Microsoft SharePoint steht im Zentrum zahlreicher Unternehmen – als Plattform für Zusammenarbeit, Dokumentenmanagement und interne Kommunikation. Doch aktuelle Sicherheitsanalysen zeigen: Unzureichende Patches machen die Software zur Zielscheibe für Cyberkriminelle. Der Artikel beleuchtet Schwachstellen, Versäumnisse bei Updates und was IT-Teams jetzt tun müssen.
Ein unterschätztes Risiko mit weitreichenden Folgen
Mit über 200 Millionen aktiven Nutzern weltweit ist Microsoft SharePoint ein Schlüsselprodukt in modernen Unternehmensnetzwerken – und ein attraktives Angriffsziel für Hacker. Bereits 2023 hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) mehrere Warnungen zu Sicherheitslücken in SharePoint veröffentlicht, darunter auch CVE-2023-29357 – eine kritische Sicherheitslücke mit einem CVSS-Wert von 9.8. Trotz veröffentlichtem Sicherheitspatch nutzen Angreifer weiterhin genau diese Schwachstelle, um Systeme zu kompromittieren. Grund dafür ist nicht zuletzt ein unzureichend implementierter Fix seitens Microsoft.
Die Sicherheitsfirma Praetorian deckte auf, dass selbst nach Anwendung des offiziellen Patches für CVE-2023-29357 Angriffe möglich bleiben. Grund ist, dass Microsoft lediglich symptomatisch eine In-Memory-Prüfung eingebaut hat, ohne das grundlegende Problem – eine fehlende kryptografische Signaturprüfung durch den SharePoint-Server – zu beheben. Das bedeutet: Angreifer können weiterhin JSON Web Tokens (JWTs) fälschen und sich damit als beliebige Benutzer ausgeben.
Microsofts Patch-Politik auf dem Prüfstand
Die Kritik an Microsofts Umgang mit kritischen Sicherheitslücken bei SharePoint wächst. Bereits 2020 wurde ein vergleichbares Versäumnis bekannt, als bei CVE-2020-1147 der initiale Patch nicht alle betroffenen Pfade abdeckte. Auch bei CVE-2023-29357 kritisiert die Security-Community nicht nur das technische Versagen, sondern auch die mangelnde Transparenz. Zwar wurde die Lücke in Microsofts Sicherheitspatches gelistet, jedoch war für viele Admins nicht ersichtlich, dass die Schwachstelle weiterhin ausnutzbar bleibt – insbesondere in hybriden oder On-Premises-Konfigurationen von SharePoint.
Ein Problem dabei: SharePoint wird oft nicht zentral über Windows Update gepflegt, sondern erfordert manuelle Updates durch IT-Teams – ein Prozess, der fehleranfällig ist und häufig verzögert wird. Laut einer Umfrage von Netwrix aus dem Jahr 2024 patchen 62 % der mittelständischen Unternehmen ihre SharePoint-Instanzen weniger als einmal im Quartal, obwohl monatliche Sicherheitsupdates verfügbar wären.
Konkrete Angriffsszenarien: Wie Hacker die Schwachstellen ausnutzen
Die bekannt gewordene Ausnutzung von CVE-2023-29357 erfolgt in der Regel in zwei Stufen. Zuerst fälschen Angreifer ein gültiges JWT mit manipulierten Claims, um sich gegenüber SharePoint als Administrator auszugeben – aufgrund der fehlenden Validierung erkennt SharePoint den Token als gültig an. Im zweiten Schritt kann ein Angreifer beliebige PowerShell-Kommandos im Kontext des kompromittierten Nutzers ausführen.
Besonders perfide: Diese Technik lässt sich automatisieren. In von Praetorian veröffentlichtem Proof-of-Concept-Code wurde gezeigt, wie mit wenig technischem Aufwand eine vollständige Remote Code Execution (RCE) möglich ist – sofern über das Netzwerk auf die SharePoint-Instanz zugegriffen werden kann. Auch die Sicherheitsforscher von Volexity berichteten kürzlich über gezielte Angriffe auf ungepatchte SharePoint-Umgebungen durch staatlich geförderte Gruppen mit Fokus auf Industriespionage.
Statistisch betrachtet stellt die Bedrohungslage eine reale Gefahr dar: Laut Check Point Research stiegen die Angriffe auf kollaborative Plattformen wie Microsoft SharePoint im ersten Quartal 2025 um 38 % gegenüber dem Vorjahr. Unter den zehn am häufigsten angegriffenen Systemen landete SharePoint auf Platz drei – direkt hinter Exchange Server und Citrix NetScaler.
