Es gibt Software, die still ihren Dienst tut – bis der Moment kommt, in dem sie zur einzigen Rettung wird. Backup-Lösungen gehören zu dieser Kategorie. Genau deshalb sind sieben kritische Sicherheitslücken in Veeam Backup & Replication, die am 12. März 2026 veröffentlicht wurden, so beunruhigend. Die schwerwiegendsten erlauben es Angreifern, Remote Code Execution (RCE) mit CVSS-Scores bis zu 9,9 von 10 auf Backup-Servern durchzuführen – ohne hohe Rechte, ohne komplexe Angriffsvorbereitung.
Backup-Server: Das bevorzugte Ziel von Ransomware-Gruppen
Wer die Backups kontrolliert, kontrolliert die Verhandlungsposition. Diese einfache Wahrheit haben Ransomware-Gruppen verinnerlicht. Veeam-Schwachstellen wurden bereits von den Gruppen Frag, Akira und Fog aktiv ausgenutzt – in einer Angriffswelle ab Oktober 2024, die zahlreiche mittelständische Betriebe traf und teils zu Lösegeldforderungen im sechsstelligen Bereich führte. Wer die Backups löscht oder verschlüsselt, nimmt Unternehmen ihre wichtigste Wiederherstellungsoption.
Die nun entdeckten Schwachstellen sind kein theoretisches Sicherheitsproblem – sie sind ein konkretes, unmittelbares Risiko für jeden Betrieb, der Veeam im Einsatz hat und noch nicht auf die gepatchte Version aktualisiert hat. Sicherheitsforscher erwarten, dass Angreifer die öffentlich zugänglichen Patch-Informationen bereits nutzen, um Exploits für ungepatchte Systeme zu entwickeln.
Die kritischen Schwachstellen im Detail
CVE-2026-21666 – CVSS 9,9: RCE für jeden Domain-Nutzer
Die gefährlichste Schwachstelle im aktuellen Paket: Ein authentifizierter Domain-Nutzer – also jemand mit einem gewöhnlichen Active-Directory-Konto – kann über diese Lücke beliebigen Code auf dem Backup Server ausführen. Angriffskomplexität: niedrig. Benutzerinteraktion: nicht erforderlich. In der Praxis bedeutet das: Jeder Mitarbeiter mit Netzwerksicht auf den Backup-Server oder jedes bereits kompromittierte Konto kann als Sprungbrett für eine vollständige Kompromittierung des Backup-Systems dienen. Der CVSS-Score von 9,9 spiegelt wider, wie wenig es braucht, um maximalen Schaden anzurichten.
CVE-2026-21667 & CVE-2026-21669 – CVSS 9,9: Weitere Low-Privilege-RCE
Zwei weitere kritische Schwachstellen mit identischer Schwere, die ebenfalls Low-Privilege-Nutzern die Code-Ausführung auf Backup-Servern ermöglichen. Die drei RCE-Schwachstellen (CVE-2026-21666, -21667, -21669) bilden zusammen eine besonders gefährliche Angriffsfläche, die in realen Angriffen kombiniert und kettenartig ausgenutzt werden kann, um systematisch tiefer in die Infrastruktur vorzudringen.
CVE-2026-21708 – CVSS 9,9: RCE als postgres-Nutzer
Diese Lücke erlaubt es einem Backup Viewer – einer Rolle mit besonders eingeschränkten Rechten – Code als postgres-Datenbanknutzer auszuführen. Da postgres in Veeam-Deployments häufig mit erweiterten Datenbankrechten ausgestattet ist, eröffnet diese Schwachstelle direkten Zugang zu gespeicherten Backup-Metadaten, Konfigurationsdaten und gespeicherten Zugangsinformationen.
CVE-2026-21671 – CVSS 9,1: RCE in Hochverfügbarkeits-Deployments
Besonders brisant für Unternehmen mit HA-Konfigurationen: Diese Schwachstelle betrifft Veeam-Deployments mit aktivierter Hochverfügbarkeit und ermöglicht ebenfalls Remote Code Execution. Größere Mittelständler, die Veeam redundant betreiben, um Ausfallsicherheit zu gewährleisten, sind hier direkt betroffen – ausgerechnet in der Konfiguration, die eigentlich Resilienz bedeuten sollte.
Betroffene Versionen und verfügbare Patches
Die Schwachstellen betreffen alle gängigen Produktionsversionen von Veeam Backup & Replication. Im Einzelnen: Version 12 in allen Builds bis einschließlich 12.3.2.4165 – der Fix ist in Version 12.3.2.4465 enthalten. Version 13 in allen Builds bis einschließlich 13.0.1.1071 – der Fix liegt in Version 13.0.1.2067 vor.
