[datensicherheit.de, 30.03.2026] Der diesjährige „World Backup Day“ wird am 31. März 2026 begangen: In seinem Kommentar erörtert Rob Edmondson, „Principal Technologist, Microsoft 365“ von CoreView, den Sinn dieses Tages: „Wie bei den meisten Gedenk- und Aktionstagen stellt sich auch beim ,World Backup Day’ die Frage, ob es ihn überhaupt noch braucht.“ Schließlich sicherten laut der Backup-Studie 2025 des Datenrettungsspezialisten DATA REVERSE 77 Prozent der deutschen Unternehmen ihre Daten mindestens wöchentlich. Regelmäßige Datensicherung sei damit längst gelebte Praxis. „Backups sind, so scheint es, kein Nischenthema mehr, sondern Teil der grundlegenden Cyberhygiene…“ Im Bereich des Backups gebe es jedoch einen enormen Blinden Fleck, so Edmondson, welcher die Sicherung der Konfigurationen betreffe. Der „World Backup Day“ verdiene somit eine Erweiterung seines Anliegens: „Backup bedeutet im Jahr 2026 nicht mehr nur Datensicherung. Es bedeutet auch, die gesamte Betriebsumgebung – inklusive aller Konfigurationen – widerstandsfähig und wiederherstellbar zu halten. Wer diesen Schritt noch nicht gegangen ist, sollte ihn nicht auf den nächsten ,World Backup Day’ verschieben.“

Foto: CoreView

Rob Edmondson: Wer hier im Krisenfall nur seine Daten parat hat, steht trotzdem vor einem Scherbenhaufen!

„Backup“ umfasst für viele Unternehmen nur Datensicherung – z.B. für „Microsoft 365“ leichtsinning

„Unternehmen sichern ihre Daten, aber vergessen dabei systematisch ihre Konfigurationen. Besonders dramatisch ist das in ,Microsoft 365‘-Umgebungen, die heute das operative Rückgrat der meisten Unternehmen bilden.“

• „Microsoft 365“ umfasse mehr als 10.000 individuelle Konfigurationselemente. Jede davon könne zudem Varianten aufweisen. So verfüge eine größere „Microsoft 365“-Umgebung schnell über 100.000 einzigartige Konfigurationen. „Eine manuelle Wiederherstellung ist in der Praxis kaum leistbar“, so Edmondson.

Er warnt: „Wer hier im Krisenfall nur seine Daten parat hat, steht trotzdem vor einem Scherbenhaufen! Man kann sich den ,Tenant’  wie ein Glas Wasser vorstellen: Die Daten sind das Wasser, die Konfigurationen das Glas. Nur wenn dieses (noch oder wieder) vorhanden ist und keine Risse hat, kann es das Wasser sicher bewahren.“

Wer keine Konfigurations-Backups hat, bemerkt Manipulationen oft erst, wenn es zu spät ist

Jeder zweite IT-Verantwortliche gehe fälschlicherweise davon aus, dass Microsoft Backups der „M365-Tenant“-Konfigurationen erstellt – oder ihr Backup-Anbieter. Diese sicherten jedoch in aller Regel nur die Daten, jedoch keine Konfigurationen. Dieser Unterschied sei keine Kleinigkeit. „Vielmehr handelt es sich um ein strukturelles Missverständnis, das im Ernstfall ganze Betriebe lahmlegen kann!“

• Edmondson führt weiter aus: „Was sind ,Tenant’-Konfigurationen überhaupt? Es sind die Einstellungen, die festlegen, wer auf was zugreifen darf, welche Sicherheitsrichtlinien gelten, wie Conditional-Access-Regeln und Multi-Faktor-Authentifizierung konfiguriert sind, wie DLP-Policies greifen und wie Applikationsberechtigungen vergeben wurden. Kurz: Tenant-Konfigurationen sind das Nervensystem einer ,M365‘-Umgebung. Fällt es aus, funktioniert nichts mehr, auch nicht die sorgfältig gesicherten Daten.“

Konfigurationen seien außerdem ein bevorzugtes Angriffsziel. Microsoft selbst habe in seinem „Digital Defense Report 2024“ allein für den Monat Mai 2024 rund 176.000 Fälle von gezielten Manipulationen von Systemeinstellungen dokumentiert. Angreifer deaktivierten Audit-Logs, lockerten Zugriffsregeln oder unterwanderten DLP-Richtlinien. „Wer keine Konfigurations-Backups hat, bemerkt solche Manipulationen oft erst dann, wenn es zu spät ist. IT-Verantwortliche stehen dann vor der Aufgabe, Tausende von Einstellungen manuell zu rekonstruieren.“

Weitere Informationen zum Thema:

CoreView
Microsoft 365 breaks. CoreView restores tenant continuity. / Attackers break your Microsoft 365 tenant by changing roles, policies and configurations. CoreView restores your tenant, so you’re back to business in minutes.

CoreView
Rob Edmondson – Sr. Director, Product Marketing

DATA REVERSE
Studie: Backupverhalten KMU 2025 / Trotz Notfallplanung und Datensicherungskonzepten in deutschen KMU’s zeigt die Backup-Studie 2025 diesmal deutliche Defizite in der Sicherung von unternehmenskritischen Daten aufgrund fehlender Rücksicherungs-Test der vorhandenen Backups.

