{"id":242,"date":"2026-06-20T04:00:00","date_gmt":"2026-06-20T04:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/?p=242"},"modified":"2026-06-20T04:29:47","modified_gmt":"2026-06-20T04:29:47","slug":"veeam-backup-rce-kritisch-cisa-kev-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/veeam-backup-rce-kritisch-cisa-kev-2026\/","title":{"rendered":"Veeam Backup RCE: CVSS 9.9, 4x auf CISA KEV [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Am 9. Juni 2026 ver\u00f6ffentlichte Veeam Software eine kritische Sicherheitswarnung: <strong>CVE-2026-44963<\/strong> erm\u00f6glicht Remote Code Execution (RCE) auf Backup-Servern von Veeam Backup &amp; Replication, der am weitesten verbreiteten Enterprise-Backup-L\u00f6sung in Deutschland und DACH. Mit einem CVSS-v4-Score von <strong>9,4<\/strong> reiht sich die L\u00fccke in eine Welle von mindestens zw\u00f6lf kritischen Schwachstellen ein, die Veeam seit Januar 2026 heimgesucht haben. Besonders alarmierend: Veeam-Produkte standen seit 2022 <strong>viermal auf der CISA-Liste bekannt ausgenutzter Schwachstellen (KEV)<\/strong>, stets im Zusammenhang mit Ransomware-Angriffen. F\u00fcr DACH-Unternehmen, die Veeam als zentrale Backup-Infrastruktur betreiben, ist die Bedrohungslage kritisch.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cve-2026-44963-die-neue-kritische-rce-vom-9-juni-2026\">CVE-2026-44963: Die neue kritische RCE vom 9. Juni 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>CVE-2026-44963<\/strong> ist eine Remote Code Execution Schwachstelle in Veeam Backup &amp; Replication, die Veeam am 9. Juni 2026 \u00f6ffentlich gemacht hat. Die L\u00fccke erlaubt einem <strong>authentifizierten Domain-Benutzer<\/strong>, beliebigen Code auf dem Backup-Server auszuf\u00fchren. Das Konto ben\u00f6tigt dabei keine erh\u00f6hten Berechtigungen, lediglich Dom\u00e4nen-Mitgliedschaft. Der CVSS-v4-Score betr\u00e4gt <strong>9,4<\/strong> (Critical).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Betroffen sind <strong>alle Versionen von Veeam Backup &amp; Replication 12.x bis einschlie\u00dflich Build 12.3.2.4465<\/strong>. Die Schwachstelle betrifft ausschlie\u00dflich Domain-joined Backup-Server, also Systeme, die Mitglied einer Active-Directory-Dom\u00e4ne sind. In Unternehmensumgebungen, dem prim\u00e4ren Einsatzgebiet von Veeam, ist das der Regelfall. Ein Workaround existiert nicht. Die einzige L\u00f6sung ist der Patch auf Build <strong>12.3.2.4854<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Entdeckt wurde CVE-2026-44963 von <strong>Sina Kheirkhah (@SinSinology)<\/strong> vom Sicherheitsunternehmen WatchTowr, das f\u00fcr systematische Schwachstellenforschung an weitverbreiteter Enterprise-Software bekannt ist. Kheirkhah hat in der Vergangenheit kritische L\u00fccken in Produkten von Citrix, Ivanti und Palo Alto Networks aufgedeckt. Dass WatchTowr erneut eine RCE in Backup-Software findet, spiegelt den wachsenden Fokus der Sicherheitsforschung auf Infrastruktur-Software wider, die breiten Netzwerkzugang und privilegierte Anmeldedaten f\u00fcr hunderte Produktivsysteme h\u00e4lt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zum Zeitpunkt der Ver\u00f6ffentlichung am 9. Juni 2026 war keine aktive Ausnutzung der Schwachstelle bekannt und kein \u00f6ffentlicher Proof-of-Concept-Exploit verf\u00fcgbar. Das gibt IT-Teams ein Zeitfenster, das konsequent genutzt werden muss. Die Erfahrung aus fr\u00fcheren Veeam-Schwachstellen zeigt: Solche L\u00fccken werden typischerweise innerhalb von Wochen aktiv ausgenutzt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-schwachstellen-serie-2026-zwoelf-kritische-cves-in-sechs-monaten\">Die Schwachstellen-Serie 2026: Zw\u00f6lf kritische CVEs in sechs Monaten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">CVE-2026-44963 ist nicht die erste kritische Veeam-Schwachstelle in diesem Jahr, sondern die j\u00fcngste in einer beispiellosen Serie. Zwischen Januar und Juni 2026 hat Veeam mindestens <strong>zw\u00f6lf Sicherheitsl\u00fccken mit kritischer oder hoher Einstufung<\/strong> in Backup &amp; Replication ver\u00f6ffentlicht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Jahresauftakt war bereits dramatisch: Im <strong>Januar 2026<\/strong> patchte Veeam vier Schwachstellen in v13-Builds, darunter <strong>CVE-2025-59470<\/strong> mit einem CVSS-Score von <strong>9,0<\/strong>. Diese RCE-L\u00fccke erlaubte einem Backup- oder Tape-Operator, Code als Postgres-Datenbankbenutzer auszuf\u00fchren, indem ein manipulierter Intervall-Parameter \u00fcbergeben wurde. Parallel wurden <strong>CVE-2025-55125<\/strong> (CVSS 7,2), <strong>CVE-2025-59468<\/strong> (CVSS 6,7) und <strong>CVE-2025-59469<\/strong> (CVSS 7,2) behoben, alle vier mit Fix in Build 13.0.1.1071.