Microsoft 365: Manipulation von E-Mail-Regeln, Formularen und Konnektoren als Sicherheitsrisiken

E-Mail-Regeln, Formulare und Mailfluss-Konnektoren können manipuliert werden und bergen ein ernstzunehmendes Risiko für Unternehmen, welche Dienste wie „Microsoft 365“ nutzen

[datensicherheit.de, 26.08.2025] „Viele IT- und Sicherheitsverantwortliche denken beim Thema E-Mail-Sicherheit vor allem an Phishing und ähnliche Gefahren in Verbindung mit dem Diebstahl von Zugangsdaten durch Cyberkriminelle. Aber zunehmend rücken auch bislang weniger beachtete Funktionen von E-Mail-Software wie ,Outlook’ in den Fokus der Diskussion“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Er warnt in diesem Zusammenhang: „E-Mail-Regeln, Formulare und Mailfluss-Konnektoren können manipuliert werden und bergen ein ernstzunehmendes Risiko für Unternehmen, die Dienste wie ,Microsoft 365‘ nutzen.“ Angreifer können demnach die genannten Funktionen, welche eigentlich für die legitime Automatisierung und Steuerung des E-Mail-Verkehrs gedacht seien, ausnutzen, um dauerhaft und unbemerkt auf kompromittierte Konten zuzugreifen. Fälle wie die kritische Sicherheitslücke im „Outlook“-Modul „OLE“ (Object Linking and Embedding), vor der das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang des Jahres 2025 warnte, häuften sich und zeigten die potenziellen Gefahren im „Microsoft-365-Ökosystem“ auf.

Foto: KnowBe4

Dr. Martin J. Krämer: Häufung kritischer Sicherheitslücken zeigt potenzielle Gefahren im „Microsoft-365-Ökosystem“ auf

Angreifer zielen auf Zugangsdaten für „Microsoft 365“-Konten

Krämer führt aus: „Erhält ein Angreifer die Zugangsdaten eines ,Microsoft 365‘-Kontos – etwa durch Phishing, ,Credential Stuffing’ oder das Abfangen eines Einmal-Passworts für die Multi-Faktor-Authentifizierung (MFA) – kann er Regeln in der E-Mail-Software, benutzerdefinierte ,Outlook’-Formulare oder Nachrichtenfluss-Konnektoren einrichten.“

• E-Mail-Regeln und Formulare ermöglichten es, in „Outlook“ Nachrichten automatisch weiterzuleiten, zu löschen oder zu verändern. Bei missbräuchlicher Nutzung könnten damit unter anderem betrügerische Aktivitäten verschleiert und Daten entwendet werden.

„Konnektoren, die serverseitig in ,Microsoft Exchange Online’ arbeiten, steuern den E-Mail-Verkehr zwischen ,Exchange Online’ und anderen Systemen. Angreifer können diese so konfigurieren, dass E-Mails über fremde Server umgeleitet, Absenderangaben verändert oder Antworten auf eigene Domains umgeleitet werden.“ Da diese Konfigurationen in der „Cloud“ gespeichert würden, blieben sie auch nach Passwortänderungen, einer Neueinrichtung der MFA oder einer Neuinstallation des E-Mail-Clients bestehen. „Sie werden nur entdeckt, wenn gezielt danach gesucht wird.“

Sicherheitsverantwortliche kennen oft ausnutzbare Funktionen in „Microsoft 365“ nicht

Angreifer durchsuchten nach der Anmeldung eines kompromittierten Kontos das Postfach nach geschäftlich relevanten Inhalten – beispielsweise offenen Rechnungen. Anschließend richteten sie Regeln oder „Connectors“ ein, um die betroffene Kommunikation abzufangen und zu manipulieren, etwa indem legitime Zahlungsanweisungen durch gefälschte ersetzt würden.