WIKIPEDIA
Tenant / s. Mandantenfähigkeit

MICROSOFT
Microsoft Digital Defense Report 2024

datensicherheit.de, 29.03.2026
World Backup Day 2026 voraus: BSI ruft zur Datensicherung auf / Laut „Cybersicherheitsmonitor 2025“ des BSI legt nur ein Fünftel der Internetnutzer regelmäßig ein Backup an

datensicherheit.de, 14.03.2026
World Backup Day: Anlass zur Neubewertung eigener Cyberresilienz als Chefsache / Der eigentliche geschäftliche Mehrwert des Backups entsteht nicht durch die Sicherung als technische Maßnahme per se – sondern eben durch die Fähigkeit zur schnellen und vollständigen Wiederherstellung aller geschäftskritischen Daten und Systeme

datensicherheit.de, 30.03.2025
World Backup Day 2025 als Anlass für Überlegungen zu einer resilienten Datenschutzstrategie / Unternehmen sollte klar sein, in der heutigen digitalen Geschäftslandschaft ihre Daten nicht ungeschützt lassen zu können

datensicherheit.de, 27.03.2025
World Backup Day 2025: Regelmäßige Datensicherung laut BSI unverzichtbar / Datenverluste können unerwartet und in den unterschiedlichsten Formen auftreten – etwa durch technische Defekte, Cyber-Angriffe oder Unfälle

[datensicherheit.de, 24.02.2026] Sicherheitsforscher von KnowBe4s „Threat Lab“ haben nach eigenen Angaben eine Phishing-Kampagne untersucht, welche die Multi-Faktor-Authentifizierung (MFA) von „Microsoft 365“ umgehen kann. Diese komplexe Phishing-Kampagne zielt demnach auf US-amerikanische Unternehmen und Fachkräfte ab. Die Angriffe kompromittierten „Microsoft 365“-Konten („Outlook“, „Teams“, „OneDrive“), indem sie den „OAuth 2.0“-Geräteautorisierungsfluss missbrauchten und dadurch selbst starke Passwörter und die MFA überlisteten.

Abbildung: KnowBe4

Ablauf des Angriffs: Dieser ist in fünf verschiedene Phasen unterteilt, vom anfänglichen Ködern bis zur endgültigen Token-Exfiltration

Angreifer streben dauerhaften Zugriff auf „Microsoft 365“-Konten und Unternehmensdaten an

Das Opfer werde auf das legitime Microsoft-Portal „microsoft.com/devicelogin“ weitergeleitet, um einen vom Angreifer bereitgestellten Gerätecode einzugeben.

• Durch die Eingabe dieses Codes werde das Opfer authentifiziert und ein gültiger „OAuth“-Zugriffstoken an die Anwendung des Angreifers ausgegeben.

„Mit diesem ergaunerten Token verschafft sich der Angreifer dauerhaften Zugriff auf die ,Microsoft 365‘-Konten und Unternehmensdaten des Opfers.“

Kampagne auf „Microsoft 365“ zeichnet sich durch folgende Merkmale aus:

• Ausgeklügelter Angriffsmechanismus
  Die Kampagne umgehe herkömmliche Sicherheitsmaßnahmen, da sie nicht auf dem Diebstahl von Anmeldedaten basiere. Stattdessen werde der Benutzer dazu verleitet, sich auf der legitimen Microsoft-Domäne zu authentifizieren – und anschließend werde der Token-Endpunkt abgefragt, um die „OAuth“-Zugriffs- und Aktualisierungstoken zu erfassen.
• Umgehung der MFA
  Dieser Angriff sei hochwirksam, da der Token-Diebstahl erst erfolge, nachdem der Benutzer die legitime MFA-Prüfung erfolgreich abgeschlossen hat.
• Spezifische Zielgruppe
  Diese Kampagne sei erstmals im Dezember 2025 beobachtet worden und sei auch aktuell noch im Gange. Die Aktivitäten konzentrierten sich vor allem auf Nordamerika, wobei mehr als 44 Prozent der Opfer in den USA ansässig seien. Besonders betroffen seien Organisationen der Branchen Technologie, Fertigung und Finanzdienstleistungen.
• Bedrohung für Unternehmen
  Die gestohlenen Token gewährten Angreifern umfassenden und dauerhaften Zugriff auf die „Microsoft 365“-Umgebung ihrer Opfer, einschließlich vollständiger Lese-, Schreib- und Sende-Berechtigungen für E-Mails, Kalender und Dateien („OneDrive“, „SharePoint“) sowie Verwaltungsfunktionen.

Fünfphasiger Angriffsablauf auf „Microsoft 365“

Der Ablauf ist laut KnowBe4 in fünf verschiedene Phasen unterteilt:

1. „Microsoft 365“-„OAuth“-Gerätecode-Generierung und Köder
   Der Angreifer registriert eine „OAuth“-Anwendung (Open Authorization) in „Microsoft 365“ und generiert einen eindeutigen Gerätecode. Der Gerätecode wird dann über eine gezielte Phishing-E-Mail an das Opfer gesendet.
2. Opfer fällt auf Köder herein
   Das Opfer erhält die Phishing-E-Mail und klickt auf den in der Nachricht eingebetteten bösartigen Link.
3. Vom Angreifer kontrollierte „Landing Page“
   Das Opfer wird auf eine gefälschte Webseite weitergeleitet, wo es aufgefordert wird, eine E-Mail-Adresse einzugeben, und wo ihm der Gerätecode des Angreifers zusammen mit Anweisungen zum Abschluss der vermeintlich „sicheren Authentifizierung” angezeigt wird.

4. Authentifizierung auf dem legitimen Microsoft-Portal
   Das Opfer navigiert zum echten Microsoft-Portal („microsoft.com/devicelogin“), gibt den Gerätecode des Angreifers ein und authentifiziert sich erfolgreich mit legitimen Anmeldedaten und der MFA.
5. Token-Diebstahl und dauerhafter Zugriff
   Die „Microsoft Identity Platform“ stellt einen gültigen „OAuth“-Zugriffstoken aus, welchen der Angreifer sofort abfängt. Dadurch erhält der Angreifer dauerhaften Zugriff auf das „Microsoft 365“-Konto des Opfers.

