Der neue Microsoft Vulnerabilities Report von Beyondtrust zeigt, dass trotz weniger Schwachstellen mehr kritische Sicherheitslücken besonders Cloud und Identitäten gefährden. Sicherheitsteams stehen vor neuen Herausforderungen, die eine identitätsorientierte Strategie erfordern.
Im Jahr 2025 gab es 1.273 Microsoft-Schwachstellen, davon waren 157 kritisch.
Mit seinen vielfältigen Lösungen und Produkten ist Microsoft nicht nur beliebt bei Unternehmen, sondern auch bei Cyberkriminellen. Um einen Überblick über das aktuelle Angriffsverhalten zu geben, hat Beyondtrust zum dreizehnten Mal seinen „Microsoft Vulnerabilities Report“ veröffentlicht, für den Daten aus 2025 ausgewertet wurden. Der Report gibt Informationen zu den größten Angriffsflächen des Microsoft-Ökosystems und der Art und Weise, wie der Hersteller Schwachstellen klassifiziert. Mit diesen Informationen können Sicherheitsbeauftragte ihr Patch-Management verbessern.
Interessant ist, dass obwohl sich die Taktiken und Tools der Angreifer verbessert haben, die Gesamtzahl der Microsoft-Schwachstellen laut Beyondtrust um sechs Prozent gesunken ist. Allerdings hätten sich gleichzeitig kritische Risiken bei Cloud- und Enterprise-Plattformen im Jahresvergleich verdoppelt, wodurch Schweregrad und Auswirkungen der Sicherheitslücken rapide steigen würden. Insgesamt verzeichnen die Analysten ein verändertes Risikoprofil für das Jahr 2025, das durch KI-beschleunigte Schwachstellenerkennung, eine wachsende Cloud-Akzeptanz und immer ausgefeiltere Angriffsstrategien beim Missbrauch digitaler Identitäten und privilegierter Zugriffsrechte gekennzeichnet sei.
Auf den ersten Blick deutet der Rückgang bei den erfassten Schwachstellen auf eine allgemeine Verbesserung der Sicherheitslage hin. Microsofts hohe Sicherheitsinvestitionen scheinen sich auszuzahlen und die schnell wachsende Angriffsfläche unter Kontrolle zu halten. Die Analysten würden jedoch davon ausgehen, dass weitere Beobachtungen nötig seien, um langfristig zu sehen, ob die klassische Schwachstellenbehebung die aktuelle Sicherheitslage noch vollständig abbildet. Insbesondere KI-gesteuerte Systeme, maschinelle Identitäten (Non-Human Identities, NHIs) und komplexe Cloud-Architekturen würden verschiedene Risiken nach sich ziehen, die nicht bedingungslos über CVE-Listen (Common Vulnerabilities and Exposures) darstellbar seien.
Gerade neue KI-Technologien würden die Bemühungen gegen IT-Sicherheitslücken verändern und ihre Entdeckung beschleunigen. Der Einsatz von KI ermögliche es Angreifern aber auch, ausgelieferte Patches schneller als zuvor zu analysieren, Reverse Engineering der Fehler durchzuführen und Exploits aktiv auszunutzen. Hier gebe es ein immer härteres Wettrennen zwischen der Meldung von Schwachstellen und ihrer realen Ausnutzung. Organisationen würden sich dabei unterschiedlichen Gefahren ausgesetzt sehen, wenn ihre bisherigen Verteidigungsmechanismen zu spät greifen.
Die wichtigsten Erkenntnisse des Microsoft Vulnerabilities Reports
Die Gesamtzahl der Schwachstellen sei im Jahr 2025 um sechs Prozent auf 1.273 gesunken, gegenüber 1.360 im Jahr 2024.
Die Anzahl der kritischen Schwachstellen habe sich im Jahresvergleich von 78 auf 157 verdoppelt.
Im Zuge eines anhaltenden Trends der Post-Pandemie-Zeit sei im vergangenen Jahr ein massiver Anteil von 40 Prozent (509) aller Schwachstellen auf die Kategorie „Rechteausweitung“ (Elevation of Privilege) entfallen.
Bei Microsoft Azure und Dynamics 365 habe sich die Anzahl der kritischen Schwachstellen von vier auf 37 verneunfacht.
Für Microsoft Edge seien im vergangenen Jahr 50 Schwachstellen verzeichnet worden. Dies sei ein Rückgang um 83 Prozent im Jahresvergleich.
Im Jahr 2025 seien 612 Windows-Schwachstellen veröffentlicht worden. Dvon waren 36 als kritisch eingestuft.
Windows Server habe im Jahr 2025 insgesamt 780 Schwachstellen aufgewiesen, von denen 50 als kritisch gegolten hätten.
