Eine kritische Sicherheitslücke in Microsoft SharePoint wird derzeit aktiv von Angreifern ausgenutzt. US-Behörden warnen dringend vor der Gefahr und setzen eine Frist für die Behebung.
Bundesbehörden geben strikte Patch-Frist vor
Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle mit der Kennung CVE-2026-20963 in ihren Katalog bekannter, ausgenutzter Lücken aufgenommen. Die Behörde bestätigte aktive Angriffe auf Netzwerke. Für alle Bundesbehörden gilt deshalb eine strikte Anweisung: Gefährdete SharePoint-Server müssen bis heute, Samstag, den 21. März 2026, abgesichert oder vom Netz genommen werden.
Diese Frist ist ein klares Alarmsignal auch für die Privatwirtschaft. SharePoint dient in Unternehmen weltweit als zentrale Plattform für sensible Daten. Cybersicherheitsexperten raten Organisationen aller Branchen dringend, die verfügbaren Sicherheitsupdates sofort einzuspielen. Nur so lassen sich unbefugter Fernzugriff und potenzielle Datendiebstähle verhindern.
Angriffe auf SharePoint-Server zeigen, dass viele Unternehmen noch immer unzureichend auf gezielte Cyberattacken vorbereitet sind. Dieser kostenlose Leitfaden zeigt Geschäftsführern und IT-Verantwortlichen, wie sie ihren Betrieb mit effektiven Strategien ohne Budget-Explosion schützen. Experten-Report zur IT-Sicherheit jetzt kostenlos sichern
So funktioniert die kritische Lücke
Bei der Schwachstelle handelt es sich um einen kritischen Fehler zur Ausführung von Fremdcode. Er ermöglicht es einem Angreifer, ohne Authentifizierung beliebigen Code auf einem SharePoint-Server auszuführen. Die Ausnutzung wird als technisch einfach beschrieben und erfordert keine Interaktion eines Nutzers. Das macht die Lücke besonders attraktiv für automatisierte Angriffsskripte.
Betroffen sind mehrere aktuelle Versionen der Unternehmenssoftware: SharePoint Enterprise Server 2016, 2019 und die Subscription Edition. Auch ältere Versionen (2007, 2010, 2013) besitzen die gleiche Schwachstelle. Da diese jedoch keinen offiziellen Support und keine Sicherheitsupdates mehr erhalten, wird Administratoren dringend geraten, auf unterstützte Versionen zu migrieren.
Vom theoretischen Risiko zur akuten Bedrohung
Die Entwicklung der Lücke zeigt, wie unberechenbar die Gefahrenlage sein kann. Microsoft hatte den Patch bereits am 13. Januar 2026 im Rahmen seiner monatlichen Updates bereitgestellt. Das Unternehmen stufte das Ausnutzungsrisiko damals als gering ein. Es gab keine Hinweise auf öffentliche Diskussionen oder aktive Angriffe.
Doch nur zwei Monate später hat sich die Lage dramatisch verschärft. Cyberkriminelle haben es geschafft, das Sicherheitsupdate zu reverse-engineern und eine funktionierende Angriffsmethode zu entwickeln. Bislang wurde keine bestimmte Hackergruppe oder Erpressungsbande öffentlich mit den Angriffen in Verbindung gebracht. Dies deutet darauf hin, dass die Ermittlungen noch laufen oder mehrere Akteure die Lücke unabhängig voneinander nutzen.
Warum SharePoint im Visier der Angreifer steht
Die aktive Ausnutzung passt in einen besorgniserregenden Trend: Angreifer zielen verstärkt auf Unternehmens-Kollaborationstools und Netzwerkkomponenten ab. SharePoint-Server sind ein lukratives Ziel. Sie hosten häufig hochsensible Geschäftsgeheimnisse, interne Kommunikation und proprietäre Daten. Ein kompromittierter Server bietet Angreifern zudem oft einen Fuß in der Tür, um sich tiefer im Unternehmensnetzwerk auszubreiten.
Für SharePoint ist dies kein Einzelfall. Bereits 2025 kam es zu einer großen Angriffswelle durch die „ToolShell“-Schwachstelle, die Hunderte Organisationen weltweit traf. Die wiederholten Angriffe zeigen: Kollaborationsplattformen werden als kritische Infrastruktur wahrgenommen, die Unternehmen nicht einfach abschalten können. Das erhöht den Druck bei Erpressungsversuchen.
Die zunehmende Komplexität von Bedrohungen und neue KI-Regulierungen stellen Unternehmen vor enorme Herausforderungen bei der IT-Sicherheit. Erfahren Sie in diesem E-Book, wie Sie proaktiv auf aktuelle Cyber-Security-Trends reagieren und Ihre Infrastruktur ohne teure Personalaufstockung absichern. Kostenloses E-Book: Cyber Security Trends 2024 herunterladen
Was Unternehmen jetzt tun müssen
Die Experten rechnen in den kommenden Tagen mit einer welle automatisierter Scan- und Angriffsversuche gegen ungepatchte, internetfähige SharePoint-Server. Je weiter sich die Angriffsmethode im Untergrund verbreitet, desto niedriger wird die Einstiegshürde – auch für weniger versierte Angreifer.
Unternehmen sollten daher umgehend handeln:
1. Patchen: Das Sicherheitsupdate vom Januar 2026 muss sofort auf allen betroffenen Systemen installiert werden.
2. Überwachen: Der Netzwerkverkehr und Server auf ungewöhnliche Aktivitäten und Code-Ausführungen überwachen.
3. Modernisieren: Migrationen von veralteten, nicht mehr unterstützten SharePoint-Versionen beschleunigen.
Die kommenden Wochen werden voraussichtlich weitere Details zu den Angriffsmustern und beteiligten Akteuren liefern. Bis dahin gilt: Jeder ungepatchte Server ist ein potenzielles Einfallstor.
