Unternehmen und Behörden laufen Gefahr, durch eine Schwachstelle im verbreiteten Intranet- und Dateiverwaltungsprogramm Microsoft Sharepoint angegriffen zu werden. Auch deutsche IT-Sicherheitsexperten schlagen Alarm. Betroffen seien Sharepoint-Versionen, die auf lokalen Servern laufen, sogenanntes On-Premise. Entwarnung gibt es dagegen beim neueren Sharepoint Online, das als Teil von Microsoft 365 in der Cloud ausgeführt wird.

„Angreifern ist es nach aktuellen Erkenntnissen gelungen, die mit dem Juli-Patchday etablierten Schutzmaßnahmen zu umgehen“, erklärte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Montag. Eine Ausnutzung der Schwachstelle ermögliche Angreifern den vollen Zugriff auf Sharepoint-Inhalte, einschließlich Dateisystemen und internen Konfigurationen, sowie die Ausführung von Code.

Über die Schwachstelle seien Angreifer bereits in Systeme Dutzender Organisationen eingedrungen, sowohl in der Wirtschaft als auch im Regierungsbereich, sagte ein Manager der IT-Sicherheitsfirma Palo Alto Networks der „Washington Post“. Microsoft bestätigte das Problem in einem Blogeintrag und veröffentlichte Updates, die die Sicherheitslücke beheben sollen. Wer hinter den Attacken steckt, blieb zunächst unklar.

Inwieweit auch deutsche Unternehmen und Behörden unter den Opfern sind, ist unbekannt. Der Digitalverband Bitkom und das BSI erklärten auf Anfrage der Börsen-Zeitung, dazu lägen bislang keine Erkenntnisse vor. „Alle Unternehmen, die die entsprechende Software nutzen, sollten den Empfehlungen des BSI folgen und prüfen, ob entsprechende Zugriffe auf ihre Systeme stattgefunden haben“, erklärte Felix Kuhlenkamp, Bereichsleiter Sicherheitspolitik beim Bitkom. „Die bereits bereitgestellten Sicherheitsupdates sollten umgehend installiert und die Server anschließend neu gestartet werden.“

Charles Carmakal, Technikchef der Google-Sicherheitsfirma Mandiant, sagte, Unternehmen müssten sofort Maßnahmen zur Risikominderung ergreifen. Das Schließen der Sicherheitslücke per Update reiche aber nicht aus. „Es ist ratsam, von einer Kompromittierung auszugehen“, sagte Carmakal. Die Firmen sollten sich also so verhalten, als ob sie von einem Angriff betroffen seien – unabhängig davon, ob dies tatsächlich der Fall sei.

Der Zugang zu den Servern eröffne potenziell die Möglichkeit, Daten zu stehlen und Passwörter abzugreifen, warnte das niederländische Unternehmen Eye Security. Schlimmer noch: Nach Erkenntnissen seiner Experten können Angreifer auch digitale Schlüssel stehlen, mit denen sie sich später wieder Zugang zu Computersystemen mit geschlossener Sicherheitslücke verschaffen könnten.

Microsoft hatte kürzlich mit einem Update mehrere Schwachstellen geschlossen. Die Angreifer fanden danach eine ähnliche Sicherheitslücke an anderer Stelle. Die amerikanische IT-Sicherheitsbehörde CISA rief betroffene staatliche Stellen und Unternehmen zu schnellem Handeln auf. Erste Hinweise auf die Attacken gab es bereits am Freitag. Zuletzt hatten sich im Jahr 2023 mutmaßlich chinesische Hacker Zugang zu E-Mails in einigen US-Behörden über eine Schwachstelle in Microsoft-Software verschafft.