Microsoft hat drei verschiedene Gruppen aus China ausgemacht, die aktuelle Toolshell-Angriffe auf Sharepoint-Server durchgeführt haben. Zwei dieser Gruppierungen stehen laut Softwarekonzern mit der chinesischen Regierung in Verbindung. Die Angreifer haben demnach die schwere Sicherheitslücke „Toolshell“ in selbst gehosteten Versionen von Microsoft Sharepoint ausgenutzt und könnten dabei sensible Daten und Kennwörter erbeutet sowie Zugriff auf angeschlossene Systeme erlangt haben.

Erst vor wenigen Tagen wurde diese zuvor unbekannte Sicherheitslücke in den On-Premise-Versionen von Sharepoint festgestellt, für die zunächst kein Patch verfügbar war. Mittlerweile hat Microsoft die ersten Patches für Toolshell veröffentlicht, doch offenbar wurden schon am Wochenende 100 Organisationen kompromittiert. Nach ersten Ermittlungen der Sicherheitsfirma Check Point waren Dutzende Regierungseinrichtungen sowie Telekommunikations- und Softwarefirmen in Nordamerika und Westeuropa Ziel dieser Attacken.

Chinesische Angreifer mit Peking-Verbindung

Zu den ersten Angreifern zählt Microsoft die beiden chinesischen Gruppen „Linen Typhoon“ und „Violet Typhoon“, die demnach von der Regierung in Peking unterstützt werden und die Schwächen in Sharepoint-Servern mit Internetverbindung ausgenutzt haben. Als weitere Gruppierung aus China nennt Microsoft „Storm-2603“, die entsprechende Toolshell-Angriffe durchgeführt haben. Die Untersuchungen dauern allerdings noch an, um weitere Angreifer identifizieren zu können. Microsoft rechnet mit weiteren Attacken auf nicht gepatchte Sharepoint-Systeme, sodass Updates dringlich eingespielt werden sollten.

Allerdings ist Patchen nicht genug nach Angriffen auf Microsoft Sharepoint. Denn gegen aktuelle Toolshell-Attacken könnte das Schließen der Lücken nicht ausreichen, wenn die Angreifer bereits in das System gelangt sind. Es ist deshalb unabdingbar festzustellen, ob tatsächlich ein Angriff erfolgte und vielleicht sogar Erfolg hatte. Microsoft empfiehlt zum Aufspüren den eigenen Defender Antivirus sowie das „Antimalware Scan Interface“ (AMSI), aber Anwender sollten zusätzlich die Maschinenschlüssel für ASP.NET der Sharepoint-Server ändern und die „Internet Information Services“ (IIS) neu starten.

US-Cybersicherheitsbehörde lobt Microsoft

Die Cybersicherheitsbehörde der USA, die CISA, hat die Sharepoint-Lücke mittlerweile in ihren Katalog bekannter und ausgenutzter Sicherheitslücken aufgenommen. Diese als CVE-2025-53770 geführte Schwachstelle ermöglicht das Ausführen von fremdem Code auf den angegriffenen Systemen. „Diese als ‚Toolshell‘ bezeichnete Angriffsaktivität ermöglicht unauthentifizierten Zugriff auf Systeme und ermöglicht böswilligen Akteuren den vollständigen Zugriff auf SharePoint-Inhalte, einschließlich Dateisystemen und internen Konfigurationen sowie die Ausführung von Code über das Netzwerk“, schreibt die CISA.

Gleichzeitig lobt die Cybersicherheitsbehörde den Softwarekonzern für die umgehend eingeleiteten Sofortmaßnahmen. „Microsoft reagiert schnell, und wir arbeiten mit dem Unternehmen zusammen, um potenziell betroffene Unternehmen über empfohlene Maßnahmen zu informieren“, heißt es weiter. „Die CISA empfiehlt allen Organisationen mit lokalen Microsoft SharePoint-Servern, die empfohlenen Maßnahmen umgehend zu ergreifen.“

(fds)

Das Presse- und Informationsamt der Bundesregierung darf seine „Facebook-Fanpage“ weiterbetreiben. Dies hat das Verwaltungsgericht Köln aufgrund der mündlichen Verhandlung vom 17. Juli 2025 entschieden und damit den gegen die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) gerichteten Klagen des Bundes und vom Konzern Meta stattgegeben.

Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber hatte im Juni 2023 dem Bundespresseamt untersagt, eine Facebook-Fanpage für die Bundesregierung zu betreiben. Dagegen haben sich sich sowohl das Amt wie auch der Meta-Konzern gewehrt – und geklagt. Der Fall wurde vor dem Verwaltungsgericht Köln verhandelt.

