[datensicherheit.de, 26.08.2025] „Viele IT- und Sicherheitsverantwortliche denken beim Thema E-Mail-Sicherheit vor allem an Phishing und ähnliche Gefahren in Verbindung mit dem Diebstahl von Zugangsdaten durch Cyberkriminelle. Aber zunehmend rücken auch bislang weniger beachtete Funktionen von E-Mail-Software wie ,Outlook’ in den Fokus der Diskussion“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Er warnt in diesem Zusammenhang: „E-Mail-Regeln, Formulare und Mailfluss-Konnektoren können manipuliert werden und bergen ein ernstzunehmendes Risiko für Unternehmen, die Dienste wie ,Microsoft 365‘ nutzen.“ Angreifer können demnach die genannten Funktionen, welche eigentlich für die legitime Automatisierung und Steuerung des E-Mail-Verkehrs gedacht seien, ausnutzen, um dauerhaft und unbemerkt auf kompromittierte Konten zuzugreifen. Fälle wie die kritische Sicherheitslücke im „Outlook“-Modul „OLE“ (Object Linking and Embedding), vor der das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang des Jahres 2025 warnte, häuften sich und zeigten die potenziellen Gefahren im „Microsoft-365-Ökosystem“ auf.

Foto: KnowBe4

Dr. Martin J. Krämer: Häufung kritischer Sicherheitslücken zeigt potenzielle Gefahren im „Microsoft-365-Ökosystem“ auf

Angreifer zielen auf Zugangsdaten für „Microsoft 365“-Konten

Krämer führt aus: „Erhält ein Angreifer die Zugangsdaten eines ,Microsoft 365‘-Kontos – etwa durch Phishing, ,Credential Stuffing’ oder das Abfangen eines Einmal-Passworts für die Multi-Faktor-Authentifizierung (MFA) – kann er Regeln in der E-Mail-Software, benutzerdefinierte ,Outlook’-Formulare oder Nachrichtenfluss-Konnektoren einrichten.“

• E-Mail-Regeln und Formulare ermöglichten es, in „Outlook“ Nachrichten automatisch weiterzuleiten, zu löschen oder zu verändern. Bei missbräuchlicher Nutzung könnten damit unter anderem betrügerische Aktivitäten verschleiert und Daten entwendet werden.

„Konnektoren, die serverseitig in ,Microsoft Exchange Online’ arbeiten, steuern den E-Mail-Verkehr zwischen ,Exchange Online’ und anderen Systemen. Angreifer können diese so konfigurieren, dass E-Mails über fremde Server umgeleitet, Absenderangaben verändert oder Antworten auf eigene Domains umgeleitet werden.“ Da diese Konfigurationen in der „Cloud“ gespeichert würden, blieben sie auch nach Passwortänderungen, einer Neueinrichtung der MFA oder einer Neuinstallation des E-Mail-Clients bestehen. „Sie werden nur entdeckt, wenn gezielt danach gesucht wird.“

Sicherheitsverantwortliche kennen oft ausnutzbare Funktionen in „Microsoft 365“ nicht

Angreifer durchsuchten nach der Anmeldung eines kompromittierten Kontos das Postfach nach geschäftlich relevanten Inhalten – beispielsweise offenen Rechnungen. Anschließend richteten sie Regeln oder „Connectors“ ein, um die betroffene Kommunikation abzufangen und zu manipulieren, etwa indem legitime Zahlungsanweisungen durch gefälschte ersetzt würden.

• „Antworten der Empfänger werden häufig so umgeleitet, dass sie den Kontoinhaber nicht erreichen. Dadurch kann der Angriff über Tage oder Wochen unbemerkt bleiben.“ Selbst ansonsten technisch gut geschützte Unternehmen und deren Sicherheitsverantwortliche könnten so hinters Licht geführt werden, was erhebliche finanziellen Schäden zur Folge haben könne.

