SharePoint Sicherheitslücke: So senken Unternehmen künftig das Risiko

Wer ist betroffen und was sind die Risiken?

Wichtig ist: Nur selbst betriebene SharePoint-Server sind betroffen. Die Cloud-Version SharePoint Online in Microsoft 365 ist verschont geblieben. Die Auswirkungen sind jedoch gravierend:

• Hacker haben die Sicherheitslücke bereits ausgenutzt und sind in die Server "dutzender" Firmen und Behörden eingedrungen.
• Laut "Washington Post" wurden auch zwei US-Bundesbehörden angegriffen.
• Experten von Eye Security warnen, dass Angreifer Daten und Passwörter stehlen können. Noch beunruhigender ist die Möglichkeit, digitale Schlüssel abzugreifen, die es ihnen erlauben, auch nach dem Schließen der Lücke wieder Zugang zu den Systemen zu erhalten.
• Die IT-Sicherheitsfirma Crowdstrike bezeichnet die Lücke als "bedeutende Schwachstelle".
• Bereits vor der Veröffentlichung der ersten Patches wurden rund 100 Organisationen kompromittiert. Die meisten dieser kompromittierten Installationen befanden sich in den USA und Deutschland. Zu den frühen Opfern zählten ein großes Energieunternehmen und mehrere Regierungseinrichtungen in Europa.
• Es wurde geschätzt, dass vor der Verfügbarkeit der Patches 9.000 bis 10.000 verwundbare SharePoint-Instanzen existierten.

SharePoint-Angriff: Das rät Microsoft‍

Microsoft hat dringend empfohlen, umgehend Sicherheitsupdates zu installieren, um die Lücke zu schließen. Sollte dies nicht möglich sein, rät der Konzern, die betroffenen Server vom Internet zu trennen. Es ist wichtig zu beachten, dass nach dem Update die ASP.Net "Machine Keys" rotiert werden müssen, was einen Neustart des IIS (Internet Information Services) erfordert.

Die US-Bundespolizei FBI hat Ermittlungen aufgenommen und arbeitet eng mit verschiedenen Behörden und Unternehmen zusammen. Auch das Cyber-Kommando des Verteidigungsministeriums ist in die Abstimmung mit Microsoft involviert. Die amerikanische IT-Sicherheitsbehörde CISA hat betroffene staatliche Stellen und Unternehmen zu schnellem Handeln aufgerufen.

Risiko senken: Experten raten zu Diversifizierung

Erste Analysen, unter anderem von Google's Mandiant, deuten darauf hin, dass mindestens einer der Angreifer aus China stammen könnte. Auch kanadische und australische Behörden haben Untersuchungen eingeleitet.

Diese Vorfälle sind nicht neu: Bereits 2023 verschafften sich mutmaßlich chinesische Hacker Zugang zu E-Mails in US-Behörden über eine Microsoft-Schwachstelle. IT-Sicherheitsexperten mahnen daher seit Jahren, dass Behörden ihre Abhängigkeit von einzelnen Anbietern reduzieren und ihre Software diversifizieren sollten, da Microsoft aufgrund seiner Marktdurchdringung ein beliebtes Ziel für Angreifer ist.

Eine komplette Bindung an die Hyperscaler wie Google, Microsoft oder Amazon kann bequem sein, birgt aber auch Risiken.
‍

Gerade in Europa gibt es aber sichere Alternativen in Teilbereichen wie verschlüsselte Kommunikation (z.B. Threema) oder Datenaustausch (z.B. SecureCloud). Souveräne Lösungen für Enterprise File Sync & Share überzeugen sowohl mit Komfort und Benutzerfreundlichkeit beim Datenaustausch als auch mit höchsten Datenschutzstandards. 

‍

SecureCloud untermauert seinen Anspruch auf maximal möglichen Datenschutz mit Rechenzentren und Firmensitz in Deutschland, Zertifizierung nach ISO 27001 sowie einer BSI C5 Testierung.