Am 19. Juli 2025 veröffentlichte Microsoft eine dringende Sicherheitswarnung zu einer kritischen Schwachstelle in On-Premise-Versionen von Microsoft SharePoint. Die als CVE-2025-53770 („ToolShell“) identifizierte Zero-Day-Lücke wurde mit der Kritikalität 9.8 von 10 eingestuft und bereits aktiv von Angreifern ausgenutzt – mit weitreichenden Folgen für Unternehmen und Behörden, die SharePoint lokal betreiben. Über unseren Kooperationspartner für die Financial Lines Sparten Finlex informierten wir daraufhin unmittelbar über die Hintergründe und IT-Erfordernisse:
Die Sicherheitslücke ermöglichte Cyber-Kriminellen nicht nur das unautorisierte Eindringen in Netzwerke, sondern auch den Diebstahl kryptografischer Schlüssel, mit denen sich dauerhafte Zugänge einrichten lassen. Das BSI stufte die Gefährdungslage als „kritisch“ (BSI-Stufe 3) ein und riet zum sofortigen Handeln. Der Vorfall zeigt einmal mehr, wie verwundbar selbst etablierte Kernsysteme großer IT-Infrastrukturen sind.
Wenn Ihr Unternehmen von solch einem Vorfall betroffen ist, stellt sich die Frage: Welche Maßnahmen sind jetzt erforderlich – und in welchem Umfang greift die Cyber-Versicherung?
Was ist passiert?
Die Schwachstelle betraf in diesem Fall ausschließlich On-Premise-Installationen von Microsoft SharePoint Server 2016, 2019 und Subscription Edition. SharePoint Online (Microsoft 365) war nicht betroffen.
Angreifer nutzten ein Exploit, um über eine manipulierte ToolShell-Funktion administrative Rechte auf dem Server zu erlangen. In der Folge war es möglich, sogenannte „Machine Keys“ zu extrahieren. Hierbei handelt es sich um kryptografische Schlüssel, die für Authentifizierungsvorgänge genutzt werden. Mit diesen Schlüsseln lassen sich dauerhaft gültige Sitzungstoken erzeugen, selbst dann, wenn die ursprüngliche Lücke bereits geschlossen wurde.
Das volle Ausmaß des Vorfalls und der dadurch entstandenen Kompromittierungen sind schwer abzuschätzen. Positiv zu bewerten ist, dass die hohe Aufmerksamkeit durch die Warnungen von Microsoft, der US-Sicherheitsbehörde CISA, sowie dem BSI für eine hohe Sensibilisierung bei Administratoren und Sicherheitsexperten gesorgt und Microsoft bereits Updates für die SharePoint Server Subscription Edition und den SharePoint Server 2019 bereitgestellt hat.
Vor allem der noch ausstehende Patch für den SharePoint Server 2016 dürfte aber seinerzeit viele Unternehmen in Deutschland betroffen haben, so dass v.a. mit Workarounds (Abschaltung von Diensten und/oder Ausweichen auf Sharepoint Online) gehandelt werden konnte.
Welche IT-Sofortmaßnahmen waren unmittelbar nach dem Vorfall zu ergreifen?
Das BSI riet dazu, dass IT-Sicherheitsverantwortliche schnellstmöglich die Installation der von Microsoft veröffentlichten Notfall-Updates prüfen sollen. Gleichzeitig empfahl der Hersteller, das Antimalware Scan Interface (AMSI) und Microsoft Defender zu aktivieren bzw. dessen Konfiguration auf Korrektheit zu überprüfen. Ist kurzfristig keine dieser Maßnahmen möglich, sollte der SharePoint Server vom Internet getrennt werden.
Weiterhin sollte die Installation von Microsoft Defender for Endpoint oder vergleichbaren Lösungen in Erwägung gezogen werden. Auch der Austausch von ASP.NET Keys auf SharePoint Servern wird angeraten. Das BSI empfiehlt den Anweisungen von Microsoft [MSRC25a] zu folgen und die SharePoint ASP.NET Machine Keys unbedingt zu tauschen sowie anschließend den IIS auf allen SharePoint Servern neu zu starten. Alleiniges Patchen ist aufgrund der vorangegangenen Ausnutzung nicht ausreichend.
Betreiber von Microsoft SharePoint Servern sollten die mittlerweile verfügbaren Sicherheitsupdates umgehend einspielen. Sollten Updates nicht verfügbar sein oder nicht eingespielt werden können, so sollte der Internet-Zugriff auf den Server blockiert, mindestens jedoch Antimalware Scan Interface (AMSI) und Defender Antivirus aktiviert werden, um nicht authentifizierte Angriffe zu verhindern. Aufgrund der vorangegangenen Ausnutzungen ist es notwendig, eine stattgefundene Kompromittierung zu prüfen und Schlüsselmaterial zu tauschen.
Halten Sie sich in einem solchen Fall unbedingt informiert, ob weitere Maßnahmen notwendig sind. Die vollständigen technischen Empfehlungen wurden in der BSI-Cybersicherheitswarnung bereitgestellt.
Besteht Versicherungsschutz über eine Cyber-Police?
