Die Ausnutzung einer kritischen Sicherheitslücke in Microsoft SharePoint gehörte zu den größten Cybervorfällen des Jahres 2025. Über eine bis dahin unbekannte Schwachstelle, eine so genannte Zero-Day-Lücke, konnten Angreifer weltweit hunderte Organisationen kompromittieren, darunter Unternehmen, Universitäten und Behörden. Wie sich später herausstellte, war es offenbar der chinesische Geheimdienst, der die Gelegenheit zur Spionage nutzte.

Entdeckt wurde die Angriffswelle ausgerechnet von einer Studentin: von der niederländischen Security-Analystin Ilse Versluis. Sie hatte Bereitschaftsdienst an einem Freitagabend im Juli 2025 im Security Operations Center des Sicherheitsanbieters Eye Security, ein Job, den sie parallel zum Studium absolvierte. Im c’t-Podcast „They Talk Tech“ spricht sie nun erstmals öffentlich darüber, was ihr an jenem Freitagabend auffiel, wie sie die ersten Spuren aufdeckte und wie ihr Team den Angriff schließlich analysierte und versuchte, die Welt in Echtzeit zu informieren. Denn die Lücke wurde bereits in großem Stil ausgenutzt, jede Minute zählte.

In der aktuellen Folge rekonstruieren die Hosts Eva Wolfangel und Svea Eckert gemeinsam mit Versluis die entscheidenden Stunden, als eine Warnmeldung zu einem verdächtigen PowerShell-Kommando auf einem SharePoint-Server einging, den das Unternehmen betreute.

Eine Warnmeldung wie viele andere?

Die Warnmeldung habe zunächst ausgesehen wie viele ihrer Art. In einem Bereitschaftsdienst in einem Security Operations Center besteht die Kunst darin, im richtigen Moment hellhörig zu werden. Aber auch als Versluis die ersten Ungereimtheiten auffielen, ahnte sie nicht, dass sie an diesem Freitagabend auf dem Sofa den chinesischen Staatshacker in den Netzen ihres Kunden in flagranti erwischt hatte. „Das Skript war verschleiert“, erzählt sie im Podcast, „das machen typischerweise Angreifer.“

Sie analysierte genauer, was hier gerade vor sich ging und stellte fest, dass das Skript versuchte, sogenannte Machine Keys auszulesen. Diese kryptografischen Schlüssel bilden die Grundlage für die Authentifizierung in Webanwendungen. Wer sie besitzt, kann im Prinzip gültige Login-Tokens erzeugen. „Das ist im Grunde die Vertrauensbasis eines Servers“, erklärt Versluis. Und das auf einem Sharepoint-Server, auf dem potenziell jede Menge sensible und vertrauliche Daten liegen! Sie rief ihre Kollegen zurück aus dem Wochenende.

Und es zeigten sich weitere Auffälligkeiten: In den Serverlogs fand sich eine verdächtige .aspx-Datei, die offenbar als Webshell diente – also als Hintertür, über die Angreifer aus der Ferne Befehle ausführen können. Noch merkwürdiger war ein Detail in den HTTP-Headern der Anfragen: Als Herkunftsseite war die SharePoint-Logout-Seite angegeben. Mit anderen Worten: Jemand, der sich gerade abgemeldet hatte, schrieb gleichzeitig Dateien auf den Server. „Das dürfte eigentlich nicht möglich sein“, sagt Versluis. Irgendjemand umging hier die Authentifizierung komplett.

Was dahintersteckte

Natürlich habe sie nicht mit einer Zero-Day-Lücke gerechnet, sagt Versluis. Das war einfach zu unwahrscheinlich, schließlich entdeckt man nicht alle Tage eine bis dato unbekannte Sicherheitslücke. Erst einige Stunden später sollte klar werden, dass es sich bei weitem nicht um einen einzelnen kompromittierten Server handelte.

Das Team von Eye Security begann daraufhin, weltweit nach verwundbaren SharePoint-Systemen zu suchen. Mehr als 23.000 Server identifizierten die Forscher im Internet, mehr als 400 Organisationen weltweit waren bereits kompromittiert. Microsoft ordnete die Kampagne später staatlich unterstützten chinesischen Hackergruppen zu.

