Im Sommer 2025 sorgt eine neue kritische SharePoint Sicherheitslücke in SharePoint Server weltweit für Unsicherheit. Die als ToolShell bezeichnete Schwachstelle (CVE-2025-53770 und CVE-2025-53771) betrifft sämtliche On-Premises-Installationen von SharePoint Server 2016, 2019 und der Subscription Edition. Über eine raffinierte Angriffskette können Cyberkriminelle – ohne Anmeldung! – Schadcode einschleusen, persistente Hintertüren platzieren und selbst nach Updates oder Neustarts die Kontrolle behalten.
Das Angriffsszenario auf die SharePoint Sicherheitslücke Toolshell im Überblick:
- Der Angreifer nutzt einen Schwachpunkt im Authentifizierungsmechanismus und erhält Zugriff auf kritische Editierfunktionen im SharePoint („ToolPane.aspx“).
- Durch unsichere Deserialisierung kann beliebiger Code auf dem Server ausgeführt werden.
- Einmal erlangte Zugriffsrechte werden genutzt, um MachineKeys zu stehlen – damit kann der Angreifer eigene Anfragen so signieren, dass sie wie legitimer Traffic wirken.
- Die Kontrolle über das System bleibt selbst nach einem Patch bestehen, solange die Schlüssel nicht erneuert werden.
Wer ist betroffen?
Jedes Unternehmen, jede Organisation, jede Behörde, die noch SharePoint Server On-Prem betreibt – unabhängig von Größe oder Branche. Microsoft 365 und SharePoint Online sind nicht betroffen.
Wie erkenne ich, ob meine Systeme angegriffen wurden?
Angriffe auf die ToolShell-Sicherheitslücke sind schwer zu erkennen, da die Angreifer professionelle Techniken zur Verschleierung einsetzen. Dennoch gibt es einige Warnzeichen:
- Unerwartete Dateien im SharePoint-Verzeichnis, insbesondere .aspx-Webshells wie „spinstall0.aspx“.
- Auffällige POST-Requests an die Seite „ToolPane.aspx“ im Log.
- Plötzliche Warnmeldungen von Antivirus-Programmen, speziell in Verbindung mit neuen oder unbekannten Prozessen.
- Veränderungen an den MachineKeys oder verdächtige Aktivitäten im IIS.
Handlungsempfehlungen der Cloudfreunde-Experten für die SharePoint Sicherheitslücke Toolshell
1. Schnellstmöglich patchen!
- Für SharePoint 2019 und Subscription Edition sind Sicherheitsupdates verfügbar
- SharePoint 2016: Patch angekündigt – so lange möglichst vom Internet trennen
- Nach dem Patch: MachineKeys erneuern und IIS neu starten
2. Monitoring & Forensik:
- Überwachen Sie die Server-Logs gezielt auf verdächtige Aktivitäten und Dateiänderungen
- Setzen Sie Defender Antivirus mit AMSI-Unterstützung ein
- Lassen Sie kompromittierte Systeme forensisch prüfen
3. Langfristige Strategie:
Auch mit Patch bleibt ein Restrisiko: Die Komplexität und der Wartungsaufwand für On-Prem-SharePoint steigen – und das Risiko weiterer Zero-Day-Schwachstellen nimmt zu.
Hackers Exploit Microsoft SharePoint as Firm Works to Patch
Warum werden On-Premises-Systeme für SharePoint Sicherheitslücken wie Toolshell immer riskanter?
Diese Sicherheitslücke ist kein Einzelfall. In den letzten Jahren mehren sich schwerwiegende Vorfälle bei lokalen SharePoint-Servern. Die Gründe:
- Kürzere Update-Zyklen: Microsoft stellt immer seltener neue Funktionen bereit, aber Patches müssen sofort und regelmäßig installiert werden.
- Wachsende Komplexität: Je mehr Komponenten lokal verwaltet werden, desto schwieriger wird die Absicherung.
- Cybercrime professionalisiert sich: Automatisierte Scans finden und kompromittieren verwundbare Systeme in wenigen Stunden.
Gerade im Mittelstand fehlt oft die Zeit und das Know-how für das lückenlose Patchmanagement. Die ToolShell SharePoint Sicherheitslücke ist der aktuelle, aber sicher nicht letzte Weckruf!
SharePoint Online als Ausweg: Mehr Sicherheit, weniger Aufwand
Mit einer Migration zu SharePoint Online gewinnen Unternehmen gleich mehrfach:
- Sicherheit auf Knopfdruck: Updates, Patches und Infrastruktur werden zentral von Microsoft gemanagt – Zero-Days werden meist ausgerollt, bevor sie publik werden.
- Starke Compliance & Datenschutz: Microsoft 365 erfüllt alle aktuellen Standards und bietet mit Funktionen wie Sensitivity Labels und Data Loss Prevention weit mehr als klassische On-Prem-Lösungen.
- Innovative Zusammenarbeit: Integration mit Teams, Viva, Planner, Power Platform – ortsunabhängig, performant und immer aktuell.
