Zuletzt aktualisiert am 7. April 2026

Bei der kommerziellen Wiki-Software des australischen Unternehmen Atlassian ist eine Zero-Day-Sicherheitslücke bekannt geworden. Es soll bereits zur aktiven Ausnutzung gekommen sein.

Entdeckung der Sicherheitslücke

Entdeckt hatte die jetzige Sicherheitslücke bereits Ende Mai eine Sicherheitsfirma. Diese stellte fest, dass Angreifer die Sicherheitslücke nutzten, um eine Webshell auf Servern von Kunden zu installieren. Mehrere Gruppen aus China haben die Zero-Day-Sicherheitslücke demnach wohl ausgenutzt. Betroffen sollen dabei alle aktuellen Versionen von Confluence sein.

Am 03. Juni gab Atlassian auf der eigenen Confluence Support-Website Handlungsempfehlungen an die Nutzer heraus.

Die Sicherheitslücke CVE-2022-26134 im Detail

Die als CVE-2022-26134 katalogisierte Sicherheitslücke ermöglicht es Angreifern, über eine sogenannte OGNL-Injection beliebigen Code auf dem betroffenen Server auszuführen. Diese Art von Schwachstelle wird als Remote Code Execution (RCE) klassifiziert und erhielt den höchstmöglichen CVSS-Score von 10.0, was die extreme Kritikalität der Lücke unterstreicht.

Konkret konnten Angreifer durch das Senden speziell präparierter HTTP-Anfragen an den Confluence-Server beliebige Befehle auf dem zugrunde liegenden Betriebssystem ausführen. Dies ermöglichte unter anderem das Installieren von Webshells, das Auslesen von Datenbankinhalten und das Herunterladen sensibler Unternehmensdaten.

Die Sicherheitslücke betraf alle selbst gehosteten Versionen von Confluence Server und Confluence Data Center. Die Cloud-Version von Confluence war dagegen nicht betroffen, da Atlassian dort eigene Sicherheitsmaßnahmen implementiert hat.

Datenschutzrechtliche Implikationen

Die Ausnutzung der Confluence-Sicherheitslücke hat erhebliche datenschutzrechtliche Konsequenzen. Confluence wird in vielen Unternehmen als zentrale Wissensplattform genutzt, auf der Projektdokumentation, Kundendaten und vertrauliche Geschäftsinformationen gespeichert werden. Ein unbefugter Zugriff auf diese Daten stellt eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO dar.

Betroffene Unternehmen mussten daher innerhalb von 72 Stunden nach Kenntnisnahme prüfen, ob ein Zugriff auf personenbezogene Daten stattgefunden hat, und dies gegebenenfalls der zuständigen Aufsichtsbehörde melden. Außerdem waren die betroffenen Personen nach Art. 34 DSGVO zu benachrichtigen.

Die Pflicht zur Dokumentation des Vorfalls nach Art. 33 Abs. 5 DSGVO erfordert zudem eine lückenlose Aufzeichnung aller Maßnahmen, die zur Eindämmung der Sicherheitslücke ergriffen wurden.

Lehren aus dem Vorfall: Patch-Management und Incident Response

Der Confluence-Vorfall verdeutlicht die Bedeutung eines funktionierenden Patch-Management-Prozesses. Unternehmen müssen sicherstellen, dass Sicherheitsupdates für alle eingesetzten Softwareprodukte zeitnah installiert werden. Ein strukturierter Prozess, der die Identifikation, Bewertung und Installation von Patches abdeckt, ist dabei nötig.

Ebenso wichtig ist ein gut vorbereiteter Incident-Response-Plan. Dieser sollte festlegen, wer im Falle eines Sicherheitsvorfalls welche Aufgaben übernimmt, wie die Kommunikation intern und extern abläuft und welche technischen Maßnahmen zur Eindämmung ergriffen werden. Der Plan sollte regelmäßig getestet und aktualisiert werden.

Die Einrichtung eines Security-Newsletter-Abonnements ist eine einfache aber effektive Maßnahme, um frühzeitig über neue Sicherheitslücken informiert zu werden. Ergänzend dazu empfiehlt sich die Nutzung von Schwachstellen-Scannern, die die eigene Infrastruktur automatisiert auf bekannte Sicherheitslücken überprüfen.

Self-Hosting vs. Cloud: Sicherheitsabwägungen

Der Vorfall wirft auch die grundsätzliche Frage auf, ob Unternehmen sensible Anwendungen wie Confluence selbst hosten oder auf Cloud-Lösungen setzen sollten. Beim Self-Hosting behält das Unternehmen die volle Kontrolle über seine Daten. Allerdings trägt es auch die alleinige Verantwortung für die Sicherheit, was entsprechendes Know-how und Ressourcen erfordert.

