Warum ist Token-Diebstahl gefährlicher als herkömmliches Passwort-Phishing?

Gestohlene Authentifizierungstoken ermöglichen es Angreifern, auf Konten zuzugreifen, ohne das Passwort zu kennen, und können einige Formen der Multi-Faktor-Authentifizierung umgehen, da die Sitzung bereits als authentifiziert gilt.

Welche Art von E-Mails nutzten die Angreifer, um Opfer zu täuschen?

Die Angreifer versendeten professionell gestaltete E-Mails mit dem Thema „Verhaltenskodex", die darauf ausgelegt waren, in einem Unternehmenspostfach routinemäßig und autoritativ zu wirken.

Können starke Passwörter Nutzer vor dieser Art von Angriff schützen?

Nein, selbst Nutzer mit starken, einzigartigen Passwörtern hätten kompromittiert werden können, da die Angreifer Sitzungstoken ins Visier nahmen und nicht direkt Passwörter.

Microsoft deckt Phishing-Kampagne auf, die 35.000 Nutzer in 13.000 Organisationen traf

Q: Wie viele Nutzer und Organisationen waren von dieser Phishing-Kampagne betroffen?

Die Kampagne kompromittierte Authentifizierungstoken von mehr als 35.000 Nutzern in 13.000 Organisationen.

Microsoft deckt massive Token-Diebstahl-Phishing-Operation auf

Microsoft hat eine groß angelegte Phishing-Kampagne offengelegt, bei der Authentifizierungstoken von mehr als 35.000 Nutzern aus 13.000 Organisationen kompromittiert wurden. Die Angreifer gaben sich als offizielle Absender aus und nutzten professionell gestaltete E-Mails mit dem Thema „Verhaltenskodex", eine Social-Engineering-Taktik, die darauf ausgelegt ist, in einem Unternehmenspostfach routinemäßig und vertrauenswürdig zu wirken. Unternehmen aus dem Gesundheitswesen, dem Finanzdienstleistungssektor und der Technologiebranche trugen die Hauptlast der Angriffe, was diese Offenlegung zu einem der folgenreichsten Fälle von Zugangsdatendiebstahl in jüngster Erinnerung macht.

Was diese Kampagne von gewöhnlichem Phishing unterscheidet, ist der Fokus auf den Diebstahl von Authentifizierungstoken anstelle von Passwörtern. Token sind kleine digitale Berechtigungsnachweise, die belegen, dass ein Nutzer bereits angemeldet ist. Wer einen solchen Token abfängt, kann vollen Zugriff auf ein Konto erlangen, ohne jemals das Passwort kennen zu müssen. Das bedeutet, dass selbst Nutzer mit starken, einzigartigen Passwörtern kompromittiert worden sein könnten, wenn ihre Sitzungstoken abgefangen wurden.

Warum der Diebstahl von Authentifizierungstoken besonders gefährlich ist

Herkömmliches Phishing versucht typischerweise, Nutzer dazu zu bringen, ihren Benutzernamen und ihr Passwort auf einer gefälschten Anmeldeseite einzugeben. Token-Diebstahl geht einen Schritt weiter. Sobald ein Angreifer einen gültigen Authentifizierungstoken besitzt, kann er Sicherheitsprüfungen häufig vollständig umgehen – einschließlich einiger Formen der Multi-Faktor-Authentifizierung (MFA), die die Identität nur beim Anmeldezeitpunkt überprüfen. Aus Sicht des Systems ist die Sitzung bereits authentifiziert, sodass nichts erneut verifiziert werden muss.

Dies ist besonders beunruhigend für Organisationen in regulierten Branchen wie dem Gesundheitswesen und dem Finanzsektor, wo sensible Daten, Kundendaten und Finanzsysteme hinter diesen Anmeldungen liegen. Ein einziger gestohlener Token kann als Generalschlüssel für die E-Mails eines Mitarbeiters, den Cloud-Speicher, interne Tools und Kommunikationsplattformen dienen – solange dieser Token gültig bleibt.

Das professionelle Erscheinungsbild der Phishing-E-Mails macht die Abwehr auf menschlicher Ebene noch schwieriger. Benachrichtigungen zum „Verhaltenskodex" vermitteln Autorität und Dringlichkeit – zwei Elemente, die verlässliche Hebel im Social Engineering sind. Mitarbeiter sind darin konditioniert, diese Nachrichten ernst zu nehmen, und genau deshalb haben die Angreifer diese Aufmachung gewählt.

