Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 4. Juni 2026 eine Sicherheitswarnung mit der höchsten Risikostufe für Azure und Microsoft 365 veröffentlicht. Die Warnung betrifft kritische Lücken in Azure, Microsoft 365 Copilot und dem Edge-Copilot, die Privilegieneskalationen sowie unbefugte Codeausführungen ermöglichen und Unternehmen zu sofortigen Sicherheitsmaßnahmen zwingen.
Die aktuelle Lage für Microsoft-Kunden ist prekär. Während das BSI die Alarmglocken läutet, zeigt die Realität in der Entwickler-Infrastruktur, wie schnell Theorie in Praxis umschlägt. Nur einen Tag nach der Warnung griff der selbstreplizierende Wurm „Miasma“ an. Wie Boerse Express berichtet, befiel dieser Supply-Chain-Angriff 73 Microsoft-Repositorys auf GitHub und zwang zur vorübergehenden Abschaltung von Azure Functions.
GitHub reagierte schnell und sperrte die betroffenen Projekte innerhalb von 105 Sekunden. Dennoch bleibt der Beigeschmack: Automatisierte Entwicklungsumgebungen sind ein offenes Tor. IT-Experten raten nun dringend dazu, feste Versionsnummern bei Code-Bibliotheken zu nutzen und die Überwachung von Cloud-Zugangsdaten massiv zu verschärfen.
Sicherheitslücken in SharePoint: RCE-Risiken für einfache Benutzerkonten
Parallel zu den Azure-Problemen steht SharePoint im Fadenkreuz. Hier geht es nicht nur um Informationsabfluss, sondern um die vollständige Kontrolle über das System. Die Schwachstelle CVE-2026-45659 ist besonders tückisch, da sie eine Remotecodeausführung (RCE) ermöglicht, für die kein Administratorzugang erforderlich ist.
Einem Bericht von Security-Insider zufolge genügt ein einfaches Benutzerkonto auf Site-Member-Ebene, um über einen Deserialisierungsfehler (CWE-502) eigenen Code einzuschleusen. Microsoft bewertet diesen Fehler mit einem CVSS-Wert von 8,8.
Interessant ist hier das Versagen in der Kommunikation: Die Lücke wurde zwar bereits mit dem Mai-Patchday geschlossen, fehlte jedoch zunächst im offiziellen Sammelpaket und wurde erst am 26. Mai 2026 nachgereicht. Wer das Mai-Update installiert hat, ist geschützt, doch die Lücke in der Dokumentation zeigt eine gewisse Hektik im Patch-Management des Redmond-Giganten.
Zusätzlich warnte das BSI bereits am 1. Juni 2026 vor der Lücke CVE-2026-47294. Laut IT Boltwise betrifft diese Schwachstelle Windows sowie diverse SharePoint-Server-Varianten und wird mit einem CVSS Base Score von 8,0 eingestuft. Die Kombination aus verschiedenen RCE-Vektoren macht SharePoint-Umgebungen, die oft als zentrale Dokumentenknoten dienen, zu einem primären Ziel für gezielte Intrusionen.
| CVE-Kennung | Betroffene Systeme | CVSS-Score | Risiko / Effekt |
|---|---|---|---|
| CVE-2026-45659 | SharePoint Server (verschiedene Editionen) | 8,8 | RCE via einfachem Benutzerkonto |
| CVE-2026-47294 | Windows & SharePoint Server | 8,0 | RCE durch authentifizierte Akteure |
| CVE-2026-42824 / 48579 | Azure, M365 Copilot, Edge Copilot | Höchste Stufe | Privilegieneskalation & Codeausführung |
Der EU Cloud and AI Development Act und die Souveränitätsfrage
Die technischen Pannen kommen zu einem Zeitpunkt, an dem die Europäische Kommission die Abhängigkeit von US-Cloud-Anbietern radikal beenden will. Im Juni 2026 startete die EU das „Tech Sovereignty Package“, dessen Herzstück der Cloud and AI Development Act (CADA) ist.
Der CADA führt vier Sicherheitsstufen ein, die sogenannten „Union Assurance Levels“ (UAL 1-4). Die Anforderungen sind drastisch: In den Stufen 3 und 4, die für kritische Infrastrukturen und sensible Regierungsdaten gelten, darf die Infrastruktur ausschließlich von EU-Bürgern betrieben werden. Dies stellt Unternehmen vor ein massives Problem, wenn sie auf Microsoft Copilot setzen, da dieses System tief in der US-gesteuerten Microsoft-Infrastruktur verwurzelt ist.
Ein zentraler Konfliktpunkt bleibt der US CLOUD Act. Dieser erlaubt US-Behörden den Zugriff auf Daten von US-Unternehmen weltweit – ein direkter Widerspruch zu den Souveränitätszielen der EU. Die finanziellen Dimensionen dieses Umbaus sind gewaltig: Bis 2036 werden schätzungsweise 200 Milliarden Euro für europäische Rechenzentren und weitere 100 Milliarden Euro für Cloud- und KI-Infrastrukturen benötigt.
Aktuell dominieren AWS, Azure und Google rund 70 Prozent des europäischen Marktes. Der CADA ist der Versuch, diesen Markt zurückzuerobern, indem Sicherheit nicht mehr nur als technisches Feature, sondern als geopolitische Notwendigkeit definiert wird.
Datenschutzrisiken durch die Standort-Erkennung in Teams
Während die Sicherheitsbehörden Lücken schließen, schafft Microsoft an anderer Stelle neue rechtliche Angriffsflächen. Bis Ende Juni 2026 rollt das Unternehmen die Funktion „Automatic Update of work location“ für Microsoft Teams aus. Das System erkennt den Arbeitsort von Mitarbeitern über WLAN- und Peripheriedaten.
Microsoft argumentiert, dass keine Historie gespeichert und die Daten am Tagesende gelöscht werden. Arbeitsrechtler sehen das anders. Unter der DSGVO ist die Einwilligung im Beschäftigungsverhältnis oft problematisch, da sie als unfreiwillig eingestuft werden kann. In Österreich ist die Situation noch komplizierter: Hier unterliegt die Funktion der Mitbestimmungspflicht, was bedeutet, dass ohne Zustimmung des Betriebsrats eine Aktivierung rechtlich kaum haltbar ist.
Die Funktion ist zwar standardmäßig deaktiviert, doch die bloße Existenz solcher Kontrollmechanismen in einer Cloud-Umgebung, die ohnehin unter dem Verdacht der US-Zugriffsmöglichkeit steht, erhöht den Druck auf die Compliance-Abteilungen in Europa.
Was bleibt, ist ein Bild der Instabilität. Zwischen kritischen RCE-Lücken in SharePoint, Wurm-Attacken auf Azure-Entwickler und einer EU, die ihre digitalen Grenzen schließt, steht Microsoft unter einem enormen Rechtfertigungsdruck. Für Unternehmen bedeutet das: Vertrauen in den Anbieter reicht nicht mehr aus. Validierte Workarounds, striktes Patch-Management und eine strategische Überprüfung der Cloud-Abhängigkeit sind ab sofort keine Option mehr, sondern eine Überlebensstrategie.
