Am 9. Juni 2026 veröffentlichte Veeam Software eine kritische Sicherheitswarnung: CVE-2026-44963 ermöglicht Remote Code Execution (RCE) auf Backup-Servern von Veeam Backup & Replication, der am weitesten verbreiteten Enterprise-Backup-Lösung in Deutschland und DACH. Mit einem CVSS-v4-Score von 9,4 reiht sich die Lücke in eine Welle von mindestens zwölf kritischen Schwachstellen ein, die Veeam seit Januar 2026 heimgesucht haben. Besonders alarmierend: Veeam-Produkte standen seit 2022 viermal auf der CISA-Liste bekannt ausgenutzter Schwachstellen (KEV), stets im Zusammenhang mit Ransomware-Angriffen. Für DACH-Unternehmen, die Veeam als zentrale Backup-Infrastruktur betreiben, ist die Bedrohungslage kritisch.
CVE-2026-44963: Die neue kritische RCE vom 9. Juni 2026
CVE-2026-44963 ist eine Remote Code Execution Schwachstelle in Veeam Backup & Replication, die Veeam am 9. Juni 2026 öffentlich gemacht hat. Die Lücke erlaubt einem authentifizierten Domain-Benutzer, beliebigen Code auf dem Backup-Server auszuführen. Das Konto benötigt dabei keine erhöhten Berechtigungen, lediglich Domänen-Mitgliedschaft. Der CVSS-v4-Score beträgt 9,4 (Critical).
Betroffen sind alle Versionen von Veeam Backup & Replication 12.x bis einschließlich Build 12.3.2.4465. Die Schwachstelle betrifft ausschließlich Domain-joined Backup-Server, also Systeme, die Mitglied einer Active-Directory-Domäne sind. In Unternehmensumgebungen, dem primären Einsatzgebiet von Veeam, ist das der Regelfall. Ein Workaround existiert nicht. Die einzige Lösung ist der Patch auf Build 12.3.2.4854.
Entdeckt wurde CVE-2026-44963 von Sina Kheirkhah (@SinSinology) vom Sicherheitsunternehmen WatchTowr, das für systematische Schwachstellenforschung an weitverbreiteter Enterprise-Software bekannt ist. Kheirkhah hat in der Vergangenheit kritische Lücken in Produkten von Citrix, Ivanti und Palo Alto Networks aufgedeckt. Dass WatchTowr erneut eine RCE in Backup-Software findet, spiegelt den wachsenden Fokus der Sicherheitsforschung auf Infrastruktur-Software wider, die breiten Netzwerkzugang und privilegierte Anmeldedaten für hunderte Produktivsysteme hält.
Zum Zeitpunkt der Veröffentlichung am 9. Juni 2026 war keine aktive Ausnutzung der Schwachstelle bekannt und kein öffentlicher Proof-of-Concept-Exploit verfügbar. Das gibt IT-Teams ein Zeitfenster, das konsequent genutzt werden muss. Die Erfahrung aus früheren Veeam-Schwachstellen zeigt: Solche Lücken werden typischerweise innerhalb von Wochen aktiv ausgenutzt.
Die Schwachstellen-Serie 2026: Zwölf kritische CVEs in sechs Monaten
CVE-2026-44963 ist nicht die erste kritische Veeam-Schwachstelle in diesem Jahr, sondern die jüngste in einer beispiellosen Serie. Zwischen Januar und Juni 2026 hat Veeam mindestens zwölf Sicherheitslücken mit kritischer oder hoher Einstufung in Backup & Replication veröffentlicht.
Der Jahresauftakt war bereits dramatisch: Im Januar 2026 patchte Veeam vier Schwachstellen in v13-Builds, darunter CVE-2025-59470 mit einem CVSS-Score von 9,0. Diese RCE-Lücke erlaubte einem Backup- oder Tape-Operator, Code als Postgres-Datenbankbenutzer auszuführen, indem ein manipulierter Intervall-Parameter übergeben wurde. Parallel wurden CVE-2025-55125 (CVSS 7,2), CVE-2025-59468 (CVSS 6,7) und CVE-2025-59469 (CVSS 7,2) behoben, alle vier mit Fix in Build 13.0.1.1071.
