Chinesische Hackergruppen infiltrieren deutsche Unternehmen: Microsoft-SharePoint wird zur digitalen Achillesferse

Deutschland steht im Fadenkreuz einer massiven Cyberattacke. Was am 17. Juli 2025 als vermeintlich isolierter Angriff auf einen deutschen Microsoft-SharePoint-Server begann, entpuppt sich nun als Startschuss einer globalen Infiltrationskampagne. Die Sicherheitsexperten von ESET schlagen Alarm: Staatlich unterstützte Hackergruppen aus China nutzen bislang unbekannte Sicherheitslücken, um sich Zugang zu sensiblen Unternehmensdaten zu verschaffen.

Die digitale Zeitbombe tickt in deutschen Serverräumen

Während die Bundesregierung noch über Digitalisierungsstrategien debattiert, haben chinesische Angreifer längst Fakten geschaffen. Die sogenannte ToolShell-Kampagne nutzt ein ganzes Arsenal von Zero-Day-Schwachstellen aus, die Microsoft offenbar über Jahre hinweg übersehen hat. Besonders brisant: Die Angriffskette umgeht mühelos Zwei-Faktor-Authentifizierung und Single Sign-on – jene Sicherheitsmechanismen, die Unternehmen eigentlich schützen sollten.

Die technischen Details lesen sich wie ein Horrorszenario für jeden IT-Verantwortlichen: Über die Lücken CVE-2025-53770 und CVE-2025-53771 verschaffen sich die Angreifer zunächst Zugang zum System. Anschließend installieren sie sogenannte Webshells – digitale Hintertüren mit klingenden Namen wie "spinstall0.aspx" oder aus der "ghostfile"-Reihe. Diese unscheinbaren Skripte verwandeln den kompromittierten Server in eine Kommandozentrale für weitere Angriffe.

Von SharePoint ins gesamte Firmennetzwerk

Was die Situation besonders gefährlich macht: Die Angreifer begnügen sich nicht mit dem initialen Zugriff. Über die Integration mit Microsoft 365-Diensten wie Outlook, OneDrive oder Teams breiten sie sich lateral im gesamten Unternehmensnetzwerk aus. Ein einziger kompromittierter SharePoint-Server wird so zum Einfallstor für einen umfassenden Datendiebstahl.

"Die Cloud-Variante SharePoint Online ist laut Microsoft nicht betroffen"

Diese Aussage des Software-Giganten wirkt wie blanker Hohn für all jene Unternehmen, die aus Datenschutzgründen bewusst auf lokale Installationen setzen. Ausgerechnet sie werden nun zum bevorzugten Ziel der Angreifer. Betroffen sind die SharePoint-Versionen 2016, 2019 und die Subscription Edition – also praktisch alle noch im Einsatz befindlichen On-Premise-Varianten.

Die unbequeme Wahrheit über Deutschlands digitale Verwundbarkeit

Dass ausgerechnet Deutschland als erstes Land ins Visier der Angreifer geriet, ist kein Zufall. Die hiesige Wirtschaft gilt als besonders lukratives Ziel für Industriespionage. Während die Politik noch über Datenschutz und digitale Souveränität philosophiert, haben ausländische Akteure längst Zugriff auf sensible Unternehmensdaten erlangt.

Die empfohlenen Gegenmaßnahmen lesen sich wie eine Kapitulationserklärung: Unternehmen sollen ihre Systeme aktualisieren, Antivirenlösungen einsetzen und Mitarbeiter schulen. Doch was nützen all diese Maßnahmen, wenn die Angreifer über Zero-Day-Lücken verfügen, gegen die es per Definition noch keine Patches gibt?

Handlungsempfehlungen für betroffene Unternehmen

Die Sicherheitsexperten empfehlen eine Reihe von Sofortmaßnahmen: Neben der umgehenden Installation aller verfügbaren Sicherheitsupdates sollten Unternehmen ihre ASP.NET-Maschinenschlüssel regelmäßig rotieren. EDR-Lösungen (Endpoint Detection and Response) können helfen, verdächtige Prozesse frühzeitig zu erkennen. Besonders wichtig sei zudem eine aktive AMSI-Integration (Antimalware Scan Interface) in der eingesetzten Antivirenlösung.

Doch seien wir ehrlich: Diese technischen Maßnahmen gleichen dem Versuch, ein sinkendes Schiff mit Eimern leerzuschöpfen. Solange Microsoft weiterhin fehlerhafte Software ausliefert und die deutsche Politik die digitale Bedrohungslage unterschätzt, werden ausländische Angreifer leichtes Spiel haben.

Die aktuelle Angriffswelle offenbart schonungslos die Achillesferse der deutschen Digitalisierung: Wir sind abhängig von ausländischer Software, deren Sicherheitslücken uns schutzlos ausliefern. Während China seine Hacker staatlich unterstützt, diskutiert man hierzulande noch über Gendersternchen in IT-Stellenausschreibungen. Es wird höchste Zeit, dass Deutschland seine digitale Souveränität ernst nimmt – bevor es zu spät ist.