Ein gezielter Cyberangriff auf einen US-Atomwaffenhersteller zeigt einmal mehr, wie kritisch Sicherheitslücken in gängigen Unternehmensplattformen wie Microsoft SharePoint für die nationale Sicherheit werden können. Der Vorfall wirft Fragen zum Schutz hochsensibler Infrastrukturen auf – und gibt Anlass zur Analyse gängiger Abwehrmaßnahmen.
Ein Angriff auf die Rüstungssicherheit: Was passiert ist
Im Juni 2023 wurde bekannt, dass das im Verteidigungssektor tätige US-Unternehmen Sandia National Laboratories – ein zentraler Zulieferer für Nukleartechnologie im Auftrag des US-Energieministeriums – Ziel eines erheblichen Cyberangriffs wurde. Laut ersten Untersuchungen nutzten die Angreifer eine bekannte Schwachstelle in Microsoft SharePoint (CVE-2023-29357 aus dem Mai 2023) aus, um sich Zugriff auf interne Systeme zu verschaffen.
Die Schwachstelle ermöglichte es, über manipulierte HTTP-Anfragen Authentifizierungen zu umgehen und sich unbemerkt in SharePoint-Instanzen einzuschleusen. Bekannt wurde die Methode durch Microsofts eigenen Security Response Blog, in dem diese Zero-Day-Lücke im Juni 2023 öffentlich dokumentiert wurde. Die Angreifer nutzten speziell präparierte Access Tokens, um vollen Zugriff auf vertrauliche Dokumente, Supply-Chain-Kommunikation und potenziell auch auf Echtzeitdaten zu erlangen.
Wer steckt hinter dem Angriff?
Die US-amerikanische Cybersicherheitsbehörde CISA, das FBI sowie private Sicherheitsfirmen wie Mandiant und CrowdStrike gehen von einem staatlich unterstützten Akteur aus. Hinweise deuten auf eine APT-Gruppe (Advanced Persistent Threat) hin, die möglicherweise Verbindungen zu chinesischen Interessen hat. Die Analyse von Malware-Signaturen und Command-&-Control-Mustern unterstützt diese These. Offiziell bestätigen wollte das FBI diese Einschätzung bislang nicht.
Besonders brisant: Laut einem Bericht von The Washington Post (August 2023) war der Angriff mindestens sechs Wochen lang unentdeckt geblieben. Erst durch interne Netzwerkmonitoring-Tools fiel der unautorisierte Traffic auf. Die forensische Analyse ergab, dass mehrere hochsensitive Projektdateien zum Thema „Plutonium-Handling“ und „U235-Assays“ von den Angreifern kopiert worden sein könnten.
Schwachstellen in Microsoft SharePoint – ein unterschätztes Einfallstor
Microsoft SharePoint ist in vielen Organisationen ein zentrales Intranet- und Dokumentenmanagementsystem. Weltweit setzen mehr als 200.000 Unternehmen darauf – darunter auch Regierungsorganisationen und Einrichtungen kritischer Infrastruktur.
Das macht SharePoint zu einem attraktiven Ziel. Im Jahr 2023 meldete das National Vulnerability Database (NVD) allein zwölf neue Schwachstellen für SharePoint, darunter mehrere Remote Code Execution-Angriffsmöglichkeiten. Die CVE-2023-29357, auf die sich dieser Angriff bezieht, wurde von Microsoft mit einem CVSS-Score von 9,8 bewertet – kritisch.
Ein zentrales Problem: Viele Unternehmen betreiben On-Premises-Versionen von SharePoint, die nur verzögert oder überhaupt nicht aktualisiert werden. Laut einer Studie von Risk Based Security (Q4/2023) hatten 37 % der Unternehmen kritische Patches für SharePoint 2019 erst mehr als einen Monat nach deren Veröffentlichung installiert.
Implikationen für die nationale Sicherheit
Der Vorfall belegt erneut, wie entscheidend Cybersicherheit für die nationale Verteidigung ist. Bereits 2021 hatte das Government Accountability Office (GAO) in den USA gewarnt, dass veraltete Softwaresysteme in Verteidigungsministerien ein erhebliches Risiko darstellen. Laut einer aktuellen Studie des Center for Strategic and International Studies (CSIS, 2024) sind 58 % aller Cyberangriffe auf staatliche Einrichtungen auf ungepatchte Software zurückzuführen.