• „Antworten der Empfänger werden häufig so umgeleitet, dass sie den Kontoinhaber nicht erreichen. Dadurch kann der Angriff über Tage oder Wochen unbemerkt bleiben.“ Selbst ansonsten technisch gut geschützte Unternehmen und deren Sicherheitsverantwortliche könnten so hinters Licht geführt werden, was erhebliche finanziellen Schäden zur Folge haben könne.

Die zunehmende Ausnutzung von Mailfluss-Konnektoren durch Cyberkriminelle hänge auch damit zusammen, dass viele Organisationen sich der Gefahr schlicht nicht bewusst seien. „Sicherheitsverantwortliche wissen nicht immer, dass diese Funktionen standardmäßig in ,Microsoft 365‘ verfügbar sind“, erläutert Krämer. Besonders kritisch seien Fälle, in denen einzelne Mitarbeiter ohne die nötigen Sicherheitskenntnisse sowohl Nutzer- als auch Administratorrechte besitzen.

Gewissenhafte Überprüfung der „Microsoft 365“-Funktionen, kombiniert mit starker Authentifizierung und regelmäßigen Schulungen, empfohlen

Zunächst müssten Unternehmen und Sicherheitsteams ein Bewusstsein dafür entwickeln, dass diese Funktionen existieren und missbraucht werden könnten. Administratoren sollten regelmäßig sowohl „Outlook“-Regeln und -Formulare als auch Mailfluss-Konnektoren im „Microsoft 365 Admin Center“ prüfen und sicherstellen, „dass alle Einträge legitim und erforderlich sind“.

• Auch die eingesetzten Authentifizierungsmethoden sollten möglichst resistent gegen Phishing sein. Krämer regt an: „So sorgt zum Beispiel der Einsatz von ,FIDO2‘-Sicherheitsschlüsseln oder Passkeys anstelle leicht abfangbarer Einmal-Passwörter für mehr Sicherheit. Beim Einsatz von Security-Lösungen gilt, dass sie so eingerichtet werden sollten, dass bei der Erstellung oder Änderung von Regeln, Formularen und ,Connectors’ innerhalb der E-Mail-Software sofort eine Warnmeldung erfolgt.“

Neben der Notwendigkeit, Mitarbeiter zu schulen und über die Gefahren aufzuklären, gelte es für Sicherheitsteams auch, auffällige Muster im ausgehenden E-Mail-Verkehr oder Unstimmigkeiten bei Absenderinformationen zeitnah zu untersuchen. Krämers Fazit: „Die gewissenhafte Überprüfung der ,Microsoft 365‘-Funktionen, kombiniert mit dem Einsatz starker Authentifizierung und regelmäßigen Security-Schulungen für Mitarbeitende, kann das Risiko einer langfristigen und unbemerkten Kontoübernahme in ,Microsoft 365‘ deutlich reduzieren.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

Bundesamt für Sicherheit in der Informationstechnik, 14.01.2025
Version 1.0: Microsoft Windows – Kritische Schwachstelle in Windows OLE

t3n digital pioneers, Ann-Catherin Karg, 26.01.2025
Outlook-User aufgepasst: BSI warnt vor Schadsoftware, die beim Öffnen von E-Mails zuschlägt / Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer besonders gefährlichen Schadsoftware, die allein durch das Öffnen einer E-Mail aktiviert wird. Doch es gibt einen Schutz.

datensicherheit.de, 31.07.2025
Microsoft 365 im Visier: Cyberkriminelle knacken MFA / Online-Kriminalität entwickelt sich stetig fort. Angreifern ist es mittels raffinierten Täuschungsmanövern gelungen Multi-Faktor-Authentifizierungen auszuhebeln.

datensicherheit.de, 12.08.2021
Studie zum Sicherheitsniveau bei E-Mail-Kommunikation und Einsatz von Microsoft 365 / Laut Hornetsecurity-Umfrage eins von vier Unternehmen mit mindestens einer E-Mail-Sicherheitslücke

datensicherheit.de, 15.04.2019
https://www.datensicherheit.de/hackerangriff-outlook-com-schwachstelle-privileged-account