Schutzmaßnahmen gegen Übernahme des „Microsoft 365“-Kontos

Sicherheitsteams könnten eine Reihe von Schutzmaßnahmen durchführen, um ihre Systeme und Nutzer vor dieser Art von Angriffen zu schützen. Darunter fallen laut KnowBe4 die z.B. folgenden sieben:

1. Blockieren von IoCs (Arten von Indikatoren / Indicators of Compromise)
   Alle bekannten bösartigen Domänen und URLs sollten zu den Blocklisten des E-Mail-Gateways und des Webproxys der Organisation hinzugefügt werden.
2. Lokalisierung von Bedrohungen
   E-Mail-Protokolle sollten nach dem Absendermuster mit den identifizierten Betreffbeispielen durchsucht werden.
3. Prüfung von „OAuth“-Anwendungen
   Im „Microsoft 365 Admin Center“ sollten die Berechtigungen für verdächtige oder unbekannte „OAuth“-Anwendungen dringend überprüft und widerrufen werden.
4. Überprüfen der Anmeldelogs
   „Azure AD“-Anmeldelogbücher sollten auf Ereignisse zur Gerätecode-Authentifizierung überprüft werden, und es sollten Abfragen durchgeführt werden, um Anmeldungen von ungewöhnlichen geografischen Standorten zu identifizieren.
5. Deaktivieren des Gerätecodeflusses
   Der Angriffsvektor kann vollständig eliminiert werden, wenn Unternehmen die Verwendung des Gerätecodeflusses für gemeinsam genutzte oder öffentliche Geräte nicht erfordern.
6. Bedingter Zugriff
   Es sollten Richtlinien für bedingten Zugriff eingesetzt werden, um streng zu regeln, wer den Gerätecodefluss wann und wo verwenden darf.
7. App-Zustimmung prüfen
   „Microsoft Defender“ für „Cloud“-Apps sollte eingesetzt werden, um die „OAuth“-App-Zustimmung zu überwachen und zu steuern.

KnowBe4-Fazit: Herkömmliche Perimeter-Abwehrmaßnahmen und einfache Anmeldedatenprüfungen allein nicht ausreichend

Angesichts sich rasch entwickelnder Taktiken wie dieser „OAuth“-Token-Diebstahlkampagne reiche ein passiver Sicherheitsansatz für Sicherheitsteams nicht mehr aus.

• Die Tatsache, dass Angreifer legitime Domains nutzten und MFA umgehen könnten, zeige, dass herkömmliche Perimeter-Abwehrmaßnahmen und einfache Anmeldedatenprüfungen nicht ausreichten. Um diesen komplexen Bedrohungen entgegenzuwirken, müssten sich Unternehmen anpassen.

„Es müssen die erforderlichen Rahmenbedingungen geschaffen werden, um über den herkömmlichen Silo-Ansatz hinauszugehen und sich stattdessen auf Echtzeit-Bedrohungsinformationen und das Bewusstsein der Benutzer zu konzentrieren.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4, KnowBe4 Threat Lab, Jeewan Singh Jalal & Prabhakaran Ravichandhiran & Anand Bodke, 12.02.2026
Uncovering the Sophisticated Phishing Campaign Bypassing M365 MFA

WIKIPEDIA
Microsoft 365

[datensicherheit.de, 13.12.2025] Die „KnowBe4 Threat Labs“ beobachten nach eigenen Angaben seit dem 3. November 2025 „eine hochentwickelte mehrstufige Phishing-Kampagne“ – darüber versuchen Angreifer demnach, „Microsoft 365“-Anmeldedaten von Unternehmensmitarbeitern zu stehlen. Diese Kampagne sei hochentwickelt: „Sie wurde so konzipiert, dass sie herkömmliche E-Mail-Sicherheitsmaßnahmen, wie ,Secure Email Gateways’ (SEGs) und Multi-Faktor-Authentifizierungs-Tools (MFA), umgehen kann.“

Abbildung: KnowBe4

Die „KnowBe4 Threat Labs“ warnen aktuell vor einer hochentwickelten mehrstufige Phishing-Kampagne

Phishing-E-Mail: Ein maliziöser Hyperlink in „verschachtelten“ PDF-Anhängen versteckt

Die Phishing-Kampagne beinhalte mehrere fortschrittliche technische Maßnahmen, mit denen sich die bösartige Nutzlast erfolgreich vor herkömmlichen Abwehrmaßnahmen verbergen lasse.

• „Zunächst erhalten die Opfer eine Phishing-E-Mail. Die Nutzlast – ein Phishing-Hyperlink – ist auf ihr in ,verschachtelten’ PDF-Anhängen versteckt. Wenn ein Opfer den ersten Anhang der Phishing-E-Mail öffnet, sieht es ein gerendertes Dokument mit einem weiteren Hyperlink, auf den es klicken kann. Sobald es auf diesen Hyperlink klickt, wird er zu einem zweiten Dokument weitergeleitet, das einen weiteren Hyperlink enthält.“

Diese Schichtung von PDF-Anhängen diene dazu, das endgültige Ziel – die eigentliche Phishing-Webseite – vor den Sicherheitstools des Opfers zu verbergen. Aufgrund technischer Einschränkungen oder „Service Level Agreements“ (SLAs) für die E-Mail-Zustellung (Latenz) könnten diese keine aufeinanderfolgenden Sprünge zwischen den verschiedenen Hyperlinks durchführen.

Phishing-Kampagne kann MFA-Kontrollen in Echtzeit umgehen

Zusätzlich werde die schädliche Nutzlast durch legitime und vertrauenswürdige CDN-Dienste maskiert, welche bei der Überprüfung durch Sicherheits-Tools als „harmlos“ erschienen.