- Planbare Kosten: Keine versteckten Wartungsaufwände, transparente Lizenzmodelle, und weniger teure Notfallaktionen.
Das wichtigste Argument:
Sie können sich wieder auf Ihr Kerngeschäft konzentrieren. IT-Sicherheit wird zur planbaren Routine, nicht zum ständigen Risiko.
Ihre Migration mit Cloudfreunde: Individuell, sicher, nachhaltig
Eine Migration zu SharePoint Online ist kein reines Technikprojekt – sie bedeutet Veränderung für Prozesse, Teams und Unternehmenskultur. Genau dafür stehen wir als Cloudfreunde:
Unser Migrationsvorgehen im Überblick:
- Kostenfreie Erstberatung
Wir klären gemeinsam: Wo stehen Sie? Welche Anforderungen haben Sie? Wo liegen Ihre Sicherheits- und Business-Prioritäten? - Bestandsaufnahme & Roadmap
Wir analysieren Ihr SharePoint-Umfeld, identifizieren Risiken (z. B. ToolShell-Lücke), bewerten Daten und Zugriffsrechte. Darauf aufbauend erstellen wir einen realistischen Zeit- und Budgetplan. - Sichere Migration & Automatisierung
Mit modernsten Tools und Best Practices übernehmen wir die strukturierte Überführung Ihrer Inhalte, Berechtigungen und Workflows – bei minimaler Beeinträchtigung des Tagesgeschäfts. - Schulung & Change Management
Unsere Expert:innen sorgen dafür, dass Ihr Team den Wandel mitträgt und die Vorteile der neuen Plattform sofort nutzt – durch individuelle Schulungen und digitale Lernbegleitung. - Nachbetreuung & Weiterentwicklung
Auch nach der Migration bleiben wir an Ihrer Seite: Für Support, Weiterentwicklung und Integration neuer Lösungen wie Intranet, Mitarbeiter-Apps oder Feedbackplattformen.
Cloudfreunde Best Practice: Die wichtigsten Erfolgsfaktoren
- Frühzeitige Kommunikation: Je früher die Belegschaft eingebunden wird, desto höher die Akzeptanz.
- Automatisierte Migration: Moderne Tools vermeiden Fehler, sparen Zeit und sorgen für Revisionssicherheit.
- Sicherheit und Compliance: Wir beraten, wie Sie Ihre Daten auch in der Cloud bestmöglich schützen – inklusive DSGVO- und BSI-konformer Einstellungen.
- Langfristige Partnerschaft: Migration ist kein Sprint, sondern Teil einer digitalen Reise. Wir begleiten Sie auf jedem Schritt.
Warum jetzt handeln? Praxis- und Zukunftsperspektive nach der SharePoint Sicherheitslücke Toolshell
Die aktuelle Bedrohungslage zeigt: Wer auf klassische On-Premises-Architekturen setzt, muss nicht nur immer schneller auf neue Sicherheitsvorfälle reagieren, sondern trägt auch ein stetig wachsendes Haftungsrisiko. Nicht gepatchte Lücken wie ToolShell können innerhalb von Stunden ausgenutzt werden – oftmals noch bevor interne Prozesse eine Reaktion ermöglichen. Hinzu kommt: Die technische Komplexität steigt, Ressourcen für Monitoring, Wartung und Notfallmanagement fehlen vielerorts. Die Folge sind ungeplante Ausfallzeiten, hohe Kosten durch Incident Response und im schlimmsten Fall der Verlust geschäftskritischer Daten.
Mit SharePoint Online dagegen profitieren Unternehmen von einer modernen, flexiblen Plattform, die neue Innovationen und Sicherheitsstandards automatisch integriert. Ob mobiles Arbeiten, einfache Integration in Microsoft Teams, smarte Dokumentenablage oder KI-gestützte Suche: All das ist in der Cloud Standard und kein Extra. Sie sichern damit nicht nur den laufenden Betrieb ab, sondern steigern auch die Effizienz und Zufriedenheit Ihrer Teams. Gerade vor dem Hintergrund knapper IT-Ressourcen wird die Verlagerung in die Cloud zum echten Wettbewerbsvorteil.
Fazit & Handlungsaufforderung
Die SharePoint Sicherheitslücke ToolShell ist ein Lehrbeispiel dafür, wie schnell On-Premises-Systeme zum Risiko werden können. Wer weiterhin SharePoint Server lokal betreibt, sollte jetzt aktiv werden – zum Schutz von Daten, Prozessen und Reputation.
Setzen Sie auf einen erfahrenen Partner und profitieren Sie von moderner, sicherer Zusammenarbeit in der Microsoft Cloud.
🚀 Sichern Sie sich jetzt Ihr kostenloses, unverbindliches Beratungsgespräch!
Ob Quick-Check, Machbarkeitsanalyse oder vollständige Migrationsstrategie: Wir beraten Sie persönlich, individuell und unabhängig.
