Cloud oder eigener Server — jetzt macht es den Unterschied

SharePoint ist in vielen Unternehmen die zentrale Ablage: Dokumente, Teamordner, interne Prozesse, oft über Jahre gewachsen. Für die meisten Nutzerinnen und Nutzer sieht SharePoint dabei überall gleich aus — ob es im Hintergrund als Teil von Microsoft 365 in der Cloud läuft oder als eigener Server im Unternehmensnetz betrieben wird, macht auf den ersten Blick keinen Unterschied. Genau diese Unterscheidung ist aktuell aber entscheidend.

Eine seit Ende Mai 2026 gepatchte Schwachstelle in selbst gehosteten SharePoint-Servern wird seit Kurzem aktiv ausgenutzt und ist seit dem 1. Juli 2026 im Katalog aktiv ausgenutzter Schwachstellen der US-Behörde CISA gelistet. Betroffen sind ausschließlich On-Premises-Installationen — SharePoint Online als Teil von Microsoft 365 ist von dieser Lücke nicht betroffen. Dieser Beitrag erklärt, worum es geht, warum der Fall auch als Lehrstück taugt, und was Sie jetzt tun sollten.

Auf einen Blick

  • Die Lücke: CVE-2026-45659 — so die standardisierte Kennung der Schwachstelle — mit einem Schweregrad von 8,8 von 10, eingestuft als hoch.
  • Die Ursache: ein Fehler bei der Deserialisierung nicht vertrauenswürdiger Daten, der einem Angreifer die Ausführung eigenen Programmcodes auf dem Server ermöglicht — eine sogenannte Remote-Code-Ausführung.
  • Der Status: Seit dem 1. Juli 2026 im CISA-Katalog aktiv ausgenutzter Schwachstellen gelistet. Die Lücke wird bereits in laufenden Angriffen verwendet, nicht nur theoretisch beschrieben.
  • Betroffen: SharePoint Server als selbst gehostete Installation — SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Enterprise Server 2016. Nicht betroffen: SharePoint Online / Microsoft 365 in der Cloud.
  • Die Abhilfe: Ein Patch ist bereits seit Ende Mai 2026 verfügbar — die Lücke wurde also über ein reguläres Update geschlossen, lange bevor die aktive Ausnutzung bekannt wurde.
  • Die Hürde: vergleichsweise niedrig. Ein angemeldeter Nutzer mit einfachen „Site Member"-Rechten genügt, um die Lücke auszunutzen.

Warum die Cloud-Frage hier den Ausschlag gibt

SharePoint gibt es in zwei grundsätzlich verschiedenen Betriebsformen, auch wenn sich die Oberfläche für Anwenderinnen und Anwender ähnlich anfühlt. SharePoint Online ist Teil von Microsoft 365 und läuft als Cloud-Dienst auf Microsofts eigener Infrastruktur — Betrieb, Wartung und Patches liegen hier bei Microsoft. SharePoint Server dagegen wird von einem Unternehmen selbst betrieben: auf eigener Hardware oder in eigenen virtuellen Maschinen, mit eigener Verantwortung für Updates, Konfiguration und Absicherung. CVE-2026-45659 betrifft ausschließlich diese zweite Variante. Wer SharePoint Online über Microsoft 365 nutzt, ist von dieser konkreten Lücke nicht betroffen — sie existiert dort schlicht nicht in der ausnutzbaren Form. Diese Trennung ist keine Randnotiz, sondern der wichtigste Punkt, um die eigene Betroffenheit überhaupt einschätzen zu können.

Bemerkenswert an diesem Fall ist der zeitliche Ablauf. Der Patch, der die Lücke schließt, ist bereits seit Ende Mai 2026 verfügbar — ein reguläres Update, kein hastig nachgereichter Notfall-Fix für eine bereits laufende Angriffswelle. Bei der Veröffentlichung hatte Microsoft die Ausnutzbarkeit der Lücke selbst als „weniger wahrscheinlich" eingestuft. Diese Einschätzung hat sich als zu optimistisch erwiesen: Rund sechs Wochen später wird die Lücke aktiv ausgenutzt, und die CISA-Aufnahme in den Katalog aktiv ausgenutzter Schwachstellen bestätigt das offiziell. Die Lehre daraus reicht über diesen einen Fall hinaus: Eine erste Herstellereinschätzung zur Ausnutzbarkeit ist eine Momentaufnahme, keine dauerhafte Entwarnung. Wer ein verfügbares Update allein deshalb zurückstellt, weil eine Ausnutzung zunächst als unwahrscheinlich galt, geht damit ein Risiko ein, das sich im Nachhinein verschieben kann.

Zur Einordnung der Reichweite: Laut Auswertungen des Sicherheitsdienstleisters Shadowserver sind weltweit über 10.000 SharePoint-Server direkt aus dem Internet erreichbar. Das ist eine Zählung offen zugänglicher Systeme — keine Aussage darüber, wie viele davon tatsächlich angegriffen oder kompromittiert wurden. Die Zahl zeigt vor allem, wie groß die Angriffsfläche insgesamt ist, wenn ein selbst gehosteter Server ungeschützt aus dem Internet erreichbar bleibt.

Was Sie jetzt tun sollten

  • Klären, welche SharePoint-Variante Sie einsetzen. Der erste Schritt ist die einfachste Frage: Nutzen Sie SharePoint als Teil von Microsoft 365 (Cloud), oder betreiben Sie SharePoint Server selbst auf eigener Infrastruktur? Nur im zweiten Fall besteht für diese Lücke Handlungsbedarf.
  • Bei einem eigenen Server: den Mai-Patch prüfen und einspielen. Stellen Sie fest, ob das seit Ende Mai 2026 verfügbare Update bereits eingespielt ist. Falls nicht, sollte das jetzt Priorität haben — nicht erst im nächsten regulären Wartungsfenster.
  • Erreichbarkeit aus dem Internet prüfen. Klären Sie, ob Ihr SharePoint-Server direkt aus dem Internet erreichbar ist, und schränken Sie den Zugriff ein, wo das nicht zwingend notwendig ist — etwa über eine gesicherte Verbindung statt einer offenen Adresse.
  • Im Zweifel den Dienstleister fragen. Wenn Sie nicht sicher sind, ob und wie Ihr SharePoint betrieben wird — selbst gehostet oder als Teil von Microsoft 365, gepatcht oder nicht —, ist genau das die richtige Frage an Ihre IT-Abteilung oder Ihren IT-Dienstleister.

Fazit

Selbst gehostete Server verlangen selbst getragene Verantwortung — auch dann, wenn eine Anwendung wie SharePoint auf den ersten Blick genauso aussieht wie ihr Cloud-Pendant. CVE-2026-45659 zeigt zudem, dass eine erste Herstellereinschätzung zur Ausnutzbarkeit kein Freibrief ist, ein verfügbares Update aufzuschieben.

Wenn Sie nicht sicher sind, ob Ihr SharePoint betroffen ist oder wie es um Ihren Patch-Stand bestellt ist, sehen wir uns das gemeinsam an: Wir klären Ihre Systemlandschaft, sorgen für ein laufendes Patch-Management und richten ein Monitoring ein, damit verfügbare Updates nicht ungenutzt liegen bleiben.