Die zunehmende Ausnutzung von Mailfluss-Konnektoren durch Cyberkriminelle hänge auch damit zusammen, dass viele Organisationen sich der Gefahr schlicht nicht bewusst seien. „Sicherheitsverantwortliche wissen nicht immer, dass diese Funktionen standardmäßig in ,Microsoft 365‘ verfügbar sind“, erläutert Krämer. Besonders kritisch seien Fälle, in denen einzelne Mitarbeiter ohne die nötigen Sicherheitskenntnisse sowohl Nutzer- als auch Administratorrechte besitzen.

Gewissenhafte Überprüfung der „Microsoft 365“-Funktionen, kombiniert mit starker Authentifizierung und regelmäßigen Schulungen, empfohlen

Zunächst müssten Unternehmen und Sicherheitsteams ein Bewusstsein dafür entwickeln, dass diese Funktionen existieren und missbraucht werden könnten. Administratoren sollten regelmäßig sowohl „Outlook“-Regeln und -Formulare als auch Mailfluss-Konnektoren im „Microsoft 365 Admin Center“ prüfen und sicherstellen, „dass alle Einträge legitim und erforderlich sind“.

• Auch die eingesetzten Authentifizierungsmethoden sollten möglichst resistent gegen Phishing sein. Krämer regt an: „So sorgt zum Beispiel der Einsatz von ,FIDO2‘-Sicherheitsschlüsseln oder Passkeys anstelle leicht abfangbarer Einmal-Passwörter für mehr Sicherheit. Beim Einsatz von Security-Lösungen gilt, dass sie so eingerichtet werden sollten, dass bei der Erstellung oder Änderung von Regeln, Formularen und ,Connectors’ innerhalb der E-Mail-Software sofort eine Warnmeldung erfolgt.“

Neben der Notwendigkeit, Mitarbeiter zu schulen und über die Gefahren aufzuklären, gelte es für Sicherheitsteams auch, auffällige Muster im ausgehenden E-Mail-Verkehr oder Unstimmigkeiten bei Absenderinformationen zeitnah zu untersuchen. Krämers Fazit: „Die gewissenhafte Überprüfung der ,Microsoft 365‘-Funktionen, kombiniert mit dem Einsatz starker Authentifizierung und regelmäßigen Security-Schulungen für Mitarbeitende, kann das Risiko einer langfristigen und unbemerkten Kontoübernahme in ,Microsoft 365‘ deutlich reduzieren.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

Bundesamt für Sicherheit in der Informationstechnik, 14.01.2025
Version 1.0: Microsoft Windows – Kritische Schwachstelle in Windows OLE

t3n digital pioneers, Ann-Catherin Karg, 26.01.2025
Outlook-User aufgepasst: BSI warnt vor Schadsoftware, die beim Öffnen von E-Mails zuschlägt / Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer besonders gefährlichen Schadsoftware, die allein durch das Öffnen einer E-Mail aktiviert wird. Doch es gibt einen Schutz.

datensicherheit.de, 31.07.2025
Microsoft 365 im Visier: Cyberkriminelle knacken MFA / Online-Kriminalität entwickelt sich stetig fort. Angreifern ist es mittels raffinierten Täuschungsmanövern gelungen Multi-Faktor-Authentifizierungen auszuhebeln.

datensicherheit.de, 12.08.2021
Studie zum Sicherheitsniveau bei E-Mail-Kommunikation und Einsatz von Microsoft 365 / Laut Hornetsecurity-Umfrage eins von vier Unternehmen mit mindestens einer E-Mail-Sicherheitslücke

datensicherheit.de, 15.04.2019
https://www.datensicherheit.de/hackerangriff-outlook-com-schwachstelle-privileged-account

[datensicherheit.de, 31.07.2025] Cyberkriminelle entwickeln ihre Methoden stetig weiter. So nutzen sie in einer neuen Angriffswelle gezielt gefälschte Microsoft-OAuth-Anwendungen, um Zugangsdaten von Unternehmen zu stehlen und dabei selbst fortschrittliche Sicherheitsmechanismen wie die Multifaktor-Authentifizierung (MFA) zu umgehen. Das haben IT-Sicherheits-Experten von Proofpoint festgestellt. Die seit Anfang 2025 aktiven Kampagnen richten sich gegen Organisationen weltweit, unabhängig von deren Branche.

