Microsoft 365 Phishing: Die grösste Gefahr für Schweizer KMU

Microsoft 365 ist das beliebteste Ziel von Phishing-Angriffen auf Schweizer KMU — und das aus gutem Grund: Über 70 Prozent der Schweizer Unternehmen nutzen Microsoft 365 als zentrale Arbeitsplattform, was es zum attraktivsten Angriffsziel für Cyberkriminelle macht. Ein kompromittiertes M365-Konto gibt Angreifern Zugang zu E-Mails, SharePoint-Dokumenten, Teams-Chats, OneDrive-Dateien und häufig zu dutzenden weiteren verbundenen Geschäftsapplikationen. Das BACS registrierte 2024 über 63’000 Cybervorfälle in der Schweiz — ein erheblicher Anteil davon beginnt mit einem gefälschten Microsoft-Login.

---

Warum Microsoft 365 das Hauptziel von Phishing-Angriffen ist

Microsoft 365 ist für Cyberkriminelle aus drei Gründen besonders attraktiv: Marktdurchdringung, Datenwert und verbundene Systeme.

Marktdominanz in der Schweiz

Microsoft 365 dominiert den Schweizer KMU-Markt:

• Mehr als 70 % der Schweizer KMU nutzen Microsoft 365 als Haupt-Produktivitätsplattform (Schätzung auf Basis europäischer Marktdaten, Statista 2024)
• Microsoft Outlook ist in über 65 % der Schweizer Unternehmen das primäre E-Mail-System
• Microsoft Teams hat seit 2020 die interne Kommunikation von Zehntausenden Schweizer Unternehmen übernommen

Diese Marktdominanz bedeutet: Ein Phishing-Kit, das Microsoft 365 imitiert, ist universell einsetzbar. Angreifer können dieselbe gefälschte Login-Seite gegen Tausende Unternehmen gleichzeitig einsetzen.

Der Wert eines M365-Kontos im Darknet

Kompromittierte Microsoft-365-Zugangsdaten werden im Darknet mit signifikanten Preisaufschlägen gehandelt:

Kontotyp	Durchschnittspreis (Darknet, 2024)
Standard-M365-Konto (Mitarbeitender)	USD 15–50
M365-Admin-Konto	USD 500–2’000+
M365-Konto mit Zugriff auf Finanzapplikationen	USD 200–800
M365-Konto mit Azure-Rechten	USD 1’000–5’000+

Quelle: Flare.io Darknet Intelligence Report 2024, adaptiert

Der Preis spiegelt den Zugangsumfang wider: Ein Admin-Konto erlaubt nicht nur den Zugriff auf alle Unternehmensdaten, sondern auch das Erstellen neuer Konten, das Deaktivieren von Sicherheitsmassnahmen und das Einrichten dauerhafter Backdoors.

Verbundene Systeme multiplizieren den Schaden

Modern implementiertes Microsoft 365 ist mit Dutzenden weiterer Systeme verbunden. Ein kompromittiertes Konto gibt Angreifern potenziell Zugang zu:

• ERP-Systemen (SAP, Business Central, Abacus)
• CRM-Systemen (Salesforce, Dynamics 365)
• HR-Plattformen (Personio, Abacus HR)
• Buchhaltungssoftware
• Kundenportale und E-Commerce-Plattformen
• Weiteren SaaS-Applikationen via Single Sign-On (SSO)

“Ein einziges kompromittiertes Microsoft-365-Konto ist für uns als Tester oft der Schlüssel zu allem. In Penetrationstests sehen wir regelmässig, wie wir von einem normalen Mitarbeiterkonto aus innerhalb von Stunden Admin-Rechte erlangen — weil M365 nicht nur das E-Mail-System ist, sondern der zentrale Authentifizierungspunkt für das gesamte Unternehmen.”

— Zertifizierter Penetrationstester, Zürich, 2025

---

Die häufigsten M365-Phishing-Angriffsvektoren in der Schweiz

1. Klassisches Credential Harvesting: Die gefälschte Login-Seite

Der häufigste Angriff ist simpel und effektiv: Mitarbeitende erhalten eine E-Mail, die eine legitime Microsoft-Benachrichtigung imitiert, und werden auf eine täuschend echte Kopie der Microsoft-Login-Seite weitergeleitet. Dort geben sie ihre Zugangsdaten ein — und diese landen direkt beim Angreifer.