• „Wenn nun ein Opfer alle Sprünge durch die verschachtelten PDF-Dokumente absolviert hat, wird es zu einer gefälschten ,Microsoft 365‘-Anmeldeseite weitergeleitet – das eigentliche Ziel. Hier werden die Opfer dann dazu gebracht, ihre ,Microsoft 365‘-Anmeldedaten einzugeben.“

Bei einer eingehenden Analyse der Fake-Anmeldeseiten stellten die Forscher von KnowBe4 demnach fest, dass diese insgesamt neun unterschiedliche fortgeschrittene Techniken zur Umgehung von Aufspürmaßnahmen enthält. „Darüber hinaus entdeckten sie, dass die Phishing-Kampagne die Fähigkeit besitzt, MFA-Kontrollen in Echtzeit zu umgehen.“ Die Angreifer erhielten sofortigen und vollständigen Zugriff auf die „Microsoft 365“-Umgebungen ihrer Opfer – und damit auch auf die ihrer Arbeitgeber.

Einsatz eines modernen „Human Risk Management“-Systems zur Phishing-Abwehr empfohlen

Unternehmen sollten nun dringend mehrere Maßnahmen ergreifen, ihre Mitarbeiter-Konten vor den Angreifern dieser Phishing-Kampagne zu schützen. Sie könnten laut KnowBe4:

• ihre E-Mail-Sicherheit verbessern – zum Beispiel durch Implementierung eines fortschrittlichen „Cloud“-E-Mail-Sicherheitsprodukts (ICES),
• ihre E-Mail-Filterregeln anpassen,
• ihre Indikatoren für Kompromittierungen blockieren (IoCs),
• ihre letzten MFA-Authentifizierungen auf verdächtige Muster überprüfen und das Sicherheitsbewusstsein ihrer Mitarbeiter schulen.

Am effektivsten – da umfassendsten – kann ihnen laut KnowBe4 hierbei der Einsatz eines modernen „Human Risk Management“-Systems helfen. Dessen Phishing-Trainings, -Schulungen und -Tests ließen sich mittels Künstlicher Intelligenz (KI) mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter wie KI-Agenten zu stärken.

Weitere Informationen zum Thema:

knowbe4
About Us / Who We Are

knowbe4, Bex Bailey, 16.07.2025
Engineered To Evade: How Phishing Attacks Are Designed To Get Through Your Secure Email Gateway

KnowBe4 Threat Labs
Schaubild zur „Angriffskettenanalyse mit MITRE-Taktiken, -Techniken und -Verfahren (TTPs)“

datensicherheit.de, 26.08.2025
Microsoft 365: Manipulation von E-Mail-Regeln, Formularen und Konnektoren als Sicherheitsrisiken / E-Mail-Regeln, Formulare und Mailfluss-Konnektoren können manipuliert werden und bergen ein ernstzunehmendes Risiko für Unternehmen, welche Dienste wie „Microsoft 365“ nutzen

datensicherheit.de, 31.07.2025
Microsoft 365 im Visier: Cyberkriminelle knacken MFA / Online-Kriminalität entwickelt sich stetig fort. Angreifern ist es mittels raffinierten Täuschungsmanövern gelungen Multi-Faktor-Authentifizierungen auszuhebeln.

datensicherheit.de, 12.08.2021
Studie zum Sicherheitsniveau bei E-Mail-Kommunikation und Einsatz von Microsoft 365 / Laut Hornetsecurity-Umfrage eins von vier Unternehmen mit mindestens einer E-Mail-Sicherheitslücke

datensicherheit.de, 22.08.2020
Microsoft 365: Auf diese Angriffsarten sollten Firmen verstärkt achten / Kudelski Security nimmt Stellung zu häufig auftretenden Einfallstoren in Microsoft 365 und benennt hilfreiche Abwehrtaktiken

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen / Datenschutzverletzung am 29. Januar 2019 spürbar geworden

[datensicherheit.de, 26.08.2025] „Viele IT- und Sicherheitsverantwortliche denken beim Thema E-Mail-Sicherheit vor allem an Phishing und ähnliche Gefahren in Verbindung mit dem Diebstahl von Zugangsdaten durch Cyberkriminelle. Aber zunehmend rücken auch bislang weniger beachtete Funktionen von E-Mail-Software wie ,Outlook’ in den Fokus der Diskussion“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Er warnt in diesem Zusammenhang: „E-Mail-Regeln, Formulare und Mailfluss-Konnektoren können manipuliert werden und bergen ein ernstzunehmendes Risiko für Unternehmen, die Dienste wie ,Microsoft 365‘ nutzen.“ Angreifer können demnach die genannten Funktionen, welche eigentlich für die legitime Automatisierung und Steuerung des E-Mail-Verkehrs gedacht seien, ausnutzen, um dauerhaft und unbemerkt auf kompromittierte Konten zuzugreifen. Fälle wie die kritische Sicherheitslücke im „Outlook“-Modul „OLE“ (Object Linking and Embedding), vor der das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang des Jahres 2025 warnte, häuften sich und zeigten die potenziellen Gefahren im „Microsoft-365-Ökosystem“ auf.