Cloud-Lösungen bieten den Vorteil, dass der Anbieter für die Sicherheit der Infrastruktur und das Einspielen von Patches verantwortlich ist. Allerdings gibt man damit auch einen Teil der Kontrolle über die eigenen Daten ab. Für Unternehmen mit hohem Schutzbedarf empfiehlt sich eine hybride Lösung, bei der besonders sensible Daten intern gespeichert werden. Die technisch-organisatorischen Maßnahmen müssen in jedem Fall dem jeweiligen Schutzbedarf angepasst sein.

Häufige Angriffsvektoren auf Unternehmensanwendungen

Die Confluence-Sicherheitslücke ist kein Einzelfall. Unternehmensanwendungen, die im Internet erreichbar sind, werden regelmäßig Ziel von Cyberangriffen. Neben Confluence waren in der Vergangenheit auch andere weit verbreitete Anwendungen wie Microsoft Exchange Server, VMware vCenter, Citrix ADC und Apache Log4j von schwerwiegenden Sicherheitslücken betroffen.

Die häufigsten Angriffsvektoren umfassen neben Zero-Day-Schwachstellen auch die Ausnutzung bekannter, aber ungepatchter Sicherheitslücken, Brute-Force-Angriffe auf schwache Passwörter, Phishing-Attacken gegen Administratoren und die Kompromittierung von Zugangsdaten über Credential-Stuffing. Unternehmen müssen daher einen umfassenden Sicherheitsansatz verfolgen, der alle diese Angriffsvektoren berücksichtigt.

Ein wichtiger Baustein ist die Netzwerksegmentierung. Kritische Anwendungen wie Confluence sollten nicht direkt aus dem Internet erreichbar sein, sondern nur über ein VPN oder eine Web Application Firewall (WAF) zugänglich gemacht werden. Durch die Segmentierung des Netzwerks kann im Falle einer Kompromittierung die Ausbreitung des Angriffs auf andere Systeme verhindert werden.

Verantwortung der Softwarehersteller

Der Confluence-Vorfall wirft auch Fragen nach der Verantwortung der Softwarehersteller auf. Atlassian steht als Hersteller in der Pflicht, sichere Software zu entwickeln und zeitnah Sicherheitsupdates bereitzustellen. Die Tatsache, dass innerhalb weniger Monate sowohl ein schwerwiegender Ausfall der Cloud-Dienste als auch eine kritische Zero-Day-Sicherheitslücke auftraten, deutet auf systematische Qualitätsprobleme hin.

Nach dem EU Cyber Resilience Act, der voraussichtlich ab 2027 gilt, werden Hersteller digitaler Produkte zu strengeren Sicherheitsstandards verpflichtet. Sie müssen Schwachstellen aktiv überwachen, Sicherheitsupdates bereitstellen und Vorfälle an die zuständigen Behörden melden. Verstöße können mit empfindlichen Bußgeldern geahndet werden.

Für Unternehmen, die Atlassian-Produkte einsetzen, empfiehlt es sich, die Sicherheitsbilanz des Herstellers regelmäßig zu bewerten und alternative Lösungen zu evaluieren. Open-Source-Alternativen wie MediaWiki oder BookStack bieten vergleichbare Funktionalität und können selbst gehostet werden, wobei die Verantwortung für die Sicherheit beim Betreiber liegt. Die Entscheidung sollte im Rahmen einer vollständigen Risikobewertung getroffen werden.

Zero-Day-Schwachstellen: Erkennung und Reaktion

Zero-Day-Schwachstellen wie CVE-2022-26134 stellen eine besondere Herausforderung dar, da sie per Definition vor ihrer Entdeckung unbekannt sind und kein Patch verfügbar ist. Unternehmen müssen daher Strategien entwickeln, um auch gegen unbekannte Bedrohungen gewappnet zu sein. Ein wirksamer Ansatz ist die Implementierung eines Defense-in-Depth-Konzepts, bei dem mehrere Sicherheitsschichten den Zugriff auf kritische Systeme schützen.

Konkret bedeutet dies, dass neben der Absicherung der Anwendungsebene auch die Netzwerk-, Betriebssystem- und Datenbankebene geschützt werden müssen. Eine Web Application Firewall (WAF) kann verdächtige HTTP-Anfragen erkennen und blockieren, noch bevor sie die Anwendung erreichen. Intrusion Detection und Prevention Systeme (IDS/IPS) können anomale Netzwerkaktivitäten identifizieren und alarmieren. Und ein Security Information and Event Management (SIEM) System kann die Logdaten aller Systeme zentral auswerten und Angriffsmuster erkennen.

