SharePoint-Zero-Day im April-Patchday: 169 Lücken und ein aktiv ausgenutztes Loch
Der Microsoft-Patchday im April 2026 hat mit rund 169 geschlossenen Schwachstellen einen neuen Höchststand markiert. Für sich genommen ist eine hohe Zahl noch keine Nachricht – Patchdays sind oft prall gefüllt. Bemerkenswert ist diesmal eine einzelne Lücke: eine kritische Zero-Day im On-Prem-SharePoint Server, die bereits ausgenutzt wurde, bevor der Fix überhaupt verfügbar war. Genau solche Fälle trennen ein gepflegtes IT-Setup von einem, das auf Glück angewiesen ist.
Was am April-Patchday passiert ist
Microsoft hat am April-Patchday 2026 laut den einschlägigen Sicherheitsmedien rund 169 Schwachstellen geschlossen – eine der umfangreichsten Runden der letzten Jahre. Der eigentliche Aufreger steckt aber nicht in der Menge, sondern in einer bestimmten Lücke: CVE-2026-32201, eine kritische Spoofing-Schwachstelle im On-Premises-SharePoint Server.
Die Ursache ist eine unzureichende Eingabevalidierung, die einem Angreifer Spoofing über das Netzwerk erlaubt. Entscheidend: Die Lücke wurde bereits ab etwa dem 14. April 2026 „in the wild“ ausgenutzt – also aktiv angegriffen, bevor der Patch flächendeckend eingespielt war. Das ist die Definition einer Zero-Day, und sie verschiebt die Dringlichkeit von „bei Gelegenheit“ auf „sofort“.
Warum das CISA und US-Behörden auf den Plan rief
Die US-Behörde CISA nahm CVE-2026-32201 in ihren Known-Exploited-Vulnerabilities-Katalog (KEV) auf. Dieser Katalog ist eine Liste von Lücken, für die eine aktive Ausnutzung nachgewiesen ist – und für US-Bundesbehörden verbindlich. Die Vorgabe: patchen bis zum 28. April 2026.
Damit war es nicht getan. Ende Mai schob Microsoft per Out-of-Band-Update, also außerhalb des regulären Patchday-Rhythmus, einen weiteren hochkritischen SharePoint-Fix nach (CVE-2026-45659). Zwei kritische SharePoint-Baustellen innerhalb weniger Wochen sind kein Zufall.
On-Prem-SharePoint bleibt ein bevorzugtes Ziel
SharePoint-Server im eigenen Rechenzentrum sind für Angreifer attraktiv: Sie enthalten geschäftskritische Dokumente, sind oft tief mit Active Directory und Berechtigungen verzahnt und werden erfahrungsgemäß nicht so diszipliniert gepatcht wie Cloud-Dienste. Wer On-Prem-SharePoint betreibt, übernimmt die volle Verantwortung für den Patch-Zyklus.
Aus unserer Praxis: Das Problem ist selten das Fehlen von Patches, sondern das Fehlen eines verlässlichen Prozesses. Es braucht ein Inventar der exponierten Systeme, ein definiertes Wartungsfenster und – genauso wichtig – ein Monitoring, das Auffälligkeiten meldet, wenn eine Lücke doch einmal offen bleibt. Die gleiche Nachlässigkeit, die wir bei veralteten Firewalls beobachten, gilt auch hier.
Für viele KMU ist SharePoint Online die ruhigere Option
Ehrlich gesagt: Nicht jedes mittelständische Unternehmen muss einen eigenen SharePoint-Server betreiben. Für viele ist SharePoint Online im Rahmen von Microsoft 365 die pragmatischere Wahl – das Patchen der Infrastruktur übernimmt Microsoft, und die verbleibende Aufgabe verschiebt sich zur Governance: Wer darf was, welche Freigaben sind aktiv, wie sind Gäste-Zugriffe geregelt.
- Exponierte On-Prem-Server gehören zuerst gepatcht und, wo möglich, hinter zusätzliche Zugriffskontrollen gestellt.
- Die KEV-Liste der CISA ist auch für deutsche Unternehmen ein brauchbarer Priorisierungs-Kompass.
- SharePoint Online entbindet nicht von der Verantwortung – schlechte Berechtigungs-Governance ist ebenfalls ein Datenleck.
Wir begleiten beide Wege: sauberes Patch-Management für On-Prem und eine geordnete Microsoft-365-Betreuung für den Weg in die Cloud.
Was bleibt
Ein aktiv ausgenutzter Zero-Day zeigt, dass Patch-Disziplin keine Fleißaufgabe ist, sondern der Unterschied zwischen offen und geschlossen. Wer On-Prem-SharePoint betreibt, braucht einen verlässlichen Patch-Prozess und Monitoring. Wer diese Last nicht tragen will, sollte SharePoint Online mit guter Governance ernsthaft prüfen.