SharePoint‑Zero‑Day Hamburg und Schleswig-Holstein
KRITISCHE SICHERHEITSWARNUNG:SharePoint Zero-Day CVE-2025-53770 in Hamburg und Schleswig-Holstein akut bedroht – Sofort handeln!
Aktualisiert am 21. Juli 2025 | IT-Service Johannsen, Hamburg
EILMELDUNG: Eine kritische Zero-Day-Schwachstelle (CVE-2025-53770) wird seit dem 18. Juli 2025 aktiv gegen SharePoint-Server ausgenutzt. Bereits über 75 Unternehmen weltweit sind betroffen. Unternehmen in Hamburg und Schleswig-Holstein müssen SOFORT handeln, um ihre IT-Infrastruktur zu schützen.
Was Unternehmen in der Hansestadt und Schleswig-Holstein wissen müssen
Als erfahrener IT-Dienstleister mit über [X Jahren] Erfahrung in der Region Hamburg und Schleswig-Holstein sehen wir bei IT-Service Johannsen täglich, wie kritisch eine sichere SharePoint-Infrastruktur für norddeutsche Unternehmen ist. Diese neue Bedrohung betrifft ausschließlich On-Premises SharePoint-Server – SharePoint Online in Microsoft 365 ist NICHT betroffen.
Warum diese Bedrohung besonders gefährlich ist
Die Schwachstelle CVE-2025-53770 ermöglicht unauthentifizierte Remote-Code-Ausführung über das Netzwerk. Das bedeutet konkret:
- Vollständige Systemkompromittierung ohne Anmeldedaten erforderlich
- Diebstahl kritischer Unternehmensdaten (Finanzen, Kundendaten, Geschäftsgeheimnisse)
- Laterale Bewegung durch Ihr gesamtes Netzwerk
- Persistente Backdoors, die Updates überleben können
Angreifer nutzen diese Schwachstelle, um eine spezielle ASPX-Datei („spinstall0.aspx“) zu installieren, die kryptographische Schlüssel stiehlt und dauerhaften Zugriff ermöglicht.
Betroffene SharePoint-Versionen
ALLE On-Premises SharePoint-Installationen sind betroffen:
| SharePoint-Version | Bedrohungslevel | Update-Status |
|---|---|---|
| SharePoint 2016 | KRITISCH | Patch in Entwicklung |
| SharePoint 2019 | KRITISCH | Patch verfügbar (KB5002754) |
| SharePoint Subscription Edition | KRITISCH | Patch verfügbar (KB5002768) |
Microsoft hat bereits Updates für SharePoint 2019 und Subscription Edition veröffentlicht, das Update für SharePoint 2016 wird noch entwickelt.
Sofortige Schutzmaßnahmen für Ihr Unternehmen
Phase 1: Soforthilfe (innerhalb der nächsten 2 Stunden)
- AMSI-Integration aktivieren
- AMSI war standardmäßig im September 2023 Update für SharePoint 2016/2019 aktiviert
- Prüfen Sie Ihre AMSI-Konfiguration: PowerShell als Administrator →
Get-SPDiagnosticsProvider
- Microsoft Defender installieren
- Auf ALLEN SharePoint-Servern
- Vollständiger Scan erforderlich
- Netzwerk-Isolation
- Bei Unmöglichkeit der AMSI-Aktivierung: Trennen Sie SharePoint-Server vom Internet
- Firewall-Regeln verschärfen
- VPN-Zugang für kritische Funktionen
Phase 2: Erweiterte Sicherung (nächste 24 Stunden)
- Patches installieren (wenn verfügbar)
- SharePoint 2019: KB5002754
- SharePoint Subscription Edition: KB5002768
- Monitoring implementieren
- Überwachung auf POST-Requests zu
/_layouts/15/ToolPane.aspx?DisplayMode=Edit - Scanning auf verdächtige IP-Adressen: 107.191.58.76, 104.238.159.149, 96.9.125.147
- Überwachung auf POST-Requests zu
Anzeichen einer Kompromittierung erkennen
Diese Indikatoren deuten auf einen erfolgreichen Angriff hin:
- Datei „spinstall0.aspx“ im SharePoint-Verzeichnis gefunden
- Ungewöhnliche Netzwerkaktivität zu den oben genannten IP-Adressen
- Verdächtige POST-Requests an ToolPane.aspx
- Performance-Probleme bei SharePoint-Services
