2025 entwickelt sich zu einem kritischen Jahr für Microsoft 365 und Cloud-Sicherheit. Während Millionen von Unternehmen weltweit auf Microsofts Cloud-Dienste vertrauen, häufen sich die Sicherheitsvorfälle dramatisch. Von Zero-Day-Exploits in SharePoint bis zu staatlich unterstützten Angriffen – die vermeintlich sichere Cloud-Infrastruktur zeigt bedenkliche Schwächen.
Ich zeige dir, warum deine Unternehmensdaten in der Microsoft-Cloud gefährdeter sind als gedacht und welche konkreten Schritte jetzt notwendig sind.
SharePoint Zero-Day: Globaler Angriff auf kritische Infrastrukturen
Am 19. Juli 2025 wurde eine Sicherheitskrise öffentlich, die das Vertrauen in Microsoft-Systeme erschütterte. Hacker nutzten eine Zero-Day-Schwachstelle in Microsoft SharePoint aus, um Unternehmen, US-Bundes- und Landesbehörden sowie Universitäten weltweit zu kompromittieren. Die Schwachstelle CVE-2025-53770 ermöglichte unauthentifizierten Zugriff auf SharePoint-Systeme und beliebige Code-Ausführung über das Netzwerk.
Besonders beunruhigend ist die Angreiferschaft: Microsoft beobachtete zwei benannte chinesische staatlich unterstützte Akteure, Linen Typhoon und Violet Typhoon, die diese Schwachstellen gegen internetverbundene SharePoint-Server ausnutzten. Zusätzlich setzte ein weiterer China-basierter Akteur namens Storm-2603 die Exploits ein, um Ransomware zu verbreiten. Die Angriffe begannen bereits am 7. Juli 2025 – zwölf Tage bevor Microsoft emergency patches veröffentlichte.
Die Auswirkungen waren verheerend: SharePoint-Server fungieren oft als zentrale Dokumenten-Hubs und sind mit anderen Microsoft-Diensten wie Outlook und Teams verknüpft. Ein erfolgreicher Angriff kann daher schnell zu umfassenden Datendiebstählen führen. Microsoft musste eine Notfall-Aktualisierung herausgeben, doch einige Plattform-Versionen blieben weiterhin verwundbar, was Organisationen dazu zwang, kritische Systeme zu trennen.
Botnet-Angriff: 130.000 Geräte attackieren Microsoft 365
Parallel dazu enthüllten Sicherheitsforscher eine weitreichende Bedrohung für Microsoft 365-Konten. Ein Botnet aus mehr als 130.000 kompromittierten Geräten führt großangelegte Passwort-Spray-Angriffe gegen Microsoft 365-Konten durch. Diese Angriffe nutzen eine grundlegende Authentifizierungsfunktion aus, die von Sicherheitsteams typischerweise nicht überwacht wird.
Die Angriffstechnik ist besonders raffiniert: Die Bedrohungsakteure nutzen „non-interactive sign-ins“ aus – eine Authentifizierungsfunktion, die automatisch im Namen des Nutzers durchgeführt wird, ohne dass dieser Eingaben machen muss. Diese Methode unterscheidet sich von traditionellen Passwort-Spray-Angriffen, die oft zu Kontosperrungen führen und Sicherheitsteams alarmieren. Durch die Ausnutzung non-interaktiver Anmeldungen erhalten Angreifer mehr Zeit, um in Systeme einzudringen, bevor Alarme ausgelöst werden.
Die Forscher vermuten chinesische Verbindungen hinter diesen Angriffen, obwohl dies noch nicht bestätigt wurde. Organisationen, die sich ausschließlich auf die Überwachung interaktiver Anmeldungen verlassen, sind für diese Angriffe praktisch blind.
Staatliche Infiltration: Midnight Blizzard kompromittiert Microsoft
Bereits im Januar 2024 erschütterte ein weiterer schwerwiegender Vorfall das Vertrauen in Microsofts Sicherheit. Die russische staatlich unterstützte Hackergruppe Midnight Blizzard, auch bekannt als Cozy Bear, kompromittierte Microsofts Unternehmensnetzwerk durch Ausnutzung eines schwachen Passworts auf einem Legacy-Test-Tenant-Konto.
Die Angreifer verwendeten „Password Spraying“ – eine Technik zum systematischen Erraten von Passwörtern – und verschafften sich Zugang zu E-Mails und Dokumenten von Senior-Führungskräften und Mitarbeitern in Sicherheits- und Rechtsteams. Der Angriff dauerte potenziell bis zu zwei Monate, bevor er am 12. Januar entdeckt wurde. Diese Infiltration war besonders bedeutsam, da sie das Unternehmen selbst betraf, das Sicherheitslösungen für Millionen von Organisationen weltweit bereitstellt.