Häufige Köder-E-Mails in der Schweiz:

• «Ihr Microsoft 365-Passwort läuft in 24 Stunden ab»
• «Sie haben eine neue Voicemail — Anklicken zum Abhören»
• «Ungewöhnliche Anmeldeaktivität erkannt — Bitte verifizieren Sie Ihr Konto»
• «[Mitarbeitername] hat ein Dokument mit Ihnen geteilt»
• «Ihre OneDrive-Kapazität ist erschöpft»

Professionelle Phishing-Kits (EvilProxy, Evilginx, Modlishka) können heute die echte Microsoft-Login-Seite in Echtzeit proxyen — was bedeutet, dass die URL im Browser legitim aussieht und sogar das gültige Microsoft-TLS-Zertifikat angezeigt wird.

2. Adversary-in-the-Middle (AiTM): MFA wird umgangen

Dies ist die gefährlichste Entwicklung der letzten zwei Jahre. AiTM-Angriffe umgehen Multi-Faktor-Authentifizierung vollständig:

1. Mitarbeitender klickt auf Phishing-Link und landet auf Proxy-Server des Angreifers
2. Proxy leitet alles transparent zur echten Microsoft-Login-Seite weiter
3. Mitarbeitender gibt Benutzername, Passwort und MFA-Code ein — alles geht durch den Proxy
4. Angreifer stiehlt den Session-Cookie — damit ist die Authentifizierung abgeschlossen
5. Mit dem Session-Cookie kann der Angreifer ohne erneute MFA-Abfrage auf das Konto zugreifen

Betroffene MFA-Methoden: SMS-Codes, TOTP-Apps (Google Authenticator, Microsoft Authenticator ohne Number Matching), E-Mail-Codes

Nicht betroffen: FIDO2/Passkeys (Hardware-Security-Keys wie YubiKey, oder plattformbasierte Passkeys)

3. OAuth-App-Missbrauch: Dauerhafter Zugang ohne Passwort

OAuth-Phishing ist technisch raffiniert und besonders gefährlich, weil es komplett an der normalen Authentifizierung vorbeigeht:

1. Mitarbeitender erhält Link zu einer scheinbar legitimen App («SharePoint-Tool», «Teams-Erweiterung»)
2. Link führt zu echter Microsoft-OAuth-Seite — kein gefälschter Login
3. Mitarbeitender autorisiert die App mit weitreichenden Berechtigungen
4. App erhält dauerhaften OAuth-Token mit Zugriff auf E-Mails, Dateien, Kalender
5. Angreifer nutzt Token — Passwortänderung oder MFA-Änderung macht Token nicht ungültig

Besonders gefährlich: OAuth-Tokens bleiben auch nach Passwortänderungen gültig. Viele Unternehmen bemerken OAuth-Missbrauch erst Wochen oder Monate nach der initialen Kompromittierung.

4. Business Email Compromise (BEC) nach M365-Kompromittierung

Nach einem erfolgreichen M365-Phishing folgt häufig Business Email Compromise:

1. Angreifer hat Zugriff auf E-Mail-Konto von Mitarbeiter A
2. Angreifer liest E-Mails und versteht Geschäftsprozesse
3. Im richtigen Moment sendet er — aus dem echten Konto — gefälschte Zahlungsanweisungen
4. Empfänger (Buchhaltung, Partner) vertrauen der E-Mail, weil sie vom echten Konto kommt
5. Zahlung geht an Konto des Angreifers

Dieser Angriff ist nahezu undetektierbar ohne technische Überwachung — weil die E-Mail tatsächlich vom legitimen Konto kommt.

5. Interne Phishing-Weitergabe: Das «vertrauenswürdige Sender»-Problem

Nach der Kompromittierung eines einzigen Kontos versenden Angreifer Phishing-E-Mails an alle internen Kontakte des Opfers. Weil diese E-Mails von einer intern bekannten Person kommen:

• Werden sie von E-Mail-Filtern nicht geblockt (interner Absender)
• Haben sie sehr hohe Klickraten (Vertrauen durch bekannten Absender)
• Verbreiten sich schnell durch das gesamte Unternehmen

Ein einziger Mitarbeitender, der auf Phishing hereinfällt, kann innerhalb von Minuten das gesamte Unternehmen gefährden.