- Unberechtigte Zugriffe auf sensible Dokumente
Warum regionale Expertise entscheidend ist
Als IT-Dienstleister mit starker Verwurzelung in Hamburg und Schleswig-Holstein verstehen wir die besonderen Herausforderungen norddeutscher Unternehmen von Flensburg bis Hamburg, von Schleswig bis Kiel:
- Maritime Wirtschaft: Reedereien und Logistikunternehmen sind besonders gefährdet
- Compliance-Anforderungen: DSGVO, BSI-Grundschutz für öffentliche Auftraggeber
- Industrielle Sektoren: Airbus, Hafen Hamburg, Windenergie-Unternehmen
Regionale Schwerpunkte unserer SharePoint-Sicherheitsdienste:
Schleswig-Holstein Nord:
- Flensburg: Grenzhandel und maritime Unternehmen
- Schleswig: Verwaltung und öffentliche Einrichtungen
- Husum: Windenergie-Cluster und Tourismuswirtschaft
- Heide: Chemie-Industrie und Raffinerien
- Rendsburg: Logistik am Nord-Ostsee-Kanal
Schleswig-Holstein Mitte:
- Kiel: Landesverwaltung, Universitäten, maritime Forschung
- Neumünster: Einzelhandel und Logistikzentren
- Itzehoe: Industriestandort und Mittelstand
- Elmshorn: Papierindustrie und Handel
Schleswig-Holstein Süd & Hamburg-Umland:
- Pinneberg: IT-Unternehmen und Dienstleister
- Norderstedt: Medienunternehmen und Verlage
- Bad Segeberg: Gesundheitswesen und Verwaltung
- Lübeck: UNESCO-Welterbe, Hafenwirtschaft, Medizintechnik
- Bad Oldesloe: Pharma-Industrie und Gesundheitswesen
Branchen-spezifische Risiken in der Region:
| Branche | Standorte | Spezifisches Risiko | Empfohlene Maßnahme |
|---|---|---|---|
| Hafenwirtschaft | Hamburg, Lübeck, Brunsbüttel | Lieferketten-Daten | Sofortige Netzwerk-Segmentierung |
| Windenergie | Husum, Itzehoe, Heide | Anlagen-Steuerung | 24/7-Monitoring + OT-Security |
| Landesverwaltung | Kiel, Schleswig, Flensburg | Bürgerdaten | AMSI + Defender + Offline-Betrieb |
| Chemie/Raffinerien | Brunsbüttel, Heide | KRITIS-Infrastruktur | Air-Gap + BSI-Grundschutz |
| Universitäten | Kiel, Lübeck, Flensburg | Forschungsdaten | Erweiterte Backup-Strategien |
| Medizintechnik | Lübeck, Hamburg, Norderstedt | Patientendaten | DSGVO-konforme Notfallpläne |
IT-Service Johannsen: Ihr Sicherheitspartner in der Krise
Als Microsoft-Partner mit Spezialisierung auf SharePoint und Office 365 bieten wir:
Notfall-Services (24/7 verfügbar)
- Sofortige Sicherheitsbewertung Ihrer SharePoint-Umgebung
- Emergency-Patches und AMSI-Konfiguration
- Incident Response und Forensik-Analyse
- Backup-Recovery und Datenrettung
Präventive Sicherheitsmaßnahmen
- SharePoint-Security-Audit nach BSI-Standards
- Migration zu SharePoint Online (sicherste Option)
- Hybrid-Setups für maximale Sicherheit
- Schulung Ihrer IT-Teams
Regionale Abdeckung Schleswig-Holstein
- Kreis Schleswig-Flensburg: Schleswig, Flensburg, Tarp, Handewitt, Harrislee
- Kreis Nordfriesland: Husum, Niebüll, Westerland (Sylt), Sankt Peter-Ording
- Kreis Dithmarschen: Heide, Brunsbüttel, Meldorf
- Kreis Rendsburg-Eckernförde: Rendsburg, Eckernförde, Büdelsdorf
- Kiel & Umgebung: Kiel, Preetz, Plön, Laboe
- Kreis Steinburg: Itzehoe, Glückstadt, Kellinghusen
- Kreis Pinneberg: Pinneberg, Elmshorn, Wedel, Barmstedt
- Kreis Segeberg: Bad Segeberg, Norderstedt, Henstedt-Ulzburg
- Kreis Stormarn: Bad Oldesloe, Ahrensburg, Reinbek, Bargteheide
- Lübeck & Umgebung: Lübeck, Bad Schwartau, Stockelsdorf, Ratekau
Häufig gestellte Fragen (FAQ)
Ist mein SharePoint Online betroffen?
