Stell Dir vor: Du bekommst eine E-Mail, die aussieht wie ein völlig normaler Workflow. „Eine Datei wurde in SharePoint für Sie freigegeben.“ Absender: ein bekanntes Unternehmen, vielleicht sogar ein Partner, mit dem ihr wirklich arbeitet. Du klickst – weil es plausibel ist. Und genau da beginnt das Problem.
Microsoft hat zuletzt eine mehrstufige Phishing- und Business-Email-Compromise-Kampagne (BEC) beobachtet, die genau so arbeitet: mit echten Diensten, echten Absendern (die vorher kompromittiert wurden) – und mit einer Methode, die sogar klassische Setups für Multi-Faktor-Authentifizierung aushebeln kann.
Der Kern: AiTM („Adversary-in-the-Middle“) Phishing. Klingt technisch – ist aber vom Prinzip her simpel und genau deshalb so gefährlich.
Was ist AiTM-Phishing?
Bei klassischem Phishing wollen Angreifer dein Passwort. Bei AiTM geht’s um mehr:
Sie setzen sich „zwischen dich und die echte Login-Seite“ – wie ein Proxy oder Spiegel. Du landest auf einer Seite, die täuschend echt aussieht, loggst dich ein, bestätigst vielleicht sogar MFA … und der Angreifer „reicht“ das alles in Echtzeit an die echte Microsoft-Anmeldung weiter.
Das Gemeine: Dabei können sie nicht nur Zugangsdaten abgreifen, sondern auch Session-Tokens / Session-Cookies – also den digitalen „Eintrittsstempel“, der sagt: „Diese Person ist bereits erfolgreich angemeldet.“
Und wenn ein Angreifer so einen Token hat, muss er oft gar nicht mehr durch die MFA-Tür – er läuft einfach durch den Seiteneingang, solange die Session gültig ist. Genau das ist der Punkt, warum reine Passwortwechsel in solchen Fällen nicht reichen.
Warum das für dich relevant ist
Weil diese Angriffe nicht „nur IT“ sind – sie sind Business-Risiko:
- Rechnungsbetrug / Zahlungsumlenkung (BEC): Angreifer lesen mit, antworten glaubwürdig und lenken Zahlungen um.
- Vertrauensverlust: Wenn von euren echten Postfächern Phishing rausgeht, betrifft das Kunden und Partner.
- Still und leise, statt laut und auffällig: Ein kompromittiertes Postfach bleibt manchmal länger unentdeckt und kann in der Zeit enormen Schaden anrichten.
Typischer Ablauf: So „arbeiten“ die Angreifer
Ohne Technik-Sprech verständlich erklärt:
Die Mail wirkt vertrauenswürdig
Sie kommt oft von einer Adresse, die wirklich existiert – weil das Absenderkonto bereits kompromittiert wurde. Dazu nutzen Angreifer gern legitime Cloud-Dienste (z. B. SharePoint, OneDrive), weil das bei vielen Filtern keinen Alarm auslöst.
Du landest auf einer Login-Seite, die echt aussieht
Genau hier sitzt der Angreifer „in der Mitte“. Deine Eingaben (inkl. MFA!) werden live abgegriffen und weitergereicht.
Der Angreifer baut Unsichtbarkeit ein
Ein Klassiker: Posteingangsregeln, die Mails als „gelesen“ markieren oder löschen – damit du Warnungen, Rückfragen oder MFA-Benachrichtigungen nicht bemerkst.
Dann folgt die eigentliche Monetarisierung (BEC + internes Phishing)
Aus dem echten Postfach werden weitere Mails verschickt – teils massenhaft, teils gezielt an einzelne Empfänger, gerne im Kontext echter Konversationen.
Woran du (und dein Team) so einen Angriff erkennen kannst
Was in der Praxis wirklich hilft:
- Ein Mitarbeitender sagt: „Ich musste mich komisch neu anmelden“ – oder mehrfach hintereinander.