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im <strong>M\u00e4rz 2026<\/strong> folgte der gr\u00f6\u00dfte Schwachstellen-Batch des Jahres: In zwei parallelen Sicherheitsadvisories ver\u00f6ffentlichte Veeam <strong>acht Schwachstellen<\/strong>, darunter sieben kritische CVEs. Die gravierendsten waren <strong>CVE-2026-21666<\/strong> und <strong>CVE-2026-21667<\/strong> mit je einem CVSS-Score von <strong>9,9<\/strong>. Beide erlaubten einem remote, niedrig privilegierten Domain-Benutzer, vollst\u00e4ndige RCE auf dem Backup-Server durchzuf\u00fchren. Ein weiterer kritischer Fund: <strong>CVE-2026-21708<\/strong> (CVSS 9,9) erm\u00f6glichte RCE als Postgres-Benutzer durch einen authentifizierten Nutzer mit der minimalen &#8220;Backup Viewer&#8221;-Rolle. Auch <strong>CVE-2026-21672<\/strong> (CVSS 8,8) zur lokalen Privilege-Escalation auf Windows-Backup-Servern wurde in diesem Batch geschlossen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Sicherheitsforschungsabteilung von <strong>Greenbone Networks<\/strong>, dem deutschen Marktf\u00fchrer f\u00fcr Vulnerability Management, analysierte die M\u00e4rz-Welle umfassend und hielt fest: <em>&#8220;Backup-Plattformen sind h\u00e4ufige Ziele von Ransomware-Operatoren. Organisationen mit betroffenen Veeam-Versionen sollten die Patches unverz\u00fcglich einspielen, da f\u00fcr keine der kritischen Schwachstellen Workarounds verf\u00fcgbar sind.&#8221;<\/em> Das Unternehmen betonte, dass Veeam seit 2022 viermal auf der CISA KEV-Liste erschienen ist, stets in Verbindung mit Ransomware-Gruppen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im <strong>Mai 2026<\/strong> folgte <strong>CVE-2026-32996<\/strong>, das Nutzer von Veeam Backup &amp; Replication v13 betraf und in Build 13.0.2.29 behoben wurde. Im <strong>Juni 2026<\/strong> schloss dann CVE-2026-44963 den bislang letzten Abschnitt dieser Serie. Das Fazit nach sechs Monaten: Veeam Backup &amp; Replication verlangt 2026 nach einem Patching-Tempo, das viele IT-Teams schlicht \u00fcberfordert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"alle-kritischen-veeam-schwachstellen-2026-im-ueberblick\">Alle kritischen Veeam-Schwachstellen 2026 im \u00dcberblick<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>CVE-ID<\/th><th>CVSS<\/th><th>Typ<\/th><th>Betroffene Version<\/th><th>Fix-Build<\/th><th>Angriffsvoraussetzung<\/th><\/tr><\/thead><tbody><tr><td>CVE-2025-59470<\/td><td>9,0<\/td><td>RCE (Postgres)<\/td><td>VBR 13.x &lt; 13.0.1.1071<\/td><td>13.0.1.1071<\/td><td>Backup\/Tape Operator<\/td><\/tr><tr><td>CVE-2025-55125<\/td><td>7,2<\/td><td>RCE<\/td><td>VBR 13.x &lt; 13.0.1.1071<\/td><td>13.0.1.1071<\/td><td>Backup\/Tape Operator<\/td><\/tr><tr><td>CVE-2025-59468<\/td><td>6,7<\/td><td>RCE (Postgres)<\/td><td>VBR 13.x &lt; 13.0.1.1071<\/td><td>13.0.1.1071<\/td><td>Backup Administrator<\/td><\/tr><tr><td>CVE-2025-59469<\/td><td>7,2<\/td><td>Arbitrary File Write<\/td><td>VBR 13.x &lt; 13.0.1.1071<\/td><td>13.0.1.1071<\/td><td>Backup\/Tape Operator<\/td><\/tr><tr><td>CVE-2026-21666<\/td><td>9,9<\/td><td>RCE<\/td><td>VBR 12.x &lt; 12.3.2.4465<\/td><td>12.3.2.4465<\/td><td>Domain User (remote, low priv.)<\/td><\/tr><tr><td>CVE-2026-21667<\/td><td>9,9<\/td><td>RCE<\/td><td>VBR 12.x &lt; 12.3.2.4465<\/td><td>12.3.2.4465<\/td><td>Domain User (remote, low priv.)<\/td><\/tr><tr><td>CVE-2026-21672<\/td><td>8,8<\/td><td>Privilege Escalation<\/td><td>VBR 12.x &lt; 12.3.2.4465<\/td><td>12.3.2.4465<\/td><td>Lokaler Benutzer<\/td><\/tr><tr><td>CVE-2026-21708<\/td><td>9,9<\/td><td>RCE (als Postgres)<\/td><td>VBR 12.x &lt; 12.3.2.4465<\/td><td>12.3.2.4465<\/td><td>Backup Viewer-Rolle<\/td><\/tr><tr><td>CVE-2026-32996<\/td><td>k. A.<\/td><td>Arbitrary File Write<\/td><td>VBR 13.x &lt; 13.0.1.2067<\/td><td>13.0.2.29<\/td><td>Backup Admin (Linux)<\/td><\/tr><tr><td>CVE-2026-44963<\/td><td>9,4<\/td><td>RCE<\/td><td>VBR 12.x &lt; 12.3.2.4854<\/td><td>12.3.2.4854<\/td><td>Authentif. Domain User<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Quellen: Veeam Security Advisories KB4869, KB4852; Greenbone Networks; runZero. Stand: 20. Juni 2026. VBR = Veeam Backup &amp; Replication.