Ein Montagmorgen in der Netzwerkzentrale

Michaela Brandt beginnt ihren Montag so wie jeden Montag: mit dem Durchsehen der ungelesenen E-Mails, die sich über das Wochenende angesammelt haben. Als IT-Leiterin der Drehmann Maschinenbau GmbH – einem 280-Mitarbeiter-Unternehmen im schwäbischen Ulm – ist der Posteingang immer voll, und Effizienz ist das Gebot der Stunde. Eine E-Mail fällt ihr ins Auge: Betreff „Angebot Komponenten Q2/2026", Absender ein bekannter Lieferant, im Anhang eine .docx-Datei. Ohne nachzudenken klickt sie die E-Mail an – nicht auf den Anhang, nur auf die Nachricht selbst. Im rechten Bereich ihres Outlook-Fensters öffnet sich automatisch die Vorschau des Word-Dokuments.

Michaela liest die ersten Zeilen, bemerkt, dass das Angebot nicht ganz zum aktuellen Bedarf passt, schließt die E-Mail und wendet sich anderen Aufgaben zu. Was sie nicht weiß: In dem Moment, in dem Outlook die Dateivorschau renderte, wurden ohne jede weitere Nutzerinteraktion Befehle auf ihrem Rechner ausgeführt. Kein Dialog, kein Warnfenster, kein Klick auf „Aktiviere Makros". Ein Angreifer hat in diesem Moment eine Verbindung zu Michaelas Rechner hergestellt.

Was sich nach einem Szenario aus einem Techno-Thriller anhört, ist seit März 2026 Realität: Zwei kritische Schwachstellen in Microsoft Office – CVE-2026-26110 und CVE-2026-26113 – ermöglichen genau diesen Angriff. Ein einzelner Blick in den Vorschaubereich genügt. Microsoft hat im Rahmen des Patch Tuesday vom März 2026 Sicherheitsupdates bereitgestellt. Für Unternehmen, die diese Updates noch nicht eingespielt haben, besteht dringender Handlungsbedarf.

Was sind CVE-2026-26110 und CVE-2026-26113?

Beide Schwachstellen sind im CVSS-System mit einem Score von 8.8 (Critical) bewertet. Sie teilen eine besonders gefährliche Eigenschaft: Sie können über den Vorschaubereich (Preview Pane) von Windows Explorer und Microsoft Outlook ausgelöst werden – ohne dass die betroffene Person die Datei aktiv öffnet, einen Dialog bestätigt oder auf irgendeinen Link klickt.

In der CVSS-Terminologie führt dies zu einer Klassifikation mit „Attack Complexity: Low", „Privileges Required: None" und dem gravierendsten Merkmal: User Interaction: None. Der Angreifer benötigt ausschließlich die Möglichkeit, eine präparierte Datei in die Hände des Opfers zu bringen – was per E-Mail-Anhang, über eine Fileshare-Plattform oder sogar über einen manipulierten Netzwerklaufwerkpfad gelingt.

CVE-2026-26110: Memory Corruption via Untrusted Pointer Dereference

CVE-2026-26110 ist eine Speicherverwaltungsschwachstelle vom Typ „Untrusted Pointer Dereference" (CWE-822). Wenn die Office-Rendering-Engine eine speziell präparierte Datei verarbeitet – etwa ein Word-Dokument mit manipulierten internen Datenstrukturen – liest sie einen Pointer aus nicht vertrauenswürdigen Daten und dereferenziert diesen ohne vorherige Validierung.

Dies erlaubt einem Angreifer, beliebige Speicherbereiche zu lesen oder gezielt Code zur Ausführung zu bringen. Die Schwachstelle greift bereits beim Rendern der Dateivorschau, da derselbe Office-Rendering-Code verwendet wird, der auch beim vollständigen Öffnen eines Dokuments zum Einsatz kommt – jedoch ohne die zusätzlichen Sicherheitsdialoge, die beim aktiven Öffnen fremder Dokumente erscheinen würden. Im Vorschaubereich sind diese Schutzmechanismen schlicht nicht aktiv.