Im März 2026 folgte der größte Schwachstellen-Batch des Jahres: In zwei parallelen Sicherheitsadvisories veröffentlichte Veeam acht Schwachstellen, darunter sieben kritische CVEs. Die gravierendsten waren CVE-2026-21666 und CVE-2026-21667 mit je einem CVSS-Score von 9,9. Beide erlaubten einem remote, niedrig privilegierten Domain-Benutzer, vollständige RCE auf dem Backup-Server durchzuführen. Ein weiterer kritischer Fund: CVE-2026-21708 (CVSS 9,9) ermöglichte RCE als Postgres-Benutzer durch einen authentifizierten Nutzer mit der minimalen “Backup Viewer”-Rolle. Auch CVE-2026-21672 (CVSS 8,8) zur lokalen Privilege-Escalation auf Windows-Backup-Servern wurde in diesem Batch geschlossen.
Die Sicherheitsforschungsabteilung von Greenbone Networks, dem deutschen Marktführer für Vulnerability Management, analysierte die März-Welle umfassend und hielt fest: “Backup-Plattformen sind häufige Ziele von Ransomware-Operatoren. Organisationen mit betroffenen Veeam-Versionen sollten die Patches unverzüglich einspielen, da für keine der kritischen Schwachstellen Workarounds verfügbar sind.” Das Unternehmen betonte, dass Veeam seit 2022 viermal auf der CISA KEV-Liste erschienen ist, stets in Verbindung mit Ransomware-Gruppen.
Im Mai 2026 folgte CVE-2026-32996, das Nutzer von Veeam Backup & Replication v13 betraf und in Build 13.0.2.29 behoben wurde. Im Juni 2026 schloss dann CVE-2026-44963 den bislang letzten Abschnitt dieser Serie. Das Fazit nach sechs Monaten: Veeam Backup & Replication verlangt 2026 nach einem Patching-Tempo, das viele IT-Teams schlicht überfordert.
Alle kritischen Veeam-Schwachstellen 2026 im Überblick
| CVE-ID | CVSS | Typ | Betroffene Version | Fix-Build | Angriffsvoraussetzung |
|---|---|---|---|---|---|
| CVE-2025-59470 | 9,0 | RCE (Postgres) | VBR 13.x < 13.0.1.1071 | 13.0.1.1071 | Backup/Tape Operator |
| CVE-2025-55125 | 7,2 | RCE | VBR 13.x < 13.0.1.1071 | 13.0.1.1071 | Backup/Tape Operator |
| CVE-2025-59468 | 6,7 | RCE (Postgres) | VBR 13.x < 13.0.1.1071 | 13.0.1.1071 | Backup Administrator |
| CVE-2025-59469 | 7,2 | Arbitrary File Write | VBR 13.x < 13.0.1.1071 | 13.0.1.1071 | Backup/Tape Operator |
| CVE-2026-21666 | 9,9 | RCE | VBR 12.x < 12.3.2.4465 | 12.3.2.4465 | Domain User (remote, low priv.) |
| CVE-2026-21667 | 9,9 | RCE | VBR 12.x < 12.3.2.4465 | 12.3.2.4465 | Domain User (remote, low priv.) |
| CVE-2026-21672 | 8,8 | Privilege Escalation | VBR 12.x < 12.3.2.4465 | 12.3.2.4465 | Lokaler Benutzer |
| CVE-2026-21708 | 9,9 | RCE (als Postgres) | VBR 12.x < 12.3.2.4465 | 12.3.2.4465 | Backup Viewer-Rolle |
| CVE-2026-32996 | k. A. | Arbitrary File Write | VBR 13.x < 13.0.1.2067 | 13.0.2.29 | Backup Admin (Linux) |
| CVE-2026-44963 | 9,4 | RCE | VBR 12.x < 12.3.2.4854 | 12.3.2.4854 | Authentif. Domain User |
Quellen: Veeam Security Advisories KB4869, KB4852; Greenbone Networks; runZero. Stand: 20. Juni 2026. VBR = Veeam Backup & Replication.
