Zwei Administratoren, ein Patch, sehr verschiedener Juli

Stellen Sie sich zwei Firmen mit demselben SharePoint-Server im eigenen Haus vor. Die eine spielte Microsofts Sicherheitsupdate vom Mai 2026 in der Woche seiner Veröffentlichung ein. Die andere legte es als Routine ab und machte weiter, beruhigt durch Microsofts eigenen Hinweis, eine Ausnutzung sei weniger wahrscheinlich. Am 1. Juli setzte die US-Behörde CISA genau diese Lücke, CVE-2026-45659, auf ihren Katalog bekannter ausgenutzter Schwachstellen und verwies auf Belege aktiver Angriffe in freier Wildbahn. Der erste Administrator war bereits sicher. Der zweite hat nun ein dringendes Problem mit öffentlicher Frist.

Die CISA gab US-Bundesbehörden bis zum 4. Juli Zeit für den Patch. Dieses Datum ist nicht Ihre Pflicht, doch der Eintrag ist Ihre Warnung: Eine im Mai heruntergestufte Schwachstelle wird im Juli gegen reale Ziele eingesetzt.

Die Lücke in klaren Worten

CVE-2026-45659 ist eine Lücke zur Remotecodeausführung, verursacht durch unsichere Deserialisierung nicht vertrauenswürdiger Daten, mit einem Schweregrad von 8.8 von 10. In der Praxis heißt das: Ein Angreifer kann den Server Code seiner Wahl ausführen lassen. Betroffen sind die on-prem Produkte, also SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Enterprise Server 2016, nicht das cloudbasierte SharePoint in Microsoft 365.

Das Detail, das die Sache verschärft, ist die niedrige Einstiegshürde. Die Ausnutzung erfordert keine Administratorrechte; ein einziges Konto mit gewöhnlichen Rechten als Websitemitglied genügt. Die meisten Organisationen geben diese Zugriffsstufe an Dienstleister, Aushilfen und Dutzende alltäglicher Nutzer. Eine einzige dieser Anmeldedaten, abgephisht oder wiederverwendet, ist der ganze Schlüssel.

Die Kluft zwischen unwahrscheinlich und ausgenutzt

Als Microsoft den Fix im Mai auslieferte, kennzeichnete es die Lücke als weniger wahrscheinlich ausnutzbar. Eine vertretbare Prognose, die sich binnen Wochen als falsch erwies. Genau diese Kluft ist der Grund, warum Herstellerbewertungen Ihre Patch-Reihenfolge bestimmen sollten, nicht Ihre Patch-Entscheidung. Eine Bewertung sagt das Verhalten von Angreifern voraus; ein CISA-Eintrag zu ausgenutzten Schwachstellen hält es fest. Wenn beide sich widersprechen, gewinnt der Beleg, und das ist soeben geschehen.

Das Muster ist nicht neu. Kollaborationsserver im eigenen Haus, dem Internet ausgesetzt und reich an internen Daten, gehören zu der am zuverlässigsten angegriffenen Software in Unternehmen. Ein heruntergestufter Schweregrad ist eine Vorhersage, und Vorhersagen sind genau das, wofür Angreifer bezahlt werden, sie zu brechen.

Warum NIS2 den Einsatz erhöht und was jetzt zu tun ist

Für europäische Betreiber ist die Folge sowohl regulatorisch als auch technisch. Unter der NIS2-Richtlinie müssen in den Anwendungsbereich fallende Organisationen bekannte Schwachstellen handhaben und können bei Versäumnis mit Prüfungen und Sanktionen rechnen. In Deutschland setzen das BSI und die deutsche Umsetzung, das NIS2UmsuCG, diesen Rahmen um. Eine Lücke auf einer öffentlichen Ausnutzungsliste, mit einem seit Mai verfügbaren Patch, ist nahezu der deutlichste denkbare Beleg dafür, dass ein Fix vorlag und nicht eingespielt wurde. Nach einem Vorfall ist das das erste Dokument, das ein Ermittler hochhält.

Die Maßnahme ist eng umrissen und sofort. Prüfen Sie, ob Sie eine der drei betroffenen on-prem SharePoint-Versionen betreiben. Falls ja, spielen Sie das Update vom Mai 2026 jetzt ein und suchen Sie nach Anzeichen einer Kompromittierung, statt anzunehmen, das Update allein schließe die Tür. Behandeln Sie dann den CISA-Katalog, nicht die Herstellerkennzeichnung, als Ihren Auslöser für die nächste solche Lücke, denn es gibt immer eine nächste.