Nein. Diese Schwachstelle betrifft nur On-Premises SharePoint-Server. SharePoint Online in Microsoft 365 ist nicht betroffen.
Wie schnell muss ich handeln?
SOFORT. Die Angriffe begannen am 18. Juli 2025 und breiten sich rapid aus. Jede Stunde zählt.
Kann ich mein System selbst sichern?
Grundlegende Maßnahmen (AMSI aktivieren, Defender installieren) können Sie sofort umsetzen. Für eine vollständige Sicherheitsbewertung empfehlen wir professionelle Hilfe.
Welche Gebiete deckt IT-Service Johannsen ab?
Wir bieten Vor-Ort-Service in ganz Schleswig-Holstein und Hamburg:
- Hauptstandorte: Hamburg (040/8816597-0), Schleswig-Flensburg (04621/53092-0)
- Vollabdeckung: Alle Kreise von Flensburg bis Hamburg
- Schwerpunktgebiete: Kiel, Lübeck, Neumünster, Pinneberg, Norderstedt
- Spezialgebiete: Maritime Wirtschaft (Brunsbüttel, Glückstadt), Windenergie (Husum, Heide)
- Anfahrtszeiten: Max. 60 Minuten in Notfällen innerhalb Schleswig-Holstein
Bieten Sie auch Service in kleineren Orten an?
Ja, ausdrücklich! Wir betreuen Unternehmen in allen Gemeinden der Region:
- Kreis Schleswig-Flensburg: Tarp, Handewitt, Süderbrarup, Kappeln
- Umland Hamburg: Reinbek, Ahrensburg, Bargteheide, Henstedt-Ulzburg
- Nord-Ostsee-Kanal: Rendsburg, Büdelsdorf, Hochdonn
- Nordseeküste: Sankt Peter-Ording, Friedrichskoog, Wesselburen
- Ostholstein: Eutin, Malente, Oldenburg in Holstein
Soll ich zu SharePoint Online wechseln?
Langfristig ist SharePoint Online die sicherere Option. Wir beraten Sie gerne zu Migrationsmöglichkeiten und Hybrid-Szenarien.
Sind meine Backups sicher?
Prüfen Sie sofort: Sind Ihre Backups vom SharePoint-Server getrennt? Bei Netzwerk-Shares könnte der Angreifer auch Backups kompromittieren.
Wie erkenne ich, ob ich bereits angegriffen wurde?
Scannen Sie nach der Datei „spinstall0.aspx“ und prüfen Sie Logs auf POST-Requests zu ToolPane.aspx. Bei Verdacht: SOFORT professionelle Hilfe anfordern.
Was passiert mit meinen Compliance-Anforderungen?
Ein Sicherheitsvorfall muss je nach Branche gemeldet werden (DSGVO, NIS-2). Wir unterstützen bei der ordnungsgemäßen Dokumentation und Meldung.
