Die letzte Verteidigungslinie gerät selbst ins Visier

Gegen Ransomware gibt es viele Schutzschichten — aktuelle Software, gut eingestellte Firewalls, geschulte Mitarbeiter. Versagen sie alle und werden die Daten verschlüsselt, bleibt eine letzte Rückfallebene: das Backup. Wer eine saubere, unangetastete Sicherung zurückspielen kann, ist nicht auf Lösegeldforderungen angewiesen. Das Backup ist die Linie, hinter der nichts mehr kommt.

Genau diese Linie steht bei der nun bekannt gewordenen Schwachstelle im Mittelpunkt. Sie steckt nicht in einem Arbeitsplatzrechner und nicht in einer beliebigen Anwendung, sondern in Veeam Backup & Replication — einer der verbreitetsten Lösungen, mit der kleine und mittlere Betriebe ihre Server und virtuellen Maschinen sichern. Und sie erlaubt einem Angreifer, ausgerechnet den Server zu übernehmen, auf dem diese Sicherungen verwaltet werden.

Dieser Beitrag erklärt, worum es geht, warum domäneneingebundene Backup-Server hier besonders heikel sind — und welche Schritte jetzt sinnvoll sind.

Auf einen Blick

  • Die Schwachstelle **CVE-2026-44963** steckt in **Veeam Backup & Replication** und erlaubt das Ausführen von Schadcode direkt auf dem **Backup-Server** (Remote Code Execution).
  • Die Einstufung liegt bei **CVSS v4 9.4** und damit im kritischen Bereich.
  • Voraussetzung ist ein **domäneneingebundener Backup-Server** sowie ein **angemeldeter Domänen-Nutzer mit niedrigen Rechten** — ein vorheriges Administrator-Recht ist nicht erforderlich.
  • Betroffen sind **Veeam Backup & Replication 12.3.2.4465 und alle früheren Builds der Version 12**.
  • **Version 13.x ist nicht betroffen** — dort wurde die zugrunde liegende Architektur geändert.
  • Geschlossen wird die Lücke mit dem **Fix-Build 12.3.2.4854**; das zugehörige **Advisory stammt vom 09.06.2026**.
  • Eine **aktive Ausnutzung ist bislang nicht berichtet**. Veeam weist allerdings darauf hin, dass Angriffswerkzeuge erfahrungsgemäß erst nach Veröffentlichung eines Advisorys entstehen.

Was an dieser Lücke besonders wiegt

Backup-Server nehmen im Netzwerk eine Sonderrolle ein. Damit sie ihre Aufgabe erfüllen können, müssen sie weitreichenden Zugriff besitzen: Sie greifen auf produktive Server zu, lesen deren Daten aus und legen Kopien an geschützten Orten ab. Ein Server mit so vielen Verbindungen und Berechtigungen ist ein lohnendes Ziel — wer ihn kontrolliert, sitzt an einem zentralen Knotenpunkt.

Bei CVE-2026-44963 kommt eine zweite Eigenheit hinzu, die die Lücke gefährlich macht. Sie lässt sich ausnutzen, wenn der Backup-Server in die Windows-Domäne eingebunden ist und sich ein Angreifer als ganz gewöhnlicher Domänen-Nutzer anmelden kann — mit niedrigen Rechten, ohne jede Sonderberechtigung. Das ist eine niedrige Hürde: In vielen Netzwerken besitzt nahezu jeder Mitarbeiter ein solches Konto. Gelangt ein Angreifer auch nur an einen einzigen Standard-Zugang, etwa über eine Phishing-Mail, kann er von dort aus den Backup-Server angreifen und auf ihm Schadcode ausführen.

Warum das so schwer wiegt, zeigt der Blick auf die Angreiferseite. Ransomware-Gruppen wissen, dass ein funktionierendes Backup ihr Geschäftsmodell aushebelt. Deshalb gehen sie heute gezielt zuerst gegen die Sicherungen vor: Sie versuchen, Backup-Server zu übernehmen und die dort verwalteten Kopien zu löschen, bevor sie die eigentlichen Daten verschlüsseln. Wer dann zur Sicherung greifen will, findet nichts mehr vor. Dass Veeam-Server bevorzugt ins Visier geraten, ist kein neues Phänomen — die US-Behörde CISA führt mehrere ältere Veeam-Schwachstellen als aktiv ausgenutzt. Eine kritische, frisch veröffentlichte Lücke fügt sich in dieses Muster ein und sollte entsprechend ernst genommen werden.

