Microsoft 365 ist für Angreifer attraktiv, weil hier E-Mail, Dateien, Kalender und Identitäten zusammenlaufen. Wer ein Konto übernimmt, hat oft sofort Zugriff auf interne Kommunikation, vertrauliche Dokumente und weitere Systeme. Genau deshalb nimmt Phishing rund um Microsoft 365 so stark zu.

Was Angreifer ausnutzen

Die meisten Angriffe zielen nicht auf Technik, sondern auf Menschen. Typische Muster sind:

gefälschte Anmeldeseiten von Microsoft

E-Mails mit Dringlichkeit, etwa zu Passwortablauf oder Dokumentfreigaben

manipulierte MFA-Abfragen, bei denen Nutzer eine Anmeldung bestätigen sollen

Weiterleitungsregeln im Postfach, damit Angreifer daürhaft mitlesen können

Diese Methoden funktionieren, weil sie den normalen Arbeitsalltag imitieren. Die Nachricht wirkt vertraut, der Absender scheint plausibel, und der Druck zur schnellen Reaktion ist hoch.

Warum Microsoft 365 so oft betroffen ist

Microsoft 365 ist weit verbreitet. Das macht es für Angreifer wirtschaftlich interessant, denn mit einem einzigen Angriff lassen sich viele Unternehmen gleichzeitig erreichen. Dazu kommt: Viele Organisationen haben zwar MFA eingeführt, aber nicht konseqünt abgesichert. Wenn ein Angreifer eine schwache Methode wie SMS-Codes oder eine schlecht geschützte Bestätigungsanfrage trifft, bleibt das Konto dennoch gefährdet.

Ein weiteres Problem ist die gewachsene Komplexität. In vielen Umgebungen gibt es hybride Identitäten, externe Freigaben und zahlreiche Zusatzdienste. Je mehr Verbindungen bestehen, desto grösser wird die Angriffsfläche.

Welche Schutzmassnahmen wirklich helfen

Ein wirksamer Schutz beginnt nicht bei einzelnen E-Mails, sondern bei der Identität. Sinnvoll sind vor allem diese Massnahmen:

1.Phishing-resistente MFA einführen, etwa mit Passkeys oder FIDO2-Sicherheitsschlüsseln.

2.Legacy Authentifizierung abschalten, damit alte, unsichere Anmeldewege nicht weiter nutzbar sind.

3.Admin-Konten strikt trennen und nur für Verwaltungsaufgaben verwenden.

4.Bedingten Zugriff einsetzen, um Anmeldungen nach Gerät, Standort und Risiko zu prüfen.

5.Postfachregeln und Weiterleitungen überwachen, weil Angreifer darüber oft langfristig Zugang sichern.

6.Mitarbeiter regelmässig schulen, aber mit kurzen, realistischen Beispielen statt abstrakter Warnungen.

Was Incident Response konkret prüfen sollte

Wenn ein Verdacht besteht, braucht es eine schnelle Überprüfung. Wichtig sind unter anderem:

zuletzt erfolgreiche Anmeldungen

ungewöhnliche MFA-Events

neu erstellte Weiterleitungsregeln

verdächtige OAuth-Zustimmungen

Zugriff auf sensible SharePoint- oder OneDrive-Daten

Je früher diese Spuren geprüft werden, desto kleiner bleibt der Schaden. Nach einem kompromittierten Konto geht es nicht nur um Passwortänderungen. Oft muss die ganze Identität auf weitere Kompromittierung untersucht werden.

Fazit

Die Phishing-Welle rund um Microsoft 365 ist kein Zufall. Sie folgt einem klaren Muster: Angreifer greifen dort an, wo Identität, Kommunikation und Daten zusammenkommen. Wer den Schutz nur auf Spamfilter reduziert, bleibt verwundbar. Wer dagegen Identität, Zugriffsregeln und Überprüfung konseqünt absichert, macht Angriffe deutlich weniger wirksam.

Microsoft 365: Warum die Phishing-Welle gerade zunimmt

Was Angreifer ausnutzen

Warum Microsoft 365 so oft betroffen ist

Welche Schutzmassnahmen wirklich helfen

Was Incident Response konkret prüfen sollte

Fazit