Zoom-Sicherheitslücken: Kontoübernahmen aus dem Netz möglich – Was IT-Verantwortliche jetzt tun müssen

Stand: 16. Juli 2026 | Lesedauer: ca. 7 Minuten


Einleitung: Kritische Schwachstellen in einem der meistgenutzten Kollaborationstools

Videokonferenzen gehören in deutschen Unternehmen längst zur täglichen Arbeitsroutine – und Zoom ist dabei eines der am weitesten verbreiteten Werkzeuge. Umso alarmierender ist die aktuelle Meldung: Zoom hat mehrere, teils kritische Sicherheitslücken in seiner Webkonferenzsoftware geschlossen, die es Angreifern ermöglichten, Nutzerkonten vollständig aus dem Netz zu übernehmen – ohne physischen Zugang zum Gerät, ohne Interaktion des Opfers.

Was sich zunächst wie ein technisches Detail anhört, ist in der Praxis ein erhebliches Unternehmensrisiko. Zoom-Konten enthalten in vielen Unternehmen sensible Meetingaufzeichnungen, Chatverläufe, geteilte Dateien und – über SSO-Integrationen – Zugänge zu weiteren Unternehmenssystemen. Eine Kontoübernahme kann damit der erste Schritt in eine weitreichende Datenpanne oder einen gezielten Angriff auf kritische Infrastruktur sein.

Für Unternehmen, die unter die NIS2-Richtlinie fallen oder die DSGVO-konform operieren müssen, ergibt sich daraus unmittelbarer Handlungsbedarf.


Technischer Hintergrund: Was steckt hinter den Zoom-Schwachstellen?

Zoom hat in der aktuellen Sicherheitsmitteilung (veröffentlicht am 16. Juli 2026) mehrere Schwachstellen dokumentiert, von denen mindestens eine als „kritisch" eingestuft wird. Im Kern handelt es sich um Angriffsvektoren, die eine Remote Account Takeover (RATO) ermöglichen – also eine Kontoübernahme über das Netzwerk, ohne dass der Angreifer direkten Zugriff auf das Endgerät benötigt.

Typische Angriffsmuster bei solchen Schwachstellen:

  • Authentication Bypass: Fehler in der Authentifizierungslogik erlauben es, den Identitätsnachweis zu umgehen und sich als legitimer Nutzer einzuloggen.
  • Session Hijacking: Schwachstellen in der Sitzungsverwaltung ermöglichen es Angreifern, gültige Session-Token abzugreifen oder zu fälschen.
  • Unsichere API-Endpunkte: Schlecht abgesicherte Schnittstellen können ausgenutzt werden, um Kontoeinstellungen ohne Autorisierung zu manipulieren.
  • Cross-Site Request Forgery (CSRF): Nutzer werden unbemerkt dazu gebracht, schädliche Aktionen in ihrem eigenen Konto auszulösen.

Einfach erklärt: Ein Angreifer muss das Opfer nicht dazu bringen, auf einen Link zu klicken oder eine Datei zu öffnen. In manchen Szenarien reicht es, dass sich das Opfer eingeloggt im Browser befindet, während es eine präparierte Webseite besucht – oder der Angreifer sendet schlicht gezielt manipulierte Anfragen an Zoom-Server. Das Ergebnis: vollständiger Zugriff auf das Zoom-Konto, alle darin gespeicherten Daten und möglicherweise verbundene Drittanwendungen.

Wichtig: Solange keine gepatchte Version installiert ist oder Zoom die serverseitigen Korrekturen ausrollt, bleiben Systeme verwundbar. Unternehmen sollten keine Zeit verlieren.


NIS2-Relevanz und Pflichten für deutsche Unternehmen

Wer ist betroffen?

