Microsoft Entra ID: Cloud-Plattform wird zur Phishing-Waffe

Cyberkriminelle kapern legitime Microsoft-Systemnachrichten, um Sicherheitsfilter zu umgehen und tief in Unternehmensnetzwerke vorzudringen. Die neue Angriffsmethode stellt eine fundamentale Vertrauenskrise für Cloud-Nutzer dar.

Eine raffinierte Phishing-Welle nutzt die Microsoft-Cloud-Infrastruktur selbst als Angriffsvektor. Kriminelle manipulieren die Microsoft Entra ID (ehemals Azure AD) so, dass die Plattform unwissentlich betrügerische Nachrichten versendet. Diese überstehen alle technischen Authentifizierungsprüfungen und untergraben das Vertrauen in digitale Kommunikation. Für die zahlreichen deutschen Unternehmen, die auf Microsoft 365 setzen, ist das eine alarmierende Entwicklung.

So wird Microsoft zum Komplizen

Die Angreifer nutzen eine systematische Methode: Sie erstellen automatisiert temporäre Microsoft-365-Mandanten. Innerhalb dieser manipulierten Umgebungen missbrauchen sie die Branding-Funktionen. Der Clou: Sie platzieren den Phishing-Text im Namensfeld des Mandanten. Versendet das System dann eine legitime Benachrichtigung, erscheint der bösartige Inhalt direkt in der offiziellen E-Mail von Microsoft-Servern.

Diese neue Masche umgeht klassische Mailfilter, weil die Nachrichten tatsächlich aus Microsoft‑Quellen stammen. Das kostenlose Anti‑Phishing‑Paket zeigt in einem klaren 4‑Schritte‑Plan, wie Sie OAuth‑Missbrauch, manipulierte Entra‑ID‑Mandanten und Business‑Email‑Compromise erkennen und stoppen. Mit praktischen Checklisten für Administratoren, Regeln zur Einschränkung von Benutzerzustimmungen und Vorlagen für Incident‑Response. Anti-Phishing-Paket jetzt herunterladen

„Die Angreifer nutzen die Plattform gegen sich selbst“, erklärt Sicherheitsexperte Aaron Orchard von Abnormal Security. Technische Prüfungen wie SPF, DKIM und DMARC fallen positiv aus – die Nachricht stammt ja tatsächlich von Microsoft. Selbst geschulte Mitarbeiter erkennen den Betrug kaum noch. Die Kriminellen verschleiern ihre Spuren zusätzlich mit Sonderzeichen und optisch ähnlichen Buchstaben, um automatisierte Filter zu umgehen.

Risiko geht weit über Passwortdiebstahl hinaus

Die Folgen eines erfolgreichen Angriffs sind gravierend. Gibt ein Mitarbeiter seine Daten preis oder erteilt einer schädlichen App Berechtigungen, erhalten Kriminelle dauerhaften Zugang zur gesamten Cloud-Infrastruktur. Von dort aus agieren sie mit autorisierten Token – völlig unentdeckt.

Das ermöglicht Datendiebstahl aus E-Mails und SharePoint, betrügerische Überweisungen via Business Email Compromise (BEC) und das Eindringen in weitere Systeme. Klassische Warnsignale, wie sie Malware auslöst, fehlen bei dieser identitätsbasierten Attacke komplett. Das ist der perfekte Sturm aus Tarnung und Zugriff.

Identität wird zum neuen Angriffsziel

Diese Methode ist Teil eines gefährlichen Trends: Cyberkriminelle fokussieren sich immer weniger auf Netzwerklücken, sondern direkt auf die Kompromittierung von Identitäten. Cloud-Plattformen wie Entra ID sind das zentrale Nervensystem moderner Unternehmen – und damit das lukrativste Ziel.

Ein ähnlicher Weg ist der Missbrauch von OAuth-Workflows. Nutzer werden dazu verleitet, bösartigen Apps weitreichende Rechte zu erteilen. Diese können dann im Hintergrund agieren, ohne dass ein Passwort nötig ist. Traditionelle Sicherheitskonzepte, die den Netzwerkrand schützen, sind gegen solche Angriffe machtlos.

So können sich Unternehmen schützen

Gegen diese hochentwickelten Attacken hilft keine rein technische Abwehr. Unternehmen müssen ihre Sicherheitsstrategie anpassen und Identitäten in den Mittelpunkt stellen.

Empfohlene Maßnahmen sind:
* Einschränkung der Benutzerzustimmung: Administratoren sollten verhindern, dass Mitarbeiter neuen Apps ohne Prüfung zustimmen können.
* Regelmäßige Berechtigungs-Audits: Alle erteilten OAuth-Zustimmungen und App-Berechtigungen müssen kontinuierlich überprüft und überflüssige Zugriffe entfernt werden.
* Phishing-resistente MFA: Herkömmliche Zwei-Faktor-Authentifizierung kann umgangen werden. Moderne, phishing-resistente MFA-Methoden sind essenziell.
* Aktive Überwachung: Sicherheitsteams müssen die Anmeldeprotokolle von Entra ID überwachen und nach verdächtigen Mustern wie Anmeldungen von ungewöhnlichen Orten suchen.

Die Warnung der Experten ist klar: Angreifer entwickeln ihre Taktiken ständig weiter und machen selbst vertrauenswürdige Plattformen zur Waffe. Für Unternehmen bedeutet das, dass der Schutz digitaler Identitäten und ein gesundes Misstrauen gegenüber jeder Benachrichtigung oberste Priorität haben müssen.

PS: Wenn Sie sofort starten wollen: Das Anti‑Phishing‑Paket enthält praxisnahe Vorlagen für CEO‑Fraud‑Prävention, eine Admin‑Checkliste für Berechtigungs‑Audits und eine Schritt‑für‑Schritt‑Anleitung zur Absicherung von Microsoft‑365‑Umgebungen. Der Leitfaden ist kostenlos per E‑Mail erhältlich und eignet sich besonders für Teams, die Entra‑ID und OAuth‑Workflows nutzen. Jetzt Anti-Phishing-Paket sichern