<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cisa-kev-viermal-auf-der-exploit-datenbank-seit-2022\">CISA KEV: Viermal auf der Exploit-Datenbank seit 2022<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der n\u00fcchternste Beweis f\u00fcr die reale Gef\u00e4hrlichkeit von Veeam-Schwachstellen ist die Ausnutzungshistorie. Seit Ende 2022 hat die US-amerikanische Cybersicherheitsbeh\u00f6rde CISA Veeam-Schwachstellen <strong>viermal in die Known Exploited Vulnerabilities (KEV) Datenbank<\/strong> aufgenommen. Die KEV listet ausschlie\u00dflich Schwachstellen, f\u00fcr die aktive Exploitation im Rahmen echter Angriffe belegt ist. Jeder dieser vier KEV-Eintr\u00e4ge war mit Ransomware-Kampagnen verbunden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der bekannteste Fall war <strong>CVE-2023-27532<\/strong>, eine Schwachstelle, die 2023 von mehreren Ransomware-Gruppen ausgenutzt wurde, darunter FIN7 und eine Gruppe, die das Cuba-Ransomware-Toolkit einsetzte. Die Angreifer kompromittierten den Backup-Server, extrahierten Zugangsdaten und breiteten sich lateral durch das gesamte Netzwerk aus, bevor die Ransomware ausgerollt wurde. Dieses Muster wiederholt sich mit erschreckender Regelm\u00e4\u00dfigkeit.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sicherheitsanalysten bei <strong>Rapid7<\/strong> warnten in ihrer Patch-Tuesday-Analyse f\u00fcr Mai 2026 explizit: <em>&#8220;Mehrere Schwachstellen des vergangenen Monats tauchten in den Tagen nach ihrer Ver\u00f6ffentlichung auf der CISA KEV-Liste auf.&#8221;<\/em> Das ist ein Muster, kein Zufall. Hochgradig professionalisierte Ransomware-as-a-Service-Gruppen scannen Unternehmensnetzwerke systematisch auf frisch bekannte L\u00fccken. Veeam-Server sind dabei bevorzugte Ziele, weil ihre Kompromittierung maximale Hebelwirkung bei Erpressungen verschafft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bemerkenswert ist auch der zeitliche Abstand zwischen Ver\u00f6ffentlichung und Exploitation: Bei fr\u00fcheren Veeam-Schwachstellen vergingen teilweise weniger als drei Wochen zwischen Advisory-Publikation und ersten best\u00e4tigten Angriffen. F\u00fcr CVE-2026-44963 bedeutet das ein konkretes, begrenztes Zeitfenster, das nicht verstreichen darf.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"warum-backup-server-das-ziel-nummer-eins-fuer-ransomware-sind\">Warum Backup-Server das Ziel Nummer eins f\u00fcr Ransomware sind<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Um die strategische Bedeutung dieser Schwachstellen zu begreifen, muss man die \u00d6konomie von Ransomware-Angriffen verstehen. Erpressung funktioniert nur, wenn das Opfer keine saubere M\u00f6glichkeit hat, seine Systeme ohne L\u00f6segeldzahlung wiederherzustellen. Genau deshalb ist Backup-Infrastruktur das bevorzugte Angriffsziel moderner Ransomware-Gruppen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein kompromittierter Backup-Server gibt Angreifern Zugriff auf alle gesicherten Daten, erm\u00f6glicht die L\u00f6schung oder Verschl\u00fcsselung aller Recovery Points und vernichtet damit die einzige zuverl\u00e4ssige Wiederherstellungsoption des Opfers. Ohne funktionsf\u00e4hige Backups bleibt Unternehmen oft keine Wahl: Sie zahlen das L\u00f6segeld oder nehmen wochenlange Ausfallzeiten in Kauf.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nach Daten des <strong>Sophos Active Adversary Reports 2026<\/strong> erreichen Angreifer nach einem erfolgreichen initialen Zugriff im <strong>Median bereits nach 3,40 Stunden<\/strong> das Active Directory (AD) des Opfers. Das ist <strong>70 Prozent schneller<\/strong> als im Vorjahr. Active Directory ist der Schl\u00fcssel zu allem: Wer das AD kontrolliert, kann sich ungehindert lateral bewegen, Credentials extrahieren und auf alle verbundenen Systeme zugreifen, einschlie\u00dflich Domain-joined Veeam-Backup-Server. Die Verbindung zwischen AD-Kompromittierung und Veeam-RCE-Ausnutzung ist damit kein theoretisches Konstrukt, sondern realer Angriffsvektor in typischen DACH-Unternehmensnetzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Sicherheitsunternehmen <strong>runZero<\/strong>, spezialisiert auf Asset-Discovery und Schwachstellenmanagement, f\u00fchrt kontinuierliche Scans durch, um exponierte Veeam-Instanzen zu identifizieren. Ihre Analyse zeigt, dass ein erheblicher Anteil scannbarer Veeam-Instanzen auf veralteten Builds l\u00e4uft. Das Patch-Verhalten vieler Organisationen hinkt den Bedrohungen strukturell hinterher, teils um Wochen, teils um Monate.