Im Podcast ordnen Wolfangel und Eckert auch den technischen Hintergrund der Lücke ein und mögliche Versäumnisse von Microsoft selbst. Bereits im Mai 2025 hatte ein Sicherheitsforscher auf der Hackerkonferenz Pwn2Own eine verwandte Schwachstelle in SharePoint demonstriert. Microsoft veröffentlichte daraufhin einen Patch, der aber offenbar nicht vollständig war. Das entdeckten nicht nur Sicherheitsforscher, die daraufhin teilweise in den sozialen Netzwerken warnten, dass die Lücke weiterhin ausnutzbar war – sondern offenbar auch die chinesischen Angreifer.

Ein surreales Erlebnis

Wie diese letztlich auf die Idee kamen, rund um die bereits gepatchte Lücke weiter zu suchen, oder ob sie gar an Informationen aus dem Hackercontest gelangt waren, ist bis heute unklar. Der Fall zeigt damit auch ein grundlegendes Dilemma der IT-Sicherheitsforschung: Schwachstellen müssen öffentlich gemacht werden, damit sie geschlossen werden können. Gleichzeitig können veröffentlichte Details oder unvollständige Patches Angreifern Hinweise liefern, wo es sich lohnen könnte, weiter zu suchen.

„Das ausgerechnet ich einen staatlichen Cyberangriff entdecke, das klingt immer noch surreal“, sagt Versluis rückblickend. Schließlich sei sie mehr oder weniger zufällig in der IT-Sicherheit gelandet – nachdem sie lange gedacht hatte, dass sie dort eigentlich nicht hineinpasse. Aber Cybersecurity sei ein Feld, in dem sehr unterschiedliche Fähigkeiten gebraucht würden. „Man muss nicht unbedingt der Hardcore-Hacker sein“, sagt sie. Wichtig sei eher analytisches Denken, „und die Fähigkeit, Dinge miteinander zu verbinden.“ Und natürlich Neugier. Denn Angreifer entwickeln ständig neue Methoden. „Man hört nie auf, zu lernen.“

„They Talk Tech“ erscheint jeden Mittwoch überall, wo es Podcasts gibt. Svea Eckert und Eva Wolfangel diskutieren ein Tech-Thema oder treffen inspirierende Frauen aus und rund um die Tech-Welt.

(mond)

Wer fliegen möchte, steht bei der Buchung der Tickets vor der Qual der Wahl. Denn neben den Portalen der Fluggesellschaften gibt es zahlreiche Dienste, die bei der Suche nach der besten – oder günstigsten – Verbindung helfen können. Dazu gehören spezialisierte Suchmaschinen, aber auch KI. Der Einsatz künstlicher Intelligenz drängt sich regelrecht auf, schließlich geht es salopp formuliert um das stumpfe Vergleichen von in Datenbanken hinterlegten Zeiten und Preisen. Eine Aufgabe, in der die Maschine dem Menschen überlegen sein müsste.

Vor allem für diejenigen, die nur selten per Flugzeug reisen, dürfte die Homepage der Fluggesellschaft der erste und vermutlich einzige Anlaufpunkt sein. Ein möglicher Gedanke: Das Unternehmen wird schon am besten wissen, welche Verbindungen zu meiner Anfrage passen. Dabei übersehen Verbraucher, dass oftmals viele Wege zum Ziel führen. So bedient unter Umständen noch eine zweite Airline die Strecke. Oder es gibt neben dem Direktflug auch eine Umsteigeverbindung, die das Unternehmen nicht in den Suchergebnissen präsentiert.

Doch wie schlagen sich spezialisierte Suchmaschinen gegen KIs? Im Folgenden zeigen wir mit drei Beispielen, mit welch unterschiedlichen Ergebnissen Sie rechnen sollten. Zum Einsatz kamen Google Flug, ITA Matrix Airfare Search und Skyscanner sowie GPT-5.3 (ChatGPT), Claude Sonnet 4.6 (Claude) und Gemini 3 Deep Think (Gemini). Die Aufgaben: ein typischer Ferienflug zum möglichst günstigsten Zeitpunkt, eine USA-Reise mit klaren Vorgaben bezüglich des Umstiegs sowie eine Geschäftsreise mit Vorliebe für eine bestimmte Ausstattung der Maschine. Alle Preise sind als Gesamtkosten für alle Reisenden zu verstehen. Die Ergebnisse haben den Stand 9. März 2026.

