Cyberkriminelle haben eine raffinierte Angriffsmethode perfektioniert, die klassische E-Mail-Sicherheitssysteme komplett aushebelt. Statt verdächtiger Nachrichten setzen die Täter auf manipulierte Kalendereinladungen – und nutzen dabei das Vertrauen aus, das Nutzer ihren digitalen Terminplanern entgegenbringen. Die Masche: Betrügerische Links verstecken sich in Kalenderereignissen, die oft völlig automatisch und unbemerkt im persönlichen Kalender landen. Sicherheitsforscher schlagen Alarm, denn diese Sicherheitslücke klafft bei nahezu allen Unternehmen und Privatpersonen.

Das Perfide: Die Angreifer verwenden Standard-Kalenderdateien im .ics-Format, um ihre Phishing-Attacken zu verschleiern. Da E-Mail-Gateways solche Dateien üblicherweise als harmlos einstufen, passieren sie mühelos Schutzmechanismen, die bösartige Anhänge oder verdächtige Links normalerweise blockieren würden. Das Ergebnis? Gefälschte Meeting-Einladungen oder vorgetäuschte Sicherheitswarnungen erscheinen direkt im vertrauten Kalender – komplett mit Pop-up-Erinnerungen, die den betrügerischen Einträgen einen Anstrich von Legitimität verleihen. Cybersecurity-Unternehmen bestätigen Anfang November 2025 einen dramatischen Anstieg dieser Angriffe.

Warum herkömmliche Abwehrsysteme versagen

Der Erfolg dieser Methode wurzelt in der Funktionsweise moderner E-Mail- und Kalendersysteme. Angreifer verschicken E-Mails mit eingebetteten Kalenderdateien (.ics), die Anwendungen wie Google Calendar oder Microsoft Outlook automatisch verarbeiten. Die fatale Standardeinstellung: Diese Systeme fügen den Termin eigenständig als vorläufigen Eintrag hinzu – selbst wenn die E-Mail nie geöffnet oder direkt im Spam-Ordner landet.

Laut einer Sicherheitsanalyse von Rapid7 vom 6. November 2025 missbrauchen Kriminelle gezielt das textbasierte .ics-Format. Es wird universell unterstützt und von Schutzfiltern deutlich seltener gründlich geprüft als ausführbare Dateien oder Makro-Dokumente. In den Kalenderfelien "LOCATION" und "DESCRIPTION" verstecken die Täter ihre gefährlichen URLs. Die eigentliche E-Mail bleibt dabei bewusst unauffällig, um Spam-Filter nicht zu alarmieren – die gesamte Schadfracht steckt in der angehängten Kalendereinladung. Diese „unsichtbare Klickfalle" platziert bösartige Links direkt in der vertrauten Kalenderoberfläche, wo Nutzer sie kaum als Gefahr wahrnehmen.

Psychologischer Druck als Waffe

Sobald das manipulierte Ereignis im Kalender erscheint, beginnt die eigentliche Social-Engineering-Attacke. Die Betrüger formulieren Termintitel und Beschreibungen, die sofortige Reaktionen provozieren sollen. Typische Köder sind angeblich dringende Sicherheitswarnungen, Meldungen über verdächtige Kontoaktivitäten, gefälschte Rechnungen oder Gewinnbenachrichtigungen. Ein Kalendereintrag könnte etwa „DRINGEND: Kontoverifizierung erforderlich" heißen und für die nächsten Minuten angesetzt sein – der erzeugte Zeitdruck soll kritisches Nachdenken verhindern.

Diese Taktik entfaltet ihre Wirkung, weil sie fundamentale Nutzererwartungen unterläuft. Eine Pop-up-Benachrichtigung aus der nativen Kalender-App wirkt wie ein vertrauenswürdiger Bestandteil des Arbeitsalltags – ganz anders als eine unverlangte E-Mail von einem unbekannten Absender. Der Sicherheitsanbieter Sublime Security meldete am 5. November 2025 eine „massive Zunahme" dieser Phishing-Variante. Besonders perfide: Angreifer kapern sogar Microsoft-Teams-Kalendereinladungen, um gefährliche Links und Anhänge direkt in Terminpläne einzuschleusen – teilweise nachdem Microsoft Defender die ursprüngliche E-Mail bereits blockiert hatte.