Attacken nutzen raffinierte Täuschung zur Überwindung von MFA

Im Zentrum dieser Attacken steht eine raffinierte Täuschung: Die Kriminellen versenden E-Mails, die scheinbar von vertrauenswürdigen Geschäftspartnern stammen. Die Nachrichten verwenden zumeist Themen wie Angebotsanfragen oder einen Vertragsabschluss als Köder. Hinter den in den Nachrichten enthaltenen Links verbirgt sich jedoch keine legitime Anwendung, sondern eine täuschend echt gestaltete Microsoft-OAuth-Seite. Hier werden die Opfer aufgefordert, einer vermeintlichen App – oft unter dem Namen bekannter Unternehmen wie Adobe, DocuSign oder RingCentral – bestimmte Zugriffsrechte zu gewähren. Die angeforderten Berechtigungen erscheinen harmlos. Doch unabhängig davon, ob der Nutzer zustimmt oder ablehnt, erfolgt stets eine Weiterleitung auf eine gefälschte Microsoft-Anmeldeseite.

Umgehung von MFA: Ein Köder mit enthaltener Phishing-URL, bei dem Adobe imitiert wird, Bild: proofpoint

Dabei kommt eine sogenannte „Man-in-the-Middle-Technik“ zum Einsatz, bei der spezialisierte Phishing-Kits wie „Tycoon“ als Vermittler zwischen Nutzer und der echten Microsoft-Seite agieren. So gelingt es den Angreifern, sowohl die Zugangsdaten als auch die MFA-Tokens abzufangen und in Echtzeit zu missbrauchen. Selbst Organisationen, die moderne Authentifizierungsverfahren einsetzen, sind vor diesen Angriffen nicht sicher. Nach erfolgreicher Kompromittierung können die Täter weitreichende Aktionen durchführen: vom Zugriff auf vertrauliche Daten über die Installation von Schadsoftware bis hin zur Durchführung zusätzlicher Phishing-Kampagnen mittels des kompromittierten Kontos.

Proofpoint hat nach eigenen Angaben diese Angriffsmethode in verschiedenen groß angelegten Kampagnen nachgewiesen. Auffällig ist, dass die Cyberkriminellen ihre Köder flexibel anpassen und gezielt auf bestimmte Branchen oder genutzte Softwarelösungen zuschneiden. Die Analyse der Cloud-Infrastruktur ergab, dass mehr als zwei Dutzend bösartige Anwendungen mit ähnlichen Merkmalen im Umlauf sind.

Besonders bemerkenswert ist die technische Raffinesse der eingesetzten Tools. So wird das Tycoon-Phishing-Kit etwa als Service im Cybercrime-Untergrund angeboten. Es ermöglicht das Abgreifen von Anmeldedaten und Sitzungs-Cookies in Echtzeit – ein effektiver Weg, MFA-Schutzmechanismen auszuhebeln. Im Jahr 2025 wurdem fast 3.000 versuchte Kompromittierungen von Accounts in über 900 Microsoft-365-Umgebungen beobachtet, wobei die Erfolgsrate der Angreifer bei über 50 Prozent lag. Zudem passen die Täter ihre Infrastruktur laufend an, um einer Entdeckung und Blockaden zu entgehen. So haben Cyberkriminelle zuletzt von russischen Proxy-Diensten zu US-amerikanischen Hosting-Anbietern gewechselt.

Microsoft verschäft Standard-Einstellungen für Drittanbieter-Apps

Microsoft reagiert auf diese Entwicklung und verschärft seit Juli 2025 die Standard-Einstellungen für Drittanbieter-Apps. Dennoch bleibt die Gefahr bestehen, denn die Angreifer entwickeln ihre Methoden kontinuierlich weiter. Unternehmen sind daher gefordert, ihre Schutzmaßnahmen zu verstärken, Mitarbeiter zu sensibilisieren und auf moderne Authentifizierungslösungen zu setzen.

