Eine E-Mail mit einem Link zu einem freigegebenen SharePoint-Dokument – das klingt alltäglich. Genau das machen sich Angreifer zunutze: Der Link ist echt, führt auf eine legitime Microsoft-Domain, und trotzdem endet der Klick mit gestohlenen Zugangsdaten. Laut einer Microsoft-Warnung aus dem Frühjahr 2026 läuft diese Kampagne vollautomatisiert und KI-gesteuert – täglich werden hunderte M365-Konten übernommen, branchenübergreifend und ohne Ansehen der Unternehmensgröße.
So funktioniert der Angriff – Schritt für Schritt
Phishing-E-Mail mit echtem SharePoint-Link
Das Opfer erhält eine E-Mail – oft von einem bereits kompromittierten Konto aus dem eigenen Umfeld – mit einem Link auf sharepoint.com. Da die Domain legitim ist, passiert die Nachricht Spam-Filter problemlos.
Köder-Dokument mit weiterführendem Link
Das SharePoint-Dokument enthält einen weiteren Link – angeblich zu einem Vertrag, einer Rechnung oder einem HR-Dokument. Dieser zweite Link führt auf eine von Angreifern kontrollierte Seite.
Gefälschte Login-Seite fängt Zugangsdaten ab
Die Zielseite imitiert die Microsoft-Anmeldemaske und fungiert als Proxy: Benutzername, Passwort und MFA-Code werden in Echtzeit abgefangen und weitergeleitet. Das Opfer merkt nichts – die Angreifer erhalten das Sitzungs-Cookie und damit vollen Zugriff. MFA schützt in diesem Szenario nicht.
Kontoübernahme und Rechnungsbetrug
Mit dem Session-Cookie durchsuchen Angreifer das Postfach nach „Rechnung", „Überweisung" oder „Vertrag". Bestehende Rechnungen werden mit gefälschten Bankdaten erneut versandt. Gleichzeitig richten sie Weiterleitungsregeln ein und verschicken neue Phishing-E-Mails an alle Kontakte – mit hoher Erfolgsquote, weil der Absender bekannt und vertrauenswürdig wirkt.
Gegenmaßnahme 1: Gezielte Security-Awareness-Schulung
Entscheidend ist, dass Mitarbeiter dieses spezifische Angriffsmuster kennen – nicht nur abstrakt wissen, dass es Phishing gibt. Drei Punkte sollte jede Schulung abdecken:
- Zweistufige Links erkennen: Ein SharePoint-Link, der auf einen weiteren externen Link führt, ist immer ein Warnsignal. Kein legitimer Dienst funktioniert so.
- Anmeldeseiten-URL prüfen: Die echte Microsoft-Anmeldung läuft ausschließlich über login.microsoftonline.com. Jede abweichende Domain ist eine Fälschung.
- Im Zweifel anrufen: Auch bei bekanntem Absender – ein kurzer Anruf zur Bestätigung kostet weniger als ein Rechnungsbetrug. Nie auf die verdächtige E-Mail antworten.
Gegenmaßnahme 2: M365-Branding für sofortige Wiedererkennung
Über das Company Branding in Entra ID erscheint auf jeder Microsoft-Anmeldeseite Ihres Mandanten das Unternehmenslogo und ein selbst gewähltes Hintergrundbild. Fehlt dieses Branding auf einer Seite, die nach M365-Zugangsdaten fragt, ist das ein sofortiges Warnsignal – auch ohne technisches Vorwissen.
Einrichtung: Company Branding in Entra ID
- Im Microsoft Entra Admin Center unter Benutzerfreundlichkeit → Unternehmensbranding navigieren
- Unternehmenslogo (transparentes PNG, max. 245 × 36 Pixel) hochladen
- Hintergrundbild oder Hintergrundfarbe festlegen
- Optional: Hinweistext wie „Dies ist die offizielle Anmeldeseite Ihres Unternehmens" eintragen
- Branding für alle Sprachvarianten aktivieren
Zeigen Sie Mitarbeitern einmal, wie die echte Anmeldeseite aussieht – und was zu tun ist, wenn Logo oder Hintergrundbild fehlen.
Gegenmaßnahme 3: Sendelimit im Exchange Online anpassen
Kompromittierte Konten versenden innerhalb kurzer Zeit Hunderte E-Mails. Wer sein normales tägliches Volumen kennt – bei den meisten Mitarbeitern weit unter 500 Nachrichten – kann in Exchange Online ein deutlich niedrigeres Limit setzen. Überschreitet ein Konto diesen Schwellenwert, blockiert der Outbound Spam-Schutz automatisch den Versand und benachrichtigt den Administrator.
Konfiguration: Ausgehende Spam-Richtlinie mit Benutzerlimit
- Im Microsoft Defender-Portal unter E-Mail & Zusammenarbeit → Richtlinien & Regeln → Bedrohungsrichtlinien → Antispam navigieren
- Die Ausgehende Spamfilterrichtlinie (Standard oder eigene) öffnen
- Unter Nachrichtengrenzwerte die Limits setzen:
– Externe Empfänger pro Stunde: z. B. 50–100
– Interne Empfänger pro Stunde: z. B. 100–200
– Tägliches Nachrichtenlimit: z. B. 300–500 - Als Aktion bei Überschreitung: Benutzer sofort einschränken wählen
- Benachrichtigungs-E-Mail für Administratoren hinterlegen
Empfehlung: Analysieren Sie das ausgehende Volumen Ihrer Nutzer über 30 Tage (Defender → E-Mail-Übersicht) und setzen Sie das Limit auf das Doppelte des Spitzenwerts.
Sofortmaßnahmen bei Verdacht auf Kontokompromittierung
- Alle aktiven Sitzungen widerrufen (Entra Admin Center → Benutzer → Sitzungen widerrufen)
- Passwort zurücksetzen und MFA-Methoden neu registrieren
- Posteingangsregeln auf unbekannte Weiterleitungen oder Löschregeln prüfen
- Gesendete Elemente der letzten 48–72 Stunden durchsuchen
- Betroffene Kontakte informieren, dass Phishing-E-Mails vom Konto versendet wurden
Fazit
Dieser Angriff funktioniert nicht durch technische Lücken, sondern durch Vertrauen: echte Microsoft-Domains, bekannte Absender, alltägliche Dokumente. Gezielte Schulung, Company-Branding und niedrige Exchange-Sendelimits sind drei Maßnahmen, die sich schnell umsetzen lassen und im Zusammenspiel das Risiko erheblich senken.
Ihr M365-Mandant auf dem Prüfstand
Wir überprüfen Ihre Exchange-Konfiguration, richten Company-Branding ein und begleiten Ihre Mitarbeiter mit praxisnahen Phishing-Simulationen. Alles aus einer Hand, ohne großen Projektaufwand.
Unverbindlich anfragen