Microsoft warnt vor Phishing-Welle durch E-Mail-Konfigurationslücken

Organisationen mit hybriden E-Mail-Systemen sind Ziel einer neuen Angriffswelle. Angreifer nutzen Konfigurationsfehler, um sich als interne Absender zu tarnen.

Die Sicherheitswarnungen häufen sich: Eine neue Woche, eine neue Bedrohungslage. Diesmal stehen Unternehmen mit hybriden E-Mail-Umgebungen im Fokus. Seit Mittwoch verstärken US-amerikanische Cybersicherheitsbehörden und Branchenverbände ihre Warnungen vor einer Flut ausgeklügelter Phishing-Kampagnen. Der Kern des Problems? Keine Software-Schwachstelle, sondern konfigurationsbedingte Lücken in der E-Mail-Weiterleitung.

Die hybride Falle: Wenn der Absender zum Kollegen wird

Das Szenario ist tückisch. Viele Unternehmen betreiben eine Mischung aus lokalen Exchange-Servern und Cloud-Lösungen wie Microsoft 365. Genau diese Hybrid-Architekturen nutzen Angreifer jetzt systematisch aus. Wie ein aktueller Bericht von Microsoft Threat Intelligence detailliert beschreibt, manipulieren sie den Mailfluss. Das Ergebnis: Phishing-E-Mails landen im Postfach und zeigen im Absenderfeld die eigene Unternehmensdomain an – als kämen sie von der Personalabteilung oder der IT.

Unternehmen mit hybriden Mail‑Systemen sind besonders anfällig für hochskalierte Phishing‑Kampagnen, die SPF und DMARC aushebeln. Sicherheitsreports wie die aktuellen Microsoft‑Zahlen zeigen Millionen blockierter Mails – doch Konfigurationsfehler bleiben gefährlich. Das kostenlose Anti‑Phishing‑Paket erklärt in vier praxisnahen Schritten, wie Sie Routing‑Lücken schließen, inbound‑Connectoren prüfen und Mitarbeiter gegen AiTM‑Techniken schützen. Inklusive Checklisten und Sofortmaßnahmen zur DMARC‑Durchsetzung. Anti‑Phishing‑Paket jetzt kostenlos anfordern

„Die komplexe Routing-Logik schafft einen toten Winkel für Standard-Authentifizierung“, erklärt Microsoft. Protokolle wie SPF und DMARC, die normalerweise gefälschte Absender erkennen, versagen hier oft. Der Grund: Die E-Mails nehmen Umwege über lokale Server oder Drittanbieter-Gateways. Für die Empfänger wirkt die Nachricht dadurch absolut vertrauenswürdig. Eine gefährliche Mischung aus Technik und Psychologie.

Tycoon 2FA: Phishing-as-a-Service für die Massen

Seit Mitte 2025 hat das Volumen dieser Angriffe explosionsartig zugenommen. Im Oktober 2025 blockierte Microsofts Defender for Office 365 über 13 Millionen schädliche E-Mails, die allein auf die Phishing-as-a-Service-Plattform Tycoon 2FA zurückgingen.

Solche Plattformen senken die Einstiegshürde für Kriminelle erheblich. Sie bieten automatisierte Infrastruktur für Angriffe in großem Stil. Besonders perfide: Tycoon 2FA setzt auf „Adversary-in-the-Middle“-Techniken (AiTM). Diese fangen nicht nur Login-Daten ab, sondern auch Session-Cookies. So umgehen die Angreifer sogar die Zwei-Faktor-Authentifizierung (2FA).

Die Kampagnen der letzten Monate zielen breit gestreut auf diverse Branchen ab. Typische Köder sind:
* Gefälschte Voicemail-Benachrichtigungen
* Alarme zu angeblich geteilten Dokumenten
* Passwort-Zurücksetz-Anfragen
* Falsche HR-Mitteilungen zu Gehältern oder Richtlinien
* Manipulierte Rechnungen und Finanzdokumente

Oft steht dabei die eigene E-Mail-Adresse des Empfängers sowohl im Absender- als auch im Empfängerfeld – ein psychologischer Trick, der die Illusion einer internen Systemnachricht perfekt macht.

Dringende Handlungsempfehlungen für IT-Administratoren

Die Sicherheitsbranche reagiert mit klaren Handlungsanweisungen. Der dringendste Rat: Überprüfen Sie jetzt Ihre E-Mail-Konfiguration.

Microsoft und andere Anbieter empfehlen eine strikte DMARC-„Reject“-Policy. Diese stellt sicher, dass nicht authentifizierte E-Mails sofort blockiert werden – und nicht erst in Quarantäne landen. Zusätzlich sollten SPF-Einträge auf „Hard Fail“ (gekennzeichnet durch -all) gesetzt werden. Dies erklärt nicht autorisierte Absender explizit für ungültig.

Für Unternehmen mit komplexem Routing ist eine Überprüfung der inbound Connectors essenziell. Drittanbieter-Gateways und lokale Server müssen korrekt als vertrauenswürdig eingestuft werden und Authentifizierungssignale weitergeben. Wo nicht zwingend nötig, sollte zudem die „Direct Send“-Funktion deaktiviert werden, um die Angriffsfläche zu verringern.

Ein Branchenproblem: Die Schattenseiten der Cloud-Migration

Der aktuelle Anstieg der Routing-Angriffe wirft ein Schlaglicht auf ein grundlegendes Problem der Digitalisierung: die Komplexität der Cloud-Migration. Unternehmen, die teils in der Cloud, teils lokal arbeiten, schaffen sich oft unbeabsichtigt Konfigurationslücken. Die Kompatibilität mit alter Infrastruktur geht auf Kosten der Sicherheitssichtbarkeit.

Branchenanalysten sehen hier einen Appell an „Secure-by-Design“-Prinzipien. Die Warnungen dieser Woche zeigen: Selbst robuste Cloud-Security-Plattformen können durch falsch konfigurierte Relais ausgehebelt werden. Die Architektur muss von Anfang an mitgedacht werden.

Ausblick 2026: Mehr Angriffe, neue Abwehr

Die Prognose für 2026 ist eindeutig: Die Abhängigkeit von PhaaS-Plattformen wie Tycoon 2FA wird weiter wachsen. Mit sinkenden technischen Hürden steigt auch das Angriffsvolumen auf Konfigurationsschwachstellen.

Langfristig könnten phishing-resistente Authentifizierungsmethoden zum Standard werden. FIDO2-Sicherheitsschlüssel oder zertifikatbasierte Authentifizierung gelten als wirksame Verteidigung gegen Credential-Diebstahl und AiTM-Angriffe. Bis dahin bleibt die konsequente Umsetzung von E-Mail-Authentifizierungsstandards die wichtigste Barriere gegen die aktuelle Welle gefälschter Interne-Mails.

PS: Sie wollen die nächste Angriffswelle nicht abwarten? Das Anti‑Phishing‑Paket liefert eine kompakte 4‑Schritte‑Anleitung zur Hacker‑Abwehr, Vorlagen für Phishing‑Tests und Maßnahmen zur Absicherung von Zwei‑Faktor‑Methoden. Besonders nützlich für IT‑Verantwortliche in Hybrid‑Umgebungen, die schnell inbound‑Connectoren und Relais absichern müssen. Inklusive Checkliste für Sofortmaßnahmen und Vorlagen für Mitarbeiterschulungen. Jetzt Anti‑Phishing‑Paket gratis herunterladen