Weitere Informationen zum Thema:

datensicherheit.de, 23.05.2023
Cyber-Betrug in Echtzeit: Kriminelles Umgehen der Multifaktor-Authentifizierung

proofpoint
Microsoft OAuth App Impersonation Campaign Leads to MFA Phishing

[datensicherheit.de, 16.06.2022] IT-Sicherheitsexperten von Proofpoint haben nach eigenen Angaben eine potenziell gefährliche Funktion in „Microsoft 365“ identifiziert, welche es demnach Ransomware ermöglicht, auf „SharePoint Online“ und „OneDrive“ gespeicherte Dateien so zu verschlüsseln, „dass sie ohne spezielle Backups oder eine Entschlüsselung durch den Erpresser nicht wiederherstellbar sind“.

Abbildung: proofpoint

Angriffsmuster für Cloud-Ransomware-Attacken

In der bisherigen Wahrnehmung zielen Ransomware-Angriffe auf Endgeräte oder Netzlaufwerke…

Ransomware-Angriffe zielten für gewöhnlich auf Daten auf Endgeräten oder Netzlaufwerken. Bislang seien die meisten IT- und Sicherheitsteams der Meinung, „dass Cloud-Speicher besser gegen Ransomware-Angriffe geschützt sind“. Schließlich sollte die inzwischen bekannte „Automatisch speichern“-Funktion zusammen mit der Versionshistorie und dem guten alten „Papierkorb“ für Dateien als Backup ausreichen. Laut Erkenntnissen der Proofpoint-Experten handele es sich hierbei um eine Fehlannahme.
Das Proofpoint-Team habe die Schritte identifiziert und dokumentiert, welche dazu führten, „dass die Dateien in den Konten der angegriffenen Benutzer verschlüsselt werden“. Wie bei gewöhnlichen Ransomware-Angriffen könnten diese Dateien nach einer Infektion nur mit den entsprechenden Schlüsseln im Besitz der Erpresser wiederhergestellt werden.

Schritte einer Ransomware-Attacke in der Cloud

Die folgenden Aktionen könnten mithilfe von Microsoft-APIs, Befehlszeilenschnittstellen- (CLI) und „PowerShell“-Skripten automatisiert werden:

Anfänglicher Zugriff
Cyber-Kriminelle verschafften sich z.B. durch Phishing Zugriff auf „SharePoint Online“- oder „OneDrive“-Konten eines oder mehrerer Benutzer, indem sie die Identitäten der Benutzer kompromittierten oder kaperten.

Kontoübernahme und -zugriff
Die Angreifer hätten nun Zugriff auf alle Dateien, „die dem kompromittierten Benutzer gehören oder von der ,OAuth‘-Anwendung eines Drittanbieters kontrolliert werden (was auch das ,OneDrive‘-Konto des Benutzers einschließen würde)“.

Sammlung & Exfiltration
Die Cyber-Kriminellen setzten das Versionslimit von Dateien auf eine niedrige Zahl, z.B. auf eins, der Einfachheit halber. Sie verschlüsselten die Datei öfter als die Versionsgrenze, in diesem Fall zweimal. Dieser Schritt sei bei „Cloud“-Ransomware anders als bei Ransomware-Angriffen auf Endpunkte/-geräte. In einigen Fällen könnten die Angreifer die unverschlüsselten Dateien extrahieren und so eine doppelte Erpressungstaktik umsetzen.

Monetarisierung
Jetzt seien alle ursprünglichen Versionen der Dateien (von vor dem Angriff) verloren, so dass nur noch die verschlüsselten Versionen der einzelnen Dateien im „Cloud“-Konto vorhanden seien. An diesem Punkt könnten die Angreifer von der Organisation ein Lösegeld verlangen.

Microsofts Reaktion auf potenzielle Ransomware-Bedrohung

Vor der Veröffentlichung der Sicherheitslücke habe Proofpoint diese an Microsoft gemeldet und folgende Antworten erhalten:

• „Die Konfigurationsfunktion für Versionseinstellungen funktioniert wie vorgesehen.“
• „Ältere Dateiversionen können mit Hilfe des Microsoft-Supports potenziell für 14 Tage wiederhergestellt werden.“

Die Proofpoint-Experten hätten jedoch versucht, alte Versionen auf diesem Weg (d.h. mit Hilfe des Microsoft-Supports) abzurufen und wiederherzustellen und seien dabei nicht erfolgreich gewesen. Die Sicherheitsforscher hätten zudem gezeigt, „dass der Konfigurations-Worflow der Versionseinstellungen, selbst wenn er wie vorgesehen funktioniert, von Angreifern für ,Cloud‘-Ransomware-Attacken missbraucht werden kann“.