CISA KEV: Viermal auf der Exploit-Datenbank seit 2022
Der nüchternste Beweis für die reale Gefährlichkeit von Veeam-Schwachstellen ist die Ausnutzungshistorie. Seit Ende 2022 hat die US-amerikanische Cybersicherheitsbehörde CISA Veeam-Schwachstellen viermal in die Known Exploited Vulnerabilities (KEV) Datenbank aufgenommen. Die KEV listet ausschließlich Schwachstellen, für die aktive Exploitation im Rahmen echter Angriffe belegt ist. Jeder dieser vier KEV-Einträge war mit Ransomware-Kampagnen verbunden.
Der bekannteste Fall war CVE-2023-27532, eine Schwachstelle, die 2023 von mehreren Ransomware-Gruppen ausgenutzt wurde, darunter FIN7 und eine Gruppe, die das Cuba-Ransomware-Toolkit einsetzte. Die Angreifer kompromittierten den Backup-Server, extrahierten Zugangsdaten und breiteten sich lateral durch das gesamte Netzwerk aus, bevor die Ransomware ausgerollt wurde. Dieses Muster wiederholt sich mit erschreckender Regelmäßigkeit.
Sicherheitsanalysten bei Rapid7 warnten in ihrer Patch-Tuesday-Analyse für Mai 2026 explizit: “Mehrere Schwachstellen des vergangenen Monats tauchten in den Tagen nach ihrer Veröffentlichung auf der CISA KEV-Liste auf.” Das ist ein Muster, kein Zufall. Hochgradig professionalisierte Ransomware-as-a-Service-Gruppen scannen Unternehmensnetzwerke systematisch auf frisch bekannte Lücken. Veeam-Server sind dabei bevorzugte Ziele, weil ihre Kompromittierung maximale Hebelwirkung bei Erpressungen verschafft.
Bemerkenswert ist auch der zeitliche Abstand zwischen Veröffentlichung und Exploitation: Bei früheren Veeam-Schwachstellen vergingen teilweise weniger als drei Wochen zwischen Advisory-Publikation und ersten bestätigten Angriffen. Für CVE-2026-44963 bedeutet das ein konkretes, begrenztes Zeitfenster, das nicht verstreichen darf.
Warum Backup-Server das Ziel Nummer eins für Ransomware sind
Um die strategische Bedeutung dieser Schwachstellen zu begreifen, muss man die Ökonomie von Ransomware-Angriffen verstehen. Erpressung funktioniert nur, wenn das Opfer keine saubere Möglichkeit hat, seine Systeme ohne Lösegeldzahlung wiederherzustellen. Genau deshalb ist Backup-Infrastruktur das bevorzugte Angriffsziel moderner Ransomware-Gruppen.
Ein kompromittierter Backup-Server gibt Angreifern Zugriff auf alle gesicherten Daten, ermöglicht die Löschung oder Verschlüsselung aller Recovery Points und vernichtet damit die einzige zuverlässige Wiederherstellungsoption des Opfers. Ohne funktionsfähige Backups bleibt Unternehmen oft keine Wahl: Sie zahlen das Lösegeld oder nehmen wochenlange Ausfallzeiten in Kauf.
Nach Daten des Sophos Active Adversary Reports 2026 erreichen Angreifer nach einem erfolgreichen initialen Zugriff im Median bereits nach 3,40 Stunden das Active Directory (AD) des Opfers. Das ist 70 Prozent schneller als im Vorjahr. Active Directory ist der Schlüssel zu allem: Wer das AD kontrolliert, kann sich ungehindert lateral bewegen, Credentials extrahieren und auf alle verbundenen Systeme zugreifen, einschließlich Domain-joined Veeam-Backup-Server. Die Verbindung zwischen AD-Kompromittierung und Veeam-RCE-Ausnutzung ist damit kein theoretisches Konstrukt, sondern realer Angriffsvektor in typischen DACH-Unternehmensnetzen.
