• Artikel

Kritische SharePoint-Schwachstelle trifft NRW‑Universitäten – Was jetzt zu tun ist

Hintergrund & betroffene Einrichtungen

Im Juli 2025 wurde die SharePoint‑Zero‑Day‑Schwachstelle CVE‑2025‑53770 bekannt – eine der gefährlichsten Sicherheitslücken des Jahres mit einem CVSS-Score von 9,8. Betroffen sind ausschließlich lokal betriebene SharePoint-Server der Versionen 2016, 2019 und Subscription Edition. Cloud-basierte Umgebungen wie SharePoint Online sind nicht betroffen.

In Nordrhein-Westfalen waren mehrere Universitäten gezwungen, ihre Systeme teilweise vom Netz zu nehmen. Darunter die Heinrich-Heine-Universität Düsseldorf, die Ruhr-Universität Bochum und die Universität Paderborn. In der Folge kam es zu erheblichen Einschränkungen: Online-Portale fielen aus, Abschlussarbeiten mussten per E-Mail eingereicht werden. Glücklicherweise wurde bei forensischen Untersuchungen festgestellt, dass keine sensiblen Daten abgeflossen sind.

Funktionsweise der Schwachstelle

Die Schwachstelle ermöglicht eine Remote-Code-Ausführung ohne vorherige Authentifizierung. Angreifer können speziell manipulierte Datenpakete einschleusen, die über unsichere Deserialisierung in das System gelangen. Die Angriffsmethode basiert auf einer sogenannten ToolShell-Kette: Dabei wird Zugriff auf die MachineKey-Konfiguration erlangt, was tiefgehende Systemkontrolle erlaubt.

Verbreitung & Risikoanalyse

Die Angriffe erfolgten offenbar bereits seit Mitte Juli 2025 aktiv und richteten sich weltweit gegen Organisationen. Auch in Deutschland wurden über 100 potenziell verwundbare Systeme identifiziert – ein alarmierender Wert. Aufgrund der kritischen Bewertung ist davon auszugehen, dass neben Hochschulen auch öffentliche Einrichtungen und Unternehmen betroffen sind.

Handlungsempfehlungen für Administrator:innen

Patches installieren

Microsoft hat Sicherheitsupdates für CVE‑2025‑53770 und eine damit verwandte Lücke veröffentlicht. Diese sollten dringend eingespielt werden, da ältere Juli-Patches unzureichend waren.

Systeme auf Kompromittierung prüfen

Auch nach erfolgreichem Patchen ist eine Überprüfung der Systeme nötig. Es besteht die Gefahr, dass Angreifer bereits Webshells oder andere Hintertüren installiert haben. Hier helfen sogenannte „Indicators of Compromise“ (IoCs), um mögliche Manipulationen zu erkennen.

Monitoring & Rechteverwaltung

  • Zugriffe sollten überwacht und Protokolle regelmäßig ausgewertet werden.

  • Besonders verdächtig sind große Datenbewegungen oder Zugriffe aus ungewöhnlichen IP-Bereichen.

  • Rechte sollten nach dem Prinzip „Least Privilege“ vergeben werden.

Sicherheits-Scans durchführen

Administrierende können Werkzeuge wie Nikto einsetzen, um SharePoint-Instanzen auf bekannte Schwachstellen (z. B. in /vti_bin) zu analysieren.

Externe Tests & Notfallkonzepte

Langfristig helfen Penetrationstests und Härtungskonzepte, um Sicherheitslücken frühzeitig zu erkennen. Auch Notfallpläne für den Fall einer Kompromittierung sollten regelmäßig geprüft und geübt werden.

Bedeutung für Hochschulen und Forschungseinrichtungen

Für Hochschulen mit sensiblen Forschungs- und Personaldaten stellt eine solche Schwachstelle ein erhebliches Risiko dar. Neben dem Datenschutz drohen Ausfälle von Lehrplattformen, Kommunikationskanälen oder Prüfungsportalen. Die Vorfälle in NRW zeigen eindrücklich, wie wichtig ein funktionierendes Sicherheits- und Krisenmanagement ist.

