Microsoft schlägt Alarm: Kriminelle nutzen Teams-Funktionen für ausgeklügelte Angriffe. Millionen von Unternehmen weltweit müssen ihre Sicherheitsmaßnahmen überdenken.

Der Software-Riese aus Redmond warnte heute eindringlich vor einer besorgniserregenden Entwicklung. Sowohl Cyberkriminelle als auch staatliche Akteure missbrauchen die Grundfunktionen von Microsoft Teams – von Nachrichten über Anrufe bis hin zur Bildschirmfreigabe – für komplexe Angriffskampagnen. Was Teams für Millionen von Organisationen zum unverzichtbaren Kollaborationswerkzeug macht, wird nun zur Waffe gegen sie selbst.

Die Attacken nutzen das Vertrauen aus, das Nutzer in die Plattform setzen. Längst haben Angreifer erkannt: Wer innerhalb von Teams operiert, kann traditionelle Sicherheitsprotokolle umgehen und effektiver Schadsoftware verbreiten, Daten stehlen oder sogar direkt Lösegeld erpressen.

Anatomie einer Teams-Attacke

Microsofts Untersuchungen enthüllen eine mehrstufige Angriffskette, die nahezu vollständig innerhalb des Teams-Ökosystems abläuft. Der Prozess beginnt mit Aufklärung: Angreifer verwenden öffentlich verfügbare Tools wie TeamsEnum und TeamFiltration, um Unternehmensstrukturen zu kartieren, Nutzer zu identifizieren und Sicherheitslücken aufzudecken.

Anschließend kompromittieren die Akteure Microsoft 365-Mandanten oder erstellen eigene – komplett mit individuellem Branding. So können sie sich glaubwürdig als IT-Support oder Partnerunternehmen ausgeben.

Den eigentlichen Zugang verschaffen sich die Angreifer durch Social Engineering. Phishing-Nachrichten über Teams-Chats erweisen sich als besonders wirkungsvoll, da Nutzer bei vermeintlich internen Nachrichten weniger misstrauisch sind. Die Gruppe Storm-0324 nutzte beispielsweise das Tool TeamsPhisher, um bösartige Links zu SharePoint-Dateien zu versenden – mit verheerenden Folgen für betroffene Unternehmen.

Von Phishing zur digitalen Erpressung

Doch dabei bleibt es nicht. Die Angreifer nutzen Teams für Lateral Movement, Rechteausweitung und direkte Drohungen. Die kriminelle Gruppe Octo Tempest verschickte nach erfolgreichen Einbrüchen Drohbotschaften über Teams, um Unternehmen zur Zahlung zu zwingen. Ein dreister Wandel: Die Plattform wird nicht nur als Einstiegspunkt, sondern als Erpressungsinstrument missbraucht.

Besonders raffiniert sind Angriffe auf die Multifaktor-Authentifizierung. Über Chats oder Anrufe versuchen Kriminelle, privilegierte Nutzer dazu zu bringen, MFA-Anfragen zu genehmigen. Mit erweiterten Zugriffsrechten kartieren sie dann die Entra ID-Konfiguration und lokalisieren wertvolle Daten.

Einige Schadsoftware-Varianten, darunter eine gehackte Version des Brute Ratel C4-Tools, nutzen Teams' eigene Kommunikationsprotokolle für Command-and-Control-Kanäle. Der schädliche Datenverkehr wird dadurch praktisch unsichtbar.

Microsofts Gegenmaßnahmen

Als Reaktion drängt Microsoft Unternehmen dringlich, verfügbare Sicherheitskontrollen zu aktivieren. Die Secure Future Initiative hat bereits Standard-Sicherheitseinstellungen verstärkt, doch proaktive Überwachung bleibt entscheidend.

Neue Features in Microsoft Defender für Office 365 bieten nahezu Echtzeit-URL-Scanning und Warnungen vor bösartigen Links in Teams-Nachrichten. Zusätzlich führt Microsoft Schutz vor Markenimitationen ein – Nutzer werden gewarnt, wenn sie erstmals eine Nachricht von einem externen Absender erhalten.

Kampf um die Kollaboration

Die Weaponisierung von Teams spiegelt einen breiteren Branchentrend wider: Angreifer folgen Nutzern auf die Plattformen, denen sie am meisten vertrauen. Der Wechsel von E-Mail zu Kollaborationstools als primärem Angriffsvektor erfordert ein grundlegendes Umdenken bei Unternehmenssicherheitsstrategien.

Experten empfehlen einen Defense-in-Depth-Ansatz: Beschränkung des externen Teams-Zugriffs auf vertrauenswürdige Domains, robuste Identitäts- und Zugriffskontrollen sowie kontinuierliche Sicherheitsschulungen, die speziell die Risiken von Kollaborationsplattformen adressieren.

Während Microsoft bis Ende 2025 weitere Sicherheitsfeatures ausrollt, werden sich Angreifer zweifellos anpassen. Unternehmen sollten mit noch ausgeklügelteren Social-Engineering-Kampagnen und speziell für Teams entwickelter Schadsoftware rechnen.

Die unmittelbare Priorität für IT- und Sicherheitsverantwortliche: Microsofts empfohlene Sicherheitskonfigurationen überprüfen und implementieren. Die Sicherheit dieser wichtigen Kollaborationszentren hängt von einer Kombination aus plattformbasierten Verbesserungen, wachsamen Sicherheitsoperationen und gut ausgebildeten Nutzern ab.