6. Juni 2026 | Artikel drucken |

Wenn der Backup-Server selbst zur Schwachstelle wird

6 Min. Lesezeit

Veeam hat zwei als hoch eingestufte Schwachstellen in seiner Backup-Software geschlossen. Betroffen sind der Veeam Agent für Microsoft Windows und die Veeam Software Appliance auf Linux, also genau die Komponente, die im Ernstfall die Wiederherstellung tragen soll. Wer Backup & Replication bis Version 13.0.1.2067 einsetzt, sollte zeitnah auf 13.0.2.29 aktualisieren.

Das Wichtigste in Kürze

  • Zwei hohe Lücken im Backup-Stack. Veeam Agent für Windows (CVE-2026-32996) und die Linux-Appliance (CVE-2026-32997) sind betroffen, beide schließt das aktuelle Sicherheitsupdate für Backup & Replication.
  • Kein Fernzugriff aus dem Nichts. Beide Schwachstellen verlangen Authentifizierung oder lokalen Zugang. Gefährlich werden sie vor allem, wenn ein Backup-Admin-Konto bereits in fremder Hand ist.
  • Der Backup-Server ist der falsche Ort für offene Flanken. Er ist die letzte Verteidigungslinie gegen Ransomware. Genau dort wiegt eine Rechteausweitung besonders schwer.

Verwandt:Backup gegen Ransomware: 3-2-1-1-0  /  Ransomware-Wiederanlauf: Was wirklich bricht

Was ist Veeam Backup & Replication? Veeam Backup & Replication ist eine weit verbreitete Software, mit der Unternehmen ihre Server, virtuellen Maschinen und Endgeräte sichern und im Notfall wiederherstellen. Der Backup-Server steuert diese Sicherungen zentral. Fällt er aus oder wird er übernommen, steht im Ernstfall die gesamte Wiederherstellung still.

Was die beiden Lücken konkret bedeuten

Veeam hat die Schwachstellen mit einem Sicherheitsupdate für Backup & Replication geschlossen und in einer eigenen Hinweis-Datenbank dokumentiert. Beide tragen die Einstufung hoch, treffen aber unterschiedliche Komponenten und verlangen unterschiedliche Voraussetzungen.

Die erste Lücke, geführt als CVE-2026-32996, betrifft den Veeam Agent für Microsoft Windows. Sie erlaubt es einem Angreifer mit lokalem Zugang, sich höhere Rechte auf dem System zu verschaffen. Veeam bewertet sie mit einem CVSS-Wert von 7,3. Eine lokale Rechteausweitung wird dann gefährlich, wenn ein Angreifer bereits einen ersten Fuß auf dem Rechner hat und von dort zum Administrator aufsteigen will.

Die zweite Lücke, CVE-2026-32997, sitzt in der Veeam Software Appliance auf Linux. Hier kann ein angemeldeter Nutzer mit der Rolle Backup-Administrator beliebige Dateien auf den Server schreiben und damit Folgeangriffe vorbereiten. Veeam stuft sie mit einem CVSS-Wert von 8,6 ein, also noch etwas höher als die Windows-Lücke. Voraussetzung ist ein gültiges Backup-Admin-Konto. Genau diese Bedingung verschiebt das Risiko: Solange die Backup-Admin-Konten sauber sind, bleibt die Lücke schwer nutzbar. Ein übernommenes privilegiertes Konto macht sie zum gefährlichen Hebel.

2
als hoch eingestufte Schwachstellen treffen Veeam Agent für Windows und die Linux-Appliance. Beide schließt das Update auf Backup & Replication 13.0.2.29.
Quelle: Veeam Security Advisory (KB4852), heise security

Warum der Backup-Server ein besonders heikles Ziel ist

Der nüchterne Blick zuerst: Keine der beiden Lücken lässt sich aus der Ferne ohne Anmeldung ausnutzen. Die Einordnung verschiebt sich trotzdem, wenn man bedenkt, um welches System es hier geht.

Der Backup-Server ist der Rückzugsraum für den Ernstfall. Wenn produktive Systeme verschlüsselt sind, entscheidet die Wiederherstellbarkeit über Tage oder Wochen Stillstand. Genau deshalb zielen Ransomware-Gruppen zuerst auf die Backups: Wer die Sicherung löscht oder manipuliert, nimmt dem Opfer den Notausgang. Eine Rechteausweitung oder ein Schreibzugriff auf diesem System trifft in dieser Logik das Zentrum der Abwehr.

Dazu kommt ein zweiter Punkt. Backup-Server laufen oft im Hintergrund, werden selten neu gestartet und noch seltener aktualisiert, weil ihr Ausfall die Sicherung unterbricht. Diese Trägheit ist verständlich, aber sie ist auch der Grund, warum bekannte Veeam-Lücken in der Vergangenheit lange nach dem Patch noch ausgenutzt wurden. Ein verfügbares Update nützt nichts, solange es nicht eingespielt ist.

