Microsoft Office: Kritische Lücke zwingt zu Notfall-Patches

Eine akut ausgenutzte Sicherheitslücke in Microsoft Office setzt Unternehmen weltweit unter Druck. Die Schwachstelle ermöglicht Angreifern, zentrale Schutzmechanismen zu umgehen – Microsoft reagierte mit außerplanmäßigen Notfall-Updates.

Dringende Patch-Pflicht für Unternehmen

Die als CVE-2026-21509 bekannte Zero-Day-Lücke wird bereits aktiv für Angriffe genutzt. Microsoft veröffentlichte daher am 26. Januar Notfall-Patches. Betroffen sind nahezu alle gängigen Office-Versionen, von Office 2016 bis zu den aktuellen Microsoft 365 Apps for Enterprise. Die US-Cybersicherheitsbehörde CISA stufte die Lücke als so kritisch ein, dass sie eine Behebungsfrist für Bundesbehörden bis zum 16. Februar 2026 setzte. Für deutsche Unternehmen bedeutet das: Wer die Updates ignoriert, riskiert Compliance-Verstöße und schwere Sicherheitsvorfälle.

Diese Zero‑Day‑Lücke in Microsoft Office macht deutlich, wie schnell Angreifer über manipulierte Dateien Zugang zu Unternehmensnetzwerken bekommen. Das kostenlose E‑Book „Cyber Security Awareness Trends“ liefert praxisnahe Schutzmaßnahmen für genau solche Fälle: Prioritätenlisten für Notfall‑Patches, sofort umsetzbare Checklisten für Patch‑Management, Maßnahmen gegen schädliche Office‑Anhänge und konkrete Schritte zur Mitarbeitersensibilisierung – inklusive Hinweisen zur DSGVO‑konformen Dokumentation. Ideal für IT‑Leiter und Geschäftsführung, die Risiken schnell und nachhaltig senken wollen. Jetzt kostenloses Cyber‑Security‑E‑Book herunterladen

So funktioniert der Angriff

Die Schwachstelle liegt in der Object Linking and Embedding (OLE)-Technologie von Office. Sie erlaubt es, Inhalte zwischen Anwendungen einzubetten. Angreifer nutzen einen Fehler in dieser Funktion, um Sicherheitsbarrieren zu umgehen, die eigentlich vor schädlichen Steuerelementen schützen sollen. Der Angriff erfordert, dass ein Nutzer eine manipulierte Office-Datei öffnet. Die Komplexität dafür ist laut Microsoft jedoch „gering“. Ist die Datei erst geöffnet, können Angreifer unautorisierten Zugriff erlangen oder ihre Berechtigungen im System ausweiten.

Automatische und manuelle Lösungen

Der Weg zur Absicherung hängt von der Office-Version ab:
* Für Microsoft 365, Office 2021 und Office LTSC 2024 verteilt Microsoft eine serverseitige Korrektur automatisch. Entscheidend ist, dass Nutzer ihre Office-Anwendungen neu starten, damit der Schutz aktiv wird.
* Für ältere Versionen wie Office 2016 und 2019 müssen dedizierte Sicherheitsupdates manuell oder über bestehende Update-Prozesse installiert werden.
* Als Übergangslösung bietet Microsoft einen Workaround über die Windows-Registry an, der anfällige Steuerelemente blockiert. Dies ist jedoch keine dauerhafte Lösung.

Compliance-Risiko und Handlungsdruck

Die aktive Ausnutzung der Lücke hat direkte rechtliche Konsequenzen. Vorgaben wie die DSGVO und die neue NIS2-Richtlinie verpflichten Unternehmen zu angemessenen Sicherheitsmaßnahmen. Eine bekannte, kritische Schwachstelle nicht zu patchen, kann als grobe Fahrlässigkeit gewertet werden. Im Schadensfall drohen hohe Bußgelder und massive Reputationsverluste. Ein schnelles, dokumentiertes Patch-Management ist daher kein technisches Detail, sondern eine zentrale Compliance-Anforderung.

Proaktive Sicherheit als Lehre

Der Vorfall zeigt erneut, wie schnell Zero-Day-Lücken zum Ernstfall werden. IT-Verantwortliche sollten jetzt ihre Prozesse überprüfen und:
1. Die Patches umgehend einspielen.
2. Mitarbeiter für die Gefahr durch verdächtige Office-Anhänge sensibilisieren.
3. Langfristig die Office-Sicherheit härten – etwa durch das Deaktivieren nicht benötigter Makros, wie es auch das BSI empfiehlt.

Nur eine proaktive Strategie reduziert die Angriffsfläche und schützt vor den immer schneller werdenden Bedrohungen aus dem Netz.