Das war die Leseprobe unseres heise-Plus-Artikels „KI vs. Mensch: Günstige Flugtickets finden“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Überschwemmungen sind eine tödliche Gefahr und oftmals schwer vorherzusagen. Künstliche Intelligenz könnte die Vorhersagen verbessern. Doch das Problem ist, dass geeignetes Trainingsmaterial bislang nicht in ausreichender Zahl vorlag. Hier will Google jetzt mit einem neuen Projekt namens Groundsource einen Beitrag leisten, indem es Nachrichtenartikel aus aller Welt in über 80 Sprachen auswertet und daraus geeignetes Datenmaterial extrahiert. 2,6 Millionen historische Flutereignisse wurden bereits als Open-Access-Datensatz veröffentlicht.

Dass KI-Modelle aus dem Wissen um die Vergangenheit brauchbare Vorhersagen für die Zukunft treffen können, hat Google bereits mit seinem WeatherNext-Vorhersagemodell gezeigt – dessen Nachfolger WeatherNext 2 bereits deutlich höhere Geschwindigkeiten erreicht. Dass Googles KI-Modelle bei Hurrikan-Vorhersagen sogar menschliche Experten in den Schatten stellen können, bestätigten jüngst auch unabhängige Forscher.

Chaotische Datensituation

Anders als bei Wetterdaten war die Datensituation bei Flutereignissen deutlich chaotischer. Laut Google fehlt eine standardisierte Beobachtungsinfrastruktur. Bestehende Datenbanken wie die satellitengestützte Global Flood Database (GFD) und das Dartmouth Flood Observatory (DFO) erfassen vor allem große, langanhaltende Katastrophen und haben physikalische Grenzen. Andere Datensammlungen sind zu klein, um KI-Modelle im globalen Maßstab zu trainieren.

Die infrage kommenden Nachrichtenartikel mussten zunächst mit einem Bot gesammelt und per Cloud Translation API ins Englische übersetzt werden. Im nächsten Schritt wurde mit dem Gemini-LLM eine Klassifikation vorgenommen: Zwischen Berichten über Warnungen oder politische Debatten musste die KI jene über tatsächliche Ereignisse herausfiltern.

Die übrig gebliebenen Artikel wurden zeitlich und räumlich genau verortet und nach dem Abgleich mit der Google Maps Platform in eine Datenbank eingetragen. Bei manuellen Überprüfungen erwiesen sich 60 Prozent der extrahierten Ereignisse als in Ort und Zeitpunkt exakt korrekt; 82 Prozent waren für die praktische Analyse ausreichend genau, wie Google in einem Blogpost schreibt.

Vorhersagen bis zu 24 Stunden im Voraus

Die Daten umfassen 2,6 Millionen Flutereignisse in mehr als 150 Ländern und einen Zeitraum vom Jahr 2000 bis heute. Besonders viele Daten liegen für den Zeitraum von 2020 bis 2025 vor, da die Zunahme digitaler Nachrichten hier zu einer höheren Datendichte geführt hat. Google gibt an, dass Ereignisse bis zu 24 Stunden vorhergesagt werden können. Die Vorhersagen werden über Googles Flood Hub bereitgestellt, das Risikohinweise für urbane Gebiete in mehr als 150 Ländern liefert und seine Daten auch mit Katastrophenschutzbehörden in den betroffenen Regionen teilt.

Allerdings gibt es einige Einschränkungen: Das Modell hat aktuell noch eine grobe räumliche Auflösung. Zudem fehlt eine Schnittstelle zu lokalen Radardaten zu Niederschlägen. Für Regionen, die keinen Zugang zu einer solchen Infrastruktur haben, ist das KI-Modell aber besser als nichts. Perspektivisch soll KI auch zur Vorhersage von Erdrutschen und Hitzewellen zum Einsatz kommen.

(mki)