Microsoft-SharePoint „ToolShell“-Vorfall: Was bedeutet das für die Cyber-Versicherung?

22. Juli 2025
|In News
|By Sina Grunert
Blog Cyber Finlex Schaden

Am 19. Juli 2025 veröffentlichte Microsoft eine dringende Sicherheitswarnung zu einer kritischen Schwachstelle in On-Premise-Versionen von Microsoft SharePoint. Die als CVE-2025-53770 („ToolShell“) identifizierte Zero-Day-Lücke wurde mit der Kritikalität 9.8 von 10 eingestuft und bereits aktiv von Angreifern ausgenutzt – mit weitreichenden Folgen für Unternehmen und Behörden, die SharePoint lokal betreiben.

Die Sicherheitslücke ermöglicht Cyber-Kriminellen nicht nur das unautorisierte Eindringen in Netzwerke, sondern auch den Diebstahl kryptografischer Schlüssel, mit denen sich dauerhafte Zugänge einrichten lassen. Das BSI stuft die Gefährdungslage als „kritisch“ (BSI-Stufe 3) ein und rät zum sofortigen Handeln. Der Vorfall zeigt einmal mehr, wie verwundbar selbst etablierte Kernsysteme großer IT-Infrastrukturen sind.

Wenn Ihr Unternehmen betroffen ist, stellt sich die Frage: Welche Maßnahmen sind jetzt erforderlich – und in welchem Umfang greift die Cyber-Versicherung?

 

Was ist passiert?

Die Schwachstelle betrifft ausschließlich On-Premise-Installationen von Microsoft SharePoint Server 2016, 2019 und Subscription Edition. SharePoint Online (Microsoft 365) ist nicht betroffen.

Angreifer nutzten ein Exploit, um über eine manipulierte ToolShell-Funktion administrative Rechte auf dem Server zu erlangen. In der Folge war es möglich, sogenannte „Machine Keys“ zu extrahieren. Hierbei handelt es sich um kryptografische Schlüssel, die für Authentifizierungsvorgänge genutzt werden. Mit diesen Schlüsseln lassen sich dauerhaft gültige Sitzungstoken erzeugen, selbst dann, wenn die ursprüngliche Lücke bereits geschlossen wurde.

Das volle Ausmaß des Vorfalls und der dadurch entstandenen Kompromittierungen sind zum aktuellen Zeitpunkt noch schwer abzuschätzen. Positiv zu bewerten ist, dass die hohe Aufmerksamkeit durch die Warnungen von Microsoft, der US-Sicherheitsbehörde CISA, sowie dem BSI für eine hohe Sensibilisierung bei Administratoren und Sicherheitsexperten gesorgt und Microsoft bereits Updates für die SharePoint Server Subscription Edition und den SharePoint Server 2019 bereitgestellt hat.

Vor allem der noch ausstehende Patch für den SharePoint Server 2016 dürfte aber viele Unternehmen in Deutschland betreffen, so dass hier derzeit v.a. mit Workarounds (Abschaltung von Diensten und/oder Ausweichen auf Sharepoint Online) gehandelt werden kann.

 

Welche Sofortmaßnahmen sind zu ergreifen?

Das BSI rät dazu, dass IT-Sicherheitsverantwortliche schnellstmöglich die Installation der von Microsoft veröffentlichten Notfall-Updates prüfen sollen. Gleichzeitig empfiehlt der Hersteller, das Antimalware Scan Interface (AMSI) und Microsoft Defender zu aktivieren bzw. dessen Konfiguration auf Korrektheit zu überprüfen. Ist kurzfristig keine dieser Maßnahmen möglich, sollte der SharePoint Server vom Internet getrennt werden.

Weiterhin sollte die Installation von Microsoft Defender for Endpoint oder vergleichbaren Lösungen in Erwägung gezogen werden. Auch der Austausch von ASP.NET Keys auf SharePoint Servern wird angeraten. Das BSI empfiehlt den Anweisungen von Microsoft [MSRC25a] zu folgen und die SharePoint ASP.NET Machine Keys unbedingt zu tauschen sowie anschließend den IIS auf allen SharePoint Servern neu zu starten. Alleiniges Patchen ist aufgrund der vorangegangenen Ausnutzung nicht ausreichend.

Betreiber von Microsoft SharePoint Servern sollten die mittlerweile verfügbaren Sicherheitsupdates umgehend einspielen. Sollten Updates nicht verfügbar sein oder nicht eingespielt werden können, so sollte der Internet-Zugriff auf den Server blockiert, mindestens jedoch Antimalware Scan Interface (AMSI) und Defender Antivirus aktiviert werden, um nicht authentifizierte Angriffe zu verhindern. Aufgrund der vorangegangenen Ausnutzungen ist es notwendig, eine stattgefundene Kompromittierung zu prüfen und Schlüsselmaterial zu tauschen.

Halten Sie sich unbedingt informiert, ob weitere Maßnahmen notwendig sind. Die vollständigen technischen Empfehlungen finden Sie in der BSI-Cybersicherheitswarnung.

 

Besteht Versicherungsschutz über eine Cyber-Police?

Wenn Ihr Unternehmen durch die „ToolShell“-Lücke betroffen ist, stellt sich die Frage, ob die daraus entstandenen Schäden von Ihrer Cyber-Versicherung gedeckt sind.

Die Frage lässt sich nicht pauschal mit einem einfachen Ja oder Nein beantworten. Vielmehr kommt es ­– wie so oft – auf die Umstände des Einzelfalls und insbesondere auf die konkrete Cyber-Police an.