Für Microsoft Office seien im Jahr 2025 insgesamt 157 Schwachstellen registriert worden. Die sei mehr als das Dreifache der im Jahr 2024 erfassten Gesamtzahl. Die Anzahl der kritischen Schwachstellen habe sich im Vergleich zum Vorjahr verzehnfacht.
Tipp: Über alle wichtigen Microsoft-Schwachstellen, die der Hersteller bei seinem Patch Tuesday schließt, informiert Security-Insider einmal im Monat.
„Der numerische Rückgang der Schwachstellen insgesamt suggeriert eine Entschärfung der Sicherheitslage. Im gleichen Zeitraum hat sich aber die Anzahl kritischer Schwachstellen verdoppelt. Das ist eine ernstzunehmende Warnung, dass die Risiken nicht abnehmen, sondern sich vor allem auf identitätsbezogene Zugriffswege konzentrieren“, kommentierte James Maude, Field Chief Technology Officer bei Beyondtrust. „Die Erhöhung von Berechtigungen betraf erneut 40 Prozent aller Schwachstellen, denn Angreifer benötigen sie zur Kompromittierung kritischer Systeme. Auch die neunfache Zunahme der kritischen Schwachstellen von Azure und Dynamics 365 dokumentiert eine weiterhin angespannte Gefahrenlage.“
Gleichzeitig ist absehbar, dass fortgeschrittene Large-Language-Models, etwa Varianten wie Claude Mythos, von Angreifern missbraucht werden können, um Codebasen, Binärartefakte und Konfigurationen automatisiert zu durchleuchten, Schwachstellen zu priorisieren und die Entwicklung von Exploits konzeptionell zu unterstützen. Dadurch verkürzt sich die Zeitspanne zwischen Offenlegung oder Patch-Release und aktiver Ausnutzung weiter, was Sicherheitsteams unter zusätzlichen Zeitdruck setzt. Für sie entstehen neue Anforderungen: KI-gestützte Detektion und Priorisierung, die Erweiterung von Telemetrie um KI-spezifische TTPs, der Einsatz von AI‑Red‑/Purple‑Teaming, strengere Governance gegen Modellmissbrauch sowie das Härten eigener KI‑Workloads gegen Prompt‑Injection, Datenabfluss und Modellvergiftung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Als die wichtigsten Sicherheitserkenntnisse für Unternehmen nennt Beyondtrust:
Schnellstmögliche Installation von Patches und gleichzeitig Wachsamkeit gegen dennoch möglicher Kompromittierungen.
Durchsetzung des Least-Privilege-Prinzips zur Begrenzung der Auswirkungen eines Angriffs und zur angemessenen Reaktion.
Umsetzung identitätsorientierter Sicherheitsstrategien zum Schutz aller digitalen Identitäten, menschlich oder maschinell.
Konzentration auf den Schutz der Zugriffspfade und nicht nur auf individuelle Schwachstellen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bc/9d/bc9dcfdd933e98b243a9169450660359/0130898231v2.jpeg "Laut einem US‑Memo sollen in China ansässige Akteure mit Tarnkonten und Jailbreaking proprietäre Informationen sowie Modellausgaben führender US‑KI‑Systeme abgegriffen und zur Wissensdestillation eigener Modelle genutzt haben. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/62/00/620002bdac5139da25d0556b44dcddcf/0130918121v1.jpeg "Im Jahr 2025 gab es 1.273 Microsoft-Schwachstellen, davon waren 157 kritisch. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/53/25536c0bb262a7ac94848efaaf7d88d4/0130457223v2.jpeg "Deepfakes können heute mit hoher Wahrscheinlichkeit identifiziert werden. Vor Gericht kann es dennoch Probleme geben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/58/7258f6552beb31078b4d0eb9a0e70a85/0130783444v2.jpeg "Um auch KI-Agenten abzusichern, die außerhalb der Überwachung klassischer EDR-Lösungen liegen, hat Palo Alto das Unternehmen Koi übernommen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a7/91/a79190a9b1c73a949ce511dceea7a21b/0130651929v2.jpeg "Acronis hat eine neue MDR-Plattform für Managed Service Provider vorgestellt. Damit sollen MSP jeder Größe ihren Kunden fortschrittliche Security-Services anbieten können. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/64/8564a8af5f8d3eddada95d651475d651/0130869867v2.jpeg "Thomas Kurian, CEO von Google Cloud, eröffente am 22. April die Next 2026. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fc/82/fc82eaa59557c92d7089239ed452921a/0130073814v1.jpeg "„Die Vorbereitung auf die Post-Quanten-Ära darf nicht aufgeschoben werden, bis der erste Quantencomputer den ‚Q-Day‘ einleitet“, warnt Dr. Sebastian Hausmann von NetApp. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/94/dc9415a5d9a392653404bb6a8fa81544/0130898040v2.jpeg "Die Schwachstelle EUVD-2026-25052 / CVE-2026-28950 führte dazu, dass als gelöscht markierte Benachrichtigungen in der Protokollierung von iOS und iPadOS verblieben und dadurch die Vorschauen privater Nachrichten auch nach dem Löschen ausgelesen werden konnten. (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/74/177417fd4bd43428fc6e858c55b0ec93/0130884695v2.jpeg "Julia Klöckner, Präsidentin des Deutschen Bundestages. (Bild: Tobias Koch)")