Foto: KnowBe4

Dr. Martin J. Krämer: Häufung kritischer Sicherheitslücken zeigt potenzielle Gefahren im „Microsoft-365-Ökosystem“ auf

Angreifer zielen auf Zugangsdaten für „Microsoft 365“-Konten

Krämer führt aus: „Erhält ein Angreifer die Zugangsdaten eines ,Microsoft 365‘-Kontos – etwa durch Phishing, ,Credential Stuffing’ oder das Abfangen eines Einmal-Passworts für die Multi-Faktor-Authentifizierung (MFA) – kann er Regeln in der E-Mail-Software, benutzerdefinierte ,Outlook’-Formulare oder Nachrichtenfluss-Konnektoren einrichten.“

• E-Mail-Regeln und Formulare ermöglichten es, in „Outlook“ Nachrichten automatisch weiterzuleiten, zu löschen oder zu verändern. Bei missbräuchlicher Nutzung könnten damit unter anderem betrügerische Aktivitäten verschleiert und Daten entwendet werden.

„Konnektoren, die serverseitig in ,Microsoft Exchange Online’ arbeiten, steuern den E-Mail-Verkehr zwischen ,Exchange Online’ und anderen Systemen. Angreifer können diese so konfigurieren, dass E-Mails über fremde Server umgeleitet, Absenderangaben verändert oder Antworten auf eigene Domains umgeleitet werden.“ Da diese Konfigurationen in der „Cloud“ gespeichert würden, blieben sie auch nach Passwortänderungen, einer Neueinrichtung der MFA oder einer Neuinstallation des E-Mail-Clients bestehen. „Sie werden nur entdeckt, wenn gezielt danach gesucht wird.“

Sicherheitsverantwortliche kennen oft ausnutzbare Funktionen in „Microsoft 365“ nicht

Angreifer durchsuchten nach der Anmeldung eines kompromittierten Kontos das Postfach nach geschäftlich relevanten Inhalten – beispielsweise offenen Rechnungen. Anschließend richteten sie Regeln oder „Connectors“ ein, um die betroffene Kommunikation abzufangen und zu manipulieren, etwa indem legitime Zahlungsanweisungen durch gefälschte ersetzt würden.

• „Antworten der Empfänger werden häufig so umgeleitet, dass sie den Kontoinhaber nicht erreichen. Dadurch kann der Angriff über Tage oder Wochen unbemerkt bleiben.“ Selbst ansonsten technisch gut geschützte Unternehmen und deren Sicherheitsverantwortliche könnten so hinters Licht geführt werden, was erhebliche finanziellen Schäden zur Folge haben könne.

Die zunehmende Ausnutzung von Mailfluss-Konnektoren durch Cyberkriminelle hänge auch damit zusammen, dass viele Organisationen sich der Gefahr schlicht nicht bewusst seien. „Sicherheitsverantwortliche wissen nicht immer, dass diese Funktionen standardmäßig in ,Microsoft 365‘ verfügbar sind“, erläutert Krämer. Besonders kritisch seien Fälle, in denen einzelne Mitarbeiter ohne die nötigen Sicherheitskenntnisse sowohl Nutzer- als auch Administratorrechte besitzen.

Gewissenhafte Überprüfung der „Microsoft 365“-Funktionen, kombiniert mit starker Authentifizierung und regelmäßigen Schulungen, empfohlen

Zunächst müssten Unternehmen und Sicherheitsteams ein Bewusstsein dafür entwickeln, dass diese Funktionen existieren und missbraucht werden könnten. Administratoren sollten regelmäßig sowohl „Outlook“-Regeln und -Formulare als auch Mailfluss-Konnektoren im „Microsoft 365 Admin Center“ prüfen und sicherstellen, „dass alle Einträge legitim und erforderlich sind“.

• Auch die eingesetzten Authentifizierungsmethoden sollten möglichst resistent gegen Phishing sein. Krämer regt an: „So sorgt zum Beispiel der Einsatz von ,FIDO2‘-Sicherheitsschlüsseln oder Passkeys anstelle leicht abfangbarer Einmal-Passwörter für mehr Sicherheit. Beim Einsatz von Security-Lösungen gilt, dass sie so eingerichtet werden sollten, dass bei der Erstellung oder Änderung von Regeln, Formularen und ,Connectors’ innerhalb der E-Mail-Software sofort eine Warnmeldung erfolgt.“

Neben der Notwendigkeit, Mitarbeiter zu schulen und über die Gefahren aufzuklären, gelte es für Sicherheitsteams auch, auffällige Muster im ausgehenden E-Mail-Verkehr oder Unstimmigkeiten bei Absenderinformationen zeitnah zu untersuchen. Krämers Fazit: „Die gewissenhafte Überprüfung der ,Microsoft 365‘-Funktionen, kombiniert mit dem Einsatz starker Authentifizierung und regelmäßigen Security-Schulungen für Mitarbeitende, kann das Risiko einer langfristigen und unbemerkten Kontoübernahme in ,Microsoft 365‘ deutlich reduzieren.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

Bundesamt für Sicherheit in der Informationstechnik, 14.01.2025
Version 1.0: Microsoft Windows – Kritische Schwachstelle in Windows OLE

t3n digital pioneers, Ann-Catherin Karg, 26.01.2025
Outlook-User aufgepasst: BSI warnt vor Schadsoftware, die beim Öffnen von E-Mails zuschlägt / Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer besonders gefährlichen Schadsoftware, die allein durch das Öffnen einer E-Mail aktiviert wird. Doch es gibt einen Schutz.

datensicherheit.de, 31.07.2025
Microsoft 365 im Visier: Cyberkriminelle knacken MFA / Online-Kriminalität entwickelt sich stetig fort. Angreifern ist es mittels raffinierten Täuschungsmanövern gelungen Multi-Faktor-Authentifizierungen auszuhebeln.

datensicherheit.de, 12.08.2021
Studie zum Sicherheitsniveau bei E-Mail-Kommunikation und Einsatz von Microsoft 365 / Laut Hornetsecurity-Umfrage eins von vier Unternehmen mit mindestens einer E-Mail-Sicherheitslücke

datensicherheit.de, 15.04.2019
https://www.datensicherheit.de/hackerangriff-outlook-com-schwachstelle-privileged-account

[datensicherheit.de, 31.07.2025] Cyberkriminelle entwickeln ihre Methoden stetig weiter. So nutzen sie in einer neuen Angriffswelle gezielt gefälschte Microsoft-OAuth-Anwendungen, um Zugangsdaten von Unternehmen zu stehlen und dabei selbst fortschrittliche Sicherheitsmechanismen wie die Multifaktor-Authentifizierung (MFA) zu umgehen. Das haben IT-Sicherheits-Experten von Proofpoint festgestellt. Die seit Anfang 2025 aktiven Kampagnen richten sich gegen Organisationen weltweit, unabhängig von deren Branche.

