SharePoint‑Zero‑Day Hamburg und Schleswig-Holstein

KRITISCHE SICHERHEITSWARNUNG:SharePoint Zero-Day CVE-2025-53770 in Hamburg und Schleswig-Holstein akut bedroht – Sofort handeln!

Aktualisiert am 21. Juli 2025 | IT-Service Johannsen, Hamburg

EILMELDUNG: Eine kritische Zero-Day-Schwachstelle (CVE-2025-53770) wird seit dem 18. Juli 2025 aktiv gegen SharePoint-Server ausgenutzt. Bereits über 75 Unternehmen weltweit sind betroffen. Unternehmen in Hamburg und Schleswig-Holstein müssen SOFORT handeln, um ihre IT-Infrastruktur zu schützen.

Was Unternehmen in der Hansestadt und Schleswig-Holstein wissen müssen

Als erfahrener IT-Dienstleister mit über [X Jahren] Erfahrung in der Region Hamburg und Schleswig-Holstein sehen wir bei IT-Service Johannsen täglich, wie kritisch eine sichere SharePoint-Infrastruktur für norddeutsche Unternehmen ist. Diese neue Bedrohung betrifft ausschließlich On-Premises SharePoint-Server – SharePoint Online in Microsoft 365 ist NICHT betroffen.

Warum diese Bedrohung besonders gefährlich ist

Die Schwachstelle CVE-2025-53770 ermöglicht unauthentifizierte Remote-Code-Ausführung über das Netzwerk. Das bedeutet konkret:

• Vollständige Systemkompromittierung ohne Anmeldedaten erforderlich
• Diebstahl kritischer Unternehmensdaten (Finanzen, Kundendaten, Geschäftsgeheimnisse)
• Laterale Bewegung durch Ihr gesamtes Netzwerk
• Persistente Backdoors, die Updates überleben können

Angreifer nutzen diese Schwachstelle, um eine spezielle ASPX-Datei („spinstall0.aspx“) zu installieren, die kryptographische Schlüssel stiehlt und dauerhaften Zugriff ermöglicht.

Betroffene SharePoint-Versionen

ALLE On-Premises SharePoint-Installationen sind betroffen:

SharePoint-Version	Bedrohungslevel	Update-Status
SharePoint 2016	KRITISCH	Patch in Entwicklung
SharePoint 2019	KRITISCH	Patch verfügbar (KB5002754)
SharePoint Subscription Edition	KRITISCH	Patch verfügbar (KB5002768)

Microsoft hat bereits Updates für SharePoint 2019 und Subscription Edition veröffentlicht, das Update für SharePoint 2016 wird noch entwickelt.

Sofortige Schutzmaßnahmen für Ihr Unternehmen

Phase 1: Soforthilfe (innerhalb der nächsten 2 Stunden)

1. AMSI-Integration aktivieren
   • AMSI war standardmäßig im September 2023 Update für SharePoint 2016/2019 aktiviert
   • Prüfen Sie Ihre AMSI-Konfiguration: PowerShell als Administrator → Get-SPDiagnosticsProvider
2. Microsoft Defender installieren
   • Auf ALLEN SharePoint-Servern
   • Vollständiger Scan erforderlich
3. Netzwerk-Isolation
   • Bei Unmöglichkeit der AMSI-Aktivierung: Trennen Sie SharePoint-Server vom Internet
   • Firewall-Regeln verschärfen
   • VPN-Zugang für kritische Funktionen

Phase 2: Erweiterte Sicherung (nächste 24 Stunden)

4. Patches installieren (wenn verfügbar)
   • SharePoint 2019: KB5002754
   • SharePoint Subscription Edition: KB5002768
5. Monitoring implementieren
   • Überwachung auf POST-Requests zu /_layouts/15/ToolPane.aspx?DisplayMode=Edit
   • Scanning auf verdächtige IP-Adressen: 107.191.58.76, 104.238.159.149, 96.9.125.147

Anzeichen einer Kompromittierung erkennen

Diese Indikatoren deuten auf einen erfolgreichen Angriff hin:

