Alle Fachbeiträge

Am 18. Juli 2025 beobachteten Analysten von Sophos MDR (Managed Detection and Response) eine Welle bösartiger Aktivitäten, die auf lokale Microsoft-SharePoint-Server abzielten. Dabei wurden in großem Umfang maliziöse PowerShell-Befehle auf SharePoint-Instanzen ausgeführt, was auf die aktive Ausnutzung einer neuen Angriffskette namens „ToolShell“ hindeutete.

Eine als „Toolshell“ bezeichnete Schwachstelle in Microsoft SharePoint wird seit dem 18./19. Juli 2025 aktiv von Angreifern ausgenutzt. Die zugrunde liegende Sicherheitslücke basiert auf CVE‑2025‑49704 und ist unter der Kennung CVE‑2025‑53770 registriert.

Die Einstufung nach CVSS 3.1 liegt bei 9.8 von 10 Punkten – und damit im kritischen Bereich.
Internationale Sicherheitsexperten und Behörden wie das BSI und die US-CISA berichten von konkreten Angriffen auf produktive Systeme weltweit.

Nicht betroffen ist SharePoint Online, wie es im Rahmen von Microsoft 365 betrieben wird.

Am Ende vieler Angriffsketten steht der Schritt, der in der MITRE-Systematik als „Impact“ bezeichnet wird. Das ist der Moment, in dem es beim Kunden wirklich einschlägt – meist in Form von verschlüsselten Daten, abgeschalteten Systemen oder zerstörter Infrastruktur. Alles, was vorher passiert ist, war Vorbereitung. Hier beginnt der eigentliche Schaden.

Am 9. Juli 2025 hat Microsoft im Rahmen seines monatlichen Patchdays eine besonders schwerwiegende Sicherheitslücke veröffentlicht: CVE-2025-47981. Die Schwachstelle wird mit einem CVSS-Score von 9.8 bewertet und betrifft grundlegende Authentifizierungsmechanismen in Windows-Systemen. Sie ermöglicht es, Schadcode remote und ohne Authentifizierung auf einem Zielsystem auszuführen.

Managed Detection and Response (MDR) verspricht, Bedrohungen frühzeitig zu erkennen und gezielt darauf zu reagieren – idealerweise bevor es zu echten Schäden kommt. Doch wie sieht das in der Praxis wirklich aus? Wie läuft ein Sicherheitsvorfall konkret ab, wenn das MDR-Team aktiv eingreift? Was sieht der Kunde? Und welche Rollen übernehmen Sophos, Comp4U und der Kunde?

Die beste Sicherheitslösung nützt wenig, wenn niemand weiß, was sie leistet. Genau deshalb liefert Sophos MDR regelmäßig strukturierte Auswertungen, die nicht nur auf Vorfälle hinweisen, sondern helfen, Muster zu erkennen, Schwachstellen zu identifizieren und eigene Sicherheitsstrategien zu hinterfragen.

Ein guter Sicherheitsdienst erkennt Angriffe. Ein exzellenter erkennt Muster. Und ein herausragender versteht das Gesamtbild – in Echtzeit. Genau hier liegt der Vorteil eines MDR-Dienstes, der auf eine breite und abgestimmte Telemetriebasis zugreifen kann.

Die Vision hinter MDR (Managed Detection and Response) geht weit über reine Reaktion auf Angriffe hinaus: Unternehmen sollen Zugriff auf ein virtuelles Security Operations Center (SOC) erhalten – also auf ein Expertenteam, das Bedrohungen nicht nur erkennt, sondern auch bewertet, priorisiert und neutralisiert. Inklusive 24/7-Monitoring, klarer Kommunikation und konkreter Handlungsempfehlungen.

Viele Unternehmen setzen heute bereits auf erweiterte Sicherheitsfunktionen wie XDR (Extended Detection and Response), um Bedrohungen über mehrere IT-Bereiche hinweg erkennen zu können. Doch XDR ist kein Endziel, sondern lediglich ein Werkzeug – und kein Ersatz für MDR (Managed Detection and Response).

Die Zeiten klassischer Antiviren-Software als alleiniger Schutzmaßnahme sind vorbei. Moderne Angriffe sind komplexer, gezielter und deutlich schneller – sie umgehen Signaturdatenbanken, operieren im Speicher und verbergen sich in legitimen Prozessen. Reaktive Sicherheitsmechanismen kommen hier zwangsläufig zu spät.