---

Schutzmassnahmen: M365 sicher konfigurieren

Priorität 1: Multi-Faktor-Authentifizierung richtig implementieren

MFA ist unverzichtbar — aber die Implementierung entscheidet über die Wirksamkeit:

MFA-Methoden nach Sicherheitsniveau:

Methode	Schutz gegen AiTM	Empfehlung
SMS-Code	Kein Schutz	Nicht empfohlen
TOTP-App (ohne Number Matching)	Kein Schutz	Unzureichend
Microsoft Authenticator mit Number Matching	Partieller Schutz	Mindeststandard
FIDO2 / Passkeys (YubiKey, Windows Hello)	Vollständiger Schutz	Empfohlen
Zertifikatbasierte Authentifizierung	Vollständiger Schutz	Für Admins obligatorisch

Sofortmassnahmen für MFA:

1. MFA für alle Benutzer aktivieren (Conditional Access > Security Defaults oder eigene Policies)
2. Microsoft Authenticator Number Matching erzwingen
3. MFA-Registrierung für alle Konten abschliessen (kein «MFA überspringen»)
4. Admin-Konten mit FIDO2/Hardware-Key absichern

Priorität 2: Conditional Access Policies

Conditional Access ist der mächtigste Schutzmechanismus in Microsoft 365 — und wird von den meisten Schweizer KMU nicht oder unzureichend genutzt:

Empfohlene Conditional Access-Policies:

1. Unbekannte Geräte blockieren: Nur verwaltete Geräte (Intune-registriert) erhalten Vollzugriff
2. Risikobasierter Zugriff: Anomale Anmeldemuster (neuer Standort, unübliche Zeit) auslösen erhöhte Authentifizierungsanforderungen
3. Legacy-Authentifizierung blockieren: Ältere Protokolle (IMAP, POP3, Basic Auth) sind anfällig und müssen gesperrt werden
4. Geografische Einschränkungen: Zugriff aus unüblichen Ländern blockieren oder mit zusätzlicher MFA absichern
5. Token-Lebensdauer begrenzen: Session-Tokens auf maximale Gültigkeitsdauer von 8–24 Stunden beschränken

Priorität 3: Microsoft Defender for Office 365

Microsoft Defender for Office 365 (Plan 1 oder 2) bietet erheblich besseren Schutz als die Standard-E-Mail-Filterung:

Wichtigste Funktionen:

• Safe Links: Links in E-Mails werden zum Zeitpunkt des Klicks geprüft — nicht nur beim Empfang
• Safe Attachments: Anhänge werden in einer Sandbox geöffnet, bevor sie zugestellt werden
• Anti-Phishing-Richtlinien: Erkennung von Impersonation-Angriffen (wenn jemand den CEO imitiert)
• Attack Simulation Training: Integrierte Phishing-Simulationen direkt in M365
• Threat Explorer: Sichtbarkeit auf E-Mail-Bedrohungen in Echtzeit

Konfiguration Anti-Phishing-Policy:

Einstellung	Empfohlener Wert
Mailbox Intelligence	Aktiviert
Impersonation-Schutz für Führungskräfte	Aktiviert (alle C-Level, Finanz, HR)
Domain-Impersonation-Schutz	Aktiviert (eigene Domains + häufig imitierte Domains)
Phishing-E-Mail-Aktion	Quarantäne (nicht Junk-Ordner)
Safety-Tips	Aktiviert

Priorität 4: OAuth-App-Kontrolle

Um OAuth-Phishing zu verhindern, muss der unkontrollierte Zugang von Drittanwendungen eingeschränkt werden:

1. App-Zustimmungsrichtlinien konfigurieren: Nur admingenehmigten Apps gestatten, Zugriff auf Unternehmensdaten zu erhalten
2. Consent-Phishing-Schutz aktivieren: Microsoft Entra ID kann verdächtige OAuth-Zustimmungsanfragen blockieren
3. Vorhandene OAuth-Berechtigungen überprüfen: Regelmässiger Audit aller autorisierten Apps über das Microsoft Entra Admin Center
4. Alert bei neuen App-Zustimmungen: Benachrichtigung an IT-Admin bei jeder neuen OAuth-Autorisierung

Priorität 5: Überwachung und Alerting

Ein sicheres M365 erfordert aktive Überwachung — nicht nur passive Konfiguration:

Kritische Alarme, die sofort konfiguriert werden sollten:

• Anmeldung aus ungewöhnlichen Ländern
• Unmögliche Reise (Login von Zürich und 10 Minuten später von Lagos)
• Massendownload von OneDrive/SharePoint
• Neue Mailweiterleitungsregeln (häufigste Backdoor nach Kompromittierung)
• Neues Admin-Konto erstellt
• MFA-Methode geändert
• Massenhafte E-Mail-Löschung

Microsoft Sentinel oder Defender XDR bieten diese Erkennungsfähigkeiten für M365-Umgebungen.