• Datei „spinstall0.aspx“ im SharePoint-Verzeichnis gefunden
• Ungewöhnliche Netzwerkaktivität zu den oben genannten IP-Adressen
• Verdächtige POST-Requests an ToolPane.aspx
• Performance-Probleme bei SharePoint-Services
• Unberechtigte Zugriffe auf sensible Dokumente

Warum regionale Expertise entscheidend ist

Als IT-Dienstleister mit starker Verwurzelung in Hamburg und Schleswig-Holstein verstehen wir die besonderen Herausforderungen norddeutscher Unternehmen von Flensburg bis Hamburg, von Schleswig bis Kiel:

• Maritime Wirtschaft: Reedereien und Logistikunternehmen sind besonders gefährdet
• Compliance-Anforderungen: DSGVO, BSI-Grundschutz für öffentliche Auftraggeber
• Industrielle Sektoren: Airbus, Hafen Hamburg, Windenergie-Unternehmen

Regionale Schwerpunkte unserer SharePoint-Sicherheitsdienste:

Schleswig-Holstein Nord:

• Flensburg: Grenzhandel und maritime Unternehmen
• Schleswig: Verwaltung und öffentliche Einrichtungen
• Husum: Windenergie-Cluster und Tourismuswirtschaft
• Heide: Chemie-Industrie und Raffinerien
• Rendsburg: Logistik am Nord-Ostsee-Kanal

Schleswig-Holstein Mitte:

• Kiel: Landesverwaltung, Universitäten, maritime Forschung
• Neumünster: Einzelhandel und Logistikzentren
• Itzehoe: Industriestandort und Mittelstand
• Elmshorn: Papierindustrie und Handel

Schleswig-Holstein Süd & Hamburg-Umland:

• Pinneberg: IT-Unternehmen und Dienstleister
• Norderstedt: Medienunternehmen und Verlage
• Bad Segeberg: Gesundheitswesen und Verwaltung
• Lübeck: UNESCO-Welterbe, Hafenwirtschaft, Medizintechnik
• Bad Oldesloe: Pharma-Industrie und Gesundheitswesen

Branchen-spezifische Risiken in der Region:

Branche	Standorte	Spezifisches Risiko	Empfohlene Maßnahme
Hafenwirtschaft	Hamburg, Lübeck, Brunsbüttel	Lieferketten-Daten	Sofortige Netzwerk-Segmentierung
Windenergie	Husum, Itzehoe, Heide	Anlagen-Steuerung	24/7-Monitoring + OT-Security
Landesverwaltung	Kiel, Schleswig, Flensburg	Bürgerdaten	AMSI + Defender + Offline-Betrieb
Chemie/Raffinerien	Brunsbüttel, Heide	KRITIS-Infrastruktur	Air-Gap + BSI-Grundschutz
Universitäten	Kiel, Lübeck, Flensburg	Forschungsdaten	Erweiterte Backup-Strategien
Medizintechnik	Lübeck, Hamburg, Norderstedt	Patientendaten	DSGVO-konforme Notfallpläne

IT-Service Johannsen: Ihr Sicherheitspartner in der Krise

Als Microsoft-Partner mit Spezialisierung auf SharePoint und Office 365 bieten wir:

Notfall-Services (24/7 verfügbar)

• Sofortige Sicherheitsbewertung Ihrer SharePoint-Umgebung
• Emergency-Patches und AMSI-Konfiguration
• Incident Response und Forensik-Analyse
• Backup-Recovery und Datenrettung

Präventive Sicherheitsmaßnahmen

• SharePoint-Security-Audit nach BSI-Standards
• Migration zu SharePoint Online (sicherste Option)
• Hybrid-Setups für maximale Sicherheit
• Schulung Ihrer IT-Teams

