Was macht die aktuelle Angriffswelle so gefährlich? Die Angreifer beschränken sich dabei nicht auf „simple“ Phishing-Mails, sondern nutzen personalisierte Täuschungsversuche, sogenannte Spearphishing-Angriffe. Dabei werden gezielt konkrete Personen und Abteilungen im Unternehmen attackiert: Die Personalabteilung erhält eine Bewerbung, die Buchhaltung eine Mahnung oder die Geschäftsführung eine scheinbar legitime Anfrage zum IT-Budget.
Der Clou: Die gefälschte Login-Seite fragt nicht nur Benutzername und Passwort ab, sondern löst auch die Multifaktor-Authentifizierung (MFA) aus. Das Opfer erhält eine echte Push-Nachricht oder SMS zur Bestätigung – und denkt, alles sei in Ordnung. In Wahrheit hat der Angreifer damit eine gültige Session in Microsoft 365 erzeugt und ist im System.
„Multifaktor ist heute nicht mehr uneingeschränkt sicher. Die Angreifer sind uns – wenn wir nicht entsprechend proaktiv agieren – einen Schritt voraus.“
Worst-Case: Komplettverlust
Einmal in der Microsoft365-Umgebung, bleibt der Angreifer oft wochenlang unbemerkt aktiv. Er liest E-Mails, greift auf vertrauliche Dateien zu oder versucht über interne Kommunikation, weitere Zugänge bis hin zu Administratorrechten zu kapern. Das Worst-Case-Szenario: Der kompromittierte Nutzer kontaktiert einen Admin – unverdächtig – mit einer Datei oder einer Budget-Anfrage. Wird auch der Admin-Zugang kompromittiert, droht der Verlust der Kontrolle über die gesamte Microsoft-Umgebung.
Hierzu Maximilian Maier, Member RC_NIS2-Tech-Team der Ratisbona Compliance: „Multifaktor ist heute nicht mehr uneingeschränkt sicher. Die Angreifer sind uns – wenn wir nicht entsprechend proaktiv agieren – einen Schritt voraus.“
Was Entscheider jetzt tun sollten:
- Schutzmaßnahmen: Klare Sicherheitsrichtlinien erstellen, Passwort-Manager, starke Passwörter vorschreiben, Zugriffsrechte über Rollen steuern (RBAC), sichere Geräte und Netzwerke erzwingen, SSO nutzen und Zugriff per IP-Filter begrenzen und individuelle Risikobewertungen etablieren.Klare Sicherheitsrichtlinien erstellen, Passwort-Manager und individuelle Risikobewertungen etablieren.
- Awareness: Regelmäßige Schulungen und simulierte Phishing-Angriffe erhöhen die Aufmerksamkeit. MFA-spezifische Risiken wie Social Engineering thematisieren, Security-Hinweise in Login-Prozesse integrieren und Sicherheitsmultiplikatoren im Team etablieren.
- Erkennung: Conditional Access und Anomalie-Erkennung helfen, verdächtige Aktivitäten frühzeitig zu erkennen.SIEM-Systeme und Login-Monitoring einsetzen und ungewöhnliches Nutzerverhalten automatisiert auswerten.
- Reaktion: Ein erprobter Notfallplan für Account-Übernahmen sowie gezielte Incident Response spart im Ernstfall Zeit und Geld. Automatisierte Kontensperren, sichere Reset-Prozesse für MFA, Echtzeit-Alerts und regelmäßige Nachanalyse zur Optimierung der Schutzmaßnahmen sind notwendig.
Christopher Frank, Lead RC_NIS2-Tech-Team der Ratisbona Compliance rät: „Cyber Security ist kein Produkt, sondern ein Zusammenspiel aus Awareness, Prävention und geplanter Reaktion. Cyber Security ist Chefsache! Wer vorbereitet ist, schützt nicht nur Daten, sondern auch das Vertrauen der Partner und Kunden, seine Mitarbeiter und somit das eigene Unternehmen.“
Trügerische Sicherheit
Fazit: Identitätsdiebstahl ist nicht bloße Theorie – er findet real statt. Unternehmen, die sich allein auf MFA verlassen, wiegen sich in falscher Sicherheit. Es braucht einen ganzheitlichen Blick auf die Bedrohungslage – und eine klare Cyber-Sicherheitsstrategie. Wer seine Cloud-Umgebung schützen möchte, muss über klassische Maßnahmen hinausdenken – und gezielte organisatorische und technische Schutzmechanismen wie etwa Awareness Trainings und Conditional Access etablieren.