---

Mitarbeiterschulungen für M365-spezifische Phishing-Angriffe

Technische Massnahmen allein reichen nicht: Mitarbeitende müssen verstehen, wie M365-Phishing aussieht und wie sie reagieren.

Spezifische Schulungsinhalte für M365-Umgebungen:

1. Legitime Microsoft-E-Mails erkennen: Microsoft sendet keine Passwort-Ablaufbenachrichtigungen via E-Mail — diese kommen über das Microsoft 365-Portal
2. URL-Überprüfung: Legitimer Microsoft-Login ist immer login.microsoftonline.com oder login.microsoft.com — nie eine andere Domain
3. MFA-Anfragen kritisch bewerten: Unerwartete MFA-Push-Benachrichtigungen immer ablehnen und IT melden
4. OAuth-Berechtigungen nie blindlings vergeben: Kein legitimes Microsoft-Tool fordert «Alle E-Mails lesen»-Berechtigungen ohne IT-Freigabe
5. Interner Absender ist keine Garantie: Auch E-Mails von Kollegen können Phishing sein, wenn deren Konto kompromittiert wurde

Ergänzen Sie die theoretische Schulung durch regelmässige Phishing-Simulationen, die spezifisch M365-Köder verwenden. Lesen Sie dazu unseren Leitfaden zum Phishing-Schutz für Unternehmen.

---

Incident Response bei M365-Kompromittierung

Wenn Sie vermuten, dass ein Microsoft-365-Konto kompromittiert wurde, handeln Sie nach dieser Prioritätenliste:

Sofortmassnahmen (erste 30 Minuten)

1. Alle aktiven Sitzungen widerrufen: Azure AD > Benutzer > [Benutzer] > «Alle Sitzungen widerrufen» — invalidiert alle Session-Cookies
2. Passwort zurücksetzen: Von einem sicheren Gerät aus, neues, einzigartiges Passwort
3. OAuth-Tokens widerrufen: Azure AD > Benutzer > [Benutzer] > «Tokens widerrufen»
4. MFA-Methoden überprüfen: Sicherstellen, dass Angreifer keine neuen MFA-Methoden registriert haben
5. Mailweiterleitungsregeln prüfen: Exchange Admin Center > Empfänger > [Benutzer] > «E-Mail-Fluss-Einstellungen»

Erweiterte Untersuchung (erste 24 Stunden)

1. Unified Audit Log durchsuchen: Welche Aktionen wurden mit dem Konto ausgeführt?
2. E-Mail-Versand prüfen: Wurden Phishing-E-Mails an Kontakte gesendet?
3. Datei-Zugriffe überprüfen: Wurden SharePoint/OneDrive-Daten heruntergeladen?
4. OAuth-Apps auditieren: Welche Apps wurden autorisiert?
5. Lateral Movement prüfen: Wurden andere Konten mit dem kompromittierten Konto kontaktiert?

Vergessen Sie nicht, den Vorfall gemäss den gesetzlichen Anforderungen zu melden. Lesen Sie dazu unseren Leitfaden zu Phishing melden in der Schweiz und die nDSG-Checkliste für KMU.

---

Red Teaming: M365-Sicherheit wirklich testen

Konfiguration und Schulung sind unverzichtbar — aber wie wissen Sie, ob Ihre Massnahmen tatsächlich wirken? Hier kommt Red Teaming ins Spiel.

“Wir konfigurieren Conditional Access, aktivieren Defender, schulen Mitarbeitende — und dann führen wir einen Red-Teaming-Test durch. Das Resultat ist regelmässig ernüchternd: Typischerweise finden wir in 60–70 % der Fälle einen Weg ins M365-Environment des Kunden — nicht wegen schlechter Konfiguration, sondern wegen der Komplexität der Plattform und menschlicher Faktoren, die keine technische Massnahme vollständig abdeckt.”

