Unternehmen weltweit kämpfen gleichzeitig gegen zwei schwere Sicherheitslücken in zentralen Verwaltungs- und Kollaborationsplattformen. Die US-Cybersicherheitsbehörde CISA warnt vor aktiven Angriffen auf Microsoft SharePoint, während ConnectWise eine Notfall-Aktualisierung für sein Fernwartungstool ScreenConnect bereitstellt. Beide Schwachstellen ermöglichen Angreifern die vollständige Übernahme von Netzwerken.
Warum 73% der deutschen Unternehmen auf Cyberangriffe wie diese nicht vorbereitet sind, zeigt die aktuelle Bedrohungslage durch neue Sicherheitslücken deutlich. Dieser kostenlose Leitfaden unterstützt Sie dabei, Ihr Unternehmen mit einfachen, effektiven Maßnahmen proaktiv zu schützen. IT-Sicherheit ohne Budget-Explosion stärken
CISA warnt vor aktiv ausgenutzter SharePoint-Lücke
Die Lage für IT-Teams spitzt sich zu: Die US-Behörde CISA hat eine kritische Schwachstelle in Microsoft SharePoint in ihren Katalog bekannter, ausgenutzter Sicherheitslücken aufgenommen. Die als CVE-2026-20963 geführte Lücke ermöglicht es Angreifern, ohne Anmeldedaten beliebigen Code auf dem Server auszuführen.
Betroffen sind mehrere Versionen der Unternehmenssoftware, darunter SharePoint Enterprise Server 2016, 2019 und die Subscription Edition. Auch ältere, nicht mehr unterstützte Versionen sind anfällig. Microsoft hatte den Fehler bereits im Januar mit seinen monatlichen Updates behoben. Dass die Lücke nun dennoch in aktiven Angriffskampagnen beobachtet wird, zeigt ein bekanntes Problem: Viele Unternehmen benötigen zu lange, um kritische Patches in komplexen Systemen einzuspielen.
Für US-Bundesbehörden gilt eine Frist bis zum 21. März. Der Privatsektor sollte nicht zögern – Schwachstellen im CISA-Katalog werden oft schnell von Ransomware-Gruppen übernommen.
ConnectWise schließt kritische Lücke in ScreenConnect
Parallel dazu rollt der Software-Anbieter ConnectWise eine Notfall-Aktualisierung für seine Fernwartungsplattform ScreenConnect aus. Die als CVE-2026-3564 identifizierte Schwachstelle in der kryptografischen Signaturprüfung bewertet das Unternehmen mit der höchsten Gefahrenstufe 9.0.
Das Problem: In Versionen vor 26.1 wurden sensible kryptografische Schlüssel ungeschützt in Konfigurationsdateien gespeichert. Ein Angreifer, der diese erlangt, könnte laufende Fernsitzungen übernehmen und ohne gültige Anmeldedaten administrative Aktionen ausführen. Das Risiko ist besonders hoch für Managed Service Provider (MSPs), die mit einer zentralen Instanz zahlreiche Kundennetzwerke verwalten.
Die Cloud-Instanzen wurden automatisch aktualisiert. Betreiber eigener Server müssen das Update sofort manuell einspielen. Bisher gibt es keine Hinweise auf aktive Ausnutzung – die hohe Priorität spiegelt jedoch das klare und unmittelbare Risiko wider.
Warum diese Doppelbedrohung so gefährlich ist
Das zeitgleiche Auftreten schwerer Lücken in einer Fernwartungs- und einer Kollaborationsplattform schafft eine perfekte Angriffsfläche. Für Cyberkriminelle sind Tools wie ScreenConnect ein begehrtes Ziel: Sie bieten privilegierten Zugriff auf Hunderte von Endgeräten und Netzwerken. Wird ein solches Verwaltungs-Tool kompromittiert, können Angreifer die gesamte Sicherheitsperimeter umgehen.
Plattformen wie SharePoint sind hingegen die Schatzkammern der Unternehmen – gefüllt mit sensiblen Daten, internen Kommunikationen und proprietären Dokumenten. Gezielt kombinieren Angreifer solche Schwachstellen: Sie dringen über die Fernwartungslücke ein und nutzen dann den Zugang zu SharePoint, um Daten zu stehlen oder Ransomware zu platzieren.
Diese Angriffsstrategie zeigt einen klaren Trend: Gegner zielen auf Skalierung und Effizienz. Durch die Kompromittierung grundlegender Infrastrukturkomponenten erreichen sie mit minimalem Aufwand maximale Wirkung. Eine reine Perimeter-Abwehr reicht hier nicht aus.
Hacker nutzen oft psychologische Schwachstellen und technische Lücken aus, um in Unternehmensnetzwerke einzudringen und sensibelste Daten zu entwenden. Dieser Experten-Guide bietet Ihnen eine konkrete 4-Schritte-Anleitung zur erfolgreichen Abwehr solcher Angriffe. Kostenloses Anti-Phishing-Paket jetzt herunterladen
Die Lehren für Unternehmen und IT-Verantwortliche
Die Vorfälle verdeutlichen zwei anhaltende Schwachstellen: Authentifizierungsmechanismen und die Verarbeitung unsicherer Daten. Die ScreenConnect-Lücke offenbart ein grundlegendes Architekturproblem bei der Speicherung kryptografischer Schlüssel. Die Umstellung auf verschlüsselte Speicherung in Version 26.1 ist eine überfällige Modernisierung.
Die aktive Ausnutzung der SharePoint-Lücke wiederum zeigt die gefährliche Lücke zwischen der Verfügbarkeit eines Patches und seiner tatsächlichen Installation in Unternehmen. Angreifer beobachten Patch-Veröffentlichungen genau, um funktionierende Exploits zu entwickeln, bevor die meisten Firmen ihre Systeme aktualisieren können.
Was ist jetzt zu tun? IT-Verantwortliche sollten nicht nur die Patches umgehend einspielen, sondern auch ihre Umgebungen überprüfen. Bei ScreenConnect bedeutet das: Zugriffsprotokolle auf ungewöhnliche Muster prüfen, den Zugriff auf Konfigurationsdateien einschränken und Backup-Daten schützen. Bei SharePoint sollten Teams die Ausführung von Code und Datenzugriffe aus nicht authentifizierten Quellen überwachen.
Die schnelle „Bewaffnung“ solcher Schwachstellen macht reaktive Sicherheitsmaßnahmen obsolet. Unternehmen müssen in proaktive Bedrohungsanalyse, beschleunigte Patch-Prozesse und eine robuste Netzwerksegmentierung investieren. Nur so können sie sich gegen die immer raffinierteren Taktiken von Cyberangreifern im Jahr 2026 wappnen.
