3CX-Notfall-Patch: Kritische Sicherheitslücke in On-Premises-Systemen erfordert sofortiges Handeln

LGR Reutlingen – 06 Juni 2026 | Am 5. Juni 2026 hat der Kommunikationsanbieter 3CX einen 3CX-Notfall-Patch veröffentlicht, der eine kritische Sicherheitslücke in On-Premises-Systemen schließt. Die Schwachstelle befindet sich in der Webserver-Konfiguration und betrifft ausschließlich selbst gehostete Installationen, die öffentlich erreichbar sind. Unternehmen, die ihre Telefonie-Infrastruktur auf eigenen Servern betreiben, sind aufgefordert, die Aktualisierung umgehend einzuspielen. Die notwendigen Sicherheitsupdates sind in den Versionen 20.0.8.1131 (Update 8) und 20.0.9.987 (Update 9) enthalten. Kunden, die ihre Systeme direkt bei 3CX hosten, müssen nichts unternehmen – die Aktualisierung erfolgte zentral.

Bereits Anfang der Woche berichteten Nutzer in Foren von Problemen beim Zugriff auf öffentliche URLs, nachdem erste Hinweise auf die Lücke bekannt wurden. Administratoren, die keine vollständigen Admin-Rechte für ihre Firewall besitzen, kämpften mit eingeschränktem Zugriff. Mobile Anwendungen funktionierten zwar lokal, der externe Zugriff blieb jedoch blockiert. Der Vorfall zeigt einmal mehr, wie verwundbar hybride Kommunikationssysteme sein können, wenn Sicherheitspatches nicht zeitnah eingespielt werden.

3CX-Notfall-Patch: Kritische Sicherheitslücke in On-Premises-Systemen – Hintergrund und Auswirkungen

Der 3CX-Notfall-Patch fällt in eine Phase, in der Analysten die Konkurrenz zwischen 3CX und Microsoft Teams für Unternehmen neu bewerten. Aktuelle Marktvergleiche zeigen, dass 3CX bei Callcenter-Funktionen, CRM-Integration und Preismodellen die Nase vorn hat – insbesondere bei der Abrechnung nach gleichzeitigen Gesprächen. Microsoft Teams punktet dagegen mit umfassenden Kollaborationsfunktionen und der tiefen Integration ins Microsoft-365-Ökosystem. Teams bleibt eine reine Cloud-Lösung mit monatlicher Pro-Nutzer-Abrechnung, während 3CX weiterhin die Flexibilität eigener Server bietet. Beide Plattformen kämpfen um Marktanteile, während Unternehmen ihre Kommunikationswerkzeuge konsolidieren. Ein Trend, der auch deutsche Firmen betrifft: SAP- und Telekom-Kunden etwa prüfen zunehmend, ob sie auf eine einheitliche Lösung setzen sollen.

Die Sicherheitslücke bei 3CX kommt zu einem ungünstigen Zeitpunkt, denn parallel treibt Microsoft die Entwicklung autonomer KI-Agenten voran. Bereits am 2. Juni kündigte Microsoft auf der Build-Konferenz „Scout“ an – einen autonomen KI-Agenten für Teams, Outlook und SharePoint. Scout basiert auf dem Open-Source-Framework OpenClaw und soll ohne ständige Benutzeraufsicht arbeiten. Die Technologie nutzt eine Ebene namens „Work IQ“, um den beruflichen Kontext zu analysieren, Terminkonflikte zu lösen und Besprechungsunterlagen eigenständig vorzubereiten. Das klingt nach Zukunftsmusik, doch Microsoft hat klare Pläne. Nur etwa drei Prozent der Microsoft-365-Nutzer zahlen derzeit für die Copilot-Dienste. Um die Akzeptanz zu steigern, setzt Microsoft auf Großkunden. Ein Beispiel: Die Lloyds Banking Group gab am 5. Juni eine erweiterte Partnerschaft bekannt. Die Bank führt die Microsoft-365-E7-AI Frontier Suite ein und nutzt bereits 40.000 Copilot-Lizenzen – mit einer aktiven Nutzungsrate von 97 Prozent.

Die Expansion der Kommunikationsfunktionen wird von neuen Sicherheitswarnungen begleitet. Indiens CERT-In stufte am 5. Juni eine Schwachstelle in Microsoft Office als hochriskant ein. Die als CVE-2026-45659 bekannte Lücke ermöglicht Angreifern, beliebigen Code auf Zielsystemen auszuführen. Während 3CX den 3CX-Notfall-Patch ausrollt, steigen Phishing-Angriffe auf Microsoft-365-Konten massiv an. Das FBI warnt vor der Kali365-Plattform, die OAuth-Tokens abfängt. Anders als bei traditionellem Passwortdiebstahl fängt Kali365 OAuth-Tokens über Device-Code-Flows ab. Damit umgehen Angreifer selbst die Zwei-Faktor-Authentifizierung. Diese Warnungen stehen im Kontext der „Chatty Spider“-Erpressergruppe, die zwischen Januar und Mai 2026 Dutzende US-Unternehmen angriff. Sicherheitsforscher beschreiben eine perfide Taktik: Die Täter geben sich als IT-Techniker aus und stehlen Daten über USB-Sticks.

Die aktuellen Zahlen verdeutlichen die Brisanz: Die durchschnittlichen Kosten eines Datenlecks liegen inzwischen bei 4,88 Millionen US-Dollar – umgerechnet rund 4,5 Millionen Euro. Für Unternehmen, die über ihre Kommunikationsstrategie entscheiden, sind das Argumente, die Sicherheit bei der Wahl zwischen 3CX und Microsoft Teams ganz oben auf die Agenda zu setzen. Der 3CX-Notfall-Patch zur Schließung der kritischen Sicherheitslücke in On-Premises-Systemen ist ein dringender Weckruf: Wer seine Telefonie selbst hostet, muss Sicherheitsupdates priorisieren. Gleichzeitig zeigt der Trend zu KI-Assistenten, dass die Kommunikationslandschaft in Bewegung bleibt – mit neuen Chancen, aber auch neuen Risiken.