Microsoft Teams Phishing: Warum der Anstieg gefährlich ist

Microsoft Teams ist für viele Firmen ein zentraler Arbeitskanal. Genau das macht die Plattform für Angreifer interessant. Wenn eine Nachricht scheinbar von einer internen Person kommt, sinkt die Aufmerksamkeit oft sofort. Das ist der Kern des Problems: Vertraün wird ausgenutzt.

Warum Teams-Phishing zunimmt

Angreifer suchen immer den Kanal mit der grössten Erfolgswahrscheinlichkeit. E-Mails werden heute in vielen Firmen besser gefiltert als früher. Teams-Nachrichten wirken dagegen oft harmlos, schnell und persönlich. Dazu kommt: Viele Mitarbeitende öffnen Teams den ganzen Tag und reagieren reflexartig auf Chat-Nachrichten.

Ein weiterer Faktor ist die Kombination aus Identität und Kontext. Wer den Namen eines Kollegen, eines Vorgesetzten oder eines externen Partners sieht, prüft weniger kritisch. Wenn dann noch ein echtes Firmenlogo, ein vertrauter Ton oder ein dringender Auftrag dazukommt, ist der Angriff oft bereits erfolgreich.

Typische Angriffsmuster

Teams-Phishing sieht nicht immer gleich aus. Häufige Varianten sind:

• Direkte Chat-Nachrichten mit Link zu einer falschen Anmeldeseite

• Nachrichten von kompromittierten oder neu erstellten Konten

• Einladungen zu Meetings mit schädlichen Anhängen oder Links

• Social-Engineering-Szenarien mit angeblich vertraulichen Dokumenten

• Weiterleitungen in externe Systeme, etwa zu gefälschten Microsoft-Login-Seiten

Das Ziel ist fast immer dasselbe: Zugangsdaten, Sitzungs-Tokens oder Schadsoftware.

Woran Sie einen Angriff erkennen

Die ersten Hinweise sind oft klein. Achten Sie auf:

• Unerwartete Dringlichkeit

• Ungewohnte Sprache oder Stilbrüche

• Links, die zu fremden Domains führen

• Bitte um Login, MFA-Code oder Dateifreigabe

• Auffällige Absendernamen trotz scheinbar vertrauter Identität

Wichtig ist die Überprüfung des Kontexts. Passt die Anfrage wirklich zur Rolle der Person? Wird ein üblicher Prozess umgangen? Ist der Zeitpunkt plausibel? Genau diese Fragen stoppen viele Angriffe früh.

Welche Schutzmassnahmen sinnvoll sind

Einzelne Massnahmen reichen nicht. Wirksam ist nur eine Kombination aus Technik, Prozessen und Schulung.

- Multi-Faktor-Authentifizierung überall erzwingen

- Bedingten Zugriff einsetzen

- Verdächtige Sitzungen und Länderzugriffe überwachen

- Externe Chats und Gastzugriffe einschränken

- Dateifreigaben kontrollieren

- Link-Vorschaün und URL-Filter aktivieren, wo möglich

- Kurze, konkrete Schulungen statt langer Theorie

- Klare Meldewege für verdächtige Nachrichten

- Regelmässige Simulationen mit echtem Lernwert

- Betroffene Konten schnell sperren können

- Tokens und Sitzungen invalidieren

- Kommunikation an IT, Security und Fachbereich vereinfachen

Was Firmen oft falsch machen

Viele Organisationen behandeln Teams-Phishing wie ein reines E-Mail-Problem. Das ist zu eng gedacht. Der Kanal ist Teil der täglichen Zusammenarbeit und damit psychologisch stärker. Ein zweiter Fehler ist, nur auf technische Filter zu setzen. Wenn Mitarbeitende nicht wissen, wie ein Angriff aussieht, wird der Filter früher oder später umgangen.

Auch überladene Freigabeprozesse helfen wenig, wenn der Alltag dadurch umständlich wird. Sicherheit muss möglich sein, ohne die Arbeit unnötig zu verlangsamen.

Fazit

Der Anstieg von Microsoft-Teams-Phishing ist kein Randthema. Angreifer nutzen einen vertrauten, schnellen und oft weniger kontrollierten Kanal. Firmen, die nur E-Mail schützen, bleiben verwundbar. Wer Identität, Zugriff, Schulung und Reaktion gemeinsam betrachtet, reduziert das Risiko deutlich und zuverlässig.