Die NIS2-Richtlinie (umgesetzt in Deutschland durch das BSIG in der aktuellen Fassung) betrifft eine breite Palette von Unternehmen – von der kritischen Infrastruktur (KRITIS) bis hin zu wichtigen und wesentlichen Einrichtungen in Bereichen wie Gesundheit, Energie, Finanzwesen, digitale Infrastruktur und produzierende Industrie. Nutzen diese Unternehmen Zoom als Teil ihrer Kommunikationsinfrastruktur, fällt die vorliegende Schwachstelle direkt in den Scope der NIS2-Anforderungen.

Konkrete NIS2-Pflichten bei solchen Vorfällen:

Pflicht Zeitrahmen Rechtsgrundlage
Erstmeldung bei erheblichem Sicherheitsvorfall 24 Stunden nach Kenntnisnahme Art. 23 NIS2-RL / § 32 BSIG
Vollständige Vorfallsmeldung 72 Stunden Art. 23 NIS2-RL
Abschlussbericht 1 Monat nach Erstmeldung Art. 23 Abs. 4 NIS2-RL
Risikomanagement & Patch-Management Laufend Art. 21 NIS2-RL / § 30 BSIG

Was ist ein „erheblicher Sicherheitsvorfall" im Sinne von NIS2?

Laut BSI-Definition liegt ein erheblicher Vorfall vor, wenn die Verfügbarkeit, Integrität oder Vertraulichkeit von Systemen oder Daten signifikant beeinträchtigt wird – oder dies droht. Eine erfolgreiche Kontoübernahme über Zoom erfüllt diese Kriterien eindeutig, insbesondere wenn Meetingaufzeichnungen mit personenbezogenen Daten oder geschäftskritischen Inhalten kompromittiert wurden.

DSGVO-Bezug nicht vergessen

Zusätzlich zur NIS2 gilt: Werden durch eine Kontoübernahme personenbezogene Daten (z. B. Videoaufzeichnungen von Mitarbeitern oder Kunden) unbefugt zugänglich, entsteht eine meldepflichtige Datenpanne nach Art. 33 DSGVO. Die Meldung an die zuständige Datenschutzaufsichtsbehörde muss innerhalb von 72 Stunden erfolgen.

Empfehlung des BSI: Unternehmen sollten Softwarekomponenten wie Videokonferenzlösungen im Rahmen ihres Asset-Managements erfassen und aktiv im Vulnerability-Management überwachen. Sicherheitshinweise des Herstellers müssen systematisch verfolgt und Patches zeitnah eingespielt werden.


7 konkrete Schutzmaßnahmen, die Sie jetzt umsetzen sollten

1. Sofort patchen – ohne Verzögerung

Spielen Sie das aktuelle Zoom-Update unverzüglich auf allen Unternehmensgeräten ein. Nutzen Sie Ihren Mobile Device Management (MDM)- oder Endpoint-Management-Layer, um das Update zentral und vollständig auszurollen. Prüfen Sie, ob sowohl Desktop-Clients als auch mobile Apps aktualisiert wurden.

2. Zoom-Konto-Aktivitäten auditieren

Überprüfen Sie in der Zoom-Admin-Konsole die Anmeldeprotokolle aller Nutzerkonten auf auffällige Aktivitäten: unbekannte IP-Adressen, ungewöhnliche Anmeldezeiten oder Zugriffe aus untypischen geografischen Regionen. Viele Unternehmen unterschätzen, wie aufschlussreich diese Logs sind.

3. Multi-Faktor-Authentifizierung (MFA) erzwingen

Falls noch nicht geschehen: Aktivieren Sie MFA für alle Zoom-Accounts in Ihrer Organisation – zwingend und ohne Ausnahme. MFA ist eine der effektivsten Maßnahmen gegen Account Takeover und wird von BSI und ENISA ausdrücklich empfohlen. Nutzen Sie TOTP-basierte Lösungen oder Hardware-Token statt SMS-basierter MFA.

