Eine E-Mail mit einem Link zu einem freigegebenen SharePoint-Dokument – das klingt alltäglich. Genau das machen sich Angreifer zunutze: Der Link ist echt, führt auf eine legitime Microsoft-Domain, und trotzdem endet der Klick mit gestohlenen Zugangsdaten. Laut einer Microsoft-Warnung aus dem Frühjahr 2026 läuft diese Kampagne vollautomatisiert und KI-gesteuert – täglich werden hunderte M365-Konten übernommen, branchenübergreifend und ohne Ansehen der Unternehmensgröße.

So funktioniert der Angriff – Schritt für Schritt

1

Phishing-E-Mail mit echtem SharePoint-Link

Das Opfer erhält eine E-Mail – oft von einem bereits kompromittierten Konto aus dem eigenen Umfeld – mit einem Link auf sharepoint.com. Da die Domain legitim ist, passiert die Nachricht Spam-Filter problemlos.

2

Köder-Dokument mit weiterführendem Link

Das SharePoint-Dokument enthält einen weiteren Link – angeblich zu einem Vertrag, einer Rechnung oder einem HR-Dokument. Dieser zweite Link führt auf eine von Angreifern kontrollierte Seite.

3

Gefälschte Login-Seite fängt Zugangsdaten ab

Die Zielseite imitiert die Microsoft-Anmeldemaske und fungiert als Proxy: Benutzername, Passwort und MFA-Code werden in Echtzeit abgefangen und weitergeleitet. Das Opfer merkt nichts – die Angreifer erhalten das Sitzungs-Cookie und damit vollen Zugriff. MFA schützt in diesem Szenario nicht.

4

Kontoübernahme und Rechnungsbetrug

Mit dem Session-Cookie durchsuchen Angreifer das Postfach nach „Rechnung", „Überweisung" oder „Vertrag". Bestehende Rechnungen werden mit gefälschten Bankdaten erneut versandt. Gleichzeitig richten sie Weiterleitungsregeln ein und verschicken neue Phishing-E-Mails an alle Kontakte – mit hoher Erfolgsquote, weil der Absender bekannt und vertrauenswürdig wirkt.

Warum klassischer Schutz versagt: Der Angriff nutzt keine Malware und keinen Exploit – nur legitime Microsoft-Dienste, gültiges Login-Verhalten und soziales Vertrauen. Virenscan und Spam-Filter greifen kaum.

Gegenmaßnahme 1: Gezielte Security-Awareness-Schulung

Entscheidend ist, dass Mitarbeiter dieses spezifische Angriffsmuster kennen – nicht nur abstrakt wissen, dass es Phishing gibt. Drei Punkte sollte jede Schulung abdecken:

Gegenmaßnahme 2: M365-Branding für sofortige Wiedererkennung

Über das Company Branding in Entra ID erscheint auf jeder Microsoft-Anmeldeseite Ihres Mandanten das Unternehmenslogo und ein selbst gewähltes Hintergrundbild. Fehlt dieses Branding auf einer Seite, die nach M365-Zugangsdaten fragt, ist das ein sofortiges Warnsignal – auch ohne technisches Vorwissen.

Einrichtung: Company Branding in Entra ID

  1. Im Microsoft Entra Admin Center unter Benutzerfreundlichkeit → Unternehmensbranding navigieren
  2. Unternehmenslogo (transparentes PNG, max. 245 × 36 Pixel) hochladen
  3. Hintergrundbild oder Hintergrundfarbe festlegen
  4. Optional: Hinweistext wie „Dies ist die offizielle Anmeldeseite Ihres Unternehmens" eintragen
  5. Branding für alle Sprachvarianten aktivieren

Zeigen Sie Mitarbeitern einmal, wie die echte Anmeldeseite aussieht – und was zu tun ist, wenn Logo oder Hintergrundbild fehlen.

Gegenmaßnahme 3: Sendelimit im Exchange Online anpassen

Kompromittierte Konten versenden innerhalb kurzer Zeit Hunderte E-Mails. Wer sein normales tägliches Volumen kennt – bei den meisten Mitarbeitern weit unter 500 Nachrichten – kann in Exchange Online ein deutlich niedrigeres Limit setzen. Überschreitet ein Konto diesen Schwellenwert, blockiert der Outbound Spam-Schutz automatisch den Versand und benachrichtigt den Administrator.

Konfiguration: Ausgehende Spam-Richtlinie mit Benutzerlimit

  1. Im Microsoft Defender-Portal unter E-Mail & Zusammenarbeit → Richtlinien & Regeln → Bedrohungsrichtlinien → Antispam navigieren
  2. Die Ausgehende Spamfilterrichtlinie (Standard oder eigene) öffnen
  3. Unter Nachrichtengrenzwerte die Limits setzen:
    Externe Empfänger pro Stunde: z. B. 50–100
    Interne Empfänger pro Stunde: z. B. 100–200
    Tägliches Nachrichtenlimit: z. B. 300–500
  4. Als Aktion bei Überschreitung: Benutzer sofort einschränken wählen
  5. Benachrichtigungs-E-Mail für Administratoren hinterlegen

Empfehlung: Analysieren Sie das ausgehende Volumen Ihrer Nutzer über 30 Tage (Defender → E-Mail-Übersicht) und setzen Sie das Limit auf das Doppelte des Spitzenwerts.

Sofortmaßnahmen bei Verdacht auf Kontokompromittierung

  • Alle aktiven Sitzungen widerrufen (Entra Admin Center → Benutzer → Sitzungen widerrufen)
  • Passwort zurücksetzen und MFA-Methoden neu registrieren
  • Posteingangsregeln auf unbekannte Weiterleitungen oder Löschregeln prüfen
  • Gesendete Elemente der letzten 48–72 Stunden durchsuchen
  • Betroffene Kontakte informieren, dass Phishing-E-Mails vom Konto versendet wurden

Fazit

Dieser Angriff funktioniert nicht durch technische Lücken, sondern durch Vertrauen: echte Microsoft-Domains, bekannte Absender, alltägliche Dokumente. Gezielte Schulung, Company-Branding und niedrige Exchange-Sendelimits sind drei Maßnahmen, die sich schnell umsetzen lassen und im Zusammenspiel das Risiko erheblich senken.

Ihr M365-Mandant auf dem Prüfstand

Wir überprüfen Ihre Exchange-Konfiguration, richten Company-Branding ein und begleiten Ihre Mitarbeiter mit praxisnahen Phishing-Simulationen. Alles aus einer Hand, ohne großen Projektaufwand.

Unverbindlich anfragen
Manuel Eilert
Manuel Eilert Geschäftsführer, digital73 it service gmbh Manuel berät Berliner Unternehmen und Kanzleien seit über 15 Jahren in IT-Sicherheit und Microsoft-365-Infrastrukturen.