Zum Hauptinhalt springen

Microsoft 365 Neue Phishing Welle überflutet deutsche Unternehmen

Dezember 30, 2025

Massive Angriffswelle auf Microsoft 365 Accounts in Deutschland

Aktuell rollt eine neue Phishing Welle über deutsche Unternehmen hinweg. Ziel der Angreifer sind in erster Linie Accounts von Microsoft 365. Sicherheitsforscher sprechen von einer professionell orchestrierten Kampagne, die gezielt auf Zugangsdaten und Multifaktor Authentifizierungsverfahren abzielt.

Die Angriffe betreffen Unternehmen unterschiedlicher Größen und Branchen. Besonders kritisch ist, dass die Phishing Mails optisch kaum noch von echten Microsoft Benachrichtigungen zu unterscheiden sind.


So funktioniert die aktuelle Phishing Kampagne

Die Angreifer versenden E Mails mit angeblich dringenden Sicherheitswarnungen oder Hinweisen auf ablaufende Kennwörter. Typische Betreffzeilen lauten etwa:

  • Ungewöhnliche Anmeldeaktivität erkannt
  • Passwort läuft heute ab
  • Neue Sicherheitsrichtlinie aktivieren

Die enthaltenen Links führen auf täuschend echt gestaltete Login Seiten, die das Design von Microsoft exakt nachahmen. Nach Eingabe der Zugangsdaten werden diese direkt an die Angreifer übertragen.

In vielen Fällen wird zusätzlich versucht, bestehende Multifaktor Authentifizierung zu umgehen, indem Opfer zu einer Bestätigung gedrängt werden oder sogenannte MFA Fatigue Attacken eingesetzt werden.

Warum Microsoft 365 besonders im Fokus steht

Microsoft 365 ist in Deutschland flächendeckend im Einsatz. Exchange Online, SharePoint und OneDrive enthalten geschäftskritische Daten. Ein kompromittierter Account ermöglicht Angreifern:

  • Zugriff auf interne Kommunikation
  • Weiterverbreitung von Phishing im eigenen Unternehmen
  • Zugriff auf sensible Dokumente
  • Identitätsdiebstahl
  • Vorbereitung von Ransomware Angriffen

Gerade mittelständische Unternehmen sind häufig Ziel solcher Kampagnen, da hier Sicherheitsmechanismen nicht immer konsequent umgesetzt sind.

Erfahrungen aus Reddit und dem Microsoft Support Forum

In mehreren Threads auf Reddit berichten Administratoren aktuell von stark steigenden Phishing Versuchen mit Bezug zu Microsoft 365. Häufig genannt werden:

  • Mehrere hundert gefälschte Login Versuche pro Tag
  • Gezielte Attacken auf Benutzer mit globalen Administratorrechten
  • Automatisierte Passwort Reset Anfragen
  • MFA Spam Anfragen zur Bestätigung

Ein Administrator beschreibt, dass innerhalb von 24 Stunden mehr als 300 Login Versuche aus unterschiedlichen Ländern registriert wurden.

Auch im Microsoft Support Forum häufen sich Beiträge von Unternehmen, die trotz aktivierter Multifaktor Authentifizierung kompromittiert wurden. Ursache war meist:

  • Bestätigung einer Push Anfrage durch Mitarbeiter
  • Nutzung schwacher oder mehrfach verwendeter Passwörter
  • Fehlende Conditional Access Richtlinien

Microsoft empfiehlt in entsprechenden Support Beiträgen dringend den Einsatz von:

  • Phishing resistenter Multifaktor Authentifizierung wie FIDO2
  • Conditional Access Richtlinien
  • Deaktivierung von Legacy Authentifizierung
  • Aktivierung von Security Defaults


Konkrete Schutzmaßnahmen für Unternehmen

1. Conditional Access aktivieren

Richtlinien definieren, die Anmeldungen aus bestimmten Ländern oder von nicht verwalteten Geräten blockieren.

2. Phishing resistente MFA einsetzen

FIDO2 Security Keys oder Windows Hello for Business sind deutlich sicherer als einfache Push Bestätigungen.

3. Legacy Authentifizierung deaktivieren

Ältere Protokolle wie POP oder IMAP ohne moderne Authentifizierung stellen ein erhebliches Risiko dar.

4. Anmeldeprotokolle regelmäßig prüfen

Sign In Logs im Entra Admin Center zeigen ungewöhnliche Aktivitäten schnell auf.

5. Benutzer sensibilisieren

Technische Schutzmaßnahmen allein reichen nicht aus. Regelmäßige Security Awareness Schulungen sind essenziell.

Fazit

Die aktuelle Phishing Welle zeigt erneut, dass Cloud Dienste wie Microsoft 365 ein attraktives Ziel für Cyberkriminelle sind. Besonders perfide ist die Kombination aus professionell gestalteten Fake Login Seiten und gezielten MFA Angriffen.

Unternehmen sollten jetzt handeln und ihre Sicherheitskonfiguration überprüfen. Neben technischen Maßnahmen ist vor allem die Sensibilisierung der Mitarbeiter entscheidend.

Die Bedrohungslage bleibt dynamisch und Angreifer passen ihre Methoden kontinuierlich an. Wer Microsoft 365 produktiv nutzt, muss Sicherheitsfeatures konsequent implementieren und regelmäßig überprüfen.

Lust auf IT-Projekte auf diesem Level?

Die Themen Intune, Modern Workplace und Cloud-Management sind nicht nur meine Leidenschaft auf diesem Blog, sondern auch mein tägliches Handwerk bei bTdynamics GmbH aus Hamburg. Wir suchen immer kluge Köpfe, die Lust haben, die digitale Arbeitswelt von morgen mitzugestalten.

👉 aktuelle Stellenanzeigen

Auch interessant