Zum Inhalt springen

IT-Wochenrückblick KW 28/2026: Ransomware über SharePoint, kritische ColdFusion-Lücke & Datenleck bei der Deutschen Bank

SharePoint-Server im Visier von Ransomware, eine ColdFusion-Lücke mit Höchstwertung und ein Datenleck bei der Deutschen Bank
14. Juli 2026 durch
IT-Wochenrückblick KW 28/2026: Ransomware über SharePoint, kritische ColdFusion-Lücke & Datenleck bei der Deutschen Bank
Jonas Dallmann

Liebe Leserinnen und Leser,

diese Woche zeigt sich, wie schnell aus einer bekannten Schwachstelle ein handfestes Ransomware-Problem wird – und dass selbst Großkonzerne nicht vor Datenlecks gefeit sind. Wir haben die drei wichtigsten Themen für Sie eingeordnet und die kompakten Quick News zusammengestellt.

Top 1: Ransomware über SharePoint-Server – CISA und Microsoft warnen vor aktiven Angriffen

In Microsofts SharePoint Server klafft eine kritische Sicherheitslücke (CVE-2026-45659, CVSS 8,8), die derzeit aktiv ausgenutzt wird. Über eine unsichere Verarbeitung von Daten („Deserialisierung“) können bereits Angreifer mit einfachen Mitglieds-Rechten auf einer Website aus der Ferne Schadcode ausführen. Microsoft hatte die Lücke im Mai 2026 für die SharePoint-Versionen Subscription Edition, 2019 und Enterprise 2016 geschlossen. Die US-Behörde CISA nahm sie am 2. Juli 2026 in ihre Liste aktiv ausgenutzter Schwachstellen auf und setzte Behörden eine ungewöhnlich kurze Frist zum Nachbessern.

Besonders brisant: Die mutmaßlich aus China stammende Gruppe „Storm-2603“ nutzt die Lücke, um Ransomware (u. a. „Warlock“) zu verbreiten und sich seitlich durch kompromittierte Netzwerke zu bewegen. Wer SharePoint selbst („on-premises“) im Haus betreibt, sollte jetzt handeln.

Was bedeutet das für Sie?

  • Prüfen Sie umgehend, ob Sie SharePoint Server selbst betreiben – und ob die Sicherheitsupdates vom Mai 2026 eingespielt sind.
  • Beschränken Sie den Zugriff auf SharePoint-Server aus dem Internet und trennen Sie Ihr Netzwerk in Segmente.
  • Achten Sie auf ungewöhnliche Aktivitäten und halten Sie geprüfte, offline gelagerte Backups bereit.

Top 2: Adobe ColdFusion – kritische Lücke mit Höchstwertung wird binnen Stunden ausgenutzt

In der Software Adobe ColdFusion steckt eine Schwachstelle (CVE-2026-48282) mit der höchstmöglichen Bewertung (CVSS 10 von 10). Über einen sogenannten Path-Traversal-Fehler können Angreifer auf eigentlich geschützte Dateien und Funktionen zugreifen. Nach der Veröffentlichung am 30. Juni 2026 begannen die ersten Angriffe bereits rund zwei Stunden später.

ColdFusion ist ein Anwendungsserver, der im Hintergrund mancher Firmen-Websites und Portale arbeitet. Solche Höchstwertungs-Lücken sind ein bevorzugtes Ziel. Und selbst wenn Sie ColdFusion nicht selbst einsetzen, zeigt der Fall eindrücklich, wie kurz das Zeitfenster zwischen Bekanntwerden und aktivem Angriff inzwischen ist.

Was bedeutet das für Sie?

  • Fragen Sie Ihren IT-Dienstleister oder Webentwickler, ob ColdFusion irgendwo im Einsatz ist – und ob es aktualisiert wurde.
  • Spielen Sie Sicherheitsupdates für über das Internet erreichbare Systeme grundsätzlich sofort ein.
  • Schützen Sie kritische Webanwendungen zusätzlich mit einer Web Application Firewall (WAF).

Top 3: Datenleck bei der Deutschen Bank – Ransomware-Gruppe veröffentlicht Mitarbeiterdaten

Am 7. Juli 2026 veröffentlichte die Ransomware-Gruppe „Unsafe“ angeblich erbeutete Daten der Deutschen Bank auf einer Darknet-Leak-Seite. Zu den geleakten Informationen zählen laut den Angreifern E-Mail-Adressen von Mitarbeitenden, Passwort-Hashes, physische Adressen sowie Screenshots interner Datenbankeinträge.