Fazit: Jetzt handeln, statt später bereuen

  • Die Schwachstelle ist hochkritisch und wird aktiv ausgenutzt

  • Nur lokale Installationen sind betroffen – Cloud-Nutzer sind auf der sicheren Seite

  • Notfall-Patches, forensische Analyse und Berechtigungsprüfungen sind Pflicht

  • Wer heute nicht handelt, riskiert morgen Datenverlust, Reputationsschäden und Betriebsunterbrechungen

Praxischeck für Admins

Aufgabe Beschreibung
Patches installieren Aktuelle Sicherheitsupdates für alle SharePoint-Instanzen einspielen
Systemanalyse Prüfung auf Webshells, verdächtige Logeinträge, fremde Dateien
Monitoring aktivieren Zugriffe auswerten, Anomalien erkennen, Alerts konfigurieren
Rechtemanagement optimieren Nur notwendige Berechtigungen vergeben
Tools wie Nikto nutzen Technische Scans durchführen, um Angriffsflächen frühzeitig zu erkennen
   

 

Quellen:

Bundesamt für Sicherheit in der Informationstechnik. (2025, Juli 25). Cybersicherheitswarnung 2025-262781-1032. Abgerufen am 30. Juli 2025, von https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-262781-1032.html

Chip.de. (2025, Juli 24). Microsoft warnt weltweit: Gefährliche SharePoint-Lücke wird ausgenutzt. Abgerufen am 30. Juli 2025, von https://www.chip.de/news/Microsoft-warnt-weltweit-Gefaehrliche-SharePoint-Luecke-wird-ausgenutzt_186127161.html

Heise Online. (2025, Juli 26). Angriffe auf Microsoft Sharepoint: Das müssen Admins nach dem Patchen tun. Abgerufen am 30. Juli 2025, von https://www.heise.de/hintergrund/Angriffe-auf-Microsoft-Sharepoint-Das-muessen-Admins-nach-dem-Patchen-tun-10496148.html

MS-Aktuell.de. (2025, Juli 25). SharePoint-Sicherheitslücke an NRW-Universitäten – Wie gut ist die Uni Münster geschützt? Abgerufen am 30. Juli 2025, von https://ms-aktuell.de/aktuelles/sharepoint-sicherheitsluecke-an-nrw-universitaeten-wie-gut-ist-die-uni-muenster-geschuetzt/

NADR – Nationale Agentur für Datenschutz und Regulierung. (2025, Juli 24). Hackerangriff auf SharePoint enthüllt gravierende Schwachstelle. Abgerufen am 30. Juli 2025, von https://www.nadr.de/produkte/microsoft-sicherheitsluecke-aufgedeckt-hackerangriff-auf-sharepoint-enthuellt-gravierende-schwachstelle/

Security Insider. (2025, Juli 25). Schwachstelle Microsoft SharePoint betrifft Universitäten in NRW. Abgerufen am 30. Juli 2025, von https://www.security-insider.de/schwachstelle-microsoft-sharepoint-betrifft-universitaeten-nrw-a-ac9288c723c39356e15ee886fc252012/

Security Insider. (2025, Juli 26). Kritische SharePoint-Schwachstelle bedroht globale Unternehmen. Abgerufen am 30. Juli 2025, von https://www.security-insider.de/kritische-sharepoint-schwachstelle-bedroht-globale-unternehmen-a-1475b3207bad33faa687edade219fa82/

Security Insider. (2025, Juli). Gesamtzahl der Microsoft-Schwachstellen steigt auf Allzeithoch. Abgerufen am 30. Juli 2025, von https://www.security-insider.de/gesamtzahl-der-microsoft-schwachstellen-steigt-auf-allzeithoch-a-9af149ac91366fb7fd5fdb15822a1664/

Security Insider. (2024). SharePoint CVE-2024-30043 – Schwachstelle & Update. Abgerufen am 30. Juli 2025, von https://www.security-insider.de/sharepoint-cve-2024-30043-schwachstelle-update-a-0014792e97060b059f9d1b72db986b7a/

Security Insider. (2023). Nikto: Webserver-Sicherheit mit Open Source prüfen. Abgerufen am 30. Juli 2025, von https://www.security-insider.de/nikto-webserver-sicherheit-open-source-a-0de0821ee2a88f186748b68549c97b16/

ZDF heute. (2025, Juli 27). Hackerangriffe auf deutsche Unternehmen und Behörden – Das sind die Folgen. Abgerufen am 30. Juli 2025, von https://www.zdfheute.de/panorama/kriminalitaet/microsoft-hacker-angriff-sicherheit-firmen-deutschland-100.html

 

Ansprechpartner
Gerne beraten wir Sie

Stefan Otto
Product Manager
stefan.otto@cyber24security.de

+49 39608 2690-02

 

Andreas Thiel
Cyber Security Analyst
andreas.thiel@cyber24security.de

+49 39608 2690-17

Zurück