CVE-2026-26113: Type Confusion bei der Dokumentenverarbeitung

CVE-2026-26113 nutzt einen verwandten, aber technisch eigenständigen Mechanismus: Type Confusion (CWE-843). Dabei verarbeitet die Office-Rendering-Engine ein Objekt als einen Typ, der nicht dem tatsächlichen Laufzeittyp entspricht. In einem korrekt implementierten System würde eine Typprüfung vor der Verarbeitung verhindern, dass dies zu unvorhergesehenem Verhalten führt. In diesem Fall ist die Prüfung fehlerhaft oder fehlt an entscheidender Stelle, was Angreifern die Möglichkeit gibt, Daten so zu strukturieren, dass bei der fehlerhaften Typinterpretation beliebiger Code ausgeführt wird.

Beide Schwachstellen können unabhängig voneinander ausgenutzt werden. Ein Angreifer, der eine dieser Lücken erfolgreich nutzt, erhält Code-Ausführungsrechte auf dem Zielsystem – mit den Rechten des angemeldeten Benutzers, ohne jede Benutzerinteraktion.

Anatomie eines Zero-Click-Angriffs: Vom präparierten Dokument zur Backdoor

Um die Tragweite dieser Schwachstellen zu verstehen, ist es hilfreich, den typischen Angriffsweg von Anfang bis Ende zu durchleuchten. Ein professioneller Angreifer, der CVE-2026-26110 oder CVE-2026-26113 ausnutzt, durchläuft in der Regel folgende Phasen:

Phase 1 – Reconnaissance: Der Angreifer sammelt Informationen über das Zielunternehmen – E-Mail-Adressen von Mitarbeitern (aus LinkedIn, Unternehmenswebseiten oder früheren Datenlecks), Namen von Lieferanten und Geschäftspartnern sowie typische Kommunikationsformate. Je präziser diese Informationen, desto überzeugender die spätere Täuschung.

Phase 2 – Waffenpräparierung: Mit einem Exploit-Framework wird ein speziell konstruiertes Office-Dokument erstellt, das die Schwachstelle im Rendering-Code triggert. Nach außen sieht es wie ein vollkommen normales Word-Dokument aus – ein Angebot, ein Vertragsentwurf, ein Lieferschein. Moderne Exploit-Dokumente enthalten oft auch Techniken zur Sandbox-Erkennung: In isolierten Analyseumgebungen verhält sich die Datei unauffällig; nur auf echten Produktivsystemen wird der Exploit ausgelöst.

Phase 3 – Initialer Zugang: Das präparierte Dokument wird per E-Mail an das Ziel versandt. Zur Überwindung von Sicherheitsfiltern wird die Nachricht so gestaltet, dass sie einem legitimen Absender entspricht – durch Spoofing der Absenderadresse, durch die Kompromittierung eines vertrauenswürdigen Kontos (Business Email Compromise) oder durch eine täuschend ähnliche Typosquatting-Domain. Im beschriebenen Szenario unterschied sich die Absenderadresse nur in einem einzigen Buchstaben von der legitimen Lieferantenadresse.

Phase 4 – Exploitation: Sobald das Opfer die E-Mail in Outlook auswählt und der Vorschaubereich die Datei rendert, wird der Exploit ausgelöst. Innerhalb von Millisekunden wird Code auf dem Zielsystem ausgeführt. Keine Interaktion, kein Klick, kein Fehler des Nutzers.

Phase 5 – Post-Exploitation: Der eingeschleuste Code etabliert eine Backdoor, lädt weiteren Schadcode nach oder aktiviert ein Remote-Access-Tool (RAT). Von diesem Punkt an hat der Angreifer persistenten, verschlüsselten Zugang zum System des Opfers – oft über legitim wirkende HTTPS-Verbindungen, die von Standard-Netzwerkmonitoring nicht von regulärem Webtraffic unterschieden werden können.

