Stellen Sie sich vor, Ihr Postfach explodiert. Tausende Spam-Mails innerhalb weniger Stunden. Und dann meldet sich wie gerufen ein freundlicher IT-Mitarbeiter über Microsoft Teams und bietet Hilfe an. Was nach Rettung klingt, ist in Wahrheit ein koordinierter Cyberangriff. Betroffene berichteten von über 6.000 E-Mails an nur einem einzigen Tag. Wir erklären, wie die Masche funktioniert und wie Beschäftigte und Unternehmen sich schützen können.
Der Inhalt im Überblick
Die Angriffsmethode im Detail
Der Angriff kombiniert mehrere Schritte und nutzt gezielt menschliche Reaktionen unter Stress aus. Die Methode aktuell wird von verschiedenen Bedrohungsakteuren eingesetzt.
Schritt 1: E-Mail-Bombing – Das Postfach wird unbrauchbar
Im ersten Schritt bombardieren die Angreifer das Postfach des Opfers mit einer massiven Menge an Spam-Nachrichten. Dabei werden automatisierte Skripte verwendet, die in kürzester Zeit Tausende von E-Mails versenden. Das Ziel: Verwirrung und Panik erzeugen. Der Posteingang wird faktisch unbrauchbar, wichtige E-Mails gehen in der Masse unter.
Diese gezielte Überlastung dient als Vorbereitungsschritt. Das Opfer soll in einen Zustand versetzt werden, in dem es bereitwillig Hilfe annimmt, ganz gleich von wem sie kommt.
Schritt 2: Der falsche IT-Support über Microsoft Teams
Kurz nach Beginn der Spam-Flut, teilweise schon innerhalb von Minuten, meldet sich der Angreifer über Microsoft Teams. Er gibt sich als Mitarbeiter der internen IT-Abteilung oder des Helpdesks aus und nimmt direkt Bezug auf die E-Mail-Probleme. Die Nachricht wirkt dadurch glaubwürdig und situationsgerecht.
Dass dieser Kontakt überhaupt funktioniert, liegt an einer Standard-Konfiguration vieler Microsoft-365-Umgebungen: Teams erlaubt externe Kommunikation häufig ohne weitere Prüfung. Die Nachricht erscheint nicht im Spam-Ordner, sondern im vertrauten Teams-Fenster, was die wahrgenommene Legitimität enorm erhöht.
Schritt 3: Die eigentliche Kompromittierung
Hat der Angreifer das Vertrauen des Opfers gewonnen, folgt der entscheidende Schritt. Dabei kommen unterschiedliche Varianten zum Einsatz:
- Schadsoftware über einen Link: Das Opfer wird aufgefordert, einen „Patch“ oder ein „Sicherheitsupdate“ über einen bereitgestellten Link herunterzuladen. Hinter diesem Link verbirgt sich direkt oder indirekt Malware – etwa Backdoors, Ransomware-Loader oder bösartige Browser-Erweiterungen.
- Bildschirmfreigabe mit Fernsteuerung: In einem Teams-Videoanruf wird das Opfer gebeten, die Bildschirmfreigabe zu aktivieren und dem vermeintlichen IT-Mitarbeiter die Steuerung zu überlassen. Tools wie Quick Assist oder AnyDesk werden dabei missbraucht, um vollständigen Zugriff auf den Rechner zu erlangen.
- Abgreifen von Informationen: In manchen Fällen geht es zunächst nur darum, Zugangsdaten, interne Informationen oder Sicherheitskonfigurationen abzufragen. Diese dienen als Grundlage für weiterführende, gezielte Angriffe.
Warum ist diese Methode so gefährlich?
Die besondere Gefährlichkeit liegt in der Kombination:
- Kein technischer Exploit nötig: Die Angreifer nutzen keine Softwareschwachstelle aus, sondern manipulieren Menschen.
- Legitime Kanäle: Teams und Remote-Support-Tools sind im Unternehmensalltag etabliert, sodass ihr Einsatz keinen unmittelbaren Verdacht weckt.
- Zeitdruck und Stress: Die Spam-Flut erzeugt ein reales Problem, das sofortiges Handeln erfordert. Unter diesem Druck sinkt die Aufmerksamkeit für Warnsignale.
- Hohe Erfolgsquote: Sicherheitsforscher berichten von hohen Erfolgsraten von über 70 % bei dieser Angriffsvariante.
Wie können sich Beschäftigte schützen?
Die wichtigste Verteidigungslinie sind informierte Mitarbeitende. Folgende Maßnahmen helfen:
- Ruhe bewahren
Eine plötzliche Spam-Flut ist ärgerlich, aber kein Grund, überstürzt zu handeln. Wer kontaktiert wird, sollte sich die Zeit nehmen, die Identität des Gegenübers zu prüfen. - Identität verifizieren
Kontaktiert Sie jemand über Teams mit einem Hilfsangebot, prüfen Sie über einen separaten Kanal (z. B. Anruf beim IT-Helpdesk über die bekannte interne Nummer), ob die Anfrage legitim ist. Innerhalb von Teams werden üblicherweise Warnungen angezeigt, wenn die kontaktierende Person von einer externen Organisation stammt. - Keine Fernsteuerung gewähren
Aktivieren Sie niemals eine Bildschirmfreigabe mit Steuerungsmöglichkeit auf Aufforderung eines unverifizierten Kontakts – auch nicht, wenn dieser sich als IT-Mitarbeiter ausgibt. - Keine Links oder Downloads aus Chat-Nachrichten
Installieren Sie keine Software und klicken Sie nicht auf Links, die Ihnen über Teams von unbekannten, externen oder nicht verifizierten Kontakten geschickt werden. - Zugangsdaten nicht herausgeben
Die IT-Abteilung wird Sie niemals per Chat nach Ihrem Passwort fragen. - Vorfall melden
Informieren Sie umgehend Ihre (echte) IT-Abteilung oder den Informationssicherheitsbeauftragten, wenn Sie eine Spam-Flut oder einen verdächtigen Teams-Kontakt bemerken.
Was können Unternehmen tun?
Neben der Sensibilisierung der Belegschaft sollten Unternehmen auch technische und organisatorische Maßnahmen ergreifen:
- Externe Teams-Kommunikation einschränken oder nur für verifizierte Domains zulassen.
- Remote-Support-Tools wie Quick Assist nur für autorisierte IT-Mitarbeitende freigeben oder ganz deaktivieren.
- Awareness-Schulungen gezielt um dieses Szenario erweitern.
- Incident-Response-Prozesse definieren, die auch für diesen Angriffsvektor greifen.
Awareness ist der beste Schutz
Diese Angriffsmethode zeigt eindrücklich: Technische Sicherheitsmaßnahmen allein reichen nicht aus, wenn der Mensch zum Einfallstor wird. Die Kombination aus künstlich erzeugtem Stress und einem scheinbar vertrauenswürdigen Hilfsangebot ist psychologisch hocheffektiv. Umso wichtiger ist es, Beschäftigte regelmäßig für solche Szenarien zu sensibilisieren, denn wer die Masche kennt, fällt deutlich seltener darauf herein.