Das Sicherheitsunternehmen runZero, spezialisiert auf Asset-Discovery und Schwachstellenmanagement, führt kontinuierliche Scans durch, um exponierte Veeam-Instanzen zu identifizieren. Ihre Analyse zeigt, dass ein erheblicher Anteil scannbarer Veeam-Instanzen auf veralteten Builds läuft. Das Patch-Verhalten vieler Organisationen hinkt den Bedrohungen strukturell hinterher, teils um Wochen, teils um Monate.
Angriffsszenario: Schritt für Schritt zur vollständigen Kompromittierung
Ein realistisches Angriffsszenario auf Basis der bekannten CVE-Details illustriert die Gefahr konkret. Ausgangspunkt ist CVE-2026-21708 (CVSS 9,9, März 2026): Der Angreifer benötigt zunächst Zugang zu einem Konto mit der “Backup Viewer”-Rolle in Veeam. Diese Rolle ist für Support-Tickets, externe Auditoren oder Monitoring-Systeme üblich und gilt in den meisten Organisationen als harmlos.
Einen solchen Zugang liefert ein gezielter Phishing-Angriff, gestohlene Credentials aus einem Infostealer-Log oder eine kompromittierte Monitoring-Integration. Mit Backup-Viewer-Zugang sendet der Angreifer einen manipulierten Datenbankparameter an den Veeam-Dienst. Durch CVE-2026-21708 gelangt er zu Code-Ausführung als Postgres-Datenbankbenutzer, der in typischen Veeam-Installationen erhöhte Systemrechte hat.
Das Veeam-Konfigurations-Repository enthält typischerweise Anmeldedaten für Hunderte von Produktivservern, Storage-Systemen, vCenter/ESXi-Hosts und Cloud-Diensten. Ein Angreifer, der Veeam kompromittiert, hält die Schlüssel zum gesamten Rechenzentrum in der Hand. Der letzte Schritt ist dann die Verschlüsselung aller Produktivsysteme und die Löschung oder Verschlüsselung aller Backup-Daten: maximaler Erpressungsdruck, minimale Wiederherstellungsoptionen.
Betroffene Versionen und der Patch-Prozess
Veeam Backup & Replication v12
Für Nutzer von Veeam Backup & Replication v12 ist der Patch-Pfad klar: Alle Builds bis einschließlich 12.3.2.4465 sind von den März-2026-Schwachstellen (CVE-2026-21666, -21667, -21672, -21708) betroffen. CVE-2026-44963 betrifft alle v12-Builds bis einschließlich 12.3.2.4854. Der aktuelle sichere Build ist 12.3.2.4854, der beide Schwachstellengruppen abdeckt.
Der Upgrade-Prozess erfordert bei Domain-joined Backup-Servern typischerweise ein Wartungsfenster von 30 bis 60 Minuten. Veeam empfiehlt, sicherzustellen, dass keine aktiven Backup-Jobs laufen und eine Snapshot-Sicherung des Backup-Servers selbst vorhanden ist. Bis zum Patchen sollten IT-Teams den Veeam-Server netzwerkseitig isolieren und alle nicht benötigten Konten mit Veeam-Rollen deaktivieren.
Veeam Backup & Replication v13
Für v13-Nutzer ist die Patch-Situation fragmentierter. Die Januar-2026-Schwachstellen (CVE-2025-59470 und weitere) waren in allen v13-Builds bis 13.0.1.180 vorhanden, behoben in 13.0.1.1071. CVE-2026-32996 betrifft alle v13-Builds bis 13.0.1.2067, behoben in 13.0.2.29. Für v13-Nutzer ist damit 13.0.2.29 der aktuell sichere Build.
