Mehrere geschäftskritische Plattformen stehen aktuell im Fokus professioneller Angreifer: Die US‑Behörde CISA meldet die aktive Ausnutzung von Schwachstellen in der Synacor Zimbra Collaboration Suite (ZCS) und in Microsoft Office SharePoint. Parallel dazu setzen Betreiber der Interlock-Ransomware eine Zero-Day-Sicherheitslücke in der Management-Software von Cisco-Firewalls ein. Für Unternehmen weltweit entsteht damit ein erheblich erhöhtes Risiko für erfolgreiche Kompromittierungen.
Akut ausgenutzte Schwachstellen in Zimbra und Microsoft SharePoint
Zimbra Collaboration Suite (CVE-2025-66376): E-Mail als Einfallstor
Zimbra wird von Behörden, Bildungseinrichtungen und Unternehmen als Plattform für Groupware, E-Mail und Collaboration eingesetzt. Die nun von CISA als aktiv ausgenutzt gelistete Schwachstelle CVE-2025-66376 betrifft damit eine zentrale Kommunikationsschnittstelle vieler Organisationen.
Ein erfolgreicher Angriff auf Zimbra kann Angreifern einen direkten Einstieg in die E-Mail-Infrastruktur verschaffen. Typische Folgeschritte sind das Abgreifen von Zugangsdaten, das Mitlesen vertraulicher Kommunikation, das Einrichten von Weiterleitungsregeln oder der Versand interner Phishing-Mails aus legitimen Postfächern. In der Praxis dienen kompromittierte Mailserver häufig als Startpunkt für weitergehende Laterale Bewegung und Ransomware-Angriffe.
Für US-Bundesbehörden der zivilen Verwaltung (FCEB) schreibt CISA die Installation der Sicherheitsupdates für Zimbra bis spätestens 1. April 2026 verbindlich vor. Für Unternehmen im Privatsektor und Organisationen außerhalb der USA handelt es sich zwar um eine Empfehlung, doch der Eintrag in den CISA-Katalog der aktiv ausgenutzten Schwachstellen (Known Exploited Vulnerabilities Catalog) ist ein klares Signal: Das Aufschieben von Patches ist hier mit hohem Risiko verbunden.
Microsoft SharePoint (CVE-2026-20963): Dokumentenplattform im Visier
Microsoft SharePoint fungiert in vielen Unternehmen als zentrales System für Dokumentenablage, Intranet-Portale und Workflow-Automatisierung. Die Schwachstelle CVE-2026-20963, die laut CISA ebenfalls aktiv in Angriffskampagnen ausgenutzt wird, kann Angreifern je nach Konfiguration Zugriff auf sensible Geschäfts- und Personaldaten sowie auf Konten mit erweiterten Berechtigungen ermöglichen.
CISA setzt für FCEB-Behörden eine deutlich kürzere Frist: Die Schließung der SharePoint-Lücke muss bis zum 23. März 2026 erfolgt sein. Diese Priorisierung spiegelt die hohe Attraktivität von SharePoint als Ziel in komplexen, oft langfristig angelegten Angriffsoperationen wider, etwa im Umfeld von Spionage- oder Ransomware-Kampagnen.
Interlock-Ransomware nutzt Cisco Zero-Day CVE-2026-20131
Zusätzlich zu den CISA-Warnungen berichtet Amazon, dass die Gruppe hinter der Interlock-Ransomware seit mindestens dem 26. Januar 2026 eine kritische Schwachstelle in der Management-Software von Cisco-Firewalls ausnutzt. Die Lücke ist als CVE-2026-20131 registriert und wurde mit dem maximalen CVSS-Score von 10,0 bewertet.
Besonders sicherheitsrelevant ist der Umstand, dass der Exploit bereits mehr als einen Monat vor der öffentlichen Offenlegung der Schwachstelle eingesetzt wurde. Damit handelt es sich um eine klassische Zero-Day-Lücke: Weder Hersteller noch Betreiber der betroffenen Systeme hatten zu diesem Zeitpunkt eine Chance, reguläre Schutzmaßnahmen (Patches, Signaturen, Regeln) vorzubereiten. Angreifer verfügen in solchen Szenarien über einen deutlichen taktischen Vorsprung.
Nach Angaben von Amazon konzentriert sich Interlock auf Branchen, in denen Betriebsunterbrechungen besonders schnell erheblichen finanziellen und reputativen Schaden verursachen: darunter Bildung, Ingenieur- und Architekturbüros, Baugewerbe, Industrie und Fertigung, Gesundheitswesen sowie der öffentliche Sektor. Genau in diesen Bereichen sind Firewalls und andere Edge-Systeme häufig stark ausgelastet, komplex konfiguriert und nicht immer konsequent gepatcht – ein typisches Einfallstor für Ransomware-Gruppen.
