Die stille Gefahr: Warum Zahlen trügen
Das Kernproblem liegt nicht in der Gesamtmenge der Schwachstellen, sondern in ihrer Konzentration und ihren Auswirkungen. Die Verdopplung kritischer Lücken bei stabiler Gesamtzahl offenbart eine Verschiebung hin zu hochgefährlichen Sicherheitslücken – jenen, die unmittelbar Branchenverantwortung für Datenschutzverstöße nach sich ziehen können.
Die jüngste Analyse der Microsoft Vulnerabilities Report 2026 zeigt: Attacken folgen nicht mehr dem klassischen Schema. Initiale Zugriffe sind oft trivial – ein Download, ein Klick auf einen Link. Die eigentliche Gefahr liegt in der anschließenden Eskalation von Rechten und der seitlichen Bewegung durch Netzwerke mittels legitimer Anmeldedaten. Dieses Muster korrespondiert mit realen Breaches, die deutsche Sicherheitsverantwortliche täglich dokumentieren.
Azure und Dynamics 365: Ein Cloud-Desaster
Partikular alarmierend ist die Situation in Microsoft-Cloud-Diensten. Während die Gesamtanzahl der Lücken in Azure und Dynamics 365 leicht sank, explodierten kritische Schwachstellen von 4 auf 37 – ein neunfacher Anstieg. In modernen Unternehmenslandschaften sind diese Plattformen längst nicht mehr bloße Infrastruktur: Sie kontrollieren Identitäts- und Zugriffsverwaltung, automatisieren Geschäftsprozesse und bilden die Control Planes ganzer Unternehmensgruppen.
Ein kritischer Fehler kann Workflows kollabieren lassen und Vertrauensgrenzen in Maschinengeschwindigkeit zerstören. CVE-2025-55241, eine kritische Azure Entra ID-Lücke aus Juli 2025, illustrierte dies drastisch: Angreifer konnten Tokens fälschen, die mandantenübergreifend akzeptiert wurden – ohne Spuren in Audit-Logs zu hinterlassen. Für deutsche Unternehmen mit DSGVO-Meldepflicht ein Schreckensszenario.
Office und Server: Flächenbrände im Produktivbetrieb
Microsoft Office verzeichnete einen beispiellosen Anstieg: 234 Prozent mehr Schwachstellen (47 auf 157), kritische sogar um das Zehnfache (3 auf 31). Office bleibt die am meisten missbrauchte Angriffsfläche, da es an der Schnittstelle von Nutzerverhalten, Alltagsbetrieb und Geschäftskontinuität sitzt. Makros, gemeinsame Dokumente, Preview-Panes und KI-Funktionen bieten Angreifern zahlreiche Eintrittspunkte – oft via Social Engineering.
Auf der Server-Seite blieben kritische Schwachstellen konstant hoch: 50 kritische unter 780 Windows Server-Lücken. Server sind hochwertige Ziele, da sie mit erhöhten Privilegien laufen und geschäftskritische Services hosten.
Was deutsche Organisationen tun müssen
Reine Patch-Management reicht nicht aus. Das BSI und der BfDI würden hier Folgendes empfehlen:
Privilegien-Audit: Überprüfung stehender Admin-Rechte ist oberste Priorität. Service-Accounts und KI-Agenten müssen mit derselben Strenge kontrolliert werden wie menschliche Identitäten.
Kontext statt CVSS-Scores: Organisationen müssen Schwachstellen priorisieren, die Privilege Escalation, Identitätsmissbrauch und laterale Bewegung ermöglichen – nicht nur nach technischen Scores.
Identity Visibility: In einer Cloud-First-Umgebung ist das klassische Vertrauensmodell obsolet. Continuous Risk Assessment und Least-Privilege-Architektur sind notwendig.
KI-Sicherheit: KI-Agenten sind mittlerweile Realität, nicht Zukunftsmusik – ohne adäquate Governance-Maßnahmen ein großes Risiko.
Fazit: Stille ist der neue Lärm
Threat Actors «knacken die Vordertür nicht mehr mit roher Gewalt»: Sie gehen hinein, eskalieren still und operieren als vertraute Nutzer – menschlich und maschinell. Die paradoxe Botschaft der stabilen Vulnerability-Zahlen lautet: Je ruhiger die Statistik, desto größer die reale Gefahr, wenn Organisationen nicht fundamental umdenken.