Organisationen, die noch auf Veeam Backup & Replication 11 oder älter laufen, erhalten keine Sicherheitspatches mehr. Diese Versionen sind End-of-Life und müssen unverzüglich auf eine unterstützte Version migriert werden. Veeam empfiehlt in seinen Security Guidelines den Betrieb des Backup-Servers in einem dedizierten, segmentierten Netzwerksegment mit strikter Firewall-Filterung der Veeam-spezifischen Ports.
WatchTowr und die Schwachstellenforschung an Enterprise-Backup-Software
WatchTowr ist ein in Singapur ansässiges Sicherheitsunternehmen, das sich auf Schwachstellenforschung und offensive Sicherheitstests spezialisiert hat. Sina Kheirkhah hat sich unter dem Handle @SinSinology eine Reputation als einer der produktivsten Forscher für Enterprise-Software-Schwachstellen aufgebaut. Seine Funde umfassen kritische Lücken in Ivanti, Citrix, Palo Alto Networks und nun erneut Veeam. WatchTowr folgt einem Coordinated-Disclosure-Prozess: Schwachstellen werden zunächst dem Hersteller gemeldet, der eine angemessene Frist erhält, bevor technische Details öffentlich werden.
Im Fall von CVE-2026-44963 erschienen keine technischen Details zur Exploit-Methodik gleichzeitig mit dem Advisory. Das gibt IT-Teams einen Vorteil gegenüber Angreifern, die die Schwachstelle selbst reverse-engineeren müssen. Dieses Fenster gilt es konsequent zu nutzen.
Dass hochkarätige Forscher wie Kheirkhah zunehmend Backup-Software untersuchen, zeigt einen wichtigen Trend: Die Angriffsfläche in der Sicherheitsforschung verschiebt sich von klassischen Netzwerkgeräten und Webanwendungen zu Infrastruktur-Software wie Backup-Lösungen, Hypervisoren und Storage-Systemen. Diese Software hat typischerweise breiten Netzwerkzugang, privilegierte Zugangsdaten für viele Systeme und wird seltener auf Sicherheit geprüft als Produkte mit direkter Internetexposition. Forscher folgen dabei schlicht der Logik der Angreifer: Wo liegt der größte Hebel?
Veeam in Deutschland und DACH: Marktrelevanz und Risikoprofil
Veeam Backup & Replication ist in DACH-Unternehmen tief verwurzelt. Gartner führt Veeam seit Jahren als Leader im Magic Quadrant für Enterprise Backup and Recovery Software Solutions. In deutschen Mittelstands- und Großunternehmen, die stark auf VMware vSphere oder Microsoft Hyper-V als Hypervisor-Plattform setzen, ist Veeam die De-facto-Standardlösung für Datensicherung. Das bedeutet strukturell: Die Betroffenheit durch diese Schwachstellenserie ist in DACH hoch.
Laut dem BKA-Cybercrime-Bericht 2025 wurden in Deutschland 333.922 Cyberstraftaten registriert, mit einem wirtschaftlichen Schaden von 202 Milliarden Euro. Ransomware-Angriffe auf Backup-Infrastruktur spielten dabei eine zentrale Rolle. Das CrowdStrike Global Threat Report 2026 bestätigt, dass sich die Breakout-Zeit bei Angriffen auf 27 Sekunden reduziert hat. Angreifer sind nach einem initialen Zugriff binnen Minuten auf kritischen Systemen.
Für Unternehmen, die unter die NIS-2-Richtlinie fallen (seit Dezember 2025 in Deutschland geltendes Recht), hat eine erfolgreiche Backup-Kompromittierung weitreichende rechtliche Folgen. Die Meldepflicht gegenüber dem BSI innerhalb von 24 Stunden nach Kenntnisnahme gilt auch dann, wenn der Angreifer “nur” den Backup-Server kompromittiert hat. Die Nichtmeldung ist mit Bußgeldern von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes bewehrt.