Missbrauch bekannter Marken für mehr Glaubwürdigkeit

Um die Angriffe noch überzeugender zu gestalten, nutzen Cyberkriminelle gezielt die Infrastruktur vertrauenswürdiger Tech-Giganten. Indem sie Einladungen über Konten bei Apple, Google oder Microsoft verschicken, stammen die resultierenden Benachrichtigungs-E-Mails von legitimen Servern. Das ermöglicht es den Phishing-Versuchen, kritische E-Mail-Authentifizierungsprüfungen wie SPF, DKIM und DMARC zu bestehen.

Wenn eine E-Mail diese Checks passiert, stuft der E-Mail-Dienst sie als authentisch ein – und garantiert damit praktisch die Zustellung in den Posteingang. Empfänger sehen eine Benachrichtigung, die anscheinend direkt von einer legitimen Quelle wie „noreply@email.apple.com" stammt. Das macht sie extrem anfällig für die eingebetteten Täuschungen. Diese Kombination aus technischem Spoofing und dem Vertrauensbonus großer Marken schafft einen hocheffektiven Übertragungsweg für Phishing-Kampagnen. Das Ziel bleibt dabei stets identisch: Nutzer sollen auf manipulierte Links klicken, die zu Datendiebstahl, Malware-Infektionen oder Finanzbetrug führen.

Eine neue Ära der Cyberangriffe

Der Aufstieg des Kalender-Phishings markiert eine kritische Weiterentwicklung krimineller Taktiken im Netz. Während Unternehmen ihre E-Mail-Sicherheitssysteme gegen traditionelles Phishing verstärkt haben, weichen Angreifer auf weniger geschützte Hilfsdienste aus, die tief in Arbeitsabläufe integriert sind. Kalender bieten sich als ideales Ziel an: Sie sind allgegenwärtig, genießen Vertrauen und sind für nahtlose Interaktion mit externen Parteien konzipiert.

Die Wirksamkeit dieser Technik beruht auf der Ausnutzung technischer und menschlicher Schwachstellen. Technisch hebelt sie permissive Standardeinstellungen populärer Kalender-Apps aus und profitiert von fehlender Tiefenprüfung für .ics-Dateien. Auf der menschlichen Ebene missbraucht sie das eingeübte Vertrauen in alltägliche Organisationstools und setzt auf künstliche Dringlichkeit, um rationales Denken auszuhebeln. Diese doppelte Angriffsstrategie erfordert mehrschichtige Abwehrkonzepte, die technische Kontrollen mit umfassender Nutzer-Sensibilisierung verbinden.

So schützen Sie sich

Mit zunehmendem Bewusstsein für diese Bedrohung dürften Sicherheitsanbieter und Plattformbetreiber ihre Filterfähigkeiten für Kalenderereignisse ausbauen. Allerdings werden Cyberkriminelle ihre Techniken vermutlich weiter verfeinern – möglicherweise unter Einsatz von KI für noch überzeugendere und personalisierte Köder. Bis dahin sind proaktive Schutzmaßnahmen entscheidend.

Die wichtigste Sofortmaßnahme: Anpassen der Kalendereinstellungen. In Google Calendar sollten Nutzer unter „Ereigniseinstellungen" die Option „Einladungen zu meinem Kalender hinzufügen" von „Von allen" auf „Nur von bekannten Absendern" oder „Wenn ich per E-Mail antworte" umstellen. In Microsoft-365-Umgebungen können Administratoren über PowerShell-Befehle Kalenderverarbeitungsregeln ändern, um das automatische Hinzufügen externer Ereignisse zu unterbinden.

Technische Schutzmaßnahmen allein reichen aber nicht aus. Kontinuierliche Sicherheitsschulungen sind unverzichtbar. Mitarbeiter müssen lernen, unverlangte Kalendereinladungen mit derselben Skepsis zu behandeln wie verdächtige E-Mails. Die goldene Regel: Niemals auf Links in Ereignisbeschreibungen unbekannter Absender klicken und dringende Anfragen stets über einen separaten, vertrauenswürdigen Kommunikationskanal manuell überprüfen.