Die US-Cybersicherheitsbehörde CISA warnt vor einer fast zwei Jahrzehnte alten, kritischen Schwachstelle in Microsoft Excel. Sie wird derzeit aktiv von Angreifern ausgenutzt und zwingt Behörden zum sofortigen Handeln.
Die Sicherheitslücke mit der Kennung CVE-2009-0238 wurde bereits 2009 bekannt und ermöglicht die Ausführung von Schadcode durch manipulierte Tabellendokumente. Trotz eines verfügbaren Patches taucht sie nun wieder in der Liste aktiv ausgenutzter Schwachstellen der CISA auf. Für US-Bundesbehörden gilt eine verbindliche Frist: Sie müssen das Problem bis zum 28. April 2026 beheben.
Der beschriebene Angriffspfad über manipulierte Dokumente zeigt, wie gezielt Hacker die psychologischen Schwachstellen von Mitarbeitern ausnutzen. In diesem kostenlosen Ratgeber erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen effektiv gegen Phishing-Versuche absichern. Kostenloses Anti-Phishing-Paket jetzt herunterladen
Angriffsziel: Vergessene Alt-Systeme
Die Gefahr betrifft vor allem veraltete Office-Versionen. Konkret sind Excel 2000, 2002, 2003 und 2007 sowie entsprechende Versionen für macOS anfällig. Auch das weit verbreitete Microsoft Office Compatibility Pack steht im Fokus. Es wurde einst bereitgestellt, um älteren Office-Versionen das Öffnen neuerer Dateiformate wie .xlsx zu ermöglichen – und bietet heute eine große Angriffsfläche.
Warum ist eine 18 Jahre alte Lücke plötzlich wieder brandaktuell? Die Antwort liegt in den IT-Architekturen vieler Unternehmen. In bestimmten Branchen und Regionen laufen nach wie vor veraltete Systeme, weil Umstiege auf moderne Cloud-Lösungen verschoben wurden. Ein erfolgreicher Angriff über die Excel-Lücke verschafft Cyberkriminellen die vollständige Kontrolle über den kompromittierten Rechner.
Aktuelle Zero-Day-Lücken in Microsoft-Produkten
Die CISA-Liste enthielt am 14. April 2026 jedoch nicht nur historische Schwachstellen. Ebenfalls als aktiv ausgenutzt eingestuft wurde eine frische Zero-Day-Lücke in Microsoft SharePoint Server (CVE-2026-32201). Microsoft hatte diesen Fehler erst im Rahmen seiner monatlichen Sicherheitsupdates („Patch Tuesday“) im April geschlossen.
Die SharePoint-Schwachstelle ermöglicht es Angreifern, gefälschte Login-Seiten zu erstellen und so Unternehmenszugänge zu stehlen. Organisationen mit internetfähigen SharePoint-Servern werden dringend aufgefordert, die Updates umgehend einzuspielen.
Zudem machte bereits Anfang 2026 eine weitere Excel-Zero-Day-Lücke (CVE-2026-21509) von sich reden. Sie umgeht spezielle Sicherheitsvorkehrungen in Office und erforderte einen Notfall-Patch von Microsoft.
Globale Finanzbranche besonders betroffen
Die Wiederbelebung der alten Excel-Schwachstelle bereitet international besonders der Finanzbranche Kopfzerbrechen. So setzen große Banken in Südafrika, darunter die Zentralbank, nach wie vor intensiv auf Excel. Auch Versicherer und Fintech-Unternehmen müssen ihre Alt-Systeme nun dringend absichern oder außer Betrieb nehmen.
Eine Studie von PWC Südafrika aus dem Jahr 2025 kam zu einem alarmierenden Ergebnis: Die Abhängigkeit von veralteter Software bleibt eine der größten Schwachstellen im Kampf gegen Cyberangriffe. Ältere Programme verfügen oft nicht über moderne Sicherheitskontrollen wie Sandboxing, die in aktuellen Microsoft-365-Versionen Standard sind.
Die CISA-Richtlinie für US-Behörden sendet auch eine klare Botschaft an die Privatwirtschaft: Selbst nicht mehr aktiv genutzte Alt-Software kann ein Einfallstor bieten, wenn sie im Netzwerk verbleibt. Die Behörde empfiehlt Unternehmen, ihren eigenen Patch-Prozess an der KEV-Liste auszurichten – sie bildet reale und akute Bedrohungen ab.
Angesichts der aktuellen Bedrohungen durch Zero-Day-Lücken und veraltete Software müssen Unternehmen ihre IT-Sicherheit proaktiv stärken. Dieser Experten-Report klärt auf, wie Sie Sicherheitslücken schließen und neue gesetzliche Anforderungen kostengünstig erfüllen. Gratis E-Book: Bedrohungen abwenden und Unternehmen schützen
Warum „alte“ Hacker-Angriffe wieder erfolgreich sind
Die Aufnahme einer 18 Jahre alte Schwachstelle in die aktuelle Bedrohungsliste spiegelt einen besorgniserregenden Trend wider: Cyberkriminelle „recyceln“ alte Angriffsmethoden, um ungepatchte oder vergessene Infrastruktur zu treffen. In vielen Firmen existiert zudem „Schatten-IT“ – also von Mitarbeitern installierte, alte Softwareversionen, um Kompatibilität mit speziellen Makros oder Plugins zu wahren.
Der Angriffspfad beginnt meist mit einer Phishing-E-Mail und einem manipulierten Excel-Anhang. Da diese alten Exploits grundlegende Funktionen der Software angreifen, umgehen sie mitunter moderne E-Mail-Filter, die auf neuere Malware-Signaturen getrimmt sind. Das beweist: Das Alter einer Sicherheitslücke sagt nichts über ihre Gefährlichkeit aus. Solange die Zielumgebung unverändert bleibt, bleibt auch der Angriff wirksam.
Für IT-Abteilungen ist die oberste Priorität jetzt eine gründliche Inventur. Alte Office-Versionen und Kompatibilitätspakete müssen entweder vollständig aktualisiert oder aus dem Netzwerk entfernt werden. Nutzer von Microsoft 365, Office 2021 oder LTSC 2024 sind durch automatische Updates geschützt – vorausgesetzt, die Anwendungen wurden neu gestartet, um die Patches zu aktivieren.