Für die Erkennung von Zero-Day-Angriffen sind zudem Threat-Intelligence-Feeds von großem Wert. Diese liefern aktuelle Informationen über bekannte Bedrohungen, Indicators of Compromise (IoCs) und Angriffstechniken. Durch den Abgleich der eigenen Systemdaten mit diesen Feeds können Unternehmen Angriffe frühzeitig erkennen und Gegenmaßnahmen einleiten. Die Integration von Threat Intelligence in das bestehende Sicherheitskonzept sollte daher fester Bestandteil jeder Datenschutz- und Sicherheitsstrategie sein.

Der Confluence-Vorfall unterstreicht die Notwendigkeit eines umfassenden Sicherheitskonzepts, das technische, organisatorische und personelle Maßnahmen umfasst. Die bloße Bereitstellung von Software-Updates durch den Hersteller reicht nicht aus, wenn Unternehmen diese nicht zeitnah einspielen. Ein funktionierendes Patch-Management, ein ausgearbeiteter Incident-Response-Plan und die kontinuierliche Überwachung der eigenen Systeme sind wichtige Bestandteile einer wirksamen Sicherheitsstrategie. Nur so können Unternehmen die Risiken von Zero-Day-Schwachstellen minimieren und ihre Daten sowie die Daten ihrer Kunden wirksam schützen.

Die rasche Zerschlagung der Angriffskampagne durch gut vorbereitete Alarmketten zeigt, wie wichtig ein vorausschauender Ansatz in der IT-Sicherheit ist. Unternehmen, die frühzeitig in Sicherheitsmaßnahmen investieren und ihre Prozesse regelmäßig überprüfen, können auch schwerwiegende Vorfälle wie die Confluence-Sicherheitslücke erfolgreich bewältigen.

Der Vorfall bei Confluence sollte als Weckruf für Unternehmen dienen, die auf vernetzte Softwarelösungen angewiesen sind und deren Sicherheit nicht dem Zufall überlassen dürfen.

Ein Update für die Behebung der Lücke ist bereits durch Atlassian bereitgestellt worden, wir konnten Kundeninstallationen bereits erfolgreich auf die aktuellste Version 7.18.1 updaten:

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html?utm_source=alert-email&utm_medium=email&utm_campaign=Confluence%20Server%20and%20Data%20Center-advisory-june-2022_EML-13330&jobid=105603018&subid=1530219343

Allen betroffenen Installationen, die im Internet verfügbar waren, empfehlen wir intensiv die Server nach Webshells und Angriffsspuren abzusuchen (z.B. in Logfiles und Configs), es sei denn man hatte Container-Lösungen wie z.B. Docker im Einsatz und beim Upgrade des Containers den alten somit entsorgt und nur die Daten übernommen, so haben wir es gelöst.

Code Qualität und Sicherheit lässt nach bei Atlassian

Bereits im April kam es bei Atlassian zu einem längeren Ausfall. Betroffen waren die Clouddienste, sodass Tools wie Jira und Confluence für zum Teil bis zu 14 Tage nicht erreichbar waren. Hierbei handelte es sich allerdings bloß um ein fehlerhaftes Skript, das behoben werden konnte. Der Fehler im Skript hatte dazu geführt, dass IDs von Apps oder Sites angenommen und ohne eine zweite Nachfrage gelöscht wurden. Dieser Fehler wurde allerdings erst später erkannt, sodass es zunächst zu einem längerfristigen Ausfall kam. Aus diesen Fehlern wollte Atlassian laut eigenen Angaben lernen. Betroffen von den Auswirkungen des fehlerhaften Skriptes waren hierbei etwa 775 Kunden.

Was können Betroffene tun?

Solange es bei solchen Zero-Day-Sicherheitslücken noch keinen offiziellen Fix des Herstellers gibt, werden die Administratoren angehalten, den Zugriff auf den Confluence-Server entweder stark einzuschränken oder ganz abzuschalten. Wir hatten durch ein Abo der Security Newsletter von Atlassian bereits am Freitag Kenntnis von der Lücke erlangt und konnten durch gute Alarmketten Kundeninstanzen abschalten.

Grundsätzlich ist eine Anwendung, die zur Funktionsfähigkeit im Internet verfügbar sein muss, anfälliger für Probleme im Bereich der Informationssicherheit. Gerade Unternehmen sind mit einem selbst gehosteten System im Intranet, nicht internetbasierten Lösungen, bei hohen Schutzbedarf besser beraten.

Warnungen vor der Sicherheitslücke

Auch in Amerika kursieren Warnungen vor der Sicherheitslücke. Die Cyber Security and Information Security Agency (CISA) forderte, dass alle Bundesbehörden den Datenverkehr zu den Servern von Confluence abbrechen müssen.

Ihr Unternehmen braucht fachkundige Unterstützung im Bereich Datensicherheit und Datenschutz? Unser Team an Experten steht Ihnen gern zur Seite!