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"angriffsszenario-schritt-fuer-schritt-zur-vollstaendigen-kompromittierung\">Angriffsszenario: Schritt f\u00fcr Schritt zur vollst\u00e4ndigen Kompromittierung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein realistisches Angriffsszenario auf Basis der bekannten CVE-Details illustriert die Gefahr konkret. Ausgangspunkt ist <strong>CVE-2026-21708<\/strong> (CVSS 9,9, M\u00e4rz 2026): Der Angreifer ben\u00f6tigt zun\u00e4chst Zugang zu einem Konto mit der &#8220;Backup Viewer&#8221;-Rolle in Veeam. Diese Rolle ist f\u00fcr Support-Tickets, externe Auditoren oder Monitoring-Systeme \u00fcblich und gilt in den meisten Organisationen als harmlos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Einen solchen Zugang liefert ein gezielter Phishing-Angriff, gestohlene Credentials aus einem Infostealer-Log oder eine kompromittierte Monitoring-Integration. Mit Backup-Viewer-Zugang sendet der Angreifer einen manipulierten Datenbankparameter an den Veeam-Dienst. Durch CVE-2026-21708 gelangt er zu Code-Ausf\u00fchrung als <strong>Postgres-Datenbankbenutzer<\/strong>, der in typischen Veeam-Installationen erh\u00f6hte Systemrechte hat.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Veeam-Konfigurations-Repository enth\u00e4lt typischerweise Anmeldedaten f\u00fcr Hunderte von Produktivservern, Storage-Systemen, vCenter\/ESXi-Hosts und Cloud-Diensten. Ein Angreifer, der Veeam kompromittiert, h\u00e4lt die Schl\u00fcssel zum gesamten Rechenzentrum in der Hand. Der letzte Schritt ist dann die Verschl\u00fcsselung aller Produktivsysteme und die L\u00f6schung oder Verschl\u00fcsselung aller Backup-Daten: maximaler Erpressungsdruck, minimale Wiederherstellungsoptionen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"betroffene-versionen-und-der-patch-prozess\">Betroffene Versionen und der Patch-Prozess<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"veeam-backup-replication-v12\">Veeam Backup &amp; Replication v12<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Nutzer von Veeam Backup &amp; Replication v12 ist der Patch-Pfad klar: Alle Builds bis einschlie\u00dflich <strong>12.3.2.4465<\/strong> sind von den M\u00e4rz-2026-Schwachstellen (CVE-2026-21666, -21667, -21672, -21708) betroffen. CVE-2026-44963 betrifft alle v12-Builds bis einschlie\u00dflich <strong>12.3.2.4854<\/strong>. Der aktuelle sichere Build ist <strong>12.3.2.4854<\/strong>, der beide Schwachstellengruppen abdeckt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Upgrade-Prozess erfordert bei Domain-joined Backup-Servern typischerweise ein Wartungsfenster von 30 bis 60 Minuten. Veeam empfiehlt, sicherzustellen, dass keine aktiven Backup-Jobs laufen und eine Snapshot-Sicherung des Backup-Servers selbst vorhanden ist. Bis zum Patchen sollten IT-Teams den Veeam-Server netzwerkseitig isolieren und alle nicht ben\u00f6tigten Konten mit Veeam-Rollen deaktivieren.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"veeam-backup-replication-v13\">Veeam Backup &amp; Replication v13<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr v13-Nutzer ist die Patch-Situation fragmentierter. Die Januar-2026-Schwachstellen (CVE-2025-59470 und weitere) waren in allen v13-Builds bis 13.0.1.180 vorhanden, behoben in <strong>13.0.1.1071<\/strong>. CVE-2026-32996 betrifft alle v13-Builds bis 13.0.1.2067, behoben in <strong>13.0.2.29<\/strong>. F\u00fcr v13-Nutzer ist damit <strong>13.0.2.29<\/strong> der aktuell sichere Build.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Organisationen, die noch auf Veeam Backup &amp; Replication 11 oder \u00e4lter laufen, erhalten keine Sicherheitspatches mehr. Diese Versionen sind End-of-Life und m\u00fcssen unverz\u00fcglich auf eine unterst\u00fctzte Version migriert werden. Veeam empfiehlt in seinen Security Guidelines den Betrieb des Backup-Servers in einem dedizierten, segmentierten Netzwerksegment mit strikter Firewall-Filterung der Veeam-spezifischen Ports.