Ein unauffälliges PowerShell-Skript entwickelte sich zu einer weltweiten Gefahr für „on premise“ SharePoint-Server. Die ToolShell-Sicherheitslücke zeigt, wie Angreifer Systeme tiefgreifend kompromittieren können – ohne dass es bemerkt wird. Dieser Zero-Day-Angriff auf Microsoft SharePoint nutzt ein harmloses Admin-Tool raffiniert aus. Wir werfen einen Blick auf diese perfide Methode. In diesem Artikel erfahren Sie, was geschah, erhalten Hintergründe und Tipps, wie man sich vor ähnlichen Cyberangriffen schützen kann.
ToolShell Kurznavigation
Autor: Thomas W. Frick (LinkedIn-Profil / Xing-Profil)
ToolShell erschüttert das Sicherheitsversprechen von SharePoint, denn die Schwachstelle trifft besonders Unternehmen, die sich auf interne Sicherheit verlassen. Angreifer gelangen durch die Vordertür bei ToolShell sowie SharePoint. ToolShell zeigt die Taktik neuartiger Cyberangriffe auf und dass die Sicherheitslücke in Microsoft SharePoint auch mit internen Abläufen zu tun.
Microsoft informierte: Die Sicherheitslücke betrifft nur SharePoint Server, der direkt in Firmen läuft – SharePoint Online ist sicher. Microsoft 365, als Cloud-Nutzer, waren nicht betroffen.
Hunderte Unternehmen sowie Behörden, die Microsoft Sharepoint auf ihren eigenen Servern im Einsatz hatten, wurden angegriffen durch die Nutzung eine unbekannte Schwachstelle. Cyberkriminelle griffen über die kritische Sicherheitslücke CVE-2025-53770 in Microsoft SharePoint an, bevor ein Sicherheitsupdate verfügbar war.
Es wird vermutet: Chinesische Staatsakteure nutzten „ToolShell“ auch gezielt, um westliche Institutionen anzugreifen. Das FBI ermittelt wegen der Hackerangriffe.
Was genau wurde beim ToolShell Zero-Day-Angriff gemacht?
Microsoft gab am 19. Juli 2025 eine wichtige Sicherheitswarnung heraus. Sie betraf eine ernsthafte Lücke in SharePoint-Programmen, der Versionen 2016, 2019 und der Subscription Edition, also die Versionen, welche auf den Servern der Unternehmen installiert werden. Cyberkriminelle nutzen eine spezielle Software, ein Exploit, um über eine veränderte ToolShell-Funktion die Kontrolle über die Server zu bekommen, auf denen Microsoft Sharepoint „on premise“ installiert ist. Das Ziel des Angriffs war es, die „Machine Keys“ herauszuziehen. Das sind geheime Codes, die zum Anmelden dienen. Mit diesen Codes erstellen die Angreifer dauerhaft gültige Anmeldedaten, auch wenn die Sicherheitslücke schon geschlossen wurde.
Wie schlimm der Angriff wirklich war, lässt sich gerade noch nicht sagen. Die vielen Warnungen von Microsoft, der US-Sicherheitsbehörde CISA und dem BSI haben aber geholfen, Administratoren sowie Sicherheitsexperten aufmerksam zu machen. Die Schwachstelle ermöglicht potenziell Datendiebstahl und das Abgreifen von Passwörtern. Sie wird mit 9,8 von 10 Punkten als sehr kritisch eingestuft.
Cyber-Attacke mit Durchschlagskraft: Laut einer Analyse der Shadowserver Foundation waren in Deutschland 104 verwundbare SharePoint-Server ohne Sicherheitsupdate offen im Netz. Nur in den USA gab es mit 546 Servern noch mehr betroffene Systeme. Kanada folgt auf Platz 3 mit 87 angreifbaren Servern.
Was sind die empfohlenen Sofortmaßnahmen bei einem ToolShell-Cyberangriff?
IT-Sicherheitsverantwortliche werden sofort aufgefordert zu überprüfen, ob sie die Notfall-Updates von Microsoft installiert haben. Der Software-Hersteller rät auch, das Antimalware Scan Interface (AMSI) und Microsoft Defender einzuschalten und die Einstellungen zu überprüfen. Sollten diese Maßnahmen auf die Schnelle nicht umsetzbar sein, so wird dazu geraten, den SharePoint Server vom Internet zu nehmen.
Weitere empfohlene systemtechnische Maßnahmen:
- Denken Sie auch über Microsoft Defender for Endpoint oder ähnliche Lösungen nach.
— - Tauschen Sie die ASP.NET Keys auf SharePoint Servern aus.
— - Das BSI empfiehlt, den Microsoft-Anweisungen [MSRC25a] zu folgen und die SharePoint ASP.NET Machine Keys unbedingt zu wechseln.
— - Danach soll der IIS auf allen SharePoint Servern neu gestartet werden. Nur die Sicherheitsupdates bzw. die Patches auszutauschen, reicht nicht aus, weil potenziell die Sicherheitslücke schon genutzt wurde.
Tipp: Kosten sowie Verluste durch Betriebsunterbrechungen deckt die Cyber-Versicherung meist ab. Das gilt, wenn die Schäden kausal auf einem deckungsauslösenden Ereignis beruhen.
Weitere organisatorische Maßnahmen:
- Aktivieren Sie Ihre internen Notfallpläne.
- Informieren Sie die IT-Abteilung, den Datenschutzbeauftragten und die Geschäftsleitung.
- Benachrichtigen Sie Ihren Cyber-Versicherer und den Makler.
- Binden Sie den Krisenmanager und den Versicherer ein.
- Nutzen Sie spezialisierte IT-Dienstleister und Forensiker.
Dokumentieren Sie alle Schäden. Halten Sie technische Maßnahmen, Ausfallzeiten, Kommunikationsschritte und entstandene Kosten fest.
Welche Schäden kann ToolShell erzeugen?
Ein erfolgreicher Angriff führt oft zu mehreren Problemen und Herausforderungen. Beim ToolShell-Zero-Day-Angriff, entstehen Kosten, Unternehmen und Mehraufwendungen für IT-Administratoren. Das betrifft z.B. die Zeiten und Kosten für Forensik, Krisenmanagement und die Wiederherstellung der Systeme. Wenn der SharePoint der Firma ausfällt oder Systeme verschlüsselt werden, kommt es zudem zu erheblichen Betriebsausfällen.
FAQ zum ToolShell bzw. Microsoft SharePoint Angriff
Auf dem Laufenden bleiben
Mit einer Anti-Spam-Garantie und dem kostenlosen Informationsservice informieren wir Sie, gemäß Ihrer Themenauswahl kompakt über weitere Projekt- und Praxisbeispiele. Wählen Sie hierzu einfach Ihre Interessen und Themen aus: https://www.it-wegweiser.de/infoservice/