Veeam hat die gepatchten Versionen am 12. März 2026 bereitgestellt. Das Zeitfenster zwischen Patch-Veröffentlichung und ersten Exploitversuchen ist in der Sicherheitsbranche auf Stunden bis wenige Tage geschrumpft. Angreifer analysieren Patch-Änderungen systematisch und leiten daraus Angriffsmethoden für noch ungepatchte Systeme ab. Jede Stunde zählt.
Warum Backup-Server besonderes Schutzbedürfnis haben
Backup-Infrastrukturen werden in vielen Organisationen stiefmütterlich behandelt: Sie laufen stabil im Hintergrund, verursachen selten Störungen im Tagesgeschäft, und erhalten deshalb häufig weniger Aufmerksamkeit bei Patchzyklen und Zugriffskontrollen. Genau diese gefühlte Unauffälligkeit macht sie zu einem bevorzugten Ziel.
Ein kompromittierter Backup-Server gibt Angreifern Zugang zu einer vollständigen Kopie aller Unternehmensdaten – Datenbanken, Konfigurationsbackups, E-Mail-Archive, Zugangsdaten in Konfigurationsdateien und vertrauliche Geschäftsdokumente. Der Schaden ist doppelt: Erstens können die Backups zur Erpressung genutzt werden, indem sensible Daten vor der Verschlüsselung exfiltriert werden. Zweitens fällt die primäre Wiederherstellungsoption nach einem Ransomware-Angriff weg, wenn die Backups selbst verschlüsselt oder gelöscht wurden. Das erhöht den Druck auf betroffene Unternehmen, Lösegeld zu zahlen, dramatisch.
Eine solide Informationssicherheitsstrategie schließt deshalb die Backup-Infrastruktur explizit in den Schutzperimeter ein – mit eigenen Netzwerksegmenten, restriktiven Zugriffslisten, zeitnahem Patch-Management und regelmäßiger Integritätsprüfung. Weitere Informationen zu einem ganzheitlichen Sicherheitskonzept finden Sie in unserer Leistungsübersicht.
Was jetzt zu tun ist: Konkrete Handlungsempfehlungen
1. Versionsstatus sofort ermitteln: Identifizieren Sie alle Veeam Backup & Replication-Installationen in Ihrer Umgebung und stellen Sie den jeweiligen Build-Stand fest. Betroffene Versionen: 12.x bis 12.3.2.4165 und 13.x bis 13.0.1.1071.
2. Sofort patchen – höchste Priorität: Spielen Sie das Update auf Version 12.3.2.4465 (v12) bzw. 13.0.1.2067 (v13) mit höchster Priorität ein. Dieses Update sollte anderen Routine-Patches vorgezogen werden.
3. Netzwerksegmentierung überprüfen: Backup-Server sollten nicht direkt aus dem allgemeinen Nutzernetz erreichbar sein. Implementieren Sie Firewall-Regeln, die den Zugriff auf die notwendigen Kommunikationsbeziehungen beschränken – typischerweise nur Backup-Clients und Administratorkonsolen.
4. Zugriffsrechte minimieren: Überprüfen Sie, welche Konten Zugang zum Veeam-System haben. Reduzieren Sie die Anzahl privilegierter Konten auf das notwendige Minimum und aktivieren Sie Multi-Faktor-Authentifizierung für den Veeam-Zugang.
5. Backup-Integrität validieren: Falls unsicher ist, ob das System bereits kompromittiert wurde: Prüfen Sie die Backup-Integrität und analysieren Sie Systemlogs auf ungewöhnliche Zugriffe der vergangenen 48 bis 72 Stunden. Achten Sie insbesondere auf nächtliche Aktivitäten und Zugriffe außerhalb der üblichen Wartungsfenster.
6. Offline-Backup-Strategie etablieren: Als strategische Maßnahme: Stellen Sie sicher, dass Ihre Backup-Strategie auch Air-Gapped- oder Offline-Backups umfasst, die von einem kompromittierten Backup-Server aus nicht erreichbar sind. Das bewährte 3-2-1-Prinzip – drei Kopien, zwei unterschiedliche Medien, eine externe Aufbewahrung – bleibt der Goldstandard einer resilienten Datensicherungsstrategie.
Wenn Sie Unterstützung beim Patchen, bei der Sicherheitsanalyse Ihrer Backup-Infrastruktur oder beim Aufbau einer belastbaren Gesamtstrategie benötigen, sprechen Sie uns an. Das pleXtec-Team begleitet mittelständische Unternehmen bei der praktischen Umsetzung von Sicherheitsmaßnahmen – von der Schwachstellenanalyse über die Härtung von Systemen bis hin zum Notfallmanagement. Kontaktieren Sie uns noch heute für ein unverbindliches Erstgespräch.