- Partner oder Kunden melden: „Wir haben eine Datei-Freigabe von euch bekommen – ist das echt?“
- Im Postfach tauchen neue Regeln auf wie „alles als gelesen markieren“ oder „löschen“.
- Es fehlen Mails oder ganze Threads sind „plötzlich weg“.
- Auffällige Login-Signale (z. B. neue Länder oder Orte) – das sieht man je nach Setup in den M365- bzw. Identity-Reports.
Wichtig: Nicht warten, bis es „bewiesen“ ist. Bei Verdacht zählt Geschwindigkeit!
Was Du jetzt konkret tun kannst
Hier sind Maßnahmen, die Du als Entscheider einfordern und priorisieren kannst:
1. MFA ist gut – aber nicht jede MFA ist gleich gut
Wenn Angreifer Session-Tokens klauen, kann klassische MFA (z. B. SMS oder Einmalcode) an Grenzen kommen. Microsoft empfiehlt deshalb phishing-resistente MFA (z. B. FIDO2, WebAuthn oder Passkeys).
Takeaway: Investment in „MFA, die phishing-resistent ist“ – das ist ein erheblicher Sprung in der Sicherheitswirkung.
2. Kontextbasierte Zugriffe – „Conditional Access“
Statt nur „Passwort + MFA“ besser den Zugriff abhängig machen von Gerät, Standort, Risiko-Signal und Rollen.
Takeaway: Wenn ein Login „untypisch“ ist, wird’s automatisch schwerer – selbst bei gestohlenen Daten.
3. Bei Vorfällen: Nicht nur Passwort ändern, sondern Sessions beenden
Microsoft betont, dass reine Passwort-Resets nicht reichen: aktive Sessions bzw. Token müssen widerrufen werden, sonst bleibt die Tür offen.
4. Posteingangsregeln überwachen
Regeln sind ein beliebter Tarnmechanismus. Deshalb: Alerts auf neue und/oder geänderte Regeln. Dazu regelmäßige Checks und klare Prozesse für echte Änderungen.
Das ist ein schneller Win!
5. E-Mail-Security modern denken
Angreifer leben von vertrauenswürdigen Seiten (Cloud-Dienste, bekannte Marken, echte Absender).
Aktuelle Filter, URL-Scanning und Schutz vor AiTM-Seiten sind deshalb Pflicht.
6. Awareness, die nicht nervt – sondern wirkt
Am Ende ist der Klick oft nicht „Dummheit“ – sondern Alltag + Zeitdruck + ein verdammt glaubwürdiger Köder.
Darum sensibilisiere dein Team, aber richtig:
- Kurze, wiederkehrende Micro-Trainings (5 Minuten statt 60)
- Klare „Wenn das passiert, dann…“-Anleitung
- Eine einfache Melde-Routine („Verdacht melden“ ohne Angst, sich zu blamieren)
Und: Lieber 10 Fehlalarme statt im falschen Moment nicht gemeldet.
Hol Dir den Leitfaden zur E-Mail-Security
Wenn Du das Thema in Deinem Unternehmen pragmatisch angehen willst, lade Dir unseren kostenlosen Leitfaden „E-Mail-Security“ herunter – ideal, um erste Schutzmaßnahmen sauber aufzustellen.
So können Angreifer nicht einfach deine Domain kapern.
Vorsorge ist besser als Nachsorge
Manche Mitarbeiter bekommen hunderte von Mails am Tag – nicht immer ist Zeit, ganz genau hinzusehen, v.a. wenn E-Mails so gut getarnt und glaubwürdig sind.
AiTM-Phishing ist so erfolgreich, weil es Vertrauen imitiert (echte Absender, echte Cloud-Workflows) und weil es nicht nur Passwörter, sondern Sessions kapert.
Die gute Nachricht: Mit phishing-resistenter MFA, sauberem Zugriffskonzept, Monitoring von Posteingangsregeln und im Alltag gelebtes Bewusstsein für die Gefahr kannst Du das Risiko enorm senken.
.png)