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"watchtowr-und-die-schwachstellenforschung-an-enterprise-backup-software\">WatchTowr und die Schwachstellenforschung an Enterprise-Backup-Software<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">WatchTowr ist ein in Singapur ans\u00e4ssiges Sicherheitsunternehmen, das sich auf Schwachstellenforschung und offensive Sicherheitstests spezialisiert hat. Sina Kheirkhah hat sich unter dem Handle @SinSinology eine Reputation als einer der produktivsten Forscher f\u00fcr Enterprise-Software-Schwachstellen aufgebaut. Seine Funde umfassen kritische L\u00fccken in Ivanti, Citrix, Palo Alto Networks und nun erneut Veeam. WatchTowr folgt einem Coordinated-Disclosure-Prozess: Schwachstellen werden zun\u00e4chst dem Hersteller gemeldet, der eine angemessene Frist erh\u00e4lt, bevor technische Details \u00f6ffentlich werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im Fall von CVE-2026-44963 erschienen keine technischen Details zur Exploit-Methodik gleichzeitig mit dem Advisory. Das gibt IT-Teams einen Vorteil gegen\u00fcber Angreifern, die die Schwachstelle selbst reverse-engineeren m\u00fcssen. Dieses Fenster gilt es konsequent zu nutzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dass hochkar\u00e4tige Forscher wie Kheirkhah zunehmend Backup-Software untersuchen, zeigt einen wichtigen Trend: Die Angriffsfl\u00e4che in der Sicherheitsforschung verschiebt sich von klassischen Netzwerkger\u00e4ten und Webanwendungen zu Infrastruktur-Software wie Backup-L\u00f6sungen, Hypervisoren und Storage-Systemen. Diese Software hat typischerweise breiten Netzwerkzugang, privilegierte Zugangsdaten f\u00fcr viele Systeme und wird seltener auf Sicherheit gepr\u00fcft als Produkte mit direkter Internetexposition. Forscher folgen dabei schlicht der Logik der Angreifer: Wo liegt der gr\u00f6\u00dfte Hebel?<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"veeam-in-deutschland-und-dach-marktrelevanz-und-risikoprofil\">Veeam in Deutschland und DACH: Marktrelevanz und Risikoprofil<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Veeam Backup &amp; Replication ist in DACH-Unternehmen tief verwurzelt. Gartner f\u00fchrt Veeam seit Jahren als Leader im Magic Quadrant f\u00fcr Enterprise Backup and Recovery Software Solutions. In deutschen Mittelstands- und Gro\u00dfunternehmen, die stark auf VMware vSphere oder Microsoft Hyper-V als Hypervisor-Plattform setzen, ist Veeam die De-facto-Standardl\u00f6sung f\u00fcr Datensicherung. Das bedeutet strukturell: Die Betroffenheit durch diese Schwachstellenserie ist in DACH hoch.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Laut dem <a href=\"\/de\/bka-cybercrime-bericht-2025\/\">BKA-Cybercrime-Bericht 2025<\/a> wurden in Deutschland <strong>333.922 Cyberstraftaten<\/strong> registriert, mit einem wirtschaftlichen Schaden von <strong>202 Milliarden Euro<\/strong>. Ransomware-Angriffe auf Backup-Infrastruktur spielten dabei eine zentrale Rolle. Das <a href=\"\/de\/crowdstrike-global-threat-report-2026\/\">CrowdStrike Global Threat Report 2026<\/a> best\u00e4tigt, dass sich die Breakout-Zeit bei Angriffen auf <strong>27 Sekunden<\/strong> reduziert hat. Angreifer sind nach einem initialen Zugriff binnen Minuten auf kritischen Systemen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Unternehmen, die unter die <a href=\"\/de\/nis2-umsetzungsgesetz-deutschland-2026\/\">NIS-2-Richtlinie<\/a> fallen (seit Dezember 2025 in Deutschland geltendes Recht), hat eine erfolgreiche Backup-Kompromittierung weitreichende rechtliche Folgen. Die Meldepflicht gegen\u00fcber dem BSI innerhalb von 24 Stunden nach Kenntnisnahme gilt auch dann, wenn der Angreifer &#8220;nur&#8221; den Backup-Server kompromittiert hat. Die Nichtmeldung ist mit Bu\u00dfgeldern von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes bewehrt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr KRITIS-Betreiber kommt der Druck des <a href=\"\/de\/kritis-dachgesetz-2026\/\">KRITIS-Dachgesetzes<\/a> hinzu, das mit einer Umsetzungsfrist bis zum 17. Juli 2026 zeitnahes Patch-Management als explizite Anforderung festschreibt. Kritische RCE-Schwachstellen in Backup-Systemen sind genau die Kategorie von Sicherheitsvorf\u00e4llen, f\u00fcr die dieses Gesetz konzipiert wurde.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"enterprise-backup-im-sicherheitsvergleich\">Enterprise-Backup im Sicherheitsvergleich<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Um die Veeam-Situation einzuordnen, lohnt ein Vergleich mit anderen Backup-Plattformen, die in DACH-Unternehmen eingesetzt werden:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Plattform<\/th><th>Krit. CVEs 2025\u20132026<\/th><th>CISA KEV (gesamt)<\/th><th>H\u00f6chster CVSS 2026<\/th><th>Prim\u00e4res Einsatzgebiet<\/th><\/tr><\/thead><tbody><tr><td>Veeam Backup &amp; Replication<\/td><td>10+<\/td><td>4 (seit 2022)<\/td><td>9,9<\/td><td>VMware\/Hyper-V, Mittelstand und Enterprise<\/td><\/tr><tr><td>Commvault Complete<\/td><td>2<\/td><td>1 (2025)<\/td><td>9,0<\/td><td>Gro\u00dfkonzerne, regulierte Branchen<\/td><\/tr><tr><td>Veritas NetBackup<\/td><td>3<\/td><td>0 (2025\u20132026)<\/td><td>8,1<\/td><td>Enterprise, Finanzsektor<\/td><\/tr><tr><td>Acronis Cyber Protect<\/td><td>5<\/td><td>0 (2025\u20132026)<\/td><td>9,1<\/td><td>KMU, Managed Service Provider<\/td><\/tr><tr><td>Cohesity DataProtect<\/td><td>1<\/td><td>0 (2025\u20132026)<\/td><td>7,8<\/td><td>Gro\u00dfunternehmen, Cloud-native Umgebungen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Hinweis: CVE-Zahlen basieren auf \u00f6ffentlich bekannten Advisories der jeweiligen Hersteller. CISA KEV-Eintr\u00e4ge sind \u00f6ffentliche Daten. Stand: Juni 2026.