Microsoft Excel: Kritische Sicherheitslücke mit Notfall-Update geschlossen

Microsoft hat eine kritische Sicherheitslücke in Excel gestopft, die Angreifern die vollständige Kontrolle über betroffene Computer ermöglicht hätte. Das Update war Teil eines umfangreichen Sicherheitspatches im Januar 2026.

Die als CVE-2026-20955 identifizierte Schwachstelle ermöglichte die Ausführung von Fremdcode (Remote Code Execution). Sie wurde mit dem höchsten Schweregrad klassifiziert. Ein Angreifer hätte ein speziell präpariertes Excel-Dokument erstellen und einen Nutzer zum Öffnen überlisten müssen. Gelang dies, konnte er beliebigen Code mit den Rechten des Opfers ausführen. Das hätte Datenklau, Ransomware-Infektionen oder das Eindringen in Firmennetze zur Folge haben können.

So funktionierte die gefährliche Excel-Lücke

Technisch handelt es sich um einen untrusted pointer dereference – einen Speicherverarbeitungsfehler. Ein manipuliertes Excel-Dokument veranlasst die Software, auf eine falsche Speicheradresse zuzugreifen. Dadurch wird der Speicher so korrumpiert, dass Angreifercode Platz findet und ausgeführt wird.

Gefährliche Office-Anhänge wie manipulierte Excel-Dateien sind eine der größten Einfallstore für Cyberkriminelle — und viele Unternehmen sind darauf nicht ausreichend vorbereitet. Der kostenlose E‑Book-Report „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen (inkl. KI-gestützter Angriffe und vermehrter Phishing-Kampagnen) zusammen und zeigt praxisnahe Maßnahmen, mit denen Sie Mitarbeiter schulen und IT-Risiken ohne hohe Investitionen reduzieren. Ideal für Geschäftsführer und IT-Verantwortliche. Jetzt kostenlosen Cyber-Security-Report herunterladen

Die Angriffskomplexität ist gering, besondere Berechtigungen sind nicht nötig. Einzige Hürde für Cyberkriminelle: Das Opfer muss die Datei öffnen. Immerhin ist der Preview-Pane in Outlook oder dem Explorer kein Angriffsvektor für diese spezifische Lücke. Das mindert das Risiko etwas, hebt aber die Bedeutung von Nutzeraufklärung hervor.

Teil eines riesigen Sicherheitsupdates im Januar

Das Excel-Update war eingebettet in den ersten und ungewöhnlich umfangreichen Patch-Tuesday des Jahres 2026. Microsoft schloss insgesamt 112 Sicherheitslücken, acht davon wurden als “kritisch” eingestuft.

Neben CVE-2026-20955 wurden weitere kritische Lücken in Excel, Word und Office allgemein behoben. Diese Häufung unterstreicht, warum Office-Produkte ein beliebtes Angriffsziel sind: Sie sind allgegenwärtig. Besonders brisant: Ein weiteres geschlossenes Leck, CVE-2026-20805, wurde bereits aktiv von Angreifern ausgenutzt.

Handlungsempfehlungen für Unternehmen und Privatanwender

Microsoft hat Patches für alle betroffenen Versionen bereitgestellt, inklusive Microsoft 365 Apps und Office Online Server. Das Unternehmen schätzt das Ausnutzungsrisiko aktuell als “weniger wahrscheinlich” ein. Öffentlich bekannt oder aktiv ausgenutzt war die Lücke zum Zeitpunkt der Veröffentlichung nicht.

IT-Sicherheitsexperten raten dennoch zur sofortigen Installation. Die einfache Ausnutzbarkeit macht die Lücke attraktiv für breit angelegte Phishing-Kampagnen. Für Unternehmen ist ein schnelles Patch-Management entscheidend. Privatanwender sollten automatische Updates aktivieren.

Die Lücke ist eine weitere Mahnung: Technische Patches allein reichen nicht. Sicherheitsschulungen für Mitarbeiter, die für verdächtige Excel-Anhänge sensibilisieren, bleiben eine zentrale Verteidigungslinie. Nationale Cyber-Abwehrzentren, wie das kanadische, unterstützen die Dringlichkeit der Empfehlung.

PS: Wenn Ihnen die Sicherheit Ihrer Office-Umgebung am Herzen liegt, bietet dieser Gratis-Report konkrete Checklisten und Sofortmaßnahmen für Patch-Management und Mitarbeitersensibilisierung. Er erklärt, welche Praktiken sofort wirken, wie Sie Phishing-Angriffe schneller erkennen und welche organisatorischen Schritte kurzfristig umsetzbar sind, um das Risiko durch präparierte Excel-Dateien deutlich zu senken. Gratis-E-Book jetzt downloaden