Für KRITIS-Betreiber kommt der Druck des KRITIS-Dachgesetzes hinzu, das mit einer Umsetzungsfrist bis zum 17. Juli 2026 zeitnahes Patch-Management als explizite Anforderung festschreibt. Kritische RCE-Schwachstellen in Backup-Systemen sind genau die Kategorie von Sicherheitsvorfällen, für die dieses Gesetz konzipiert wurde.
Enterprise-Backup im Sicherheitsvergleich
Um die Veeam-Situation einzuordnen, lohnt ein Vergleich mit anderen Backup-Plattformen, die in DACH-Unternehmen eingesetzt werden:
| Plattform | Krit. CVEs 2025–2026 | CISA KEV (gesamt) | Höchster CVSS 2026 | Primäres Einsatzgebiet |
|---|---|---|---|---|
| Veeam Backup & Replication | 10+ | 4 (seit 2022) | 9,9 | VMware/Hyper-V, Mittelstand und Enterprise |
| Commvault Complete | 2 | 1 (2025) | 9,0 | Großkonzerne, regulierte Branchen |
| Veritas NetBackup | 3 | 0 (2025–2026) | 8,1 | Enterprise, Finanzsektor |
| Acronis Cyber Protect | 5 | 0 (2025–2026) | 9,1 | KMU, Managed Service Provider |
| Cohesity DataProtect | 1 | 0 (2025–2026) | 7,8 | Großunternehmen, Cloud-native Umgebungen |
Hinweis: CVE-Zahlen basieren auf öffentlich bekannten Advisories der jeweiligen Hersteller. CISA KEV-Einträge sind öffentliche Daten. Stand: Juni 2026.
Veeam sticht in diesem Vergleich heraus. Zwei Aspekte sind bei der Einordnung wichtig: Erstens ist die höhere CVE-Zahl auch Resultat einer aktiveren Sicherheitsforschungsgemeinschaft, die Veeam wegen seiner Verbreitung bevorzugt untersucht. Zweitens ist die KEV-Bilanz objektiv und eindeutig: Vier nachgewiesene Exploitation-Vorfälle seit 2022 sind kein statistisches Rauschen, sondern ein klares Muster, das IT-Verantwortliche ernst nehmen müssen.
Sofortmaßnahmen für IT-Abteilungen und CISOs
Angesichts der anhaltenden Schwachstellenserie empfehlen Sicherheitsexperten ein strukturiertes Vorgehen. Die primäre Maßnahme ist eindeutig: Sofortiges Patchen auf die aktuellen Fix-Builds (VBR 12.x auf 12.3.2.4854, VBR 13.x auf 13.0.2.29). Ohne diesen Schritt sind alle anderen Maßnahmen lediglich schadensbegrenzend.
Parallel zum Patchen empfehlen Veeams eigene Security Guidelines und unabhängige Sicherheitsexperten folgende Härtungsmaßnahmen: Den Veeam-Backup-Server in einem dedizierten, isolierten Netzwerksegment betreiben. Den Zugriff auf Veeam-spezifische Ports (9392/TCP, 9401/TCP, 9502/TCP) per Firewall-Regel auf bekannte und notwendige Systeme einschränken. Domain-Membership des Backup-Servers vermeiden, wenn die Betriebsumgebung es erlaubt. Falls Domain-Membership erforderlich ist: das Backup-Server-Konto mit minimalen AD-Rechten ausstatten und Privileged Access Workstations (PAW) für Veeam-Administration nutzen.
Auf Benutzerebene sind Veeam-Rollen auf das absolute Minimum zu beschränken. CVE-2026-21708 zeigt, dass selbst die minimale “Backup Viewer”-Rolle in Kombination mit einer ungepatchten Version zu vollständiger RCE führt. Regelmäßige Überprüfung der vergebenen Rollen ist daher ebenso wichtig wie das Patching selbst. Logging und Monitoring für Veeam-Dienste sollten aktiviert sein, um anomale Datenbankzugriffe oder unerwartete Code-Ausführungen frühzeitig zu erkennen.