<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Veeam sticht in diesem Vergleich heraus. Zwei Aspekte sind bei der Einordnung wichtig: Erstens ist die h\u00f6here CVE-Zahl auch Resultat einer aktiveren Sicherheitsforschungsgemeinschaft, die Veeam wegen seiner Verbreitung bevorzugt untersucht. Zweitens ist die KEV-Bilanz objektiv und eindeutig: Vier nachgewiesene Exploitation-Vorf\u00e4lle seit 2022 sind kein statistisches Rauschen, sondern ein klares Muster, das IT-Verantwortliche ernst nehmen m\u00fcssen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sofortmassnahmen-fuer-it-abteilungen-und-cisos\">Sofortma\u00dfnahmen f\u00fcr IT-Abteilungen und CISOs<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Angesichts der anhaltenden Schwachstellenserie empfehlen Sicherheitsexperten ein strukturiertes Vorgehen. Die prim\u00e4re Ma\u00dfnahme ist eindeutig: <strong>Sofortiges Patchen auf die aktuellen Fix-Builds<\/strong> (VBR 12.x auf 12.3.2.4854, VBR 13.x auf 13.0.2.29). Ohne diesen Schritt sind alle anderen Ma\u00dfnahmen lediglich schadensbegrenzend.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Parallel zum Patchen empfehlen Veeams eigene Security Guidelines und unabh\u00e4ngige Sicherheitsexperten folgende H\u00e4rtungsma\u00dfnahmen: Den Veeam-Backup-Server in einem dedizierten, isolierten Netzwerksegment betreiben. Den Zugriff auf Veeam-spezifische Ports (9392\/TCP, 9401\/TCP, 9502\/TCP) per Firewall-Regel auf bekannte und notwendige Systeme einschr\u00e4nken. Domain-Membership des Backup-Servers vermeiden, wenn die Betriebsumgebung es erlaubt. Falls Domain-Membership erforderlich ist: das Backup-Server-Konto mit minimalen AD-Rechten ausstatten und Privileged Access Workstations (PAW) f\u00fcr Veeam-Administration nutzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Auf Benutzerebene sind Veeam-Rollen auf das absolute Minimum zu beschr\u00e4nken. CVE-2026-21708 zeigt, dass selbst die minimale &#8220;Backup Viewer&#8221;-Rolle in Kombination mit einer ungepatchten Version zu vollst\u00e4ndiger RCE f\u00fchrt. Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der vergebenen Rollen ist daher ebenso wichtig wie das Patching selbst. Logging und Monitoring f\u00fcr Veeam-Dienste sollten aktiviert sein, um anomale Datenbankzugriffe oder unerwartete Code-Ausf\u00fchrungen fr\u00fchzeitig zu erkennen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Unternehmen, die die 3-2-1-1-0-Backup-Regel implementiert haben (drei Kopien, zwei Medientypen, eine offsite, eine offline, null Fehler bei Restore-Tests), bieten die Offline-Kopien einen wichtigen Schutzmechanismus. Selbst wenn der Hauptbackup-Server kompromittiert wird, bleiben Air-Gap-Kopien unangreifbar. F\u00fcr Organisationen ohne solche Architektur ist deren Implementierung eine weitere dringliche Empfehlung.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-prognosen-wie-sich-die-lage-entwickelt\">5 Prognosen: Wie sich die Lage entwickelt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1. CVE-2026-44963 wird innerhalb von 90 Tagen auf der CISA KEV erscheinen.<\/strong> Das Muster der letzten vier Veeam-KEV-Eintr\u00e4ge ist konsistent: Kritische Veeam-RCE-L\u00fccken werden binnen Wochen bis Monaten aktiv von Ransomware-Gruppen ausgenutzt. Da kein Workaround existiert und die Schwachstelle Domain-joined Unternehmensserver betrifft, ist die Zielgruppe f\u00fcr Angreifer besonders attraktiv.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2. WatchTowr wird weitere Veeam-Schwachstellen ver\u00f6ffentlichen.<\/strong> Sina Kheirkhah und das WatchTowr-Team haben demonstriert, dass sie Veeam-Software systematisch analysieren. Die bisherigen Funde deuten darauf hin, dass die Angriffsfl\u00e4che noch nicht vollst\u00e4ndig durchleuchtet ist. Weitere Findings in v13 oder in Cloud-Mobility-Erweiterungen sind realistisch.