Das Gericht hat nun entschieden, dass nicht das Bundespresseamt, sondern allein Meta zur Einholung einer Einwilligung der Endnutzenden für die Platzierung von Cookies verpflichtet sei. „Es besteht kein ausreichender Ursachen- und Wirkungszusammenhang zwischen dem Betrieb der Fanpage durch das Bundespresseamt und dem mit der Speicherung und dem Auslesen der Cookies verbundenen Fernzugriff auf die Endgeräte der Nutzer“, so das Gericht. Die Cookies könnten zwar bei Gelegenheit des Besuches einer Fanpage, ebenso jedoch bei dem Besuch einer jeden anderen „Facebook-Seite“ platziert werden.

Auch nach der Datenschutzgrundverordnung (DSGVO) seien Meta und das Bundespresseamt nicht gemeinsam für die beanstandeten Datenverarbeitungen verantwortlich, heißt es weiter. Der Beitrag des Bundespresseamtes zur Speicherung und zum Auslesen der Cookies erschöpfe sich in dem Betrieb der Fanpage. Insbesondere könne das Bundespresseamt keine Parameter für die Platzierung der Cookies und die Auswertung der erhobenen Daten vorgeben. Die bloße Ermöglichung einer Datenverarbeitung begründet nach Auffassung der Kammer indessen nicht die notwendige gemeinsame Festlegung der Mittel der Datenverarbeitung.

Datenschutzbeauftragte hatten Deaktivierung gefordert

Fanpages sind Webseiten auf dem sozialen Netzwerk Facebook, die technisch vom Meta-Konzern betrieben werden – mit all den Datenschutz-Nachteilen, die das auf einer Plattform wie Facebook so mit sich bringt.

Der Bundesdatenschutzbeauftragte ging davon aus, dass ein datenschutzkonformer Betrieb von Facebook-Fanpages nicht möglich ist. Das sahen auch die unabhängigen Datenschutzbehörden der Länder so und haben schon 2022 einen Kurzgutachten (PDF) verfasst, in dem sie die Deaktivierung von offiziellen Behördenseiten fordern, wenn diese einen datenschutzkonformen Betrieb nicht nachweisen können. Behörden hätten eine Vorbildfunktion und müssten sich an den Datenschutz halten, so der Tenor.

Der ehemalige Datenschutzbeauftragte Kelber ging wie schon der Europäische Gerichtshof davor davon aus, dass nicht nur Facebook, sondern auch die Bundesregierung für die Verarbeitung der Daten verantwortlich sei. Das liege daran, dass Facebook den Betreibern von Fanpages Statistiken, so genannte Insights, zur Verfügung stellt.

Diese Funktion stellte jedoch das Bundespresseamt ab. Kelber ließ das nicht gelten und sah weiterhin eine Verantwortung der Bundesregierung. Seine Nachfolgerin Louisa Specht-Riemenschneider hatte im Spiegel-Interview aber angedeutet, dass das Ausschalten der Statistik ausreichen könnte.

Das Verwaltungsgericht hat die Berufung zugelassen, über die das Oberverwaltungsgericht für das Land Nordrhein-Westfalen mit Sitz in Münster entscheiden würde, wenn die Beteiligten dieses Rechtsmittel einlegen.

Politisch verbiete sich die Fanpage

Kelber sieht die Nutzung der Fanpages des US-Konzerns weiterhin kritisch. Er bezweifelt, dass dort nur die Daten eingesammelt werden, „die für den Service notwendig sind“. Es ginge auch nicht nur um die Frage der geteilten Verantwortung.

Es müsse nämlich auch zwischen datenschutzrechtlicher und politischer Bewertung unterschieden werden, so Kelber. Er fragt etwas provokant: „Kein Koalitionspolitiker gibt z.B. der Jungen Freiheit ein Interview. Aber auf X und Meta präsent sein, das soll ok sein?“

Er schreibt, dass schon die Tatsache, „dass Meta Daten über Bürger:innen sammelt, die mit der Regierung kommunizieren“, kritisch sei. Politisch verbiete dies den Betrieb der Fanpage. „Und keine Bundesregierung hat bisher wirklich Druck ausgeübt, dass dies unterbleibt“, so Kelber. Das sei unverständlich.

Update 17:18 Uhr:
In einer Pressemitteilung schreibt die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider: „Ich werde mir die Urteilsbegründung sehr gründlich ansehen und entscheiden, ob ich die Sache der nächsthöheren Instanz, dem Oberverwaltungsgericht Münster, zur Entscheidung vorlege.“

Hamburg plant, das Modell von Bezahlkarten auszuweiten. Wie aus einer Antwort des Senats auf eine parlamentarische Frage der Linken-Abgeordneten Carola Ensslen hervorgeht, bereitet die Finanzbehörde der Stadt „ein Vorprojekt in Hamburg vor, in dem die Prozesse in den bezirklichen Dienststellen mit Barauszahlungen an den Zahlstellen aufgenommen werden sollen“.