:quality(80)/p7i.vogel.de/wcms/65/46/654665c7216e70b7acbe5f5dcb4b4534/0130693049v2.jpeg "SAP Business Warehouse ist eine Analytics-Plattform und SAP Business Planning and Consolidation ist die darauf aufsetzende Planungs Budgetierungs und Konsolidierungslösung. Die beiden Lösungen sind durch eine kritischen Schwachstelle gefährdet. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/52/c4526444911a1e496bc113813291c6be/0130586130v1.jpeg "Die rasante Entwicklung KI-gestützter Manipulationen erschwert die sichere Unterscheidung zwischen Deepfake und echten Medien. In einer Umfrage des TÜV gaben ein Viertel der Befragten an, schon einmal auf KI-generierte Inhalte „hereingefallen“ zu sein. (Bild: © LORD - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/a8/1ea82c9ede1cb4112b01467d1a12ac5c/0130636224v2.jpeg "KI-Agenten sind weder klassische Nutzer noch Service Accounts. Unternehmen brauchen eine neue Identitätskategorie mit dynamischer Governance für autonome Agenten. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/93/2193abe92b41b79430ede4d31963ace8/0130666104v2.jpeg "Shadow Agentic AI ist ein blinder Fleck für CISOs. Autonome KI-Agenten handeln oft ohne Wissen der IT-Abteilung und ohne Governance-Richtlinien. (Bild: © Calado - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/0a/420aa2355f66fb4599220f2386a0b374/0129495526v1.jpeg "Zu den Pflichten durch den Cyber Resilience Act gehören unter anderem das Risiko- sowie Schwachstellenmanagement, Transparenz, Mindest-Support-Zeiträume sowie technische Dokumentation. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d2/9d/d29d95716693afcdced3e70f270f8eac/0130686126v1.jpeg "IT-Sicherheit schützt Informationen und alle Systeme, mit denen Informationen verarbeitet, genutzt und gespeichert werden. (Bild: Jirsak via Getty Images Pro)")
:quality(80)/p7i.vogel.de/wcms/a9/56/a9568e19e71f36272b559071914c8a63/0126593157v1.jpeg "Das Computer Emergency Response Team der Europäischen Union (CERT-EU) hat die Aufgabe, Cyberangriffe gegen EU-Institutionen zu verhindern, zu erkennen und abzuwehren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5c/e0/5ce060d4d2f8c718ecc850759b1b7c4d/0126593157v1.jpeg "External Attack Surface Management (EASM) ist die Verwaltung und Absicherung der von außen zugänglichen digitalen Assets und externen Angriffsflächen.
(Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/84/07/8407a422002437a869ad1ee6a3890c0d/0124509317v2.jpeg "Beyondtrust identifizierte eine Zunahme von elf Prozent an Sicherheitslücken in Microsoft-Produkten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1e/a8/1ea82c9ede1cb4112b01467d1a12ac5c/0130636224v2.jpeg "KI-Agenten sind weder klassische Nutzer noch Service Accounts. Unternehmen brauchen eine neue Identitätskategorie mit dynamischer Governance für autonome Agenten. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e3/a9/e3a92c703fdb1e6cc4dfbe4117dc6153/0122470970v1.jpeg "Der Microsoft Patchday April 2026 schließt 165 Sicherheitslücken, darunter die kritische Schwachstelle CVE-2026-33824 im IKE-Dienst, die unauthentifizierten Angreifern wurmartige Remote Code Execution über präparierte UDP-Pakete auf Port 500 und 4500 ermöglicht. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8c/95/8c952169f3c1d02127180ede18de651a/0130535511v2.jpeg "Claude Mythos wird von seinen Entwicklern als so gefährlich für weltweite IT-Systeme und Infrastrukturen eingeschätzt, dass das LLM nicht öffentlich verfügbar gemacht wird. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/07/8407a422002437a869ad1ee6a3890c0d/0124509317v2.jpeg "Beyondtrust identifizierte eine Zunahme von elf Prozent an Sicherheitslücken in Microsoft-Produkten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a7/9d/a79de71fede7c7865dd3bf90e3bb68d0/0122470970v1.jpeg "Sicherheitslücke CVE-2025-60724 in GDI+ ist mit einem CVSS-Score von 9.8 die gefährlichste Schwachstelle des Microsoft Patchdays im November. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")