Microsoft SharePoint: Ab März blockiert die Sicherheitsrichtlinie
18.02.2026 - 00:21:12
Microsoft schaltet den Sicherheitsschutz für SharePoint Online scharf. Ab dem 1. März 2026 werden nicht-konforme Anwendungen automatisch blockiert. Tausende Unternehmen müssen ihre eigenen Lösungen jetzt schnellstens anpassen.
Die neue Content Security Policy (CSP) wird für alle Nutzer des Cloud-Dienstes SharePoint Online verbindlich. Sie wechselt von einem reinen Warnmodus in den aktiven Blockiermodus. Das bedeutet: Skripte und Ressourcen, die gegen die Regeln verstoßen, werden vom Browser nicht mehr ausgeführt. Betroffen sind vor allem individuell entwickelte Erweiterungen und Apps.
Für Entwickler und IT-Administratoren beginnt damit ein Wettlauf gegen die Zeit. Sie müssen alle eigenen SharePoint Framework (SPFx)-Lösungen überprüfen und aktualisieren. Andernfalls droht ab März der Ausfall kritischer Geschäftsprozesse. Microsoft bietet lediglich eine optionale Verlängerungsfrist von 90 Tagen per PowerShell-Befehl an.
SharePoint‑Sicherheit jetzt schnell verbessern – unser kostenloser Cyber‑Security‑Leitfaden erklärt praxisnah, welche Sofortmaßnahmen Entwickler und IT‑Admins gegen XSS, unsichere Skriptquellen und andere Web‑Bedrohungen umsetzen sollten. Mit Checklisten zur Priorisierung von Fixes und konkreten Best‑Practices für Cloud‑Dienste ist er ideal für Unternehmen, die einen sicheren Betrieb ihrer SharePoint‑Erweiterungen gewährleisten wollen. Jetzt kostenlosen Cyber-Security-Report herunterladen
Warum Microsoft jetzt hart durchgreift
Hinter der strikten Durchsetzung steht ein drängendes Sicherheitsproblem: Cross-Site-Scripting (XSS). Diese Angriffsmethode, bei der Schadcode in Webseiten eingeschleust wird, gehört zu den häufigsten Sicherheitslücken im Internet. Die CSP wirkt hier wie eine Firewall für den Browser. Sie erlaubt nur das Laden von Skripten aus vorher definierten, vertrauenswürdigen Quellen.
„Die Weblandschaft ist voller Skript-Schwachstellen“, erklärt ein Sicherheitsexperte. „Von Buchungsplattformen bis zu Tools für die Arbeitsautomatisierung – überall tauchen Lücken auf, die ohne CSP ausgenutzt werden könnten.“ Microsofts Schritt folgt einem branchenweiten Trend zu sichereren Standardeinstellungen, um die Angriffsfläche für alle Kunden zu verkleinern.
Was Entwickler jetzt tun müssen
Die Uhr tickt. Die erste und wichtigste Aufgabe ist eine umfassende Bestandsaufnahme. Entwickler sollten alle eigenen SPFx-Anwendungen prüfen. Besonderes Augenmerk liegt auf dem Laden von JavaScript-Bibliotheken von externen Servern und auf sogenannten Inline-Skripten direkt im HTML-Code. Beide Praktiken sind riskant und werden von der neuen CSP typischerweise unterbunden.
Hilfe bieten die Logs aus der bisherigen „Report-only“-Phase. Sie zeigen genau, welche Ressourcen in der Vergangenheit gegen die Richtlinie verstoßen haben. Anhand dieser Daten können die notwendigen Anpassungen priorisiert werden.
Die dauerhafte Lösung ist eine Modernisierung des Codes. Inline-Skripte müssen ausgelagert und externe Abhängigkeiten von genehmigten Quellen geladen werden. Diese Mühe lohnt sich doppelt: Sie sichert nicht nur den Weiterbetrieb, sondern erhöht auch grundlegend die Sicherheit der firmeneigenen Software.
Ein Standard setzt sich durch
Die verbindliche CSP in SharePoint ist kein Einzelfall. Der Sicherheitsstandard hat sich von einem Expertenwerkzeug zu einer essentiellen Best Practice entwickelt. Sogar der Zahlungsverkehrsstandard PCI DSS 4.0.1 empfiehlt CSP ausdrücklich als Schutz vor Datendiebstahl in Online-Shops.
Gleichzeitig ist die Technologie ausgereift. Veraltete, herstellerspezifische Header werden von modernen Browsern ignoriert. Heute kommt nur noch der standardisierte Content-Security-Policy-Header zum Einsatz. Eine korrekte Implementierung ist daher entscheidend für den Schutz.
Für die deutsche Wirtschaft, in der viele Unternehmen auf SharePoint als zentrale Kollaborationsplattform setzen, hat die Ankündigung hohe Relevanz. Sie unterstreicht, dass Sicherheit in der Cloud eine gemeinsame Aufgabe von Anbieter und Kunde bleibt. Die kommenden Wochen werden zeigen, wie reibungslos dieser Sicherheits-Upgrade gelingt.
@ boerse-global.de
Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.