Eingeführt hatte Hamburg zunächst Bezahlkarten für Geflüchtete Anfang des Vorjahres. Dabei handelt es sich um eigens geschaffene Zahlungskarten, üblicherweise geknüpft an restriktive Bedingungen, etwa Limits für Bargeldabhebungen. Inzwischen gibt es seit dem Asylbewerberleistungsgesetz eine bundesweite Regelung, Bundesländer haben jedoch weitreichenden Gestaltungsspielraum.

In Hamburg ist etwa der maximale Abhebebetrag auf 50 Euro im Monat beschränkt, zudem sind Online-Käufe mit der dortigen Bezahlkarte nicht möglich. Das Modell ist umstritten, weil es diskriminiert und den „Charakter einer Schikanemaßnahme“ hat, wie die Grundrechteorganisation Gesellschaft für Freiheitsrechte (GFF) ausführt.

Bezahlkarte als „Verwaltungsmodernisierung“

Ob und mit welchen Einschränkungen eine ausgeweitete Bezahlkarte verknüpft wäre, steht noch nicht fest. Allerdings prüfe die Stadt Hamburg seit 2023, wie „die Bargeldausgabe durch die Stadt an Leistungsempfängerinnen und Leistungsempfänger aber auch für andere Prozesse durch den Einsatz moderner Zahlungsmittel reduziert werden kann“, teilt die hamburgische Behörde für Finanzen auf Anfrage mit. Generell gehe es um „Bürokratieabbau und Verwaltungsmodernisierung“, indem Menschen nicht mehr in die Zahlstellen kommen müssten, um ihr Geld zu erhalten, so ein Sprecher der Behörde.

Tatsächlich hat der Prozess bereits begonnen. „Auch wenn aktuell die Nutzung dieser Karten für Asylbewerbende im Fokus steht, wurden erste Sozialarbeiterinnen und Sozialarbeiter bereits mit Karten ausgestattet, um darüber zum Beispiel Taschengeld an Jugendliche in betreuten Einrichtungen auszahlen zu können“, so der Sprecher weiter. In den nächsten Monaten werde die Behörde nun „weitere geeignete Prozesse und Leistungen gemeinsam mit den Bezirken und der Sozialbehörde aufnehmen und die Kartennutzung sukzessive ausrollen“.

Davor warnt Carola Ensslen, die die Anfrage gestellt hatte. „Es war absehbar, dass die repressive Bezahlkarte auch auf andere Leistungsempfänger*innen ausgedehnt würde“, schreibt die Abgeordnete in einer Pressemitteilung. Bei der Ausdehnung auf die Altersgrundsicherung und Sozialhilfe werde es nicht bleiben, vermutet sie. „Was harmlos mit der Abschaffung von Bargeldauszahlungen beginnt, schafft die Möglichkeit für Einschränkungen der Geldnutzung wie bei Geflüchteten“, sagt Ensslen.

„Möglichkeit für Einschränkungen der Geldnutzung“

Dabei sei bisher völlig unklar, was mit einer kostspieligen Bezahlkarte in der Sozialhilfe bezweckt werden soll, sagt Lena Frerichs von der GFF. Schließlich würden vor allem Menschen Sozialhilfeleistungen beziehen, die nicht erwerbsfähig sind oder schon das Rentenalter erreicht hätten. „An der fehlenden Erwerbsfähigkeit oder gar dem Alter wird eine Bezahlkarte nichts ändern“, sagt Frerichs. Die kostengünstigste, digitale Lösung mit geringem Verwaltungsaufwand sei es, die Geldbeträge – wie bisher auch – auf das normale Konto dieser Personen zu überweisen, damit sie ein selbstbestimmtes Leben führen können, sagt die Juristin.

Skandalös sei es, so Frerichs, wenn Sozialhilfeberechtigte durch solche Forderungen in ein schlechtes Licht gerückt werden. Es entstehe der Eindruck, als wären sie nicht in der Lage, selbstbestimmt mit Geld umzugehen oder hätten andere Optionen, ihren Lebensunterhalt zu decken. „Das ist diffamierend und gerade im Sozialhilferecht völlig fehl am Platz“, sagt Frerichs.

Außerdem bleibe ebenfalls offen, welche Beschränkungen eine Bezahlkarte im Sozialhilferecht haben soll. Aus rechtlichen Gründen kämen allenfalls Bezahlkarten ohne Bargeldbeschränkung in Betracht. „Das ist allerdings völlig sinnlos, denn diese kostet die Kommunen viel Geld, das gespart werden könnte, wenn die Sozialleistung einfach auf normale Konten überwiesen werden würde“, sagt Frerichs.