Microsoft Teams ist in vielen Unternehmen der zentrale Kommunikationskanal. Meetings, Chats, Dateien, Support, Projektarbeit und externe Zusammenarbeit laufen täglich darüber.
Genau deshalb ist Teams für Angreifer interessant.
Ein aktueller Bericht beschreibt, wie Angreifer Microsoft Teams genutzt haben, um Mitarbeitende direkt anzusprechen, Vertrauen aufzubauen, Zugangsdaten abzugreifen und Systeme zu kompromittieren. Die Masche ist dabei nicht völlig neu. Sie funktioniert, weil sie nicht wie ein klassischer Angriff aussieht. Sie wirkt wie normale Zusammenarbeit oder wie ein legitimer IT-Supportfall.
Und genau das macht sie gefährlich.
Der Angriff beginnt nicht mehr nur per E-Mail
Viele Unternehmen haben in den letzten Jahren stark in E-Mail-Sicherheit investiert. Spamfilter, Safe Links, Phishing-Simulationen und Awareness-Kampagnen sind heute weit verbreitet.
Angreifer weichen deshalb zunehmend auf andere Kanäle aus.
Microsoft Teams ist dafür ideal: Eine Chatnachricht wirkt direkter und persönlicher als eine E-Mail. Wenn sich jemand als IT-Support, externer Dienstleister oder internationale IT-Abteilung ausgibt, reagieren viele Mitarbeitende schnell. Besonders dann, wenn die Nachricht dringlich klingt oder ein technisches Problem vorgibt.
Typische Einstiegsszenarien sind:
- eine unerwartete Teams-Nachricht von extern
- ein angeblicher IT-Supportfall
- die Bitte um Bildschirmfreigabe
- die Aufforderung, ein Tool auszuführen
- das Hinzufügen einer neuen MFA-Methode
- die Eingabe von Zugangsdaten in ein Formular oder eine Datei
Der Angriff lebt nicht von technischer Raffinesse allein. Er lebt vom Vertrauen der Benutzer.
So läuft ein solcher Angriff ab
Der Ablauf ist meist einfach, aber wirksam.
Zuerst nehmen die Angreifer über Teams Kontakt auf. Sie geben sich als interne oder externe IT aus und behaupten, es gebe ein Problem mit dem Gerät, dem Konto oder der Anmeldung.
Danach wird das Opfer in eine Bildschirmfreigabe oder Remote-Support-Sitzung gelockt. Der Angreifer begleitet die nächsten Schritte live. Er kann sehen, was der Benutzer macht, kann Rückfragen beantworten und den Benutzer gezielt anleiten.
Anschließend werden Zugangsdaten abgegriffen oder Aktionen durchgeführt, die dem Angreifer Zugriff verschaffen. In aktuellen Berichten wurden Benutzer sogar dazu gebracht, Passwörter in lokale Textdateien einzutragen oder neue MFA-Geräte hinzuzufügen.
Wenn das gelingt, ist der Schaden oft größer als bei einem einfachen Phishing-Link. Der Angreifer hat nicht nur ein Passwort. Er hat möglicherweise Zugriff auf ein Gerät, ein Konto, eine Sitzung oder sogar eine gültige MFA-Methode.
Von dort aus beginnt der nächste Schritt: laterale Bewegung.
Ein realer Fall aus der Praxis
Die Methode ist nicht theoretisch.
Bereits im vergangenen Jahr wurde einer meiner Kunden durch ein sehr ähnliches Vorgehen angegriffen. Die Angreifer gaben sich zunächst als internationale IT-Abteilung aus und nahmen über Microsoft Teams Kontakt auf. Anschließend nutzten sie die Desktop-Sharing-Funktion, um den Benutzer Schritt für Schritt zu manipulieren und den Computer zu kompromittieren.
Von diesem Client aus versuchten die Angreifer, sich im Netzwerk weiterzubewegen.
Genau hier zeigte sich, wie wichtig vorbereitete Sicherheitsarchitektur ist. Der Kunde hatte bereits ein konsequentes Tiering-Modell umgesetzt. Dadurch war der Handlungsspielraum der Angreifer stark begrenzt. Sie konnten sich nicht frei durch die Umgebung bewegen, keine kritischen Administrationspfade ausnutzen und keine hochprivilegierten Systeme erreichen.
Die Detection erfolgte rechtzeitig, bevor größerer Schaden entstehen konnte.
Dieser Fall zeigt sehr deutlich: Gute Erkennung ist wichtig. Aber sie reicht nicht aus. Entscheidend ist, wie weit ein Angreifer überhaupt kommt, wenn der erste Client kompromittiert wurde.
Warum reine Detection zu kurz greift
Viele Unternehmen verlassen sich stark auf EDR, XDR oder SIEM. Diese Werkzeuge sind wichtig und haben ihre Berechtigung.
Aber sie sind keine vollständige Sicherheitsstrategie.
In solchen Angriffen verwenden die Täter oft legitime Werkzeuge und echte Benutzerinteraktionen. Ein Benutzer teilt freiwillig den Bildschirm. Ein Support-Tool wird scheinbar legitim gestartet. Ein Konto meldet sich mit korrektem Passwort und gültiger MFA an. Für ein isoliertes Detection-System ist das nicht immer sofort eindeutig bösartig.
Wenn ein Alarm erst dann entsteht, wenn der Angreifer bereits interaktiv auf dem System arbeitet, ist wertvolle Zeit verloren.