Die Geschichte von Michaela Brandt – und was wirklich passierte

Zurück nach Ulm. Die E-Mail, die Michaela an jenem Montag öffnete, stammte nicht vom bekannten Lieferanten. Die Absenderdomain lautete „drehmann-zulieferer-ag.de" – die echte Domain war „drehmann-zulieferer.de". Ein Buchstabe Unterschied, den kein Mensch beim schnellen Überfliegen bemerkt.

Als Outlook die Vorschau des Anhangs renderte, wurde im Hintergrund eine verschlüsselte HTTPS-Verbindung zu einem Server in einer westeuropäischen Cloud-Infrastruktur aufgebaut. Innerhalb von Sekunden wurde ein minimaler Backdoor-Agent auf Michaelas Rechner nachgeladen und im Autostart-Verzeichnis des lokalen Benutzerprofils persistiert – ohne dass dafür Administratorrechte notwendig waren. Die Antivirus-Lösung des Unternehmens schlug nicht an: Der Agent nutzte ausschließlich legitimate Windows-Systemkomponenten und kommunizierte ausschließlich über HTTPS auf Port 443.

Der Angreifer – nach forensischer Analyse vermutlich eine wirtschaftsspionageorientierte Bedrohungsgruppe – hatte es auf die CAD-Dateien und Fertigungsunterlagen der Drehmann Maschinenbau GmbH abgesehen. In den folgenden vier Tagen exfiltrierte er kontinuierlich Daten: Konstruktionspläne, Kalkulationsunterlagen, Kundenlisten. Knapp 40 GB proprietären Know-hows verschwanden unbemerkt aus dem Unternehmen.

Entdeckt wurde der Einbruch nicht durch die Endpoint-Protection, sondern durch eine Anomalie im ausgehenden Traffic, die einem externen Sicherheitsdienstleister beim routinemäßigen Log-Review auffiel: Ein einzelner Endpunkt generierte täglich zwischen 2:00 und 4:00 Uhr nachts konstante HTTPS-Verbindungen zu einer stets gleichen externen IP-Adresse. Als Michaela am Freitagmorgen davon informiert wurde, hatten die Angreifer bereits alles, was sie brauchten.

Dieses Szenario ist fiktiv – aber es spiegelt Angriffsmuster wider, die Incident-Response-Teams regelmäßig vorfinden. Zero-Click-Exploits über vertrauenswürdige Anwendungen wie Microsoft Office sind besonders tückisch, weil sie präventive Maßnahmen unterlaufen: Phishing-Awareness-Training hilft nicht (der Nutzer hat ja nichts Falsches getan), und klassische signaturbasierte Endpointschutzlösungen erkennen oft nichts (weil legitime Systemfunktionen missbraucht werden).

Warum Preview-Pane-Angriffe so gefährlich sind

Traditionelle Angriffe per E-Mail-Anhang setzen auf eine soziale Komponente: Das Opfer muss dazu gebracht werden, die Datei zu öffnen, Makros zu aktivieren oder einen Link zu klicken. Jahrelange Security-Awareness-Kampagnen haben die Sensibilität der Mitarbeitenden für solche Warnsignale durchaus verbessert. Organisationen investieren erhebliche Ressourcen in simulierte Phishing-Tests und technische Kontrollen.

Zero-Click-Exploits über den Vorschaubereich unterlaufen all diese Maßnahmen strukturell. Der Benutzer hat objektiv nichts Falsches getan: Er hat eine E-Mail ausgewählt, um sie zu lesen – eine vollkommen normale, täglich millionenfach durchgeführte Aktion. Kein Sicherheitstraining der Welt kann oder sollte Menschen dazu bringen, E-Mails in ihrem Posteingang nicht mehr anzusehen.