4. SSO-Integrationen überprüfen

Zoom ist in vielen Unternehmensumgebungen per Single Sign-On (SSO) mit Microsoft Azure AD, Okta oder ähnlichen Identity Providern verbunden. Eine Kontoübernahme kann so als Sprungbrett in weitere Unternehmenssysteme dienen. Überprüfen Sie, welche Systeme über Zoom-SSO erreichbar sind, und erwägen Sie eine temporäre Entkopplung kritischer Ressourcen.

5. Zugriffsberechtigungen nach dem Least-Privilege-Prinzip einschränken

Zoom-Konten sollten nur die Berechtigungen haben, die für den jeweiligen Nutzer tatsächlich notwendig sind. Administrator-Rechte sollten auf wenige, definierte Accounts beschränkt sein. Führen Sie eine Berechtigungsüberprüfung durch und entziehen Sie nicht mehr benötigte Privilegien.

6. Netzwerksegmentierung und Monitoring aktivieren

Stellen Sie sicher, dass Zoom-Kommunikation in Ihrer Netzwerkinfrastruktur überwacht wird – insbesondere auf Anomalien im Datenverkehr. Ein SIEM-System (Security Information and Event Management) kann verdächtige Muster frühzeitig erkennen. Segmentieren Sie Netzwerkbereiche, um laterale Bewegungen nach einer potenziellen Kompromittierung einzuschränken.

7. Mitarbeiter sensibilisieren

Informieren Sie Ihre Mitarbeiter proaktiv über die aktuelle Bedrohungslage. Erklären Sie, worauf sie achten müssen: verdächtige Benachrichtigungen von Zoom, unerwartete Passwort-Reset-E-Mails oder unbekannte Geräte in den Konto-Einstellungen. Awareness ist und bleibt eine der wirksamsten Schutzmaßnahmen.


Fazit: Proaktives Patch-Management ist keine Option – es ist Pflicht

Der Vorfall rund um die Zoom-Sicherheitslücken illustriert ein grundlegendes Problem in der heutigen Unternehmens-IT: Kollaborationssoftware ist längst kritische Infrastruktur – wird aber häufig nicht mit der gleichen Sorgfalt behandelt wie klassische Netzwerkkomponenten oder Serversysteme. Dabei sind die Risiken vergleichbar, in manchen Fällen sogar höher, weil der Angriff hier direkt an der menschlichen Kommunikationsebene ansetzt.

Für Unternehmen unter NIS2 gilt: Wer jetzt nicht handelt, riskiert nicht nur Datenverlust und Reputationsschäden, sondern auch empfindliche Bußgelder. Die NIS2-Richtlinie sieht Sanktionen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor – und die deutschen Behörden haben signalisiert, dass die Durchsetzung ernst genommen wird.


Call-to-Action: NIS2-Compliance strukturiert angehen

Vorfälle wie dieser zeigen, wie wichtig ein systematisches Vulnerability- und Patch-Management im Rahmen eines NIS2-konformen ISMS (Informationssicherheits-Managementsystem) ist. Wer den Überblick über Software-Assets, Meldepflichten und Maßnahmen manuell zu behalten versucht, wird schnell an Grenzen stoßen.

Ein praktischer Tipp: Spezialisierte NIS2-Compliance-Softwarelösungen helfen dabei, Asset-Inventare aktuell zu halten, Sicherheitsvorfälle fristgerecht zu dokumentieren und Meldepflichten gegenüber dem BSI strukturiert abzuwickeln. Sie bieten häufig auch integrierte Risikobewertungs-Workflows, die genau solche Szenarien – Drittanbieter-Software mit kritischen Schwachstellen – abbilden können. Eine Investition, die sich angesichts der regulatorischen Anforderungen und der aktuellen Bedrohungslage schnell rechnet.


Quellen: Heise Security (16.07.2026), Bundesamt für Sicherheit in der Informationstechnik (BSI), ENISA Threat Landscape 2025, NIS2-Richtlinie (EU) 2022/2555, DSGVO Art. 33