Wenn Ihr Unternehmen durch einen Cyber-Vorfall wie z.B. die „ToolShell“-Lücke betroffen ist, stellt sich die Frage, ob die daraus entstandenen Schäden von Ihrer Cyber-Versicherung gedeckt sind.
Die Frage lässt sich nicht pauschal mit einem einfachen Ja oder Nein beantworten. Vielmehr kommt es – wie so oft – auf die Umstände des Einzelfalls und insbesondere auf die konkrete Cyber-Police an.
Eine Cyber-Versicherung bietet grundsätzlich Versicherungsschutz für Schäden, die versicherten Unternehmen infolge eines sogenannten deckungsauslösenden Ereignisses entstehen. Was der Versicherungsvertrag unter einem deckungsauslösenden Ereignis versteht, unterscheidet sich von Deckungskonzept zu Deckungskonzept.
Netzwerksicherheitsverletzung als deckungsauslösendes Ereignis
In den allermeisten Bedingungswerken stellen sogenannte „Netzwerksicherheitsverletzungen“ ein deckungsauslösendes Ereignis dar. Dies umfasst jeden unzulässigen Zugriff auf das IT-System eines versicherten Unternehmens sowie jede unzulässige Nutzung des IT-Systems eines versicherten Unternehmens. Dazu zählen insbesondere Hacker-Angriffe, Backdoors, das Ausnutzen von Schwachstellen sowie die unberechtigte Verwendung oder Offenlegung von Zugangsdaten – exakt die Elemente, die im Rahmen des ToolShell-Angriffs zum Tragen kamen.
Nach den bisher verfügbaren Informationen ist somit davon auszugehen, dass bei Angriffen über die ToolShell-Schwachstelle ein deckungsauslösendes Ereignis vorliegt und durch den Vorfall entstandene Schäden grundsätzlich von der Cyber-Versicherung gedeckt sind.
Was ist versichert?
Liegt ein deckungsauslösendes Ereignis vor, bietet der Cyber-Versicherungsvertrag für versicherte Unternehmen – neben Assistance-Leistungen, die im Ernstfall sofortige Hilfe leisten (z.B. durch eine Notfallhotline, IT-Forensik, und rechtliche Beratung oder Unterstützung bei der Erfüllung gesetzlicher Meldepflichten) – insbesondere einen Kostenschutz (z.B. Schadenermittlungskosten, Wiederherstellungskosten, Rechtsanwaltskosten, Lösegelder), einen Verfahrensschutz (z.B. Abwehrkosten in OWiG- oder Bußgeld-Verfahren) sowie Schutz vor Schadenersatzansprüchen (Abwehr und/oder Freistellung). Darüber hinaus bieten die Policen Versicherungsschutz für Verluste aufgrund von einer Betriebsunterbrechung.
Welche Schäden können entstehen?
Ein erfolgreicher Angriff kann gleich mehrere versicherte Positionen auslösen. Im Rahmen des „ToolShell“-Vorfalls sind vor allem Kosten oder Mehraufwendungen denkbar, die betroffenen Unternehmen aufgrund von Aufwendungen für Forensik und Krisenmanagement sowie zur Wiederherstellung der Systeme angefallen sind. Fällt der SharePoint des gesamten Unternehmens aus oder findet im schlimmsten Fall eine Verschlüsselung der Systeme statt, sind zudem erhebliche Betriebsausfälle denkbar.
Sowohl Kosten als auch ein Verlust aufgrund einer Betriebsunterbrechung sind im Rahmen der Cyber-Versicherung grundsätzlich versichert, wenn die Schäden kausal auf einem deckungsauslösenden Ereignis beruhen.
Was können betroffene Unternehmen tun?
Wenn Sie vermuten, Opfer eines Angriffs - wie es beispielhaft bei der ToolShell-Lücke der Fall war - geworden zu sein, sollten Sie sofort handeln:
- Interne Notfallpläne aktivieren
- Informieren Sie IT-Abteilung, Datenschutzbeauftragte und Geschäftsleitung.
- Cyber-Versicherer und Makler informieren
- Rufen Sie die in Ihrer Police genannte 24/7-Notfallhotline an – dort wird das weitere Vorgehen gemeinsam mit dem Makler koordiniert.
- Krisenmanager und Versicherer einbinden
- Der Versicherer und der Krisenmanager können spezialisierte IT-Dienstleister, Forensiker, Anwaltskanzleien oder PR-Berater hinzuziehen.
- Schäden dokumentieren
- Halten Sie technische Maßnahmen, Ausfallzeiten, Kommunikationsschritte und entstandene Kosten nachvollziehbar fest.
Fazit
Wenn Sie von Vorgängen wie z.B. dem ToolShell-Vorfall betroffen sind, ist entschlossenes und strukturiertes Handeln gefragt. Die technische Kompromittierung ist ernst – die versicherungsrechtliche Einordnung jedoch klar: Bei vielen Policen liegt ein deckungsauslösendes Ereignis vor. Werden die notwendigen technischen und organisatorischen Schritte eingehalten, ist Versicherungsschutz für die meisten Schäden gegeben.
Im Zweifel gilt: Rufen Sie die Notfallhotline Ihres Versicherers an – frühzeitiges Handeln verhindert oft größere Schäden und sichert zudem die Deckung.