Attacken nutzen raffinierte Täuschung zur Überwindung von MFA

Im Zentrum dieser Attacken steht eine raffinierte Täuschung: Die Kriminellen versenden E-Mails, die scheinbar von vertrauenswürdigen Geschäftspartnern stammen. Die Nachrichten verwenden zumeist Themen wie Angebotsanfragen oder einen Vertragsabschluss als Köder. Hinter den in den Nachrichten enthaltenen Links verbirgt sich jedoch keine legitime Anwendung, sondern eine täuschend echt gestaltete Microsoft-OAuth-Seite. Hier werden die Opfer aufgefordert, einer vermeintlichen App – oft unter dem Namen bekannter Unternehmen wie Adobe, DocuSign oder RingCentral – bestimmte Zugriffsrechte zu gewähren. Die angeforderten Berechtigungen erscheinen harmlos. Doch unabhängig davon, ob der Nutzer zustimmt oder ablehnt, erfolgt stets eine Weiterleitung auf eine gefälschte Microsoft-Anmeldeseite.

Umgehung von MFA: Ein Köder mit enthaltener Phishing-URL, bei dem Adobe imitiert wird, Bild: proofpoint

Dabei kommt eine sogenannte „Man-in-the-Middle-Technik“ zum Einsatz, bei der spezialisierte Phishing-Kits wie „Tycoon“ als Vermittler zwischen Nutzer und der echten Microsoft-Seite agieren. So gelingt es den Angreifern, sowohl die Zugangsdaten als auch die MFA-Tokens abzufangen und in Echtzeit zu missbrauchen. Selbst Organisationen, die moderne Authentifizierungsverfahren einsetzen, sind vor diesen Angriffen nicht sicher. Nach erfolgreicher Kompromittierung können die Täter weitreichende Aktionen durchführen: vom Zugriff auf vertrauliche Daten über die Installation von Schadsoftware bis hin zur Durchführung zusätzlicher Phishing-Kampagnen mittels des kompromittierten Kontos.

Proofpoint hat nach eigenen Angaben diese Angriffsmethode in verschiedenen groß angelegten Kampagnen nachgewiesen. Auffällig ist, dass die Cyberkriminellen ihre Köder flexibel anpassen und gezielt auf bestimmte Branchen oder genutzte Softwarelösungen zuschneiden. Die Analyse der Cloud-Infrastruktur ergab, dass mehr als zwei Dutzend bösartige Anwendungen mit ähnlichen Merkmalen im Umlauf sind.

Besonders bemerkenswert ist die technische Raffinesse der eingesetzten Tools. So wird das Tycoon-Phishing-Kit etwa als Service im Cybercrime-Untergrund angeboten. Es ermöglicht das Abgreifen von Anmeldedaten und Sitzungs-Cookies in Echtzeit – ein effektiver Weg, MFA-Schutzmechanismen auszuhebeln. Im Jahr 2025 wurdem fast 3.000 versuchte Kompromittierungen von Accounts in über 900 Microsoft-365-Umgebungen beobachtet, wobei die Erfolgsrate der Angreifer bei über 50 Prozent lag. Zudem passen die Täter ihre Infrastruktur laufend an, um einer Entdeckung und Blockaden zu entgehen. So haben Cyberkriminelle zuletzt von russischen Proxy-Diensten zu US-amerikanischen Hosting-Anbietern gewechselt.

Microsoft verschäft Standard-Einstellungen für Drittanbieter-Apps

Microsoft reagiert auf diese Entwicklung und verschärft seit Juli 2025 die Standard-Einstellungen für Drittanbieter-Apps. Dennoch bleibt die Gefahr bestehen, denn die Angreifer entwickeln ihre Methoden kontinuierlich weiter. Unternehmen sind daher gefordert, ihre Schutzmaßnahmen zu verstärken, Mitarbeiter zu sensibilisieren und auf moderne Authentifizierungslösungen zu setzen.

Weitere Informationen zum Thema:

datensicherheit.de, 23.05.2023
Cyber-Betrug in Echtzeit: Kriminelles Umgehen der Multifaktor-Authentifizierung

proofpoint
Microsoft OAuth App Impersonation Campaign Leads to MFA Phishing

[datensicherheit.de, 16.06.2022] IT-Sicherheitsexperten von Proofpoint haben nach eigenen Angaben eine potenziell gefährliche Funktion in „Microsoft 365“ identifiziert, welche es demnach Ransomware ermöglicht, auf „SharePoint Online“ und „OneDrive“ gespeicherte Dateien so zu verschlüsseln, „dass sie ohne spezielle Backups oder eine Entschlüsselung durch den Erpresser nicht wiederherstellbar sind“.