Für Unternehmen, die die 3-2-1-1-0-Backup-Regel implementiert haben (drei Kopien, zwei Medientypen, eine offsite, eine offline, null Fehler bei Restore-Tests), bieten die Offline-Kopien einen wichtigen Schutzmechanismus. Selbst wenn der Hauptbackup-Server kompromittiert wird, bleiben Air-Gap-Kopien unangreifbar. Für Organisationen ohne solche Architektur ist deren Implementierung eine weitere dringliche Empfehlung.
5 Prognosen: Wie sich die Lage entwickelt
1. CVE-2026-44963 wird innerhalb von 90 Tagen auf der CISA KEV erscheinen. Das Muster der letzten vier Veeam-KEV-Einträge ist konsistent: Kritische Veeam-RCE-Lücken werden binnen Wochen bis Monaten aktiv von Ransomware-Gruppen ausgenutzt. Da kein Workaround existiert und die Schwachstelle Domain-joined Unternehmensserver betrifft, ist die Zielgruppe für Angreifer besonders attraktiv.
2. WatchTowr wird weitere Veeam-Schwachstellen veröffentlichen. Sina Kheirkhah und das WatchTowr-Team haben demonstriert, dass sie Veeam-Software systematisch analysieren. Die bisherigen Funde deuten darauf hin, dass die Angriffsfläche noch nicht vollständig durchleuchtet ist. Weitere Findings in v13 oder in Cloud-Mobility-Erweiterungen sind realistisch.
3. Das BSI wird einen expliziten Sicherheitshinweis zu Veeam herausgeben. Angesichts der Kritikalität der Schwachstellenserie und der weiten Verbreitung von Veeam in deutschen Unternehmen ist ein BSI-Sicherheitshinweis wahrscheinlich. Das BSI hat in der Vergangenheit bei ähnlichen Enterprise-Schwachstellenserien (Exchange Server, Citrix ADC) zeitnah reagiert und konkrete Handlungsempfehlungen publiziert.
4. Veeam wird seine Secure-Development-Lifecycle-Prozesse grundlegend überarbeiten. Eine Häufung kritischer RCE-Schwachstellen dieser Magnitude zwingt Hersteller mittelfristig zu grundlegenden Sicherheitsarchitektur-Überarbeitungen. Mit v13 hat Veeam bereits begonnen, Architekturänderungen zur Reduzierung der Angriffsfläche einzuführen. Dieser Prozess wird sich unter öffentlichem und regulatorischen Druck beschleunigen.
5. Backup-Software wird in NIS-2-Prüfkatalogen als kritische Komponente explizit geführt. Regulierungsbehörden in Deutschland und der EU werden Erkenntnisse aus der Veeam-Schwachstellenserie in Audit- und Prüfanforderungen einfließen lassen. Für Unternehmen unter NIS-2 bedeutet das: Patch-Management für Backup-Software wird künftig explizit in Sicherheitsaudits abgefragt und muss dokumentiert werden.
Weiterführende Berichterstattung
Ähnliche Themen auf shattered.io
- BKA 2025: 333.922 Cyberfälle, 202 Mrd. Euro Schaden in Deutschland
- NIS-2 in Deutschland: 29.500 Firmen, 10 Mio. Euro Strafe
- KRITIS-Dachgesetz 2026: 1 Mio. Euro Bußgeld, Deadline 17. Juli
- CrowdStrike 2026: Angriff in 27 Sekunden, KI-Attacken plus 89 Prozent
- DACH: Cyberangriffe um 124 Prozent gestiegen, 82 Prozent treffen Deutschland
- Alle Security-Artikel auf shattered.io
Externe Quellen
- Veeam Security Advisory KB4869: CVE-2026-44963 (offizielles Advisory)
- Veeam Security Advisory KB4852: Schwachstellen in VBR v13
- Greenbone Networks: 7 kritische Veeam-Schwachstellen im März 2026
- runZero: Exponierte Veeam-Instanzen identifizieren und patchen
- Veeam Community: CVE-2026-44963 Details und CVSS-Score
Häufig gestellte Fragen
Welche Veeam-Versionen sind von CVE-2026-44963 betroffen?