— Leitender Red-Teamer, Schweizer Cybersicherheitsunternehmen, 2025

Was ein M365-fokussierter Red-Teaming-Test prüft

Ein professioneller Red-Teaming-Test für Microsoft-365-Umgebungen umfasst:

Phishing-Simulation:

• Realistische M365-Phishing-Kampagnen gegen Mitarbeitende
• AiTM-Szenarien, die MFA-Umgehung testen
• OAuth-Phishing-Simulationen
• Spear-Phishing gegen Führungskräfte basierend auf öffentlich verfügbaren Informationen

Technische Sicherheitsprüfung:

• Analyse der Conditional-Access-Konfiguration auf Lücken
• Prüfung der Defender-Konfiguration und -Effektivität
• OAuth-App-Berechtigungsaudit
• Legacy-Authentifizierungstest
• Token-Handling-Analyse

Post-Exploitation-Simulation:

• Lateral Movement nach M365-Kompromittierung
• Privilege Escalation innerhalb von Azure AD
• Datenzugriff und Exfiltration-Test
• Persistenz-Mechanismen (Backdoor-Konten, Mail-Rules)

Ergebnis: Ein detaillierter Bericht mit gefundenen Schwachstellen, Priorisierung nach Risiko und konkreten Empfehlungen zur Behebung.

Mehr über professionelle Sicherheitstests erfahren Sie unter Was ist Red Teaming? und Penetrationstest-Kosten in der Schweiz.

---

M365-Sicherheitscheckliste für Schweizer KMU

Nutzen Sie diese Checkliste als Ausgangspunkt für Ihre M365-Sicherheitsbewertung:

Authentifizierung und Zugriff

• MFA für alle Benutzer aktiviert
• Number Matching für Microsoft Authenticator konfiguriert
• Admin-Konten mit FIDO2/Hardware-Key gesichert
• Legacy-Authentifizierung blockiert (Conditional Access)
• Verwaltete Geräte als Anforderung für Vollzugriff konfiguriert

E-Mail-Sicherheit

• Microsoft Defender for Office 365 (min. Plan 1) aktiv
• Safe Links für alle E-Mails aktiviert
• Safe Attachments konfiguriert
• Anti-Phishing-Policy mit Impersonation-Schutz für Führungskräfte
• DMARC, DKIM und SPF für alle eigenen Domains konfiguriert
• Externe-E-Mail-Warnung aktiviert (Absender ausserhalb der Organisation markieren)

App und OAuth-Kontrolle

• Admin-Consent-Richtlinie aktiviert (Benutzer können keine Apps selbst autorisieren)
• Audit bestehender OAuth-Apps durchgeführt
• Unbekannte oder verdächtige Apps entfernt

Überwachung

• Microsoft Purview Audit (min. Standard-Audit) aktiviert
• Kritische Alarme in Defender XDR konfiguriert
• Regelmässiger Review des Microsoft Secure Score
• Prozess für Reaktion auf Sicherheitswarnungen definiert

Mitarbeitende

• Regelmässige Phishing-Simulationen (min. quartalsweise)
• Schulungsmaterial zu M365-spezifischen Angriffen
• Klarer interner Meldeprozess für verdächtige E-Mails
• Cybersecurity-Checkliste für KMU umgesetzt

---

Weiterführende Ressourcen

• Phishing erkennen: Checkliste für Mitarbeitende
• Spear-Phishing Schutz für KMU
• CEO-Fraud in der Schweiz: Warnsignale und Schutz
• Phishing melden in der Schweiz
• Phishing-Statistiken Schweiz 2026
• Was ist Red Teaming?

---

Fazit

Microsoft 365 ist das Nervenzentrum des modernen Schweizer KMU — und genau deshalb ist es das Hauptziel von Phishing-Angriffen. Die Kombination aus universeller Verbreitung, hohem Datenwert und zunehmend sophistizierten Angriffsmethoden wie AiTM und OAuth-Missbrauch macht M365-Sicherheit zur zentralen Aufgabe jedes Unternehmens. Die gute Nachricht: Mit den richtigen Konfigurationen, geschulten Mitarbeitenden und kontinuierlicher Überwachung lässt sich das Risiko erheblich reduzieren.

Die schlechte Nachricht: Viele Schweizer KMU glauben, gut geschützt zu sein — und sind es nicht. Der einzige Weg, dies sicher zu wissen, ist ein professioneller Test. Mit Red Teaming simulieren wir echte M365-Phishing-Angriffe gegen Ihr Unternehmen — mit denselben Werkzeugen und Methoden, die tatsächliche Cyberkriminelle einsetzen. Sie erfahren, ob Ihre MFA-Implementierung AiTM-Angriffen standhält, ob Ihre Mitarbeitenden auf gefälschte Microsoft-Logins hereinfallen und wo Ihre Conditional-Access-Konfiguration Lücken aufweist. Kontaktieren Sie uns jetzt für eine unverbindliche Erstberatung — bevor Angreifer Ihre M365-Schwachstellen für sich entdecken.