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3. Das BSI wird einen expliziten Sicherheitshinweis zu Veeam herausgeben.<\/strong> Angesichts der Kritikalit\u00e4t der Schwachstellenserie und der weiten Verbreitung von Veeam in deutschen Unternehmen ist ein BSI-Sicherheitshinweis wahrscheinlich. Das BSI hat in der Vergangenheit bei \u00e4hnlichen Enterprise-Schwachstellenserien (Exchange Server, Citrix ADC) zeitnah reagiert und konkrete Handlungsempfehlungen publiziert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4. Veeam wird seine Secure-Development-Lifecycle-Prozesse grundlegend \u00fcberarbeiten.<\/strong> Eine H\u00e4ufung kritischer RCE-Schwachstellen dieser Magnitude zwingt Hersteller mittelfristig zu grundlegenden Sicherheitsarchitektur-\u00dcberarbeitungen. Mit v13 hat Veeam bereits begonnen, Architektur\u00e4nderungen zur Reduzierung der Angriffsfl\u00e4che einzuf\u00fchren. Dieser Prozess wird sich unter \u00f6ffentlichem und regulatorischen Druck beschleunigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5. Backup-Software wird in NIS-2-Pr\u00fcfkatalogen als kritische Komponente explizit gef\u00fchrt.<\/strong> Regulierungsbeh\u00f6rden in Deutschland und der EU werden Erkenntnisse aus der Veeam-Schwachstellenserie in Audit- und Pr\u00fcfanforderungen einflie\u00dfen lassen. F\u00fcr Unternehmen unter NIS-2 bedeutet das: Patch-Management f\u00fcr Backup-Software wird k\u00fcnftig explizit in Sicherheitsaudits abgefragt und muss dokumentiert werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"weiterfuehrende-berichterstattung\">Weiterf\u00fchrende Berichterstattung<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"aehnliche-themen-auf-shattered-io\">\u00c4hnliche Themen auf shattered.io<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/de\/bka-cybercrime-bericht-2025\/\">BKA 2025: 333.922 Cyberf\u00e4lle, 202 Mrd. Euro Schaden in Deutschland<\/a><\/li><li><a href=\"\/de\/nis2-umsetzungsgesetz-deutschland-2026\/\">NIS-2 in Deutschland: 29.500 Firmen, 10 Mio. Euro Strafe<\/a><\/li><li><a href=\"\/de\/kritis-dachgesetz-2026\/\">KRITIS-Dachgesetz 2026: 1 Mio. Euro Bu\u00dfgeld, Deadline 17. Juli<\/a><\/li><li><a href=\"\/de\/crowdstrike-global-threat-report-2026\/\">CrowdStrike 2026: Angriff in 27 Sekunden, KI-Attacken plus 89 Prozent<\/a><\/li><li><a href=\"\/de\/dach-cyberangriffe-2026-deutschland\/\">DACH: Cyberangriffe um 124 Prozent gestiegen, 82 Prozent treffen Deutschland<\/a><\/li><li><a href=\"\/security\/\">Alle Security-Artikel auf shattered.io<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"externe-quellen\">Externe Quellen<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"https:\/\/www.veeam.com\/kb4869\" rel=\"noopener\" target=\"_blank\">Veeam Security Advisory KB4869: CVE-2026-44963 (offizielles Advisory)<\/a><\/li><li><a href=\"https:\/\/www.veeam.com\/kb4852\" rel=\"noopener\" target=\"_blank\">Veeam Security Advisory KB4852: Schwachstellen in VBR v13<\/a><\/li><li><a href=\"https:\/\/www.greenbone.net\/en\/blog\/patch-now-7-new-critical-vulnerabilities-in-veeam-backup-replication\/\" rel=\"noopener\" target=\"_blank\">Greenbone Networks: 7 kritische Veeam-Schwachstellen im M\u00e4rz 2026<\/a><\/li><li><a href=\"https:\/\/www.runzero.com\/blog\/veeam-instances\/\" rel=\"noopener\" target=\"_blank\">runZero: Exponierte Veeam-Instanzen identifizieren und patchen<\/a><\/li><li><a href=\"https:\/\/community.veeam.com\/cyber-security-space-95\/cve-2026-44963-vulnerability-in-veeam-backup-replication-v12-cvss-v4-score-9-4-13447\" rel=\"noopener\" target=\"_blank\">Veeam Community: CVE-2026-44963 Details und CVSS-Score<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"haeufig-gestellte-fragen\">H\u00e4ufig gestellte Fragen<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-veeam-versionen-sind-von-cve-2026-44963-betroffen\">Welche Veeam-Versionen sind von CVE-2026-44963 betroffen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">CVE-2026-44963 betrifft alle Versionen von Veeam Backup &amp; Replication 12.x bis einschlie\u00dflich Build 12.3.2.4465. Behoben ist die Schwachstelle ab Build <strong>12.3.2.4854<\/strong>. Veeam Backup &amp; Replication v13 ist von dieser spezifischen Schwachstelle nicht betroffen, hat aber eigene kritische CVEs in \u00e4lteren Builds.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wird-cve-2026-44963-aktiv-ausgenutzt\">Wird CVE-2026-44963 aktiv ausgenutzt?