Ransomware-Gegenmaßnahmen für den Schutz von Cloud-Umgebungen

Glücklicherweise gälten viele der Empfehlungen für den Schutz vor Endpunkt-Ransomware auch für den Schutz von „Cloud“-Umgebungen.
Organisationen sollten zunächst die Erkennung riskanter Änderungen der Dateikonfiguration für „Microsoft-365“-Konten mit einer Lösung (wie z.B. „Proofpoint CASB“) aktivieren. Zwar könne ein Benutzer die Einstellung versehentlich ändern, aber das geschehe vergleichsweise selten.
„Falls Benutzer die Einstellung unwissentlich geändert haben, sollten sie darauf aufmerksam gemacht und aufgefordert werden, das Versionslimit zu erhöhen.“ Dies verringere das Risiko, „dass ein Angreifer Benutzer kompromittiert und die bereits niedrigen Versionsgrenzen ausnutzt, um das Unternehmen zu erpressen“.

Weitere Vorschläge zur Verbesserung der Ransomware-Abwehr

Stark gefährdete Personen
Organisationen sollten die Benutzer, die am häufigsten mit gefährlichen „Cloud“-, E-Mail- und Web-Angriffen konfrontiert sind, identifizieren und ihren Schutz priorisieren. Diese Benutzer gehörten nicht zwangsläufig zum Kreis der Leute, die für gewöhnlich als besonders hochwertige Ziele erachtet würden, wie Führungskräfte und privilegierte Benutzer.

Zugriffsverwaltung
Organisationen sollten strenge Passwortrichtlinien handhaben und Multi-Faktor-Authentifizierung (MFA) sowie eine prinzipienbasierte Zugriffsrichtlinie mit geringsten Privilegien für alle „Cloud“-Anwendungen anwenden.

Notfallwiederherstellung und Datensicherung
Disaster-Recovery- und Datensicherungsrichtlinien müssten aktuell gehalten werden, um die Verluste im Falle von Ransomware zu reduzieren. Idealerweise führten Organisationen regelmäßig externe Backups von „Cloud“-Dateien mit sensiblen Daten durch. „Sie sollten sich nicht nur auf Microsoft verlassen, wenn es darum geht, Backups durch Versionierung von Dokumentenbibliotheken zu erstellen.“

Cloud-Sicherheit
Organisationen sollten geeignete „Tools“ einsetzen, um Konto-Kompromittierungen und den Missbrauch von Drittanbieter-Anwendungen zu erkennen und zu begegnen.

Schutz vor Datenverlust
Download sensibler Daten und großer Datenmengen auf nicht verwaltete Geräte sollte verhindert werden, um das Potenzial für Doppelte-Erpressungs-Taktiken bei Ransomware-Angriffen zu verringern.

Weitere Informationen zum Thema:

proofpoint, Or Safran / David Krispin / Assaf Friedman / Saikrishna Chavali, 16.06.2022
Proofpoint Discovers Potentially Dangerous Microsoft Office 365 Functionality that can Ransom Files Stored on SharePoint and OneDrive

[datensicherheit.de, 12.08.2021] E-Mail-Sicherheit ist offensichtlich eines der wichtigsten Themen für jede IT-Abteilung – denn Sicherheitslücken führen schnell zum Verlust sensibler Daten, zu Betriebsausfällen und Umsatzeinbußen. Im Rahmen einer Umfrage zur E-Mail-Sicherheit unter mehr als 420 Unternehmen, die „Microsoft 365“ nutzen, hat Hornetsecurity nach eigenen Angaben herausgefunden, „dass 23 Prozent, also jedes vierte Unternehmen, bereits einen Sicherheitsverstoß im Zusammenhang mit E-Mails gemeldet hat“. Von diesen Sicherheitsverstößen seien 36 Prozent durch Phishing-Angriffe verursacht worden, welche auf die wohl schwächste Stelle eines jeden Sicherheitssystems abgezielt hätten – den Endbenutzer. Unternehmen seien befragt worden, „die die ,Microsoft 365‘-Plattform nutzen, um zu verstehen, wie sie die E-Mail-Sicherheit in einer zunehmend dezentralisierten Arbeitsumgebung handhaben“.