Trend: Edge-Geräte als bevorzugter Angriffsvektor
Die Ausnutzung von CVE-2026-20131 reiht sich in einen deutlichen Trend der vergangenen Jahre ein: Professionelle Angreifer fokussieren sich zunehmend auf Edge-Geräte wie Firewalls, VPN-Gateways und Remote-Access-Systeme. Häufig genannte Hersteller in öffentlich dokumentierten Vorfällen sind neben Cisco auch Fortinet, Ivanti und weitere Anbieter von Netzwerk-Infrastruktur.
Die Gründe liegen auf der Hand. Erstens besitzen diese Systeme in der Regel einen direkten Zugang aus dem Internet und lassen sich dadurch automatisiert scannen und auf verwundbare Versionen prüfen. Zweitens verschafft die Kompromittierung eines Edge-Geräts Angreifern häufig einen hochprivilegierten Zugang in das interne Netzwerk – oft vorbei an klassischen Schutzmechanismen wie Endpoint-AV oder EDR-Agenten, die primär auf Servern und Clients installiert sind.
Dass Ransomware-Gruppen wie Interlock inzwischen Zero-Day-Lücken in Infrastrukturprodukten ausnutzen, zeigt eine Professionalisierung, die früher vor allem staatlich unterstützten APT-Gruppen zugeschrieben wurde. Unternehmen sollten ihre Bedrohungsmodelle entsprechend anpassen und Edge-Systeme nicht länger nur als „Perimeter-Hardware“, sondern als höchst schützenswerte Kernsysteme behandeln.
Empfohlene Sicherheitsmaßnahmen für Unternehmen
Vor dem Hintergrund der aktuellen Vorfälle sollten Organisationen ihre Schutzmaßnahmen für E-Mail-Plattformen, Collaboration-Systeme und Netzwerk-Perimeter kritisch überprüfen und priorisieren. Folgende Maßnahmen haben sich in der Praxis als besonders wirksam erwiesen:
- Konsequentes Patch- und Vulnerability-Management: Sicherheitsbulletins von CISA und Herstellern (Synacor, Microsoft, Cisco u. a.) aktiv verfolgen und kritische Updates für internet-exponierte Systeme mit höchster Priorität einspielen. Automatisierte Schwachstellenscans helfen, nicht gepatchte Instanzen von Zimbra, SharePoint oder Firewall-Management-Systemen zu identifizieren.
- Inventarisierung und Reduktion der Angriffsfläche: Alle von außen erreichbaren Dienste erfassen, überflüssige Ports und Admin-Oberflächen schließen oder per VPN absichern. Netzwerksegmentierung und das Prinzip der minimalen Berechtigungen begrenzen den Schaden im Falle einer Kompromittierung.
- Starkes Logging und Monitoring von Edge-Geräten: Firewall-, VPN- und E-Mail-Logs zentral in ein SIEM einspeisen, auffällige Anmeldeversuche, Konfigurationsänderungen und Exploit-Muster gezielt überwachen. Ergänzend bieten Threat-Intelligence-Feeds frühzeitige Hinweise auf bekannte Exploit-Kampagnen.
- MFA und Härtung von Administrationskonten: Besonders Zugänge zu Zimbra-, SharePoint- und Firewall-Administration strikt mit Multi-Faktor-Authentifizierung absichern, starke Passwortrichtlinien umsetzen und Admin-Konten regelmäßig auditieren. So erschweren selbst erfolgreiche Exploits eine dauerhafte Etablierung der Angreifer.
- Notfallplanung und Übungen: Ein durchdachter Incident-Response-Plan, regelmäßige Testübungen und Backups, die offline oder unveränderbar (immutable) vorgehalten werden, reduzieren Auswirkungen von Ransomware-Vorfällen erheblich.
Die aktuellen Angriffe auf Zimbra, SharePoint und Cisco-Edge-Geräte machen deutlich, dass unzureichend gepflegte Sicherheitsupdates und eine unterschätzte Perimeter-Infrastruktur heute direkt in gravierende Sicherheitsvorfälle münden können. Organisationen jeder Größe sollten ihre Prozesse zur Schwachstellenbehandlung schärfen, Edge-Systeme als kritische Assets behandeln und davon ausgehen, dass Angriffsversuche nur eine Frage der Zeit sind. Wer jetzt Inventar, Patching, Monitoring und Zugriffsschutz systematisch stärkt, reduziert nicht nur das Risiko konkreter Exploits wie CVE-2025-66376, CVE-2026-20963 und CVE-2026-20131, sondern erhöht insgesamt die Cyber-Resilienz gegenüber der nächsten Angriffswelle.