Abbildung: proofpoint

Angriffsmuster für Cloud-Ransomware-Attacken

In der bisherigen Wahrnehmung zielen Ransomware-Angriffe auf Endgeräte oder Netzlaufwerke…

Ransomware-Angriffe zielten für gewöhnlich auf Daten auf Endgeräten oder Netzlaufwerken. Bislang seien die meisten IT- und Sicherheitsteams der Meinung, „dass Cloud-Speicher besser gegen Ransomware-Angriffe geschützt sind“. Schließlich sollte die inzwischen bekannte „Automatisch speichern“-Funktion zusammen mit der Versionshistorie und dem guten alten „Papierkorb“ für Dateien als Backup ausreichen. Laut Erkenntnissen der Proofpoint-Experten handele es sich hierbei um eine Fehlannahme.
Das Proofpoint-Team habe die Schritte identifiziert und dokumentiert, welche dazu führten, „dass die Dateien in den Konten der angegriffenen Benutzer verschlüsselt werden“. Wie bei gewöhnlichen Ransomware-Angriffen könnten diese Dateien nach einer Infektion nur mit den entsprechenden Schlüsseln im Besitz der Erpresser wiederhergestellt werden.

Schritte einer Ransomware-Attacke in der Cloud

Die folgenden Aktionen könnten mithilfe von Microsoft-APIs, Befehlszeilenschnittstellen- (CLI) und „PowerShell“-Skripten automatisiert werden:

Anfänglicher Zugriff
Cyber-Kriminelle verschafften sich z.B. durch Phishing Zugriff auf „SharePoint Online“- oder „OneDrive“-Konten eines oder mehrerer Benutzer, indem sie die Identitäten der Benutzer kompromittierten oder kaperten.

Kontoübernahme und -zugriff
Die Angreifer hätten nun Zugriff auf alle Dateien, „die dem kompromittierten Benutzer gehören oder von der ,OAuth‘-Anwendung eines Drittanbieters kontrolliert werden (was auch das ,OneDrive‘-Konto des Benutzers einschließen würde)“.

Sammlung & Exfiltration
Die Cyber-Kriminellen setzten das Versionslimit von Dateien auf eine niedrige Zahl, z.B. auf eins, der Einfachheit halber. Sie verschlüsselten die Datei öfter als die Versionsgrenze, in diesem Fall zweimal. Dieser Schritt sei bei „Cloud“-Ransomware anders als bei Ransomware-Angriffen auf Endpunkte/-geräte. In einigen Fällen könnten die Angreifer die unverschlüsselten Dateien extrahieren und so eine doppelte Erpressungstaktik umsetzen.

Monetarisierung
Jetzt seien alle ursprünglichen Versionen der Dateien (von vor dem Angriff) verloren, so dass nur noch die verschlüsselten Versionen der einzelnen Dateien im „Cloud“-Konto vorhanden seien. An diesem Punkt könnten die Angreifer von der Organisation ein Lösegeld verlangen.

Microsofts Reaktion auf potenzielle Ransomware-Bedrohung

Vor der Veröffentlichung der Sicherheitslücke habe Proofpoint diese an Microsoft gemeldet und folgende Antworten erhalten:

• „Die Konfigurationsfunktion für Versionseinstellungen funktioniert wie vorgesehen.“
• „Ältere Dateiversionen können mit Hilfe des Microsoft-Supports potenziell für 14 Tage wiederhergestellt werden.“

Die Proofpoint-Experten hätten jedoch versucht, alte Versionen auf diesem Weg (d.h. mit Hilfe des Microsoft-Supports) abzurufen und wiederherzustellen und seien dabei nicht erfolgreich gewesen. Die Sicherheitsforscher hätten zudem gezeigt, „dass der Konfigurations-Worflow der Versionseinstellungen, selbst wenn er wie vorgesehen funktioniert, von Angreifern für ,Cloud‘-Ransomware-Attacken missbraucht werden kann“.

Ransomware-Gegenmaßnahmen für den Schutz von Cloud-Umgebungen

Glücklicherweise gälten viele der Empfehlungen für den Schutz vor Endpunkt-Ransomware auch für den Schutz von „Cloud“-Umgebungen.
Organisationen sollten zunächst die Erkennung riskanter Änderungen der Dateikonfiguration für „Microsoft-365“-Konten mit einer Lösung (wie z.B. „Proofpoint CASB“) aktivieren. Zwar könne ein Benutzer die Einstellung versehentlich ändern, aber das geschehe vergleichsweise selten.
„Falls Benutzer die Einstellung unwissentlich geändert haben, sollten sie darauf aufmerksam gemacht und aufgefordert werden, das Versionslimit zu erhöhen.“ Dies verringere das Risiko, „dass ein Angreifer Benutzer kompromittiert und die bereits niedrigen Versionsgrenzen ausnutzt, um das Unternehmen zu erpressen“.

Weitere Vorschläge zur Verbesserung der Ransomware-Abwehr

Stark gefährdete Personen
Organisationen sollten die Benutzer, die am häufigsten mit gefährlichen „Cloud“-, E-Mail- und Web-Angriffen konfrontiert sind, identifizieren und ihren Schutz priorisieren. Diese Benutzer gehörten nicht zwangsläufig zum Kreis der Leute, die für gewöhnlich als besonders hochwertige Ziele erachtet würden, wie Führungskräfte und privilegierte Benutzer.

Zugriffsverwaltung
Organisationen sollten strenge Passwortrichtlinien handhaben und Multi-Faktor-Authentifizierung (MFA) sowie eine prinzipienbasierte Zugriffsrichtlinie mit geringsten Privilegien für alle „Cloud“-Anwendungen anwenden.