Hinzu kommt: Viele Unternehmen haben ihre E-Mail-Sicherheitsarchitektur auf Szenarien ausgerichtet, bei denen der Nutzer aktiv agiert – Makros aktiviert, ausführbare Dateien startet, Links öffnet. Office-Dokumente ohne Makros, die als legitime .docx-Datei daherkommen, passieren häufig ohne Warnung alle vorgelagerten Sicherheitsfilter. Die eigentliche Gefahr liegt im Rendering-Code der Anwendung, nicht im Dateiformat selbst – und dieser Code wird in jedem Vorschaubereich aktiv.

Einordnung: Preview-Pane-Angriffe in der Geschichte der Office-Sicherheit

CVE-2026-26110 und CVE-2026-26113 sind nicht die ersten Schwachstellen ihrer Art. Preview-Pane-Angriffe auf Microsoft Office haben eine dokumentierte Geschichte. CVE-2017-11882 (Equation Editor) wurde über Jahre aktiv ausgenutzt. CVE-2021-40444 (MSHTML) ermöglichte RCE über speziell präparierte Office-Dokumente ohne Makros. Jede neue Schwachstelle dieser Klasse macht denselben Befund: Die Rendering-Engine von Microsoft Office ist ein hochkomplexes System, das Tausende von Dateiformaten, -versionen und -strukturen verarbeiten kann – und diese Komplexität ist ein struktureller Nährboden für Schwachstellen.

Die relevante Frage für Unternehmen ist daher nicht: „Werden solche Schwachstellen wieder auftreten?" – die Antwort ist mit hoher Wahrscheinlichkeit Ja. Die entscheidende Frage lautet: „Wie baue ich meine Sicherheitsarchitektur so, dass das Ausnutzen einer solchen Schwachstelle möglichst wenig Schaden anrichten kann?"

Dies führt zu einem fundamentalen Sicherheitsprinzip, das zunehmend auch regulatorisch gefordert wird: Defense in Depth kombiniert mit einem Assume-Breach-Mindset. Kein einzelner Kontrollmechanismus kann alle Angriffe abwehren. Wenn mehrere Sicherheitsebenen vorhanden sind und eine davon versagt, verhindern die anderen, dass daraus ein katastrophaler Datenverlust wird.

Aus NIS2-Perspektive, die seit Dezember 2025 für zahlreiche deutsche Unternehmen verbindliches Recht ist, bedeutet dies: Sicherheitsverantwortliche müssen nachweisen können, dass ihre Risikomanagementmaßnahmen dem Stand der Technik entsprechen. Zero-Click-Exploits durch reine Endpunkt-Antivirensoftware zu adressieren reicht dafür schlicht nicht mehr aus. Mehr zur NIS2-Compliance und ihren Anforderungen finden Sie auf unserer Website.

Handlungsempfehlungen: Konkrete Schutzmaßnahmen für Ihr Unternehmen

1. Sofortiger Patch-Rollout: Die wichtigste Maßnahme ist das schnellstmögliche Einspielen der März-2026-Patch-Tuesday-Updates auf allen Windows-Systemen mit Microsoft Office. Beide Schwachstellen sind in den Sicherheitsupdates behoben. Priorisieren Sie Systeme mit hohem E-Mail-Volumen: Vertrieb, Einkauf, Geschäftsführung, Assistenz. Nutzen Sie WSUS, Intune oder ein vergleichbares Patch-Management-System, um den Rollout zu automatisieren und den Fortschritt zu verfolgen.

2. Vorschaubereich als Überbrückungsmaßnahme deaktivieren: Bis zur vollständigen Patch-Ausrollung kann der Vorschaubereich in Windows Explorer und Outlook deaktiviert werden. In Outlook: Ansicht → Lesebereich → Aus. Im Windows Explorer: Ansicht → Vorschaubereich deaktivieren. Per Gruppenrichtlinie lässt sich dies unternehmensweit ausrollen. Diese Maßnahme schränkt die Benutzerfreundlichkeit ein, reduziert die Angriffsfläche jedoch erheblich.

