Stell Dir vor: Du bekommst eine E-Mail, die aussieht wie ein völlig normaler Workflow. „Eine Datei wurde in SharePoint für Sie freigegeben.“ Absender: ein bekanntes Unternehmen, vielleicht sogar ein Partner, mit dem ihr wirklich arbeitet. Du klickst – weil es plausibel ist. Und genau da beginnt das Problem.
Microsoft hat zuletzt eine mehrstufige Phishing- und Business-Email-Compromise-Kampagne (BEC) beobachtet, die genau so arbeitet: mit echten Diensten, echten Absendern (die vorher kompromittiert wurden) – und mit einer Methode, die sogar klassische Setups für Multi-Faktor-Authentifizierung aushebeln kann.
Der Kern: AiTM („Adversary-in-the-Middle“) Phishing. Klingt technisch – ist aber vom Prinzip her simpel und genau deshalb so gefährlich.
Bei klassischem Phishing wollen Angreifer dein Passwort. Bei AiTM geht’s um mehr:
Sie setzen sich „zwischen dich und die echte Login-Seite“ – wie ein Proxy oder Spiegel. Du landest auf einer Seite, die täuschend echt aussieht, loggst dich ein, bestätigst vielleicht sogar MFA … und der Angreifer „reicht“ das alles in Echtzeit an die echte Microsoft-Anmeldung weiter.
Das Gemeine: Dabei können sie nicht nur Zugangsdaten abgreifen, sondern auch Session-Tokens / Session-Cookies – also den digitalen „Eintrittsstempel“, der sagt: „Diese Person ist bereits erfolgreich angemeldet.“
Und wenn ein Angreifer so einen Token hat, muss er oft gar nicht mehr durch die MFA-Tür – er läuft einfach durch den Seiteneingang, solange die Session gültig ist. Genau das ist der Punkt, warum reine Passwortwechsel in solchen Fällen nicht reichen.
Weil diese Angriffe nicht „nur IT“ sind – sie sind Business-Risiko:
Ohne Technik-Sprech verständlich erklärt:
Die Mail wirkt vertrauenswürdig
Sie kommt oft von einer Adresse, die wirklich existiert – weil das Absenderkonto bereits kompromittiert wurde. Dazu nutzen Angreifer gern legitime Cloud-Dienste (z. B. SharePoint, OneDrive), weil das bei vielen Filtern keinen Alarm auslöst.
Du landest auf einer Login-Seite, die echt aussieht
Genau hier sitzt der Angreifer „in der Mitte“. Deine Eingaben (inkl. MFA!) werden live abgegriffen und weitergereicht.
Der Angreifer baut Unsichtbarkeit ein
Ein Klassiker: Posteingangsregeln, die Mails als „gelesen“ markieren oder löschen – damit du Warnungen, Rückfragen oder MFA-Benachrichtigungen nicht bemerkst.
Dann folgt die eigentliche Monetarisierung (BEC + internes Phishing)
Aus dem echten Postfach werden weitere Mails verschickt – teils massenhaft, teils gezielt an einzelne Empfänger, gerne im Kontext echter Konversationen.
Was in der Praxis wirklich hilft:
Wichtig: Nicht warten, bis es „bewiesen“ ist. Bei Verdacht zählt Geschwindigkeit!
Hier sind Maßnahmen, die Du als Entscheider einfordern und priorisieren kannst:
Wenn Angreifer Session-Tokens klauen, kann klassische MFA (z. B. SMS oder Einmalcode) an Grenzen kommen. Microsoft empfiehlt deshalb phishing-resistente MFA (z. B. FIDO2, WebAuthn oder Passkeys).
Takeaway: Investment in „MFA, die phishing-resistent ist“ – das ist ein erheblicher Sprung in der Sicherheitswirkung.
Statt nur „Passwort + MFA“ besser den Zugriff abhängig machen von Gerät, Standort, Risiko-Signal und Rollen.
Takeaway: Wenn ein Login „untypisch“ ist, wird’s automatisch schwerer – selbst bei gestohlenen Daten.
Microsoft betont, dass reine Passwort-Resets nicht reichen: aktive Sessions bzw. Token müssen widerrufen werden, sonst bleibt die Tür offen.
Regeln sind ein beliebter Tarnmechanismus. Deshalb: Alerts auf neue und/oder geänderte Regeln. Dazu regelmäßige Checks und klare Prozesse für echte Änderungen.
Das ist ein schneller Win!
Angreifer leben von vertrauenswürdigen Seiten (Cloud-Dienste, bekannte Marken, echte Absender).
Aktuelle Filter, URL-Scanning und Schutz vor AiTM-Seiten sind deshalb Pflicht.
Am Ende ist der Klick oft nicht „Dummheit“ – sondern Alltag + Zeitdruck + ein verdammt glaubwürdiger Köder.
Darum sensibilisiere dein Team, aber richtig:
Und: Lieber 10 Fehlalarme statt im falschen Moment nicht gemeldet.
Wenn Du das Thema in Deinem Unternehmen pragmatisch angehen willst, lade Dir unseren kostenlosen Leitfaden „E-Mail-Security“ herunter – ideal, um erste Schutzmaßnahmen sauber aufzustellen.
So können Angreifer nicht einfach deine Domain kapern.
Manche Mitarbeiter bekommen hunderte von Mails am Tag – nicht immer ist Zeit, ganz genau hinzusehen, v.a. wenn E-Mails so gut getarnt und glaubwürdig sind.
AiTM-Phishing ist so erfolgreich, weil es Vertrauen imitiert (echte Absender, echte Cloud-Workflows) und weil es nicht nur Passwörter, sondern Sessions kapert.
Die gute Nachricht: Mit phishing-resistenter MFA, sauberem Zugriffskonzept, Monitoring von Posteingangsregeln und im Alltag gelebtes Bewusstsein für die Gefahr kannst Du das Risiko enorm senken.