Im digitalen Zeitalter spielt Cybersicherheit eine immer bedeutendere Rolle, vor allem für Unternehmen, die auf Cloud-Dienste setzen, um ihre Daten zu verwalten und zu schützen. Eine kürzlich aufgedeckte Sicherheitsverletzung bei Commvault, einem führenden Anbieter von Unternehmens-Backup-Lösungen, rückt das Thema erneut in den Fokus. Hacker nutzten dabei die Zero-Day-Sicherheitslücke mit der Kennung CVE-2025-3928 aus, um in die Microsoft Azure-Umgebung von Commvault einzudringen. Diese Sicherheitslücke markiert einen bedeutsamen Vorfall, der die Verwundbarkeit selbst renommierter Anbieter verdeutlicht, aber ebenso zeigt, wie wichtig konsequente Schutz- und Reaktionsmaßnahmen im Bereich der Cyberabwehr sind. Commvault, bekannt für seine umfassenden Backup- und Datenmanagement-Lösungen, meldete den Vorfall im Mai 2025.
Laut Unternehmensangaben handelte es sich bei den Angreifern um einen bislang nicht identifizierten APT-Akteur (Advanced Persistent Threat), der zielgerichtet die cloudbasierte Infrastruktur von Commvault kompromittierte. Trotz des erfolgreichen Eindringens gab es zum Zeitpunkt der Veröffentlichung keine Hinweise darauf, dass Kundendaten unbefugt ausgelesen oder manipuliert wurden. Commvault betonte ausdrücklich, dass ihre Backup-Daten weiterhin sicher seien und dass der Geschäftsbetrieb sowie die Bereitstellung von Dienstleistungen nicht wesentlich beeinträchtigt wurden. Der Angriff begann bereits einige Wochen vor der offiziellen Bekanntgabe. Microsoft hatte Commvault bereits im Februar 2025 auf verdächtige Aktivitäten innerhalb der Azure-Umgebung aufmerksam gemacht, woraufhin erste interne Untersuchungen gestartet wurden.
Die Ursache für die Sicherheitsverletzung konnte auf die Schwachstelle CVE-2025-3928 zurückgeführt werden, die von den Angreifern als Zero-Day-Exploit genutzt wurde. Ein Zero-Day bezeichnet dabei eine Sicherheitslücke, die bis zu ihrem Bekanntwerden von niemandem öffentlich dokumentiert oder gepatcht wurde, wodurch sie für Angreifer besonders attraktiv ist. Die Schwachstelle betraf den Commvault Web Server, der eng mit Azure-integrierten Diensten verbunden ist. Durch die Ausnutzung konnten Angreifer Zugang zu bestimmten Azure-App-Registrierungen erlangen und so versuchen, Zugriff auf Komponentensysteme zu erhalten. Diese Erkenntnis führte zu einer sofortigen Aktion seitens Commvault, die betroffenen Anmeldedaten wurden rotiert und die Sicherheitsmaßnahmen im Zugriff-management drastisch verschärft.
Parallel dazu kooperierte Commvault intensiv mit Microsoft und anderen Partnern, um die Sicherheitslücke zu schließen und weitere Angriffsversuche zu verhindern. Dieser Vorfall hat auch bemerkenswerte Reaktionen von Seiten der US-Behörden ausgelöst. Die Cybersecurity and Infrastructure Security Agency (CISA) fügte CVE-2025-3928 in ihren Katalog der bekannten ausgenutzten Schwachstellen ein. Dadurch wurden alle Bundesbehörden der Vereinigten Staaten verpflichtet, die erforderlichen Sicherheitsupdates im Zusammenhang mit diesem Exploit bis zum 19. Mai 2025 einzuspielen, um eine weitere Verbreitung und Ausnutzung zu verhindern.
