Microsoft 365 ist für Angreifer attraktiv, weil ein einziger erfolgreicher Login oft Zugang zu E-Mails, Dateien, Chats und Freigaben gibt. Genau deshalb sehen viele Unternehmen gerade eine Zunahme von Phishing-Angriffen rund um Microsoft 365. Es geht dabei nicht nur um gefälschte Login-Seiten. Häufig kombinieren Angreifer realistisch wirkende Nachrichten, gestohlene Konten und Automatisierung.

Warum Microsoft 365 so oft angegriffen wird

Der Hauptgrund ist einfach: Microsoft 365 ist weit verbreitet. Wo viele Nutzer dieselbe Plattform verwenden, lohnt sich der Aufwand für Kriminelle. Dazu kommt, dass die Angreifer die echten Abläufe meist gut kennen. Sie wissen, wie Anmeldebildschirme aussehen, welche Warnungen Nutzer erwarten und welche Themen Aufmerksamkeit erzeugen.

Besonders gefährlich ist die Kombination aus Vertrautheit und Eile. Eine Nachricht über ein angeblich ablaufendes Passwort, eine gesperrte Datei oder eine neue Dokumentfreigabe wirkt im Alltag plausibel. Wer nebenbei arbeitet, prüft solche Meldungen oft nicht sorgfältig genug.

Typische Angriffsmuster

Phishing in Microsoft 365 läuft heute oft in mehreren Schritten ab:

1.Die Opfer erhalten eine glaubwürdige E-Mail mit einem Link zu einer gefälschten Anmeldeseite.

2.Nach der Eingabe der Zugangsdaten werden diese sofort an die Angreifer weitergeleitet.

3.Das echte Konto wird übernommen und für weitere Angriffe genutzt.

4.Aus dem kompromittierten Postfach verschicken die Angreifer neue Mails an interne oder externe Kontakte.

Diese zweite Welle ist oft besonders wirksam. Eine Mail von einem bekannten Kollegen oder Lieferanten wirkt deutlich glaubwürdiger als eine unbekannte Absenderadresse. Dadurch vergrössert sich der Schaden schnell.

Warum einfache Schutzmassnahmen nicht mehr genügen

Klassische Filter helfen, sind aber nicht zuverlässig genug. Viele Angriffe umgehen Standardregeln durch neue Domains, ungewöhnliche Links oder kompromittierte Konten. Auch Multi-Faktor-Authentifizierung ist wichtig, aber nicht allein ausreichend. Phishing kann trotzdem erfolgreich sein, wenn Angreifer Anmeldedaten und Sitzungsdaten abfangen oder Nutzer zur Bestätigung einer Anmeldung verleiten.

Das bedeutet nicht, dass technische Kontrollen nutzlos sind. Im Gegenteil: Sie müssen nur gut kombiniert werden.

Was Unternehmen jetzt tun sollten

Der wichtigste Schritt ist eine klare Überprüfung der Anmeldeschutzmassnahmen. Dazu gehören:

Multi-Faktor-Authentifizierung für alle Konten

Bedingter Zugriff mit Standort-, Geräte- und Risikoregeln

Sperren von Legacy-Authentifizierung

Strenge Regeln für Mailweiterleitung und Postfachrechte

Warnungen bei verdächtigen Anmeldungen und neuen Weiterleitungsregeln

Regelmässige Schulung mit echten Beispielen aus dem eigenen Umfeld

Technik allein reicht aber nicht. Mitarbeitende müssen wissen, dass sie Anmeldelinks grundsätzlich misstraün und im Zweifel den Zugang direkt über das Lesezeichen oder die offizielle Adresse öffnen sollen.

Worauf man im Alltag achten sollte

Es gibt ein paar einfache Signale, die oft übersehen werden:

Unerwarteter Druck: «sofort», «heute noch», «letzte Warnung»

Kleine Abweichungen in Absendern und Domains

Ungewöhnliche Grammatik oder untypische Sprache

Neue Regeln für Weiterleitung oder Delegation im Postfach

Wenn solche Zeichen auftreten, sollte die Nachricht nicht einfach weitergeleitet, sondern überprüft werden.

Fazit

Der Phishing-Anstieg rund um Microsoft 365 ist kein Zufall. Die Plattform ist zentral, häufig im Einsatz und für Angreifer sehr ergiebig. Wer sich nur auf Spamfilter verlässt, bleibt verwundbar. Wirksam ist eine Kombination aus harten Sicherheitsregeln, klaren Prozessen und regelmässiger Schulung. Das Ziel ist nicht, jede Nachricht perfekt zu erkennen. Das Ziel ist, den Erfolg eines Angriffs so schwierig wie möglich zu machen.

Microsoft 365: Warum Phishing gerade stark zunimmt