3. E-Mail-Sicherheit und Sandbox-Analyse: Implementieren Sie oder überprüfen Sie bestehende Richtlinien zur E-Mail-Anhangssicherheit. Lösungen wie Microsoft Defender for Office 365 (Safe Attachments) oder vergleichbare Drittanbieterprodukte öffnen Anhänge vor der Zustellung in isolierten Sandbox-Umgebungen und können schadhafte Dateien herausfiltern. Office-Dokumente aus externen Quellen sollten grundsätzlich durch eine solche Analyse laufen, bevor sie den Endpunkt des Nutzers erreichen.

4. Least Privilege konsequent umsetzen: Ein Zero-Click-Exploit gibt dem Angreifer die Rechte des angemeldeten Benutzers. Wenn dieser Benutzer lokale Administratorrechte hat – oder schlimmer noch, Domänen-Admin-Rechte –, ist die Kompromittierung eines einzelnen Rechners ein direkter Weg zur vollständigen Domänenkontrolle. Stellen Sie sicher, dass Endbenutzer ausschließlich mit minimalen Standardbenutzerrechten arbeiten. Privilegierte Konten dürfen nur für administrative Aufgaben genutzt werden, niemals für den alltäglichen Betrieb wie das Lesen von E-Mails.

5. Network Detection and Response (NDR) einsetzen: Zero-Click-Exploits können von klassischen Endpoint-Schutzlösungen unentdeckt bleiben, wenn der eingeschleuste Code legitime Systemfunktionen nutzt (Living-off-the-Land). Eine Netzwerküberwachungslösung, die anomales Verhalten erkennt – ungewöhnliche ausgehende Verbindungen, Datenexfiltration zu unbekannten Zielen, nächtliche Aktivität inaktiver Accounts – bildet die entscheidende zweite Verteidigungsebene. Genau dieser Mechanismus hat im fiktiven Drehmann-Szenario letztlich den Einbruch aufgedeckt.

6. E-Mail-Absendervalidierung verbessern: Setzen Sie konsequent SPF, DKIM und DMARC ein, um E-Mail-Spoofing zu erschweren. Aktivieren Sie in Ihrem E-Mail-Gateway Regeln, die externe E-Mails mit gefälschten internen Absendern blockieren. Erwägen Sie den Einsatz von Lookalike-Domain-Erkennungslösungen, die auf Typosquatting-Domains aufmerksam machen, bevor diese für Angriffe genutzt werden.

7. Incident Response Plan aktualisieren: Stellen Sie sicher, dass Ihr Incident Response Plan Szenarien für Zero-Click-Exploit-Angriffe abdeckt. Definieren Sie klare Eskalationspfade: Wer wird informiert, wenn Anomalien im ausgehenden Traffic erkannt werden? Wie schnell kann ein Endpunkt isoliert werden? Welche forensischen Daten werden automatisch gesichert? Je schneller auf einen Einbruch reagiert werden kann, desto geringer der Schaden – und unter NIS2 gilt eine 24-Stunden-Frist für die erste Meldung an das BSI.

8. Awareness sensibel kommunizieren: Das ist der psychologisch schwierigste Punkt. Security-Awareness zu Zero-Click-Angriffen darf nicht in Lähmung münden. Die richtige Botschaft an Mitarbeitende: „Das Anschauen von E-Mails ist nicht das Problem – bitte spielen Sie Systemupdates zeitnah ein und melden Sie ungewöhnliche Systemmeldungen oder seltsames Systemverhalten sofort dem IT-Team." Das schafft eine Meldekultur, ohne Unsicherheit zu verbreiten.