Notfallwiederherstellung und Datensicherung
Disaster-Recovery- und Datensicherungsrichtlinien müssten aktuell gehalten werden, um die Verluste im Falle von Ransomware zu reduzieren. Idealerweise führten Organisationen regelmäßig externe Backups von „Cloud“-Dateien mit sensiblen Daten durch. „Sie sollten sich nicht nur auf Microsoft verlassen, wenn es darum geht, Backups durch Versionierung von Dokumentenbibliotheken zu erstellen.“

Cloud-Sicherheit
Organisationen sollten geeignete „Tools“ einsetzen, um Konto-Kompromittierungen und den Missbrauch von Drittanbieter-Anwendungen zu erkennen und zu begegnen.

Schutz vor Datenverlust
Download sensibler Daten und großer Datenmengen auf nicht verwaltete Geräte sollte verhindert werden, um das Potenzial für Doppelte-Erpressungs-Taktiken bei Ransomware-Angriffen zu verringern.

Weitere Informationen zum Thema:

proofpoint, Or Safran / David Krispin / Assaf Friedman / Saikrishna Chavali, 16.06.2022
Proofpoint Discovers Potentially Dangerous Microsoft Office 365 Functionality that can Ransom Files Stored on SharePoint and OneDrive

[datensicherheit.de, 12.08.2021] E-Mail-Sicherheit ist offensichtlich eines der wichtigsten Themen für jede IT-Abteilung – denn Sicherheitslücken führen schnell zum Verlust sensibler Daten, zu Betriebsausfällen und Umsatzeinbußen. Im Rahmen einer Umfrage zur E-Mail-Sicherheit unter mehr als 420 Unternehmen, die „Microsoft 365“ nutzen, hat Hornetsecurity nach eigenen Angaben herausgefunden, „dass 23 Prozent, also jedes vierte Unternehmen, bereits einen Sicherheitsverstoß im Zusammenhang mit E-Mails gemeldet hat“. Von diesen Sicherheitsverstößen seien 36 Prozent durch Phishing-Angriffe verursacht worden, welche auf die wohl schwächste Stelle eines jeden Sicherheitssystems abgezielt hätten – den Endbenutzer. Unternehmen seien befragt worden, „die die ,Microsoft 365‘-Plattform nutzen, um zu verstehen, wie sie die E-Mail-Sicherheit in einer zunehmend dezentralisierten Arbeitsumgebung handhaben“.

Abbildung: Hornetsecurity

Hornetsecurity-Umfrage: Die Hälfte aller Befragten greift auf Lösungen von Drittanbietern zurück, um ihre E-Mail-Sicherheit zu ergänzen

62 % aller Sicherheitsverstöße durch kompromittierte Passwörter und Phishing-Angriffe verursacht

Kompromittierte Passwörter und Phishing-Angriffe seien der Grund für 62 Prozent aller gemeldeten Sicherheitspannen. 54 Prozent aller Befragten hätten angegeben, dass sie noch keine Regeln für den bedingten Zugang zusammen mit der Multi-Faktor-Authentifizierung implementiert hätten. Diese verhindere, dass sich Benutzer von ungesicherten Netzwerken aus bei ihren Konten anmelden könnten.
68 Prozent der Unternehmen erwarteten, „dass ,Microsoft 365‘ vor E-Mail-Gefahren schützt, dennoch verwenden 50 Prozent Drittanbieter-Lösungen“. Es scheine somit eine Diskrepanz zwischen den Erwartungen, welche Unternehmen an die E-Mail-Sicherheit von „Microsoft 365“ stellten, und der Realität zu geben: „Während zwei von drei Unternehmen erwarten, dass Microsoft sie vor E-Mail-Bedrohungen schützt, greift die Hälfte aller Befragten auf Lösungen von Drittanbietern zurück, um ihre E-Mail-Sicherheit zu ergänzen.“

Lösungen von Drittanbietern am effektivsten: 82 % melden keine Sicherheitsprobleme

„Die Unternehmen, die Sicherheitslösungen von Drittanbietern einsetzen, meldeten die niedrigste Rate an E-Mail-Sicherheitspannen im Vergleich zu Unternehmen, die nur die von ,Microsoft 365‘ angebotenen Sicherheitspakete nutzen: 82 Prozent aller Befragten mit E-Mail Sicherheitslösungen von Drittanbietern meldeten keine Probleme.“
Darüber hinaus nutzten 48 Prozent der Befragten, die angegeben hätten, für Microsofts „Enterprise Mobility & Security E3“ oder „E5“ extra zu zahlen, zusätzlich Lösungen von Drittanbietern. Obwohl die Erwartungen an die Maßnahmen zum Schutz der E-Mail-Kommunikation von „Microsoft 365“ hoch seien, „sind die meisten Unternehmen der Meinung, dass sie nicht ausreichen – und die Ergebnisse untermauern diese Annahme“.

Unternehmen mit 201 bis 1.000+ Mitarbeitern am stärksten durch Sicherheitslücken bei E-Mails bedroht

74 Prozent aller in dieser Umfrage gemeldeten Sicherheitsprobleme seien von Unternehmen mit 201 bis 1.000 und mehr Mitarbeitern gemeldet worden. Dies sei wahrscheinlich auf Faktoren wie Budget und Personalprioritäten zurückzuführen, welche die digitale Sicherheit nicht als wichtiges Anliegen ansähen.
Sobald die Zahl der Mitarbeiter 1.000 übersteige, sinke die Häufigkeit von E-Mail-Sicherheitspannen auf 17 Prozent – wahrscheinlich aufgrund von Reaktionen auf vorangegangene Sicherheitsbedenken und der Möglichkeit, in leistungsfähigere Sicherheitsprotokolle zu investieren.

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2024
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf

tresorit
Auf Nummer sicher im E-Mail-Verkehr: Wie Sie sichere E-Mails in Outlook versenden

HORNETSECURITY, 10.08.2021
1 von 4 Unternehmen litt mindestens unter einer E-Mail-Sicherheitslücke, ergab eine Hornetsecurity-Umfrage