Die aktuelle Warnung der US-amerikanischen Cybersicherheitsbehörde CISA zu Angriffen auf eine seit vielen Jahren bekannte Schwachstelle in Microsoft Excel zeigt, dass IT-Sicherheitsrisiken nicht allein nach dem Zeitpunkt ihrer Entdeckung bewertet werden dürfen.
Auch ältere Sicherheitslücken können weiterhin erhebliche praktische Bedeutung haben, wenn Schutzmaßnahmen nicht konsequent umgesetzt oder anfällige Systeme weiterhin betrieben werden.
Die CISA benennt außerdem eine weitere Schwachstelle in Microsoft SharePoint Server, die ebenfalls bereits aktiv ausgenutzt wird. Für Unternehmen und öffentliche Stellen ist dies ein weiteres Zeichen für die anhaltende Relevanz eines funktionierenden Schwachstellen- und Patch-Managements.
Alte Schwachstellen bleiben ein Einfallstor
Die nun erneut aufgegriffene Excel-Schwachstelle ist seit 17 Jahren bekannt. Betroffen waren bereits ältere Versionen von Microsoft Excel, indem über manipulierte Excel-Dateien Schadcode ausgeführt werden. Dass eine derart alte Schwachstelle erneut Gegenstand behördlicher Warnungen ist, macht deutlich, dass bekannte Risiken nicht schon deshalb an Bedeutung verlieren, weil sie seit langem dokumentiert oder technisch grundsätzlich behoben worden sind.
Entscheidend ist vielmehr, ob die betroffenen Systeme tatsächlich aktualisiert oder außer Betrieb genommen wurden. In der Praxis besteht gerade in wachsenden IT-Strukturen das Risiko, dass ältere Softwareversionen fortgeführt, Updates verzögert oder Altsysteme nicht vollständig abgelöst werden. Die Verfügbarkeit eines Patches beseitigt das Risiko daher nicht automatisch. Solange die anfälligen Systeme im Einsatz bleiben, bleibt auch die Angriffsfläche weiterhin bestehen.
Neben der Excel-Schwachstelle hat CISA auch eine jüngere Schwachstelle in Microsoft SharePoint Server in den Katalog der bekannt ausgenutzten Schwachstellen aufgenommen. Diese ermöglicht Spoofing-Angriffe über das Netzwerk und wurde von Microsoft bereits im Rahmen des April-Patchdays adressiert.
Beide Fälle zeigen, dass nicht nur alte Schwachstellen problematisch sind. Auch jüngere Lücken können relevant werden, wenn Sicherheitsupdates nicht rechtzeitig umgesetzt werden. Sicherheitsrisiken treten folglich vermehrt auf, wenn technisch anfällige Systeme gleichzeitig mit organisatorischen Versäumnissen einhergehen.
Bedeutung für Governance, Compliance und Informationssicherheit
Die CISA-Warnung betont die Notwendigkeit der Eindämmung und Behebung von Schwachstellen. Ein wirksames Schwachstellenmanagement beschränkt sich nicht darauf, Warnmeldungen zur Kenntnis zu nehmen. Erforderlich sind belastbare Prozesse zur Ermittlung betroffener Systeme, zur Bewertung der damit verbundenen Risiken und zur schnellen Umsetzung notwendiger Maßnahmen.
Hinzu kommt, dass Sicherheitsvorfälle in Microsoft-Systemen regelmäßig auch die Fragen aufwerfen, ob Kontroll-, Nachweis- und Überwachungsmechanismen ausreichend funktionieren. Wo technische Schutzmaßnahmen, Protokollierung, Überwachung und interne Zuständigkeiten nicht verlässlich und aufeinander abgestimmt funktionieren, steigen nicht nur die Sicherheitsrisiken. Erschwert werden auch die Aufklärung, Dokumentation und angemessene Reaktionen auf solche Vorfälle.
Neben den Warnungen zu Microsoft Excel und Sharepoint wurde auch über weitere aktiv ausgenutzte Schwachstellen berichtet. Sicherheitswarnungen sollten folglich nicht als Einzelfälle behandeln sollten. Hinzu kommt, dass nicht immer konkrete Hinweise auf bereits erfolgte Angriffe vorliegen. Umso wichtiger ist es, betroffene Systeme frühzeitig zu identifizieren, ihren Einsatz zu überprüfen und verfügbare Updates zeitnahm umzusetzen.
Fazit
Die aktuelle Warnung der CISA macht deutlich, dass bekannte Schwachstellen auch nach vielen Jahren praktisch relevant bleiben können. Alte Sicherheitslücken bleiben dort gefährlich, wo verwundbare Systeme fortbestehen oder verfügbare Updates nicht konsequent umgesetzt werden. Für Unternehmen und öffentliche Stellen folgt daraus, dass Schwachstellenmanagement, Update-Prozesse, Überwachung und der Umgang mit Altsystemen dauerhaft im Rahmen der Organisationsstruktur berücksichtigt werden müssen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