Deshalb braucht es präventive Sicherheitsmaßnahmen, die den Handlungsspielraum von Anfang an begrenzen:
- keine privilegierten Anmeldungen auf Standard-Clients
- klare Trennung von Benutzer- und Admin-Konten
- Tiering-Modell für administrative Zugriffe
- eingeschränkte laterale Bewegung
- kontrollierte Remote-Support-Tools
- gehärtete Teams-Einstellungen
- Conditional Access
- Application Control
- Monitoring und schnelle Reaktion
Ein klassisches XDR als Insellösung hätte in solchen Szenarien unter Umständen zu spät reagiert. Erst die Kombination aus Prävention, Architektur, Erkennung und Reaktion macht den Unterschied.
Microsoft Teams muss Teil des Sicherheitskonzepts werden
Teams wird häufig noch wie ein reines Kommunikationswerkzeug behandelt. Das ist ein Fehler.
Teams ist heute ein sicherheitskritischer Zugangspunkt in die Organisation. Darüber laufen interne Kommunikation, externe Zusammenarbeit, Dateien, Meetings, Links, Anwendungen und Supportprozesse.
Daher sollten Unternehmen Teams genauso bewusst absichern wie E-Mail, Endgeräte und Identitäten.
Wichtige Fragen sind:
- Können externe Benutzer Mitarbeitende direkt anschreiben?
- Ist externe Kommunikation auf vertrauenswürdige Domains beschränkt?
- Sind nicht verwaltete externe Teams-Konten blockiert?
- Dürfen externe Kontakte Bildschirmfreigaben starten?
- Ist Remote Control in Meetings erlaubt?
- Welche Remote-Support-Tools sind zugelassen?
- Werden neue MFA-Methoden überwacht?
- Gibt es klare Regeln, wie echter IT-Support abläuft?
- Wissen Mitarbeitende, dass Passwörter niemals in Chats oder Textdateien gehören?
Diese Fragen sind einfach. Die Antworten fehlen aber in vielen Umgebungen.
Konkrete Schutzmaßnahmen
Unternehmen sollten jetzt nicht panisch reagieren, aber gezielt prüfen und härten.
1. Externe Teams-Kommunikation einschränken
Externe Kommunikation sollte nicht pauschal erlaubt sein. Sinnvoll ist eine Allowlist für bekannte Partner und Dienstleister.
Nicht verwaltete externe Teams-Konten sollten blockiert werden, wenn sie nicht benötigt werden. Externe Benutzer sollten interne Mitarbeitende nicht beliebig kontaktieren können.
2. Bildschirmfreigabe und Remote Control kontrollieren
Desktop Sharing ist praktisch, aber sicherheitskritisch. Besonders gefährlich wird es, wenn externe Personen Benutzer anleiten oder sogar Steuerung übernehmen können.
Unternehmen sollten klar regeln, wer Bildschirmfreigabe nutzen darf, ob externe Teilnehmer Remote Control anfordern können und welche Gruppen strengere Einschränkungen benötigen.
3. Remote-Support-Werkzeuge begrenzen
Tools wie Quick Assist, AnyDesk, TeamViewer, DWAgent oder ähnliche Lösungen sollten nicht unkontrolliert nutzbar sein.
Es braucht eine klare Liste erlaubter Support-Tools. Alles andere sollte blockiert oder zumindest überwacht werden.
4. MFA-Änderungen überwachen
Wenn ein Angreifer ein eigenes MFA-Gerät hinzufügen kann, ist das Konto faktisch übernommen.
Neue MFA-Methoden sollten überwacht werden. Besonders bei privilegierten Konten braucht es zusätzliche Schutzmaßnahmen und klare Freigabeprozesse.
5. Tiering konsequent umsetzen
Der wichtigste Schutz gegen Folgeschäden ist eine saubere Architektur.
Standard-Clients dürfen kein Sprungbrett zu kritischen Systemen sein. Admin-Konten gehören nicht auf normale Arbeitsplätze. Administrative Zugriffe müssen getrennt, kontrolliert und nachvollziehbar erfolgen.
Tiering verhindert nicht jeden Angriff. Aber es begrenzt den Schaden massiv.
6. Mitarbeitende auf Teams-Phishing vorbereiten
Awareness darf nicht bei E-Mail enden.
Mitarbeitende müssen wissen, dass Phishing auch über Teams, Telefon, Kalender, Messenger und Remote-Support-Anfragen stattfinden kann.
Eine einfache Botschaft sollte jeder kennen:
Die IT fragt niemals nach Passwörtern, fordert keine Eingabe in Textdateien und lässt keine unbekannten MFA-Geräte hinzufügen.
Fazit
Microsoft Teams ist längst Teil der Angriffsfläche.
Angreifer nutzen die Plattform, weil sie dort Vertrauen, Geschwindigkeit und direkte Interaktion finden. Sie geben sich als IT-Support aus, starten Bildschirmfreigaben, manipulieren Benutzer und versuchen anschließend, sich im Netzwerk weiterzubewegen.
Die Methode ist nicht neu. Sie wurde bereits in realen Kundenumgebungen beobachtet. Der Unterschied zwischen einem begrenzten Vorfall und einem großen Schaden liegt oft nicht allein in der Detection, sondern in der vorbereiteten Sicherheitsarchitektur.
Deshalb reicht es nicht, nur auf XDR, EDR oder SIEM zu setzen.
Unternehmen brauchen einen ganzheitlichen Ansatz:
Teams härten. Externe Kommunikation begrenzen. Remote Tools kontrollieren. MFA-Änderungen überwachen. Tiering umsetzen. Admin-Zugriffe trennen. Mitarbeitende sensibilisieren.
Die entscheidende Frage lautet nicht:
„Haben wir einen Alarm, wenn etwas passiert?“
Die bessere Frage lautet:
„Wie weit kommt ein Angreifer, wenn ein Benutzer auf einen vermeintlichen Teams-Supportkontakt hereinfällt?“