Cloud-Sicherheit: Alarmierende Statistiken
Die aktuellen Zahlen zur Cloud-Sicherheit sind ernüchternd. Eine Studie von 2024 ergab, dass 61% der Organisationen im vergangenen Jahr einen Cloud-Sicherheitsvorfall erlebten, wobei 21% dazu führten, dass Angreifer unbefugten Zugang zu sensiblen Daten erhielten. Noch besorgniserregender ist, dass 85% der Unternehmen, die Microsoft 365 nutzen, im Jahr 2021 Sicherheitsvorfälle erlebten.
Menschliche Fehler dominieren als Ursache: 88% der Cloud-Breaches sind auf menschliche Fehler zurückzuführen, was die Notwendigkeit verbesserter Schulungen und Bewusstseinsbildung unterstreicht. Phishing-Angriffe machen 25% der Datenverletzungen aus und stellen damit eine Hauptbedrohung in der Cloud-Umgebung dar. Kompromittierte privilegierte Konten sind für 33% der identitätsbezogenen Verletzungen verantwortlich.
Die finanziellen Auswirkungen sind beträchtlich: Der globale Durchschnittspreis einer Datenverletzung lag 2023 bei 4,45 Millionen US-Dollar – ein Anstieg von 15% über drei Jahre. 86% der IT-Führungskräfte berichteten 2023, dass Cloud-Account-Hijacking-Vorfälle zu finanziellen Verlusten von über 500.000 US-Dollar für ihre Organisationen geführt hatten.
Microsoft Copilot: KI als neue Angriffsfläche
Die Integration von KI in Microsoft 365 schafft neue Sicherheitsrisiken. Laut aktueller Forschung äußern 67% der Unternehmenssicherheitsteams Bedenken über KI-Tools, die möglicherweise sensible Informationen preisgeben könnten. Über 15% aller geschäftskritischen Dateien sind durch Oversharing, fehlerhafte Zugriffsberechtigungen und ungeeignete Klassifizierung gefährdet.
Ein konkretes Beispiel für diese Bedenken: Der US-Kongress verbot Mitarbeitern die Nutzung von Microsoft Copilot aufgrund von Sicherheitsbedenken bezüglich Datenlecks. Die Hauptsorge war, dass Copilot sensible Kongressdaten an nicht genehmigte Cloud-Dienste weiterleiten könnte. Forscher bei EmbraceTheRed entdeckten eine Schwachstelle in Microsoft 365 Copilot, die es einem Angreifer ermöglichte, persönliche Daten durch eine komplexe Exploit-Kette zu exfiltrieren.
Azure-Schwachstellen: Das Fundament wackelt
Auch Microsofts Azure-Plattform zeigt beunruhigende Trends. Azure-Schwachstellen haben sich seit 2020 fast verdoppelt. Während es ermutigend ist, dass kritische Probleme in anderen Bereichen zurückgehen, entsteht durch Künstliche Intelligenz ein neues Risiko-Frontgebiet. 2024 offenbarten CVE-2024-38206 und CVE-2024-38109 Schwachstellen in Microsoft Copilot Studio und Azure Health Bot, die Informationspreisgabe und Privilegieneskalation beinhalteten.
Das Problem mit Legacy-Code: Trotz Windows 11 als Microsofts sicherster Betriebssystem-Version tauchen weiterhin Schwachstellen auf, die in 20 Jahre altem Legacy-Code verwurzelt sind. Diese untergraben das Versprechen moderner Sicherheit und zeigen, wie schwierig es ist, in komplexen, gewachsenen Systemen vollständige Sicherheit zu gewährleisten.
Empfohlene Gegenmaßnahmen
Angesichts dieser Bedrohungslage sind umfassende Schutzmaßnahmen erforderlich. Zunächst solltest du alle SharePoint-Server sofort auf die neuesten verfügbaren Updates aktualisieren. Falls Updates nicht möglich sind, trenne die SharePoint-Server vom Internet, bis Sicherheitsupdates verfügbar sind. Aktiviere die Antimalware Scan Interface (AMSI) Integration in SharePoint und stelle Microsoft Defender Antivirus auf allen SharePoint-Servern bereit.
Verstärke die Überwachung non-interaktiver Anmeldungen: Organisationen sollten ihre Software-Lieferkette auf Schwachstellen oder verdächtige Aktivitäten überwachen und Threat Intelligence zu fortgeschrittenen Bedrohungen verfolgen. Implementiere robuste Multi-Faktor-Authentifizierung für alle Konten und erwäge die Einführung von Privileged Access Management (PAM) für kritische Systeme.
