Microsoft, SAP und Ivanti: Kritische Sicherheitslücken zwingen Unternehmen zum sofortigen Handeln

Unternehmen weltweit müssen innerhalb von 48 Stunden sechs aktive Zero-Day-Lücken bei Microsoft und kritische SAP-Fehler patchen. Die gleichzeitigen Warnungen der Software-Giganten am „Patch Tuesday“ überfordern IT-Abteilungen. Besonders brisant: Angreifer haben in einigen Systemen bereits schlafende Schadsoftware platziert.

Dringende Gefahr durch Microsoft-Zero-Days

Die akute Bedrohung geht von den Sicherheitsupdates aus, die Microsoft am 10. Februar veröffentlichte. Das Update schließt 59 Schwachstellen, darunter sechs Zero-Day-Lücken, die bereits aktiv ausgenutzt werden. Diese ungewöhnlich hohe Zahl signalisiert einen aggressiven Start für Cyberkriminelle in diesem Jahr.

Drei der ausgenutzten Fehler sind sogenannte „Security Feature Bypass“-Schwachstellen. Sie umgehen Kernverteidigungen wie Windows SmartScreen und Sicherheitsabfragen der Windows Shell. Nutzer werden dazu verleitet, bösartige Verknüpfungen oder Office-Dokumente zu öffnen – ohne dass die üblichen Warnungen erscheinen.

Zudem patchte Microsoft zwei Privilegienausweitungslücken im Desktop Window Manager und den Remote Desktop Services. Laut CrowdStrike nutzten Angreifer die RDP-Schwachstelle bereits seit Dezember 2025, um SYSTEM-Rechte zu erlangen und Server vollständig zu übernehmen. Eine weitere Zero-Day-Lücke ermöglicht Denial-of-Service-Angriffe auf den Windows Remote Access Connection Manager.

SAP warnt mit höchster Dringlichkeitsstufe

Parallel zu Microsoft adressierte der SAP Security Patch Day 26 neue Schwachstellen. Zwei davon sind als „HotNews“ klassifiziert – die höchste Prioritätsstufe des Walldorfer Konzerns.

Die kritischste Lücke (CVE-2026-0488) mit einem CVSS-Score von 9,9 betrifft den Scripting Editor in SAP CRM und SAP S/4HANA. Authentifizierte Angreifer können hier Schadcode einschleusen und die Systeme vollständig kompromittieren. Da diese Anwendungen oft sensible Finanz- und Kundendaten enthalten, raten Sicherheitsexperten zur sofortigen Installation der Patches.

Eine zweite kritische Schwachstelle (CVE-2026-0509) im SAP NetWeaver Application Server ermöglicht es Nutzern mit niedrigen Berechtigungen, unautorisiert Remote Function Calls (RFCs) auszuführen und interne Sicherheitskontrollen zu umgehen.

Ivanti-Lücken und versteckte „Schläfer“-Malware

Die Lage für IT-Sicherheitsteams verschärfte sich durch neue Warnungen von Ivanti. Das Unternehmen veröffentlichte Patches für seinen Endpoint Manager (EPM), um eine Authentifizierungsumgehung und eine SQL-Injection-Schwachstelle zu schließen.

Die eigentliche Gefahr geht jedoch von einer älteren Schwachstelle im Produkt Endpoint Manager Mobile (EPMM) aus, die weiterhin ausgenutzt wird. Forscher der Defused Cyber beobachteten hochentwickelte „Schläfer“-Webshells – ruhende Schadprogramme auf kompromittierten Geräten, die auf ein Aktivierungssignal warten. Dieser Persistenz-Mechanismus ermöglicht es Angreifern, ihren Zugriff auch nach ersten Bereinigungsversuchen aufrechtzuerhalten. Unternehmen sind so zu aufwändigen Forensik-Untersuchungen gezwungen, statt einfach nur Patches einzuspielen.

Branchenkonsolidierung und KI-gestützte Abwehr

Neben den akuten Bedrohungen zeichnen sich strategische Verschiebungen am Cybersecurity-Markt ab. Palo Alto Networks gab am 11. Februar den Abschluss der Übernahme des Identity-Security-Spezialisten CyberArk bekannt. Branchenbeobachter deuten dies als Schritt, um das Management privilegierter Zugänge direkt in größere Netzwerksicherheitsplattformen zu integrieren – eine direkte Antwort auf die „Identitätskrise“, die viele aktuelle Angriffe befeuert.

Gleichzeitig präsentierte Cisco am 10. Februar größere Updates für sein Sicherheitsportfolio mit Fokus auf „agentic AI“-Verteidigung. Da Unternehmen zunehmend autonome KI-Agenten einsetzen, will Cisco neue Fähigkeiten bereitstellen, um diese nicht-menschlichen Identitäten zu schützen, die zu primären Zielen für Supply-Chain-Angriffe werden.

Analyse: Angreifer neutralisieren den „menschlichen Firewall“

Die synchronisierten kritischen Patches von Microsoft, SAP und Ivanti offenbaren die Fragilität moderner Unternehmenssoftware. Die Häufung von Sicherheitsfunktionsumgehungen bei Microsoft ist für Analysten besonders besorgniserregend. Sie zeigt, dass Angreifer gezielt Ressourcen investieren, um die Sicherheitsmechanismen zu knacken, die Endnutzer vor Social Engineering schützen sollen. Damit wird die letzte Verteidigungslinie, der „menschliche Firewall“, ausgehebelt.

Die Entdeckung der Schläfer-Implantate in Ivanti-Geräten demonstriert zudem einen Trend zu langfristiger Persistenz. Bedrohungsakteure brechen nicht nur ein, sondern graben sich tief in die Infrastruktur ein in der Erwartung, dass Verteidiger die Hauptschwachstelle irgendwann schließen werden. Dies erfordert einen Wechsel vom reinen Schwachstellenmanagement zur kontinuierlichen Threat Hunting-Praxis.

In den kommenden Tagen müssen Unternehmen die sechs aktiven Microsoft-Zero-Days und die SAP-CRM-Schwachstelle priorisieren. Die US-Cybersicherheitsbehörde CISA wird voraussichtlich Bundesbehörden zu strikten Patch-Fristen verpflichten – ein Standard, dem der Privatsektor wahrscheinlich folgen wird.

Unternehmen müssen jetzt nicht nur schnell patchen, sondern auch ihre gesamte Verteidigungsschicht überprüfen. Ein kostenloser E‑Book-Report erklärt praxisnah, welche Sofortmaßnahmen gegen Zero‑Days, persistente Webshells und Phishing-Angriffe wirken — von effektivem Patch‑Management über Threat‑Hunting bis zu Mitarbeiterschulungen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Die Integration von Identity-Security in Plattformangebote, wie sie der Palo Alto-CyberArk-Deal signalisiert, deutet auf eine Zukunft hin, in der Patch-Management automatisiert und strikt an Identity Governance geknüpft ist. Bis diese integrierten Lösungen ausgereift sind, bleiben jedoch manuelle Wachsamkeit und schnelle Reaktion die primären Verteidigungsmittel gegen einen immer agileren Gegner.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.