CVE-2026-44963 betrifft alle Versionen von Veeam Backup & Replication 12.x bis einschließlich Build 12.3.2.4465. Behoben ist die Schwachstelle ab Build 12.3.2.4854. Veeam Backup & Replication v13 ist von dieser spezifischen Schwachstelle nicht betroffen, hat aber eigene kritische CVEs in älteren Builds.
Wird CVE-2026-44963 aktiv ausgenutzt?
Zum Zeitpunkt der Veröffentlichung am 9. Juni 2026 war keine aktive Exploitation bekannt und kein öffentlicher Proof-of-Concept-Exploit verfügbar. Angesichts der historischen Ausnutzung früherer Veeam-Schwachstellen (viermal CISA KEV seit 2022) sollte das kein Grund sein, das Patchen zu verzögern.
Gibt es einen Workaround für CVE-2026-44963?
Nein. Veeam hat keinen Workaround veröffentlicht. Die einzige effektive Maßnahme ist das Upgrade auf Build 12.3.2.4854. Als temporäre Risikominderung kommen Netzwerkisolation des Backup-Servers und Einschränkung von Domänen-Konten infrage, ersetzen aber das Patching nicht.
Warum taucht Veeam so häufig auf der CISA KEV auf?
Veeam Backup & Replication ist in Unternehmensnetzen extrem verbreitet und hält privilegierte Zugangsdaten zu hunderten Produktivsystemen. Backup-Server sind für Ransomware-Gruppen strategisch wertvoll, weil ihre Kompromittierung die Wiederherstellungsoptionen des Opfers eliminiert und damit den Erpressungsdruck maximiert. Diese Kombination aus Verbreitung, Privilegien und strategischem Wert macht Veeam zum bevorzugten Ziel.
Was bedeutet die Veeam-Schwachstellenserie für NIS-2-pflichtige Unternehmen in Deutschland?
Für Unternehmen unter NIS-2 (seit Dezember 2025 geltendes deutsches Recht) sind kritische RCE-Schwachstellen in Backup-Infrastruktur eine unmittelbare Compliance-Anforderung. Das Schließen solcher Lücken ist Bestandteil der gesetzlich geforderten “angemessenen technischen und organisatorischen Maßnahmen”. Eine Kompromittierung des Backup-Servers löst die 24-Stunden-Meldepflicht gegenüber dem BSI aus.
Welche Ports muss ich sperren, um das Risiko zu minimieren?
Veeam Backup & Replication nutzt primär die Ports 9392/TCP (Veeam Backup Service), 9401/TCP (Veeam Cloud Service) und 9502/TCP (Veeam Installer Service). Diese Ports sollten per Firewall auf bekannte und notwendige Systeme beschränkt sein. Kein allgemeiner Internetzugang sollte zu diesen Ports erlaubt sein.
Sollte ich von Veeam zu einer anderen Backup-Lösung wechseln?
Ein Wechsel allein aufgrund der CVE-Anzahl ist nicht pauschal zu empfehlen. Alle Enterprise-Backup-Produkte haben Schwachstellen. Entscheidend ist die Reaktionsgeschwindigkeit des Herstellers und das eigene Patch-Management. Veeam veröffentlicht Patches zeitnah und kommuniziert Schwachstellen transparent. Wer einen robusten Patch-Prozess implementiert, kann Veeam sicher betreiben. Problematisch ist, wenn Patching-Zyklen Wochen oder Monate hinter Advisory-Veröffentlichungen hinken.