Auch deutsche Behörden sollten den Vorfall ernst nehmen. Immerhin zählen auch hierzulande SharePoint und Office 365 zu den verbreiteten Kollaborationssystemen in Landesministerien und Bundesbehörden. BSI-Präsidentin Claudia Plattner erklärte im Januar 2024, dass „Vertrauenskernsysteme wie SharePoint oder Exchange regelmäßig gehärtet und überwacht werden müssen“, da sie sonst „Einfallstore für komplexe Angriffe“ darstellen.
Statistik 1: Laut Microsofts Security Intelligence Report 2024 werden 23 % aller Zero-Day-Angriffe über Collaboration-Tools wie SharePoint und Teams initiiert.
Statistik 2: Eine Erhebung von Cybersecurity Ventures (2023) prognostiziert, dass Unternehmen weltweit im Jahr 2025 mehr als 10,5 Billionen US-Dollar durch Cyberkriminalität verlieren werden – doppelt so viel wie noch 2020.
Was bei kritischen Infrastrukturen anders laufen sollte
Betreiber kritischer Infrastrukturen (KRITIS) müssen deutlich strengere Maßstäbe an IT-Sicherheit und Systemresilienz anlegen. Der Vorfall zeigt, dass klassische Maßnahmen – Firewalls, Antiviruslösungen, VPN-Einsatz – nicht ausreichen. Was stattdessen nötig ist:
- Zero-Trust-Architekturen: Kein Nutzer, keine Netzwerkkomponente ist per se vertrauenswürdig. Jeder Zugriff muss kontinuierlich überprüft werden – selbst intern.
- Security Patch Management der höchsten Priorität: Schwachstellen wie CVE-2023-29357 müssen innerhalb von 48 Stunden nach Veröffentlichung gepatcht werden, insbesondere in sicherheitskritischen Umgebungen.
- Segmentierung und Netzwerkisolierung: Sensible Forschungs- und Entwicklungssysteme dürfen niemals mit dem allgemeinen Firmennetzwerk verbunden sein.
Hinzu kommen regulatorische Anforderungen. In den USA greift hier der „Federal Information Security Modernization Act“ (FISMA). In der EU gelten seit Januar 2025 mit der NIS-2-Richtlinie verschärfte Vorgaben für KRITIS-Betreiber. Wer versäumt, Systeme wie SharePoint sicher zu betreiben, riskiert hohe Bußgelder und Reputationsverluste.
Was Unternehmen jetzt tun müssen
Angesichts der zunehmenden Komplexität von Angriffen müssen Organisationen in die proaktive Verteidigung investieren. Der Schutz von Plattformen wie SharePoint darf nicht erst beginnen, wenn ein Exploit bereits veröffentlicht wurde. Sicherheitsforscher empfehlen daher:
- Red Teaming & Penetration Testing: Kontinuierliche Simulation von Angriffsszenarien – auch auf Kollaborationsplattformen – deckt Sicherheitslücken auf, bevor Angreifer sie nutzen.
- Automation im Sicherheitsmonitoring: Der Einsatz von SIEM- und SOAR-Lösungen ermöglicht schnellere Reaktionen auf Anomalien in Zugriffsverhalten und Data Flows.
- Sicherheitsbewusstsein steigern: Mitarbeiterschulungen über neue Angriffsszenarien, z. B. SharePoint-Token-Spoofing oder MFA-Bypassing, gehören heute zum Standard.
Darüber hinaus sollte jedes Unternehmen Identitätsmanagement-Strategien überdenken. Die Einbindung externer Benutzer in SharePoint ohne granular konfigurierte Rollen und Rechte erhöht die Angriffsfläche – das hat auch der Sandia-Vorfall gezeigt.
Fazit: Der Vorfall ist Warnsignal und Chance zugleich
Der Angriff auf den US-Atomwaffenhersteller ist eine Mahnung, Standardsoftware in kritischen Umgebungen nicht als sicher vorauszusetzen. SharePoint – trotz seiner Business-Akzeptanz – kann bei unzureichender Absicherung zur Achillesferse werden. Besonders KRITIS-Organisationen sollten jetzt ihre Infrastrukturen überprüfen, Schwachstellen priorisieren und Incident-Response-Pläne laufend aktualisieren.
Die Technologiegemeinschaft ist gefragt: Welche Prozesse habt ihr in euren Organisationen etabliert, um Datenzugriffe in Plattformen wie SharePoint zu kontrollieren? Wie geht ihr mit Zero-Days um, wenn ein kritisches Update fehlt? Teilt Eure Erfahrungen – und helft so, gemeinsam resilienter zu werden.