Ein wichtiger Punkt zur Einordnung: Betroffen ist ausschließlich die Produktreihe der Version 12. Mit Version 13.x hat Veeam die zugrunde liegende Architektur überarbeitet, und diese Lücke greift dort nicht. Wer bereits auf 13.x läuft, ist von diesem konkreten Problem nicht berührt — was die Frage nach der eingesetzten Version zum ersten Prüfschritt macht.

Was Sie jetzt tun sollten

Anders als bei einer Lücke auf fremden Servern liegt die Backup-Umgebung in aller Regel in der eigenen Hand — und damit auch das Handeln. Die folgenden Schritte ordnen das Wichtigste:

  • Eingesetzte Version prüfen. Stellen Sie zuerst fest, welche Version Ihres Backup-Systems läuft. Liegt eine Ausgabe der Reihe 12 vor (12.3.2.4465 oder älter), ist die Umgebung betroffen. Läuft bereits Version 13.x, besteht für diese Lücke kein Handlungsbedarf.
  • Auf einen sicheren Stand aktualisieren. Bei betroffenen Systemen führt der Weg über den Fix-Build 12.3.2.4854 oder über den Wechsel auf Version 13.x. Da es sich um den Server handelt, der im Ernstfall Ihre Rettung ist, sollte dieses Update nicht hinten anstehen, sondern zu den vordringlichen Aufgaben zählen.
  • Den Backup-Server vom produktiven Active Directory entkoppeln. Die Lücke setzt eine Domäneneinbindung voraus. Ein Backup-Server, der nicht Teil der produktiven Windows-Domäne ist, entzieht dieser Angriffsvariante die Grundlage. Genau das empfehlen Sicherheitsfachleute seit Längerem: die Backup-Infrastruktur bewusst von der übrigen Domäne zu trennen.
  • Getrennte Identitäten für die Wartung nutzen. Verwalten Sie den Backup-Server nicht mit denselben Konten, mit denen Sie das übrige Netzwerk betreuen. Eigene, getrennte Wartungs-Zugänge sorgen dafür, dass ein kompromittiertes Alltagskonto nicht zugleich die Sicherungen öffnet.
  • Unveränderliche und ausgelagerte Kopien vorhalten. Halten Sie sich an das Prinzip 3-2-1-1-0: mehrere Kopien, auf unterschiedlichen Medien, eine davon außer Haus, mindestens eine unveränderlich oder offline — und alle regelmäßig auf Wiederherstellbarkeit geprüft. Eine Kopie, die selbst ein übernommener Backup-Server nicht löschen kann, bleibt auch dann erhalten, wenn alles andere verloren geht.
  • Ohne eigene Patch-Kapazität betreuen lassen. Nicht jeder Betrieb hat die Zeit, Infrastruktur-Server im Blick zu behalten und zeitnah zu aktualisieren. Wo diese Kapazität fehlt, lässt sich die Sicherung über ein betreutes Backup-Modell abdecken, bei dem Updates und das Härten der Umgebung verlässlich übernommen werden.

Fazit

CVE-2026-44963 führt eine unbequeme Wahrheit vor Augen: Auch die Rückfallebene braucht Pflege. Ein Backup schützt nur dann, wenn der Server, der es verwaltet, selbst aktuell und gehärtet ist — sonst wird ausgerechnet die letzte Verteidigungslinie zum Einfallstor. Dass bislang keine aktive Ausnutzung berichtet wurde, ist ein Vorsprung, der sich nutzen lässt, solange er besteht.

Wenn Sie nicht sicher sind, welche Backup-Version bei Ihnen läuft oder wie gut Ihre Sicherungen gegen einen gezielten Angriff geschützt sind, sehen wir uns das gemeinsam an: Wir prüfen den Patch-Stand, entkoppeln den Backup-Server vom produktiven Verzeichnis und richten unveränderliche Kopien so ein, dass im Ernstfall verlässlich etwas zum Zurückspielen bleibt.