Regionale Abdeckung Schleswig-Holstein

• Kreis Schleswig-Flensburg: Schleswig, Flensburg, Tarp, Handewitt, Harrislee
• Kreis Nordfriesland: Husum, Niebüll, Westerland (Sylt), Sankt Peter-Ording
• Kreis Dithmarschen: Heide, Brunsbüttel, Meldorf
• Kreis Rendsburg-Eckernförde: Rendsburg, Eckernförde, Büdelsdorf
• Kiel & Umgebung: Kiel, Preetz, Plön, Laboe
• Kreis Steinburg: Itzehoe, Glückstadt, Kellinghusen
• Kreis Pinneberg: Pinneberg, Elmshorn, Wedel, Barmstedt
• Kreis Segeberg: Bad Segeberg, Norderstedt, Henstedt-Ulzburg
• Kreis Stormarn: Bad Oldesloe, Ahrensburg, Reinbek, Bargteheide
• Lübeck & Umgebung: Lübeck, Bad Schwartau, Stockelsdorf, Ratekau

Häufig gestellte Fragen (FAQ)

Ist mein SharePoint Online betroffen?

Nein. Diese Schwachstelle betrifft nur On-Premises SharePoint-Server. SharePoint Online in Microsoft 365 ist nicht betroffen.

Wie schnell muss ich handeln?

SOFORT. Die Angriffe begannen am 18. Juli 2025 und breiten sich rapid aus. Jede Stunde zählt.

Kann ich mein System selbst sichern?

Grundlegende Maßnahmen (AMSI aktivieren, Defender installieren) können Sie sofort umsetzen. Für eine vollständige Sicherheitsbewertung empfehlen wir professionelle Hilfe.

Welche Gebiete deckt IT-Service Johannsen ab?

Wir bieten Vor-Ort-Service in ganz Schleswig-Holstein und Hamburg:

• Hauptstandorte: Hamburg (040/8816597-0), Schleswig-Flensburg (04621/53092-0)
• Vollabdeckung: Alle Kreise von Flensburg bis Hamburg
• Schwerpunktgebiete: Kiel, Lübeck, Neumünster, Pinneberg, Norderstedt
• Spezialgebiete: Maritime Wirtschaft (Brunsbüttel, Glückstadt), Windenergie (Husum, Heide)
• Anfahrtszeiten: Max. 60 Minuten in Notfällen innerhalb Schleswig-Holstein

Bieten Sie auch Service in kleineren Orten an?

Ja, ausdrücklich! Wir betreuen Unternehmen in allen Gemeinden der Region:

• Kreis Schleswig-Flensburg: Tarp, Handewitt, Süderbrarup, Kappeln
• Umland Hamburg: Reinbek, Ahrensburg, Bargteheide, Henstedt-Ulzburg
• Nord-Ostsee-Kanal: Rendsburg, Büdelsdorf, Hochdonn
• Nordseeküste: Sankt Peter-Ording, Friedrichskoog, Wesselburen
• Ostholstein: Eutin, Malente, Oldenburg in Holstein

Soll ich zu SharePoint Online wechseln?

Langfristig ist SharePoint Online die sicherere Option. Wir beraten Sie gerne zu Migrationsmöglichkeiten und Hybrid-Szenarien.

Sind meine Backups sicher?

Prüfen Sie sofort: Sind Ihre Backups vom SharePoint-Server getrennt? Bei Netzwerk-Shares könnte der Angreifer auch Backups kompromittieren.

Wie erkenne ich, ob ich bereits angegriffen wurde?

Scannen Sie nach der Datei „spinstall0.aspx“ und prüfen Sie Logs auf POST-Requests zu ToolPane.aspx. Bei Verdacht: SOFORT professionelle Hilfe anfordern.

Was passiert mit meinen Compliance-Anforderungen?

Ein Sicherheitsvorfall muss je nach Branche gemeldet werden (DSGVO, NIS-2). Wir unterstützen bei der ordnungsgemäßen Dokumentation und Meldung.

