Microsoft Teams ist die zentrale Kommunikationsplattform vieler Unternehmen – und damit ein attraktives Ziel für Angreifer. Aktiv ausgenutzt wird dabei die Handhabung externer Nachrichten: Phishing-Kampagnen erreichen Mitarbeitende im vertrauten Chat-Fenster statt im klassischen Postfach. Dieser Artikel analysiert die Bedrohung und zeigt konkrete Schutzmaßnahmen.
Die Schwachstelle im Detail
Microsoft Teams ermöglicht standardmäßig die Kommunikation zwischen verschiedenen Organisationen – ein Feature, das für die Zusammenarbeit mit externen Partnern, Kunden und Lieferanten gedacht ist. Die Schwachstelle liegt darin, wie Teams mit Nachrichten von externen Benutzern umgeht. Obwohl externe Nachrichten mit einem Hinweis versehen werden, ist dieser leicht zu übersehen. Angreifer nutzen dies aus, indem sie sich als vertrauenswürdige Partner, IT-Support oder sogar als interne Mitarbeiter ausgeben.
Besonders problematisch ist, dass Angreifer über Teams-Nachrichten schädliche Dateien, Links und sogar ganze Phishing-Seiten verbreiten können. Da Mitarbeiter Teams als „sicheren" internen Kommunikationskanal wahrnehmen – im Gegensatz zu E-Mails, bei denen sie typischerweise wachsamer sind – ist die Erfolgsquote solcher Angriffe beunruhigend hoch.
Typische Angriffsszenarien
Szenario 1: Gefälschte IT-Support-Nachrichten
Angreifer erstellen Microsoft-365-Konten, die dem IT-Support des Zielunternehmens ähneln, und senden Nachrichten über Teams mit dringenden Sicherheitswarnungen. Die Nachricht enthält einen Link zu einer gefälschten Microsoft-Anmeldeseite, über die Zugangsdaten abgegriffen werden. Da die Nachricht über Teams kommt, gehen viele Mitarbeiter davon aus, dass sie legitim ist.
Szenario 2: Malware über Teams-Chats
In einer weiteren Variante versenden Angreifer Dateien über Teams, die als harmlose Dokumente getarnt sind – beispielsweise als Projektpläne, Verträge oder Meeting-Notizen. Diese Dateien enthalten jedoch Malware, die beim Öffnen ausgeführt wird. Da Teams-Dateien häufig als vertrauenswürdig eingestuft werden, umgehen sie oft die Vorsichtsmaßnahmen, die Mitarbeiter bei E-Mail-Anhängen anwenden würden.
Szenario 3: Missbrauch von Teams-Tabs und Konnektoren
Fortgeschrittene Angreifer nutzen die Möglichkeit, benutzerdefinierte Tabs in Teams-Kanälen zu erstellen, um Phishing-Seiten direkt in die Teams-Oberfläche einzubetten. Dies ist besonders gefährlich, da die Phishing-Seite innerhalb der vertrauenswürdigen Teams-Umgebung angezeigt wird und die URL-Leiste des Browsers nicht sichtbar ist.
Warum diese Angriffe so gefährlich sind
Die Effektivität dieser Angriffe beruht auf mehreren Faktoren, die sie von klassischem E-Mail-Phishing unterscheiden:
- Vertrauensvorschuss: Mitarbeiter betrachten Teams als internen, sicheren Kanal und sind weniger misstrauisch als bei E-Mails.
- Echtzeit-Kommunikation: Die Chat-Natur von Teams erzeugt Dringlichkeit und ermutigt zu schnellen, unüberlegten Reaktionen.
- Geringere Filterung: Während E-Mails typischerweise durch mehrere Sicherheitsebenen gefiltert werden, sind die Schutzmechanismen für Teams-Nachrichten oft weniger ausgereift.
- Schwierige Erkennung: Teams-basierte Angriffe sind in den Sicherheitslogs schwerer zu identifizieren als E-Mail-basierte Phishing-Versuche.
Konkrete Schutzmaßnahmen
Administrative Maßnahmen
- Externe Kommunikation einschränken: Überprüfen Sie, ob die Kommunikation mit externen Teams-Benutzern tatsächlich erforderlich ist. In den Teams-Admin-Einstellungen können Sie den externen Zugriff auf bestimmte Domänen beschränken oder komplett deaktivieren.
- Conditional Access Policies: Implementieren Sie Conditional-Access-Richtlinien, die den Zugriff auf Teams basierend auf Gerätecompliance, Standort und Risikobewertung steuern.
- Microsoft Defender for Office 365: Aktivieren Sie Safe Links und Safe Attachments auch für Teams-Nachrichten, um schädliche Links und Dateien automatisch zu erkennen und zu blockieren.
- Audit-Logging: Stellen Sie sicher, dass umfassendes Logging für Teams-Aktivitäten aktiviert ist, insbesondere für externe Kommunikation, Dateifreigaben und Gästeaktivitäten.
Awareness-Maßnahmen
- Mitarbeiterschulungen erweitern: Integrieren Sie Teams-spezifische Phishing-Szenarien in Ihre Awareness-Schulungen. Mitarbeiter müssen verstehen, dass auch Teams-Nachrichten Phishing-Angriffe sein können.
- Meldeprozesse etablieren: Stellen Sie sicher, dass Mitarbeiter wissen, wie sie verdächtige Teams-Nachrichten melden können. Ein einfacher, klar kommunizierter Meldeprozess erhöht die Wahrscheinlichkeit, dass Angriffe frühzeitig erkannt werden.
- Externe-Nachricht-Banner beachten: Sensibilisieren Sie Mitarbeiter für den externen Nachrichtenhinweis in Teams und die Bedeutung dieser Kennzeichnung.
Fazit
Die Ausnutzung von Microsoft Teams für Phishing zeigt, wie gezielt Angreifer das Vertrauen in etablierte Plattformen missbrauchen. Teams gehört in Unternehmen inzwischen genauso in die Sicherheitsstrategie wie E-Mail. Die Kombination aus restriktiver externer Kommunikation, Safe Links/Safe Attachments, sauberem Audit-Logging und Teams-spezifischen Awareness-Inhalten bringt den spürbaren Sicherheitsgewinn – deutlich mehr als isoliertes E-Mail-Phishing-Training.