Zero Trust Architecture implementieren: Organisationen, die in Zero-Trust-Cloud-Sicherheitsmodelle investieren, sparen über 1 Million US-Dollar pro Vorfall. Zero Trust wendet Sicherheitsrichtlinien basierend auf Kontext an und blockiert unangemessenen Zugriff sowie Lateral Movement durch Umgebungen. Die beste Methode zum Aufbau einer Zero Trust Architecture ist die Bewertung der Geschäftsanforderungen der Organisation.
KI-Sicherheit beachten: Bei der Integration von Microsoft Copilot solltest du sorgfältige Zugriffskontrollenverwaltung implementieren und sicherstellen, dass nur autorisierte Benutzer dessen Fähigkeiten nutzen, insbesondere bei sensiblen Daten. Konfiguriere strenge Benutzerberechtigung und Datenzugriffsrichtlinien und verwende Data Loss Prevention (DLP) Lösungen, um Informationsfreigabe automatisch zu verwalten.
Alternative Strategien: Vendor Diversifikation
Die jüngsten Vorfälle haben auch politische Reaktionen ausgelöst. Senator Eric Schmitt hat eine gründliche Untersuchung der Abhängigkeit der Bundesregierung von einem einzigen Anbieter als potenzielle Schwachstelle gefordert. Das Außenministerium hat bereits Maßnahmen ergriffen, indem es zu „hybriden“ Umgebungen mit mehreren Anbieterunternehmen wechselt und die Einführung von Multi-Faktor-Authentifizierung verbessert.
Für Unternehmen kann eine Multi-Vendor-Strategie das Risiko reduzieren: Anstatt sich vollständig auf Microsoft 365 zu verlassen, solltest du eine Kombination aus verschiedenen Cloud-Anbietern und Sicherheitslösungen in Betracht ziehen. Dies kann die Auswirkungen eines einzelnen Anbieter-Breaches begrenzen und die Gesamtsicherheit der IT-Infrastruktur erhöhen.
Fazit: Wachsamkeit in der Cloud-Ära
Die Ereignisse von 2025 verdeutlichen eine wichtige Realität: Auch die größten und scheinbar sichersten Cloud-Anbieter sind nicht immun gegen sophisticated Angriffe. Microsoft, als einer der dominierenden Cloud-Provider, wird weiterhin ein primäres Ziel für staatlich unterstützte Akteure und Cyberkriminelle bleiben.
Drei zentrale Erkenntnisse sind entscheidend: Erstens erfordern Zero-Day-Exploits wie die SharePoint-Schwachstelle sofortige Reaktionen und proaktive Verteidigungsstrategien. Zweitens machen die neuen Angriffstechniken, wie die Ausnutzung non-interaktiver Anmeldungen, eine Erweiterung der Überwachungsstrategien notwendig. Drittens schaffen KI-Integrationen wie Copilot neue Angriffsflächen, die zusätzliche Sicherheitsmaßnahmen erfordern.
Die Zukunft der Cloud-Sicherheit hängt von mehreren Faktoren ab: Kontinuierliche Überwachung, schnelle Patch-Zyklen, umfassende Mitarbeiterschulungen und die Implementierung von Zero Trust Principles sind unerlässlich. Organisationen müssen ihre Abhängigkeit von einzelnen Anbietern überdenken und diversifizierte Sicherheitsstrategien entwickeln.
Die Cloud bietet weiterhin immense Vorteile für Flexibilität und Skalierbarkeit, aber die jüngsten Ereignisse zeigen, dass ein blindes Vertrauen in Cloud-Anbieter gefährlich ist. Wachsamkeit, proaktive Sicherheitsmaßnahmen und eine gesunde Skepsis gegenüber vendor-provided Security sind der Schlüssel zum Schutz kritischer Unternehmensdaten in der sich schnell entwickelnden Bedrohungslandschaft.
Quellen
- Virtru – „A Timeline of Microsoft Data Breaches and Vulnerabilities: 2025 Update“ (Juli 2025)
https://www.virtru.com/blog/industry-updates/microsoft-data-breaches-2025 - Microsoft Security Blog – „Disrupting active exploitation of on-premises SharePoint vulnerabilities“ (Juli 2025)
https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/ - Dark Reading – „Microsoft 365 Accounts Get Sprayed by Mega-Botnet“ (Februar 2025)
https://www.darkreading.com/cyberattacks-data-breaches/microsoft-365-accounts-sprayed-mega-botnet - Check Point Software – „Top Cloud Security Trends in 2025“ (Februar 2025)
https://www.checkpoint.com/cyber-hub/cloud-security/what-is-code-security/top-cloud-security-trends-in-2025/ - The Hacker News – „Critical Unpatched SharePoint Zero-Day Actively Exploited, Breaches 75+ Company Servers“ (Juli 2025)
https://thehackernews.com/2025/07/critical-microsoft-sharepoint-flaw.html