Wie dringend ist der Patch wirklich?

Ehrlich eingeordnet liegt die Dringlichkeit im Mittelfeld, nicht im roten Bereich eines Notfall-Patches. Beide Lücken verlangen einen Fuß im System oder ein privilegiertes Konto, eine massenhafte automatisierte Ausnutzung aus dem Internet gibt es nicht. Ein Unternehmen mit sauber getrennten Backup-Admin-Konten und aktuellem Patchstand der Endgeräte hat damit etwas Luft.

Trotzdem gehört das Update auf die Liste der nächsten Wartungsfenster und nicht in die Warteschleife für das nächste Quartal. Ausschlaggebend ist die Kombination: Backup-Server sind ein bevorzugtes Ziel, privilegierte Konten werden in echten Angriffen regelmäßig übernommen, und genau dann wird aus einer mittleren Lücke ein scharfes Werkzeug. Wer ohnehin ein Wartungsfenster plant, zieht das Veeam-Update vor.

Was Admins jetzt tun sollten

Die Reihenfolge ist überschaubar und kommt ohne Aktionismus aus. Vier Schritte decken den akuten Bedarf ab.

Vier Schritte nach dem Veeam-Update
Version prüfen
Den aktuellen Stand von Backup & Replication feststellen. Alles bis einschließlich 13.0.1.2067 ist betroffen und sollte auf die Liste.
Update einspielen
Auf 13.0.2.29 aktualisieren, in einem geplanten Wartungsfenster und mit anschließendem Funktionstest der Sicherungsjobs.
Backup-Admin eng halten
Die Rolle Backup-Administrator nur an wenige Konten vergeben, mit Mehr-Faktor-Schutz auf der Konsole. Beide Lücken brauchen genau solche Konten oder lokalen Zugang.
Zugriffe beobachten
Anmeldungen und Schreibzugriffe auf dem Backup-Server protokollieren und auf Auffälligkeiten prüfen. Wer den Normalzustand kennt, erkennt die Abweichung früher.

Keiner dieser Schritte ist aufwendig, und der wichtigste ist der zweite. Ein verfügbarer Patch, der ungenutzt im Wartungsbacklog liegt, schützt niemanden. Gerade beim Backup-Server lohnt sich die Mühe, das Wartungsfenster früher als sonst anzusetzen.

Häufige Fragen

Welche Veeam-Versionen sind von den Schwachstellen betroffen?

Betroffen sind alle Ausgaben von Veeam Backup & Replication bis einschließlich Version 13.0.1.2067. Mit der Version 13.0.2.29 hat Veeam beide Lücken geschlossen. Wer eine ältere Version einsetzt, sollte das Update zeitnah einplanen.

Lassen sich die Lücken aus der Ferne ohne Anmeldung ausnutzen?

Nein. CVE-2026-32996 verlangt lokalen Zugang zum Windows-System, CVE-2026-32997 ein angemeldetes Konto mit der Rolle Backup-Administrator. Ein Angreifer braucht also bereits einen Fuß im System oder ein kompromittiertes privilegiertes Konto. Das senkt die akute Dringlichkeit, hebt die Patch-Pflicht aber nicht auf.

Welche Produkte sind genau gefährdet?

Die erste Lücke betrifft den Veeam Agent für Microsoft Windows, die zweite die Veeam Software Appliance auf Linux-Servern. Beide gehören zum Umfeld von Backup & Replication, weshalb das Sicherheitsupdate für die zentrale Backup-Software die Korrektur ausliefert.

Was ist die wichtigste Sofortmaßnahme?

Das verfügbare Update in einem geplanten Wartungsfenster einspielen und danach die Sicherungsjobs testen. Flankierend sollten die Backup-Administrator-Rechte eng gehalten und mit Mehr-Faktor-Authentifizierung geschützt werden.

Warum ist der Backup-Server ein lohnendes Ziel für Angreifer?

Weil er die Wiederherstellung trägt. Ransomware-Gruppen versuchen regelmäßig, zuerst die Backups zu löschen oder zu manipulieren, um dem Opfer den Notausgang zu nehmen. Eine Schwachstelle, die Rechteausweitung oder Schreibzugriff auf diesem System erlaubt, wiegt deshalb schwerer als auf einem beliebigen Endgerät.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazin

Container Supply Chain Security: IT-Lieferketten absichern

digital-chiefs

Lieferketten-Transparenz: COOs sichern die Zukunftsfähigkeit

mybusinessfuture

Wenn das Update selbst zum Einfallstor wird

Bildquelle: KI-generiert (Juni 2026), C2PA-Zertifikat im Bild hinterlegt

Artikel drucken
Benedikt Langer

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor

Ein Magazin der Evernine Media GmbH