Abbildung: Hornetsecurity

Hornetsecurity-Umfrage: Die Hälfte aller Befragten greift auf Lösungen von Drittanbietern zurück, um ihre E-Mail-Sicherheit zu ergänzen

62 % aller Sicherheitsverstöße durch kompromittierte Passwörter und Phishing-Angriffe verursacht

Kompromittierte Passwörter und Phishing-Angriffe seien der Grund für 62 Prozent aller gemeldeten Sicherheitspannen. 54 Prozent aller Befragten hätten angegeben, dass sie noch keine Regeln für den bedingten Zugang zusammen mit der Multi-Faktor-Authentifizierung implementiert hätten. Diese verhindere, dass sich Benutzer von ungesicherten Netzwerken aus bei ihren Konten anmelden könnten.
68 Prozent der Unternehmen erwarteten, „dass ,Microsoft 365‘ vor E-Mail-Gefahren schützt, dennoch verwenden 50 Prozent Drittanbieter-Lösungen“. Es scheine somit eine Diskrepanz zwischen den Erwartungen, welche Unternehmen an die E-Mail-Sicherheit von „Microsoft 365“ stellten, und der Realität zu geben: „Während zwei von drei Unternehmen erwarten, dass Microsoft sie vor E-Mail-Bedrohungen schützt, greift die Hälfte aller Befragten auf Lösungen von Drittanbietern zurück, um ihre E-Mail-Sicherheit zu ergänzen.“

Lösungen von Drittanbietern am effektivsten: 82 % melden keine Sicherheitsprobleme

„Die Unternehmen, die Sicherheitslösungen von Drittanbietern einsetzen, meldeten die niedrigste Rate an E-Mail-Sicherheitspannen im Vergleich zu Unternehmen, die nur die von ,Microsoft 365‘ angebotenen Sicherheitspakete nutzen: 82 Prozent aller Befragten mit E-Mail Sicherheitslösungen von Drittanbietern meldeten keine Probleme.“
Darüber hinaus nutzten 48 Prozent der Befragten, die angegeben hätten, für Microsofts „Enterprise Mobility & Security E3“ oder „E5“ extra zu zahlen, zusätzlich Lösungen von Drittanbietern. Obwohl die Erwartungen an die Maßnahmen zum Schutz der E-Mail-Kommunikation von „Microsoft 365“ hoch seien, „sind die meisten Unternehmen der Meinung, dass sie nicht ausreichen – und die Ergebnisse untermauern diese Annahme“.

Unternehmen mit 201 bis 1.000+ Mitarbeitern am stärksten durch Sicherheitslücken bei E-Mails bedroht

74 Prozent aller in dieser Umfrage gemeldeten Sicherheitsprobleme seien von Unternehmen mit 201 bis 1.000 und mehr Mitarbeitern gemeldet worden. Dies sei wahrscheinlich auf Faktoren wie Budget und Personalprioritäten zurückzuführen, welche die digitale Sicherheit nicht als wichtiges Anliegen ansähen.
Sobald die Zahl der Mitarbeiter 1.000 übersteige, sinke die Häufigkeit von E-Mail-Sicherheitspannen auf 17 Prozent – wahrscheinlich aufgrund von Reaktionen auf vorangegangene Sicherheitsbedenken und der Möglichkeit, in leistungsfähigere Sicherheitsprotokolle zu investieren.

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2024
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf

tresorit
Auf Nummer sicher im E-Mail-Verkehr: Wie Sie sichere E-Mails in Outlook versenden

HORNETSECURITY, 10.08.2021
1 von 4 Unternehmen litt mindestens unter einer E-Mail-Sicherheitslücke, ergab eine Hornetsecurity-Umfrage