Warum Patch Management allein nicht ausreicht

Wenn man die Geschichte der Preview-Pane-Schwachstellen betrachtet, wird klar: Das Patchen von CVE-2026-26110 und CVE-2026-26113 schließt diese spezifischen Lücken, löst aber das strukturelle Problem nicht. Solange komplexe Rendering-Engines für Office-Dokumente auf Endgeräten ausgeführt werden, wird es neue Varianten geben. Das ist keine Kritik an Microsoft – es ist eine strukturelle Eigenschaft hochkomplexer Software in einer Welt, in der Angreifer aktiv nach Lücken suchen.

Nachhaltiger Schutz ergibt sich aus einem mehrschichtigen Ansatz. pleXtec empfiehlt Unternehmen, ihre Sicherheitsarchitektur entlang des Grundprinzips „Assume Breach" auszurichten: Planen Sie nicht nur dafür, Einbrüche zu verhindern – planen Sie dafür, Einbrüche schnell zu erkennen und deren Auswirkungen strikt zu begrenzen.

Konkret im Kontext von Office-Schwachstellen bedeutet das: Selbst wenn ein Angreifer eine Schwachstelle erfolgreich ausnutzt und auf einem Endpunkt Code ausführen kann, sollte Ihre Sicherheitsarchitektur sicherstellen, dass er von dort aus nicht problemlos auf sensitive Daten, kritische Server oder weitere Systeme zugreifen kann. Netzwerksegmentierung, konsequentes Least Privilege, EDR-Lösungen und anomaliebasierte Netzwerküberwachung sind die Werkzeuge, die aus einem potenziellen Totalschaden einen beherrschbaren Sicherheitsvorfall machen.

Ausblick: Zero-Click-Angriffe als neue Normalität

CVE-2026-26110 und CVE-2026-26113 werden nicht die letzten ihrer Art sein. Die Entwicklung in der Bedrohungslandschaft zeigt deutlich: Angreifer investieren gezielt in Techniken, die keine oder minimale Nutzerinteraktion erfordern. Was lange als exklusive Domäne staatlich gesponserter Akteure galt, wird durch die Professionalisierung des Cybercrime-as-a-Service-Markts zunehmend für breitere Angreifergruppen zugänglich.

Gleichzeitig steigen die regulatorischen Anforderungen. Die NIS2-Richtlinie verlangt nachweisbare Risikomanagementmaßnahmen und die Fähigkeit, Sicherheitsvorfälle binnen 24 Stunden zu melden. Wer keine NDR-Lösung betreibt, keine Baseline für normales Netzwerkverhalten hat und keine strukturierten Incident-Response-Prozesse besitzt, wird diese Anforderungen kaum erfüllen können – und muss mit Bußgeldern und persönlicher Geschäftsführerhaftung rechnen.

Die gute Nachricht: Mit dem richtigen Fundament aus zeitnahem Patch Management, konsequenter Least-Privilege-Umsetzung und anomaliebasierter Überwachung sind Unternehmen gegenüber Zero-Click-Exploits weitaus widerstandsfähiger, als der Begriff suggeriert. Es geht nicht darum, jeden Angriff zu verhindern – sondern darum, dass kein einzelner Angriff das gesamte Unternehmen lahmlegen kann.

Möchten Sie wissen, wie gut Ihr Unternehmen gegen solche Angriffsvektoren aufgestellt ist? pleXtec bietet strukturierte Sicherheitsanalysen an, die gezielt auf die Bedrohungsrealität des deutschen Mittelstands ausgerichtet sind. Von der initialen Schwachstellenanalyse über die Entwicklung einer belastbaren Sicherheitsstrategie bis hin zur Unterstützung bei der NIS2-Compliancesprechen Sie uns an. Wir helfen Ihnen, Ihre Sicherheitsarchitektur so aufzustellen, dass das nächste Montagmorgen-Szenario in Ihrem Unternehmen erkannt wird, bevor der Schaden entsteht.