Versäumnisse mit System: Warum Unternehmen kaum reagieren
Doch warum bleiben so viele Systeme verwundbar? Ein Grund ist die häufige interne Trennung von IT-Security und Collaboration-Teams. Während Sicherheitsverantwortliche Updates fordern, scheuen Betriebsteams Änderungen an laufenden Dokumenten-Workflows, aus Angst vor Funktionseinschränkungen oder Downtimes. Zudem sind die Microsoft-Patchdokumentationen oft komplex und unklar, was die Implementierung zusätzlich erschwert.
Ein weiteres Problem: Viele Unternehmen verlassen sich auf automatisierte Schwachstellenscanner, die lediglich den Patchstatus prüfen, aber nicht erkennen, ob eine Lücke wie CVE-2023-29357 trotz installiertem Patch noch ausnutzbar ist. Dieser „False Sense of Security“ führt dazu, dass Admins ein System als sicher einstufen, das weiterhin angreifbar ist.
IT-Security-Experte Max Heidenreich von der TU Darmstadt warnt: „Die Kombination aus unzureichenden Patches und mangelhaften Tools zur Überprüfung des Exploit-Status schafft eine systemische Schwäche in vielen Unternehmensnetzwerken.“
Was IT-Administratoren jetzt tun müssen
Um SharePoint-Instanzen effektiv abzusichern, sollten IT-Abteilungen aktiver werden – über das bloße Einspielen von Microsoft-Patches hinaus. Eine mehrstufige Security-Strategie ist essenziell, um Angriffsfelder zu erkennen und zu minimieren:
- Manuelle Prüfung eingesetzter Tokens: Überwachen Sie die JWT-Authentifizierungsmechanismen mit Logs und analysieren Sie ungewöhnliche Zugriffsmuster auf Admin-Konten.
- Einführung zusätzlicher Reverse Proxy-Filterschichten: Nutzen Sie Web Application Firewalls (WAFs), die Angriffsvektoren bereits auf HTTP-Ebene blockieren können – unabhängig von SharePoints internem Auth-Modell.
- Minimieren der Angriffsfläche: Deaktivieren Sie nicht benötigte Features (z. B. InfoPath-Services, Legacy-Auth), aktualisieren Sie Serviceaccounts regelmäßig und dokumentieren Sie alle benutzerdefinierten Komponenten Ihrer SharePoint-Umgebung.
Darüber hinaus lohnt sich die Implementierung eines permanenten Schwachstellen-Monitorings. Tools wie Qualys, Nessus oder Tenable.io bieten integrierte Module zur Kontrolle von Microsoft-Produkten und erlauben auch benutzerdefinierte Skriptüberprüfungen – insbesondere wichtig für hybride SharePoint-Infrastrukturen mit lokalen Komponenten.
Trends: Zero Trust und segmentierte SharePoint-Netzwerke
Moderne Sicherheitsarchitekturen verlassen sich immer häufiger auf Zero-Trust-Ansätze, bei denen jeder Zugriff, selbst intern, strengen Prüfungen unterliegt. Für SharePoint bedeutet das: Der direkte Netzwerkzugriff auf produktive Server sollte grundsätzlich nicht vom Client aus möglich sein – stattdessen empfiehlt sich der Zugriff über ein gesichertes Gateway mit Authentifizierungslogik auf mehreren Ebenen (z. B. Conditional Access, Identity Protection und Device Posture Checks).
Laut Gartner werden bis 2026 über 60 % der Unternehmen ihre traditionellen Kollaborationsplattformen in segmentierte Zero-Trust-Zonen überführen – und damit auch SharePoint-Server separieren. Zudem wird die Nutzung von Cloud-basierten SharePoint Online-Instanzen weiter steigen, da diese zentral durch Microsoft abgesichert und gepatcht werden. Dennoch bleibt die Verantwortung für Konfiguration, Authentifizierung und Berechtigungsmanagement bei den Unternehmen selbst.
Fazit: Wirklich sicher ist nur, was aktiv kontrolliert wird
Die jüngsten Sicherheitslücken zeigen deutlich: Sicherheitsupdates allein reichen nicht, wenn grundlegende Designfehler bestehen bleiben – und wenn Unternehmen ihre Systeme blind als sicher annehmen. Insbesondere bei Komponenten wie SharePoint, die so tief in Geschäftsprozesse eingebunden sind, entstehen gefährliche Scheinsicherheiten.
IT-Teams sind deshalb aufgefordert, kontinuierlich zu prüfen, zu protokollieren und zu hinterfragen – nicht nur den Patchstatus, sondern die gesamte Sicherheitsarchitektur. Nur durch ganzheitliche Transparency-by-Design-Modelle können Organisationen ihre digitale Zusammenarbeit nachhaltig sichern.
Lassen Sie uns in den Kommentaren diskutieren: Wie gehen Sie in Ihrem Unternehmen mit unzuverlässigen Security-Patches um? Welche Erfahrungen haben Sie mit der Absicherung von SharePoint gemacht? Die Tech-Community lebt vom Austausch – wir freuen uns auf Ihre Perspektiven!
