Microsoft 365: Sicherheitslücke aktiv ausgenutzt – Notfall-Patches veröffentlicht

Microsoft schließt im November-Update kritische Schwachstellen in seiner Office-Suite. Besonders brisant: Eine der Lücken wird bereits aktiv für Angriffe missbraucht. Gleichzeitig setzt der Konzern auf eine neue Technologie, die Daten selbst während der Verarbeitung schützen soll – eine direkte Antwort auf europäische Datenschutzbedenken.

Die vergangene Woche brachte für IT-Verantwortliche wenig Erholung: Am 11. November rollte Microsoft sein monatliches Sicherheitspaket aus, das mehrere kritische Schwachstellen in Microsoft 365 Apps for Enterprise behebt. Die kanadische Cybersicherheitsbehörde bestätigte einen Tag später die Brisanz der Updates. Der Grund für die Eile? Microsoft erhielt Berichte über aktive Angriffe auf die Schwachstelle CVE-2025-62215.

Für Unternehmen, die personenbezogene Daten verarbeiten, ist die rasche Installation solcher Patches nicht nur Best Practice – sie ist rechtliche Pflicht. Die DSGVO verlangt aktuelle technische und organisatorische Maßnahmen zum Schutz von Nutzerdaten. Wer zögert, riskiert nicht nur Cyberangriffe, sondern auch empfindliche Bußgelder.

Verschlüsselung während der Verarbeitung – Microsofts neue Waffe

Doch Sicherheitsupdates allein reichen Microsoft offenbar nicht mehr. Auf dem Confidential Computing Summit 2025, dessen Inhalte am 12. November veröffentlicht wurden, präsentierten Forscher des Konzerns einen fundamental anderen Ansatz: Daten sollen künftig selbst dann verschlüsselt bleiben, wenn sie aktiv im Arbeitsspeicher genutzt werden.

Passend zum Thema Datensicherheit steht ein kostenloses Paket mit praxisnahen DSGVO-Checklisten bereit, das IT- und Datenschutzverantwortlichen hilft, technische und organisatorische Maßnahmen systematisch umzusetzen. Der Leitfaden enthält editierbare Word-Checklisten, eine Priorisierung der wichtigsten Maßnahmen und sogar einen Maßnahmenkatalog mit 65 technischen Schutzmaßnahmen, die speziell Art. 32 DSGVO adressieren. So lassen sich Lücken schnell schließen und Nachweise gegenüber Aufsichtsbehörden sauber dokumentieren. Jetzt DSGVO-Checklisten gratis herunterladen

Die Technologie dahinter nennt sich Confidential Computing. Sie schafft isolierte, hardwaregeschützte Bereiche direkt im Prozessor – sogenannte Trusted Execution Environments. In diesen digitalen Tresoren laufen Berechnungen ab, ohne dass selbst der Cloud-Betreiber Einblick erhält. Nicht einmal Microsoft kann die dort verarbeiteten Informationen entschlüsseln.

Wozu dieser Aufwand? Bisher schützen Unternehmen ihre Daten im Ruhezustand durch Verschlüsselung auf Festplatten und während der Übertragung durch sichere Verbindungen. Die dritte Phase – die aktive Verarbeitung im Speicher – blieb bislang eine Schwachstelle. Genau hier setzt Confidential Computing an.

Schrems II lässt grüßen: Die EU-Dimension

Die Stoßrichtung ist kein Zufall. Seit dem wegweisenden „Schrems II”-Urteil des Europäischen Gerichtshofs stehen US-Cloud-Dienste in Europa unter Dauerverdacht. Das Gericht befand, dass US-Überwachungsgesetze europäische Datenschutzstandards untergraben – mit weitreichenden Folgen für internationale Datentransfers.

Confidential Computing könnte diese Diskussion neu rahmen. Wenn nicht einmal der Anbieter selbst auf Kundendaten zugreifen kann, laufen auch behördliche Zugriffsanfragen ins Leere. Microsoft argumentiert damit, die in Artikel 32 der DSGVO geforderten „wirksamen Maßnahmen” zum Datenschutz nicht nur zu erfüllen, sondern zu übertreffen.

Der Azure Confidential Ledger – eine Art fälschungssichere Chronik – protokolliert dabei jede Änderung an Sicherheitsrichtlinien. So lässt sich gegenüber Aufsichtsbehörden nachweisen, dass die Integrität des Dienstes gewahrt blieb.

Kein Alleingang: Die Branche zieht nach

Microsoft steht mit diesem Ansatz nicht allein. Google Cloud und Amazon Web Services bauen ebenfalls Confidential-Computing-Angebote aus. Was noch vor wenigen Jahren Nischentechnologie für Geheimdienste und Banken war, wird zum neuen Standard für sensible Datenverarbeitung.

Doch Experten warnen vor Euphorie. Die Technologie ist komplex und fehleranfällig bei falscher Konfiguration. Unternehmen bleiben für ihre Daten verantwortlich – die bloße Nutzung eines „sicheren” Cloud-Dienstes entbindet nicht von der Pflicht zur Datenschutz-Folgenabschätzung.

Doppelstrategie für die digitale Souveränität

Die Ereignisse der vergangenen Woche zeichnen ein klares Bild: Moderne Cloud-Sicherheit braucht beides – die schnelle Reaktion auf akute Bedrohungen durch Patches und den proaktiven Schutz durch hardwarebasierte Verschlüsselung.

Für Unternehmen bedeutet das konkret: Sicherheitsupdates müssen weiterhin diszipliniert und zeitnah eingespielt werden. Parallel dazu lohnt sich die Auseinandersetzung mit Confidential Computing, besonders bei hochsensiblen Daten wie Gesundheits- oder Finanzdaten.

Die aktiv ausgenutzten Schwachstellen im November-Update zeigen einmal mehr: Angreifer schlafen nicht. Ob Confidential Computing tatsächlich hält, was Microsoft verspricht, werden unabhängige Sicherheitsaudits zeigen müssen. Eines steht jedoch fest – der Druck auf Cloud-Anbieter, europäische Datenschutzstandards nicht nur formal, sondern technisch robust umzusetzen, wächst stetig.

PS: Viele Unternehmen unterschätzen, welche technischen Maßnahmen die DSGVO wirklich fordert – und geraten bei Prüfungen in Erklärungsnot. Ein kostenloses Paket mit sieben praxisnahen, editierbaren Checklisten, Vorlagen und einem Maßnahmenkatalog hilft, die häufigsten Lücken zu schließen und Nachweispflichten nach Art. 32 DSGVO systematisch zu erfüllen. Ideal für IT-Leiter und Datenschutzbeauftragte, die schnell handfeste Nachweise benötigen. Jetzt kostenfreie DSGVO-Checklisten und Maßnahmenkatalog anfordern