Technische Empfehlungen für IT-Administratoren
Sofort-Maßnahmen PowerShell-Commands:
# AMSI-Status prüfen
Get-SPDiagnosticsProvider | Where-Object {$_.Name -eq "Antimalware"}
# Verdächtige Dateien suchen
Get-ChildItem -Path "C:\Program Files\Common Files\microsoft shared\Web Server Extensions\" -Recurse -Filter "spinstall0.aspx"
# SharePoint-Services neustarten (nach AMSI-Aktivierung)
Restart-Service -Name "SPSearchHostController", "SPTimerV4", "SPWriterV4"
Monitoring-Queries für Microsoft 365 Defender:
-- Verdächtige POST-Requests
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where RemoteUrl contains "ToolPane.aspx"
| where RemoteUrl contains "DisplayMode=Edit"
-- spinstall0.aspx Erstellung
DeviceFileEvents
| where Timestamp > ago(7d)
| where FileName contains "spinstall0.aspx"
Kontakt für Notfälle
Bei akuter Bedrohung oder Verdacht auf Kompromittierung:
24/7 Notfall-Hotline Hamburg: 040 / 8816597 – 0
24/7 Notfall-Hotline Schleswig-Holstein: 04621 / 53092 – 0
E-Mail: [email protected]
Website: https://www.its-johannsen.de
Erste 2 Stunden Beratung kostenlos für alle Unternehmen in Hamburg und Schleswig-Holstein bis 31.07.2025.
Fazit: Handeln Sie JETZT
Die SharePoint-Schwachstelle CVE-2025-53770 ist keine theoretische Bedrohung – sie wird aktiv ausgenutzt. Jede Minute, die Sie warten, erhöht das Risiko für Ihr Unternehmen.
Unser 3-Stufen-Notfallplan:
- Sofort: AMSI aktivieren + Defender installieren
- Heute: Patches einspielen (wenn verfügbar)
- Diese Woche: Vollständige Sicherheitsbewertung
Als Ihr regionaler IT-Partner mit über 20 Standorten und Servicepunkten zwischen Flensburg und Hamburg verstehen wir die Besonderheiten norddeutscher Unternehmen. Von der Husumer Windenergie-Branche bis zu Lübecker Medizintechnik-Unternehmen, von Itzehoe Industriebetrieben bis zu Kieler Forschungseinrichtungen – wir sprechen Ihre Sprache, kennen Ihre Branche und sind in wenigen Stunden vor Ort.
Besondere Expertise für regionale Schwerpunkte:
- Maritime Cluster: Hamburg Hafen, Brunsbüttel, Glückstadt
- Windenergie-Zentren: Husum, Heide, westliches Schleswig-Holstein
- Verwaltungszentren: Kiel, Schleswig, Hamburg
- Industriestandorte: Itzehoe, Elmshorn, Pinneberg
- Tourismus & Handel: Lübeck, Flensburg, Nordfriesische Inseln
Zögern Sie nicht – Ihre Unternehmensdaten und die Ihrer Kunden stehen auf dem Spiel.
Tags: SharePoint Sicherheit, CVE-2025-53770, IT-Service Hamburg, SharePoint Zero-Day, Microsoft Security, IT-Notfall Schleswig-Holstein, SharePoint On-Premises Sicherheit
IT-Service Johannsen – Ihr IT-Sicherheitspartner für Hamburg und Schleswig-Holstein. Seit über 15 Jahren sorgen wir für ausfallsichere IT-Infrastrukturen in Ihrer Region.
Weiter beraten wir im IT-Consulting zu Server-Betriebssystem-Upgrades inkl. der Migration von Standard Microsoft-Office und Produkten wie Exchange- oder SQL-Server sowohl On-Premise als auch aus der Cloud!
Hier geht’s zu den Beiträgen der End of Support-Reihe:
Support-Ende Microsoft Office 2016 / 2019
Support-Ende: Windows 7 und Windows Server 2008 R2
Support-Ende: Exchange Server 2010
Support-Ende: SQL-Server 2008
Support-Ende: SQL-Server 2012
Support-Ende: SQL-Server 2014
Support-Ende: SQL-Server 2016