Technische Empfehlungen für IT-Administratoren

Sofort-Maßnahmen PowerShell-Commands:

# AMSI-Status prüfen
Get-SPDiagnosticsProvider | Where-Object {$_.Name -eq "Antimalware"}

# Verdächtige Dateien suchen
Get-ChildItem -Path "C:\Program Files\Common Files\microsoft shared\Web Server Extensions\" -Recurse -Filter "spinstall0.aspx"

# SharePoint-Services neustarten (nach AMSI-Aktivierung)
Restart-Service -Name "SPSearchHostController", "SPTimerV4", "SPWriterV4"

Monitoring-Queries für Microsoft 365 Defender:

-- Verdächtige POST-Requests
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where RemoteUrl contains "ToolPane.aspx"
| where RemoteUrl contains "DisplayMode=Edit"

-- spinstall0.aspx Erstellung
DeviceFileEvents
| where Timestamp > ago(7d) 
| where FileName contains "spinstall0.aspx"

Kontakt für Notfälle

Bei akuter Bedrohung oder Verdacht auf Kompromittierung:

24/7 Notfall-Hotline Hamburg: 040 / 8816597 – 0
24/7 Notfall-Hotline Schleswig-Holstein: 04621 / 53092 – 0
E-Mail: [email protected]
Website: https://www.its-johannsen.de

Erste 2 Stunden Beratung kostenlos für alle Unternehmen in Hamburg und Schleswig-Holstein bis 31.07.2025.

---

Fazit: Handeln Sie JETZT

Die SharePoint-Schwachstelle CVE-2025-53770 ist keine theoretische Bedrohung – sie wird aktiv ausgenutzt. Jede Minute, die Sie warten, erhöht das Risiko für Ihr Unternehmen.

Unser 3-Stufen-Notfallplan:

1. Sofort: AMSI aktivieren + Defender installieren
2. Heute: Patches einspielen (wenn verfügbar)
3. Diese Woche: Vollständige Sicherheitsbewertung

Als Ihr regionaler IT-Partner mit über 20 Standorten und Servicepunkten zwischen Flensburg und Hamburg verstehen wir die Besonderheiten norddeutscher Unternehmen. Von der Husumer Windenergie-Branche bis zu Lübecker Medizintechnik-Unternehmen, von Itzehoe Industriebetrieben bis zu Kieler Forschungseinrichtungen – wir sprechen Ihre Sprache, kennen Ihre Branche und sind in wenigen Stunden vor Ort.

Besondere Expertise für regionale Schwerpunkte:

• Maritime Cluster: Hamburg Hafen, Brunsbüttel, Glückstadt
• Windenergie-Zentren: Husum, Heide, westliches Schleswig-Holstein
• Verwaltungszentren: Kiel, Schleswig, Hamburg
• Industriestandorte: Itzehoe, Elmshorn, Pinneberg
• Tourismus & Handel: Lübeck, Flensburg, Nordfriesische Inseln

Zögern Sie nicht – Ihre Unternehmensdaten und die Ihrer Kunden stehen auf dem Spiel.

---

Tags: SharePoint Sicherheit, CVE-2025-53770, IT-Service Hamburg, SharePoint Zero-Day, Microsoft Security, IT-Notfall Schleswig-Holstein, SharePoint On-Premises Sicherheit

---

IT-Service Johannsen – Ihr IT-Sicherheitspartner für Hamburg und Schleswig-Holstein. Seit über 15 Jahren sorgen wir für ausfallsichere IT-Infrastrukturen in Ihrer Region.

Weiter beraten wir im IT-Consulting zu Server-Betriebssystem-Upgrades inkl. der Migration von Standard Microsoft-Office und Produkten wie Exchange- oder SQL-Server sowohl On-Premise als auch aus der Cloud!

Hier geht’s zu den Beiträgen der End of Support-Reihe:
Support-Ende Microsoft Office 2016 / 2019
Support-Ende: Windows 7 und Windows Server 2008 R2
Support-Ende: Exchange Server 2010
Support-Ende: SQL-Server 2008
Support-Ende: SQL-Server 2012
Support-Ende: SQL-Server 2014
Support-Ende: SQL-Server 2016