Eine Cyber-Versicherung bietet grundsätzlich Versicherungsschutz für Schäden, die versicherten Unternehmen infolge eines sogenannten deckungsauslösenden Ereignisses entstehen. Was der Versicherungsvertrag unter einem deckungsauslösenden Ereignis versteht, unterscheidet sich von Deckungskonzept zu Deckungskonzept.

 

Netzwerksicherheitsverletzung als deckungsauslösendes Ereignis

In den allermeisten Bedingungswerken stellt eine sogenannte „Netzwerksicherheitsverletzungen“ ein deckungsauslösendes Ereignis dar. Dies umfasst jeden unzulässige Zugriff auf das IT-System eines versicherten Unternehmens sowie jede unzulässige Nutzung des IT-Systems eines versicherten Unternehmens. Dazu zählen insbesondere Hacker-Angriffe, Backdoors, das Ausnutzen von Schwachstellen sowie die unberechtigte Verwendung oder Offenlegung von Zugangsdaten – exakt die Elemente, die im Rahmen des ToolShell-Angriffs zum Tragen kamen.

Nach den bisher verfügbaren Informationen ist somit davon auszugehen, dass bei Angriffen über die ToolShell-Schwachstelle ein deckungsauslösendes Ereignis vorliegt und durch den Vorfall entstandene Schäden grundsätzlich von der Cyber-Versicherung gedeckt sind.

 

Was ist versichert?

Liegt ein deckungsauslösendes Ereignis vor, bietet der Cyber-Versicherungsvertrag für versicherte Unternehmen – neben Assistance-Leistungen durch eine Notfallhotline und diverse Netzwerkpartner – insbesondere einen Kostenschutz (z.B. Schadenermittlungskosten, Wiederherstellungskosten, Rechtsanwaltskosten, Lösegelder), einen Verfahrensschutz (z.B. Abwehrkosten in OWiG- oder Bußgeld-Verfahren) sowie Schutz vor Schadenersatzansprüchen (Abwehr und/oder Freistellung). Darüber hinaus bieten die Policen Versicherungsschutz für Verluste aufgrund von einer Betriebsunterbrechung.

 

Welche Schäden können entstehen?

Ein erfolgreicher Angriff kann gleich mehrere versicherte Positionen auslösen. Im Rahmen des „ToolShell“-Vorfalls sind vor allem Kosten oder Mehraufwendungen denkbar, die betroffenen Unternehmen aufgrund von Aufwendungen für Forensik und Krisenmanagement sowie zur Wiederherstellung der Systeme angefallen sind. Fällt der SharePoint des gesamten Unternehmens aus oder findet im schlimmsten Fall eine Verschlüsselung der Systeme statt, sind zudem erhebliche Betriebsausfälle denkbar.

Sowohl Kosten als auch ein Verlust aufgrund einer Betriebsunterbrechung sind im Rahmen der Cyber-Versicherung grundsätzlich versichert, wenn die Schäden kausal auf einem deckungsauslösenden Ereignis beruhen.

 

Was können betroffene Unternehmen tun?

Wenn Sie vermuten, Opfer eines Angriffs über die ToolShell-Lücke geworden zu sein, sollten Sie sofort handeln:

  • Interne Notfallpläne aktivieren
    Informieren Sie IT-Abteilung, Datenschutzbeauftragte und Geschäftsleitung.
  • Cyber-Versicherer und Makler informieren
    Rufen Sie die in Ihrer Police genannte 24/7-Notfallhotline an – dort wird das weitere Vorgehen gemeinsam mit dem Makler koordiniert.
  • Krisenmanager und Versicherer einbinden
    Der Versicherer und der Krisenmanager können spezialisierte IT-Dienstleister, Forensiker, Anwaltskanzleien oder PR-Berater hinzuziehen.
  • Schäden dokumentieren
    Halten Sie technische Maßnahmen, Ausfallzeiten, Kommunikationsschritte und entstandene Kosten nachvollziehbar fest.

Eine detaillierte Beschreibung zum Ablauf eines Cyber-Versicherungsfalls finden Sie im Finlex-Leitfaden.

 

Fazit

Wenn Sie oder Ihre Kunden vom ToolShell-Vorfall betroffen sind, ist entschlossenes und strukturiertes Handeln gefragt. Die technische Kompromittierung ist ernst – die versicherungsrechtliche Einordnung jedoch klar: Bei vielen Policen liegt ein deckungsauslösendes Ereignis vor. Werden die notwendigen technischen und organisatorischen Schritte eingehalten, ist Versicherungsschutz für die meisten Schäden gegeben.

Im Zweifel gilt: Rufen Sie die Notfallhotline Ihres Versicherers an – frühzeitiges Handeln verhindert oft größere Schäden und sichert zudem die Deckung.

Gerne unterstützen wir Sie und Ihren Kunden bei der Bewältigung!

 

Die folgenden Bilder sind für den Nachdruck unter dem Vorbehalt der redaktionellen, nicht kommerziellen Nutzung freigegeben.

 

Andrea Kotter | (Pressefoto)
Dr. Marcel Straub | (Pressefoto)
Bildnachweis: Finlex GmbH

 

Jetzt beraten lassen.

Dr. Marcel Straub

Dr. Marcel Straub

Head of Legal

marketing@finlex.de+49 69 / 8700 142 – 0

Blog Cyber Finlex Schaden