, werden selbst bessere Lösungen kaum genutzt. Die Anforderungen an die Cybersicherheit sind so hoch, dass SharePoint zur „einzigen kommerziell tragfähigen“ Option geworden ist. Selbst wenn SharePoint unbequem ist, gelten Alternativen als „Risiko“. Es gibt viele große und kleine Beschwerden: keine vernünftige Scroll-Funktion in Dateilisten, Probleme bei der Automatisierung, kaputte Logins zwischen M365-Tenants, unleserliche URLs, schwache Suche, Fehler bei Tabellen und Filtern, versteckte UI für Berechtigungen und mehr. Das sind eigentlich keine Probleme, die man erst zusammengoogeln müssen sollte.

  • Wenn ich im Vorstand eines Unternehmens säße, würde ich einem CTO oder Gründer, der freiwillig Microsoft-Lösungen fordert, grundsätzlich nicht trauen. Jedes Mal, wenn ich in Teams auf einen Microsoft-Office-Link klicke, wächst mein Misstrauen gegenüber Microsoft weiter. Dass SharePoint Schwachstellen hat, überrascht mich überhaupt nicht.