Auch wer nicht direkt betroffen ist, sollte aufmerksam werden: Geleakte E-Mail-Adressen und Passwort-Hashes sind der Rohstoff für gezielte Phishing- und „Credential-Stuffing“-Angriffe, bei denen gestohlene Zugangsdaten automatisiert bei anderen Diensten durchprobiert werden. Besonders gefährlich sind dabei mehrfach verwendete Passwörter.

Was bedeutet das für Sie?

  • Nutzen Sie für jeden Dienst ein eigenes, starkes Passwort – am besten verwaltet mit einem Passwort-Manager.
  • Aktivieren Sie überall dort die Zwei-Faktor-Authentifizierung, wo sie angeboten wird.
  • Prüfen Sie regelmäßig über Dienste wie „Have I Been Pwned“, ob Ihre Adressen in bekannten Datenlecks auftauchen.

⚡ Quick News der Woche

  • Chrome dringend updaten: Google hat erneut Sicherheitsupdates für den Chrome-Browser veröffentlicht und dabei einen aktiv ausgenutzten Zero-Day (CVE-2026-5281) geschlossen – Browser umgehend aktualisieren und automatische Updates aktivieren.
  • Joomla-Lücke im Visier: Eine kritische Schwachstelle im „Joomla Content Editor“ (CVE-2026-48907, CVSS 10) wurde in die CISA-Liste aktiv ausgenutzter Lücken aufgenommen; Betreiber von Joomla-Websites sollten sofort patchen.
  • Fortinet patcht kritisch: Fortinet hat kritische Lücken unter anderem in FortiAuthenticator (CVE-2026-44277, CVSS 9,1) geschlossen, über die sich Angreifer ohne Anmeldung Zugriff verschaffen könnten – Updates zeitnah einspielen.
  • Schwachstellen-Rekord: Im zweiten Quartal 2026 wurden über 20.700 neue Sicherheitslücken gemeldet – der Anteil kritischer Lücken stieg um mehr als 60 %. Ein konsequentes Update-Management wird damit immer wichtiger.
  • CISA-Patchfrist beachten: Für mehrere aktiv ausgenutzte Lücken setzte die US-Behörde CISA eine Frist bis zum 10. Juli – ein guter Anlass, auch die eigenen Systeme auf offene Updates zu prüfen.

💡 Fazit & Empfehlung

Diese Woche zeigt einmal mehr, wie schnell aus bekannten Lücken echte Angriffe werden – und wie wichtig gute Passwort-Hygiene ist. Prüfen Sie die drei wichtigsten Stellschrauben:

✓ Eigene Server prüfen: SharePoint, ColdFusion & Co. – wer solche Systeme selbst betreibt, sollte ausstehende Updates jetzt einspielen.

✓ Zugänge härten: Einzigartige Passwörter plus Zwei-Faktor-Authentifizierung schützen vor den Folgen von Datenlecks.

✓ Schnell reagieren: Die Zeit zwischen Bekanntwerden und Angriff schrumpft – automatische Updates und ein Notfallplan zahlen sich aus.

Sprechen Sie uns an – wir prüfen gemeinsam, welche Ihrer Systeme betroffen sein könnten, und bringen Ihre IT auf einen sicheren Stand. Ihr Team von IT Navigator.

📚 Quellen

  • heise Security: SharePoint-Lücke CVE-2026-45659 – aktive Angriffe, CISA-Warnung
  • The Hacker News: SharePoint RCE CVE-2026-45659 in CISA-KEV aufgenommen
  • it-daily / heise: Adobe ColdFusion – kritische Path-Traversal-Lücke (CVSS 10) aktiv ausgenutzt
  • cybernews: Ransomware-Gruppe „Unsafe“ – angebliches Datenleck bei der Deutschen Bank
  • Bleeping Computer: Google schließt vierten aktiv ausgenutzten Chrome-Zero-Day 2026

👉 Letzte Woche verpasst? Hier geht's zum vorherigen Wochenrückblick: Wochenrückblick KW 27/2026.

© IT Navigator · Wochenrückblick KW 28/2026 · Stand: 10.07.2026

in News