Die Problematik von Zero-Day-Angriffen ist komplex, da sie sich auf ungepatchte Schwachstellen stützen und oftmals erst erkannt werden, wenn ein Schaden entstanden ist. Für Nutzer von Microsoft 365, Dynamics 365 und Azure AD wird empfohlen, eine strengere Zugangskontrolle mittels Conditional Access Policy einzuführen. Dabei sollten alle Single-Tenant-App-Registrierungen überwacht und regelmäßig die Client-Secrets rotiert und synchronisiert werden. Eine Rotation alle 90 Tage wird als sinnvoll angesehen, um potenzielle Sicherheitsrisiken zu minimieren. Zudem verweist Commvault auf die Bedeutung der lückenlosen Überwachung der Anmeldeaktivitäten in Azure.
Insbesondere unerlaubte Zugriffe aus IP-Adressen, die außerhalb von definierten, vertrauenswürdigen Bereichen liegen, müssen unverzüglich erkannt und unterbunden werden. Commvault veröffentlichte eine Liste von IP-Adressen, die mit böswilligen Aktivitäten in Verbindung gebracht werden, darunter 108.69.148.100 sowie 128.
92.80.210 unter anderem. Es wird dringend empfohlen, diese IPs in den Conditional Access Policies explizit zu blockieren und Anmeldeversuche von diesen Adressen sofort zu melden. Der Fall Commvault illustriert anschaulich, wie vernetzt und gleichzeitig verwundbar Cloud-Umgebungen sein können.
Insbesondere Unternehmen, die cloudbasierte Backup- und Datenmanagement-Lösungen nutzen, sollten die Sicherheitsart ihrer Systeme kontinuierlich hinterfragen und ihre Compliance regelmäßig überprüfen. Die Kombination aus technischem Schutz, konsequenter Überwachung und schnellem Incident-Response-Management ist essenziell, um die Gefahr von erfolgreichen Cyberangriffen zu minimieren. Neben der technischen Reaktion ist auch die Sensibilisierung der Mitarbeitenden ausschlaggebend. Phishing-Angriffe und Social-Engineering-Methoden bilden häufig den Ausgangspunkt für komplexere Attacken. Eine gut geschulte Belegschaft kann potenzielle Sicherheitslücken auf organisatorischer Ebene frühzeitig erkennen und darauf reagieren.
In der Gesamtschau zeigt der Vorfall, dass auch etablierte Unternehmen mit umfassender Erfahrung im Bereich Cybersicherheit nicht immun gegen ausgeklügelte Hackerangriffe sind. Zero-Day-Exploits stellen eine besondere Herausforderung dar, weil sie oft erst zu spät erkannt werden und in einzelnen Fällen erhebliche Schäden nach sich ziehen können. Ein entschlossenes Krisenmanagement und Partnerschaften mit Technologieanbietern wie Microsoft sind entscheidend, um Schutzmaßnahmen zu verstärken und schnell auf Bedrohungen zu reagieren. Die kontinuierliche Weiterentwicklung der Sicherheitsarchitektur ist daher unverzichtbar. Dabei sollte das Augenmerk nicht nur auf technologischen Lösungen liegen, sondern auch Prozesse und Richtlinien hinsichtlich Zugriffskontrollen, Authentifizierung und Compliance umfasst.
Nur so können Unternehmen effektiv gegen aufwendig gestaltete Cyberattacken gewappnet sein. Abschließend verdeutlicht die Möglichkeit, dass Angreifer mithilfe von Zero-Day-Schwachstellen selbst in hochsicheren Cloud-Umgebungen wie Microsoft Azure eindringen können, wie dynamisch und herausfordernd die Landschaft der IT-Sicherheit ist. Eine ganzheitliche Sicherheitsstrategie, die sowohl präventive Maßnahmen als auch effektive Detektion und Reaktion berücksichtigt, ist deshalb essenziell, um das Risiko von Datenverlusten und Betriebsunterbrechungen nachhaltig zu minimieren und Vertrauen in Cloud-Technologien zu gewährleisten.