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Zum Zeitpunkt der Ver\u00f6ffentlichung am 9. Juni 2026 war keine aktive Exploitation bekannt und kein \u00f6ffentlicher Proof-of-Concept-Exploit verf\u00fcgbar. Angesichts der historischen Ausnutzung fr\u00fcherer Veeam-Schwachstellen (viermal CISA KEV seit 2022) sollte das kein Grund sein, das Patchen zu verz\u00f6gern.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"gibt-es-einen-workaround-fuer-cve-2026-44963\">Gibt es einen Workaround f\u00fcr CVE-2026-44963?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nein. Veeam hat keinen Workaround ver\u00f6ffentlicht. Die einzige effektive Ma\u00dfnahme ist das Upgrade auf Build 12.3.2.4854. Als tempor\u00e4re Risikominderung kommen Netzwerkisolation des Backup-Servers und Einschr\u00e4nkung von Dom\u00e4nen-Konten infrage, ersetzen aber das Patching nicht.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"warum-taucht-veeam-so-haeufig-auf-der-cisa-kev-auf\">Warum taucht Veeam so h\u00e4ufig auf der CISA KEV auf?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Veeam Backup &amp; Replication ist in Unternehmensnetzen extrem verbreitet und h\u00e4lt privilegierte Zugangsdaten zu hunderten Produktivsystemen. Backup-Server sind f\u00fcr Ransomware-Gruppen strategisch wertvoll, weil ihre Kompromittierung die Wiederherstellungsoptionen des Opfers eliminiert und damit den Erpressungsdruck maximiert. Diese Kombination aus Verbreitung, Privilegien und strategischem Wert macht Veeam zum bevorzugten Ziel.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-bedeutet-die-veeam-schwachstellenserie-fuer-nis-2-pflichtige-unternehmen-in-deutschland\">Was bedeutet die Veeam-Schwachstellenserie f\u00fcr NIS-2-pflichtige Unternehmen in Deutschland?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Unternehmen unter NIS-2 (seit Dezember 2025 geltendes deutsches Recht) sind kritische RCE-Schwachstellen in Backup-Infrastruktur eine unmittelbare Compliance-Anforderung. Das Schlie\u00dfen solcher L\u00fccken ist Bestandteil der gesetzlich geforderten &#8220;angemessenen technischen und organisatorischen Ma\u00dfnahmen&#8221;. Eine Kompromittierung des Backup-Servers l\u00f6st die 24-Stunden-Meldepflicht gegen\u00fcber dem BSI aus.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-ports-muss-ich-sperren-um-das-risiko-zu-minimieren\">Welche Ports muss ich sperren, um das Risiko zu minimieren?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Veeam Backup &amp; Replication nutzt prim\u00e4r die Ports <strong>9392\/TCP<\/strong> (Veeam Backup Service), <strong>9401\/TCP<\/strong> (Veeam Cloud Service) und <strong>9502\/TCP<\/strong> (Veeam Installer Service). Diese Ports sollten per Firewall auf bekannte und notwendige Systeme beschr\u00e4nkt sein. Kein allgemeiner Internetzugang sollte zu diesen Ports erlaubt sein.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"sollte-ich-von-veeam-zu-einer-anderen-backup-loesung-wechseln\">Sollte ich von Veeam zu einer anderen Backup-L\u00f6sung wechseln?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Wechsel allein aufgrund der CVE-Anzahl ist nicht pauschal zu empfehlen. Alle Enterprise-Backup-Produkte haben Schwachstellen. Entscheidend ist die Reaktionsgeschwindigkeit des Herstellers und das eigene Patch-Management. Veeam ver\u00f6ffentlicht Patches zeitnah und kommuniziert Schwachstellen transparent. Wer einen robusten Patch-Prozess implementiert, kann Veeam sicher betreiben. Problematisch ist, wenn Patching-Zyklen Wochen oder Monate hinter Advisory-Ver\u00f6ffentlichungen hinken.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am 9. Juni 2026 ver\u00f6ffentlichte Veeam Software eine kritische Sicherheitswarnung: CVE-2026-44963 erm\u00f6glicht Remote Code Execution (RCE) auf Backup-Servern von Veeam Backup &amp; Replication, der am weitesten verbreiteten Enterprise-Backup-L\u00f6sung in Deutschland\u2026<\/p>\n","protected":false},"author":4,"featured_media":243,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-242","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/242","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=242"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/242\/revisions"}],"predecessor-version":[{"id":244,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/242\/revisions\/244"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/243"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=242"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=242"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=242"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}