Cyberkriminelle setzen auf eine raffinierte neue Masche: Sie missbrauchen Kalendereinladungen von Google Workspace und Microsoft 365, um herkömmliche E-Mail-Sicherheitssysteme zu umgehen. Sicherheitsexperten schlugen am Montag Alarm – die Angriffswelle markiert einen strategischen Wandel in der digitalen Bedrohungslandschaft. Statt über klassische Phishing-Mails greifen die Täter nun über vermeintlich harmlose .ics-Kalenderdateien an, die von den meisten Sicherheitslösungen unbehelligt bleiben.

Die Methode ist perfide: Nutzer vertrauen Kalenderbenachrichtigungen von Google oder Microsoft blind. Genau diese Schwachstelle nutzen Angreifer aus. Sie schleusen schädliche Links und Anhänge über automatisch hinzugefügte Termine in die Kalender ahnungsloser Mitarbeiter ein – getarnt als legitime Geschäftsereignisse.

Die Kalenderfunktion wird zur Waffe

Das Herzstück der Attacke bilden manipulierte .ics-Dateien, das Standardformat für plattformübergreifende Kalenderereignisse. Bei den meisten Standardeinstellungen landet ein solcher Termin automatisch im Kalender des Empfängers – ohne kritische Prüfung durch Sicherheitssysteme. Laut einem Bericht von Sublime Security verwandelt sich die Kalenderbenachrichtigung damit in einen vertrauenswürdigen Transportweg für Schadsoftware.

Die Angriffsvektoren sind vielfältig: Phishing-Links verstecken sich in Terminbeschreibungen, Schadsoftware reist als Anhang mit. Microsoft 365 überträgt Anhänge aus der ursprünglichen E-Mail direkt in die Kalendereinladung – ein Einfallstor für Malware. Besonders tückisch sind eingebettete QR-Codes in Anhängen. Wer sie scannt, landet auf gefälschten Anmeldeseiten – komplett unter dem Radar von Sicherheitslösungen, die nur E-Mail-Texte analysieren.

Anzeige: QR-Codes auf Einladungen und schadhafte Anhänge landen schnell auf dem Smartphone – viele Nutzer kennen die einfachen Schutzmaßnahmen nicht. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schritte zum Schutz Ihres Android-Geräts: von sicheren App-Einstellungen über regelmäßige Updates bis zu Checklisten gegen Quishing und Schadsoftware. Praktische Anleitungen, sofort umsetzbar. Gratis-Ratgeber: Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone herunterladen

„Layer 8" im Fadenkreuz: Der Mensch als Schwachstelle

Die neue Phishing-Generation zielt weniger auf Systeme als auf Menschen. IT-Profis sprechen vom „Layer 8" – der menschlichen Ebene. Während technische Abwehrmechanismen gegen simple Schadsoftware immer ausgefeilter werden, kombinieren Kriminelle nun technisches Know-how mit psychologischer Manipulation. Der Kalender-Angriff vereint beides perfekt: Er nutzt das Vertrauen in vertraute Anwendungen aus.

Moderne Bedrohungsanalysen zeigen: Angreifer setzen verstärkt auf Deepfakes und ausgeklügelte Social-Engineering-Methoden. Der Feind lauert nicht mehr nur in verdächtigen E-Mails, sondern auch hinter unverdächtigen Kalendereinträgen oder QR-Codes. Diese menschenzentrierten Attacken entfalten ihre volle Wirkung genau dort, wo gearbeitet wird – in E-Mails, Kollaborationstools und eben auch in Kalendern. Kann die klassische IT-Sicherheit da überhaupt mithalten?

KI und QR-Codes verschärfen die Lage

Generative KI und die Allgegenwart von QR-Codes machen die neuen Phishing-Methoden noch gefährlicher. KI-Tools ermöglichen es Angreifern, fehlerfreie, täuschend echte Texte zu erstellen – kaum von legitimer Unternehmenskommunikation zu unterscheiden. Eine KI-generierte Kalendereinladung wirkt selbst auf vorsichtige Mitarbeiter völlig normal.

Parallel dazu dienen QR-Codes als perfekte Tarnung für bösartige Ziele. Eine URL, die jeder E-Mail-Filter blockieren würde, verschwindet problemlos in einem QR-Code – den die meisten Sicherheitssysteme nicht analysieren. Ein aktueller Fall zeigt die Dramatik: Ein QR-Code lockte ein Opfer zum Download einer App, die innerhalb von Minuten das Bankkonto leerräumte. In Kombination mit der vertrauensvollen Umgebung eines Kalenders entsteht eine explosive Mischung.

Blinder Fleck in der Unternehmenssicherheit

Der Angriff über Kalendereinladungen ist eine direkte Reaktion auf verbesserte E-Mail-Sicherheitssysteme. Unternehmen haben massiv in E-Mail-Filter investiert – also suchen Angreifer nach weniger überwachten Kanälen. Diese Taktik offenbart eine kritische Schwachstelle: Viele Sicherheitsarchitekturen konzentrieren sich ausschließlich auf den E-Mail-Posteingang und ignorieren die Vernetzung moderner Produktivitätssysteme.

Die Konsequenzen für Unternehmen sind gravierend. Ein erfolgreicher Angriff über Kalendereinladungen kann zu Identitätsdiebstahl, Datenlecks oder erheblichen finanziellen Verlusten führen. Die Situation erfordert ein strategisches Umdenken: Isolierte Sicherheitstools reichen nicht mehr aus. Experten fordern eine ganzheitliche Strategie, die alle Kommunikations- und Kollaborationsplattformen gleichermaßen schützt – unabhängig davon, wo die Bedrohung ihren Ursprung hat.

Gegenmaßnahmen und Ausblick

Sicherheitsexperten erwarten, dass Angreifer künftig weitere legitime Funktionen vertrauenswürdiger Business-Anwendungen missbrauchen werden. Je geschickter die Manipulation der menschlichen Schwachstelle gelingt, desto mehr Verantwortung lastet auf der Kombination aus intelligenter Technologie und wachsamen Nutzern.

Gegen die konkrete Bedrohung empfehlen Sicherheitsteams eine Anpassung der Kalendereinstellungen. In der Google Workspace Admin Console lässt sich etwa die Option „Einladungen zu meinem Kalender hinzufügen" so konfigurieren, dass nur Einladungen bekannter Absender akzeptiert werden. Doch technische Kontrollen allein genügen nicht: Kontinuierliche Sicherheitsschulungen müssen Mitarbeiter für QR-Code-Phishing („Quishing") sensibilisieren und deutlich machen, dass Angriffe aus unerwarteten Quellen kommen können. Der Schutz gegen diese vielschichtigen Bedrohungen erfordert einen mehrschichtigen Ansatz – mit dem verletzlichsten Teil jeder Organisation im Zentrum: dem Menschen.

Anzeige: PS: Wenn Sie verhindern wollen, dass eine scheinbar harmlose Kalendereinladung Ihr Smartphone oder Online-Konto kompromittiert, ist das kompakte Sicherheitspaket mit 5 praxiserprobten Maßnahmen genau richtig. Checklisten, Schritt-für-Schritt-Anleitungen und sofort umsetzbare Tipps — kostenlos per E-Mail. Jetzt kostenlosen Android-Schutz anfordern