Was das für Sie bedeutet

Wenn Sie in einer Organisation arbeiten, insbesondere im Gesundheitswesen, im Finanzbereich oder in der Technologiebranche, ist diese Kampagne eine konkrete Erinnerung daran, dass Phishing-Bedrohungen immer ausgefeilter werden. Ein Link in einer gut gestalteten E-Mail anzuklicken und sich bei dem anzumelden, was wie ein legitimes Portal aussieht, kann Ihren Sitzungstoken preisgeben, ohne dass Sie bemerken, dass etwas schiefgelaufen ist.

Mehrere Schutzschichten wirken zusammen, um dieses Risiko zu reduzieren:

Multi-Faktor-Authentifizierung bleibt unverzichtbar. Obwohl fortschrittliche Token-Diebstahl-Techniken einige MFA-Implementierungen umgehen können, sind Hardware-Sicherheitsschlüssel und Passkey-basierte Authentifizierung deutlich schwerer zu umgehen als SMS- oder App-basierte Codes. Organisationen sollten phishing-resistente MFA-Standards wie FIDO2 wann immer möglich priorisieren.

Schutzmaßnahmen auf Netzwerkebene bieten eine weitere Schutzschicht. Ein VPN verschlüsselt den Datenverkehr zwischen Ihrem Gerät und dem Internet, was die Möglichkeit eines Angreifers einschränkt, Daten während der Übertragung in nicht vertrauenswürdigen Netzwerken abzufangen. Wenn Mitarbeiter remote arbeiten oder sich über öffentliches WLAN verbinden, ist unverschlüsselter Datenverkehr anfällig für Abfangangriffe. Zu verstehen, wie verschiedene VPN-Protokolle Verschlüsselung und Tunneling handhaben, kann Organisationen und Einzelpersonen dabei helfen, Konfigurationen zu wählen, die ihre Verbindungen tatsächlich absichern, anstatt nur den Anschein von Sicherheit zu erwecken.

E-Mail-Wachsamkeit ist wichtiger denn je. Selbst technisch versierte Nutzer sollten innehalten, bevor sie auf Links in unerwarteten E-Mail-Benachrichtigungen klicken, insbesondere solchen, die Dringlichkeit oder administrative Autorität vermitteln. Anfragen über einen separaten Kanal zu bestätigen und direkt ein offizielles Portal aufzurufen, anstatt E-Mail-Links zu verwenden, ist eine aufwandsarme Gewohnheit mit echtem Schutzwert.

Token-Laufzeiten und Sitzungsverwaltung verdienen Aufmerksamkeit. Sicherheitsteams sollten überprüfen, wie lange Authentifizierungstoken gültig bleiben, und kürzere Sitzungsfenster für sensible Anwendungen durchsetzen. Je länger ein Token aktiv bleibt, desto länger kann ein gestohlener Token genutzt werden.

Erkenntnisse für Organisationen und Einzelpersonen

Diese Offenlegung durch Microsoft ist ein nützlicher Anlass, aktuelle Sicherheitspraktiken zu überprüfen, und kein Grund zur Panik. Kampagnen zum Zugangsdatendiebstahl in diesem Ausmaß haben Erfolg, weil sie die Lücke zwischen Bewusstsein und Handeln ausnutzen. Einige konkrete Schritte, die es sich lohnt, jetzt zu unternehmen:

MFA-Einstellungen überprüfen und, wo möglich, auf phishing-resistente Authentifizierungsmethoden umstellen.
Sicherstellen, dass Remote-Mitarbeiter ein VPN über nicht vertrauenswürdige Netzwerke nutzen, um den Datenverkehr bei der Übertragung zu verschlüsseln. Wenn Sie unsicher sind, welches Protokoll am besten zu Ihrem Bedrohungsmodell passt, ist die Überprüfung, wie jedes Protokoll mit Sicherheit und Leistung umgeht, ein praktischer Ausgangspunkt.
Mitarbeiter darin schulen, Social-Engineering-Köder zu erkennen, einschließlich autoritätsbasierter E-Mails wie Richtlinienhinweise und Erinnerungen an den Verhaltenskodex.
IT- oder Sicherheitsteams nach Sitzungstoken-Richtlinien fragen und ob kürzere Ablaufzeiträume für kritische Systeme umsetzbar sind.

Keine einzelne Maßnahme eliminiert das Risiko vollständig, aber die Kombination aus Authentifizierungshygiene, verschlüsselten Netzwerkverbindungen und Nutzerbewusstsein schafft eine spürbare Hürde für Angreifer. Die Organisationen, die von dieser Kampagne nicht betroffen waren, hatten wahrscheinlich zumindest einige dieser Maßnahmen bereits implementiert. Diejenigen, die betroffen waren, haben nun ein klares Bild davon, worauf sie sich konzentrieren sollten.

Microsoft deckt massive Token-Diebstahl-Phishing-Operation auf

Warum der Diebstahl von Authentifizierungstoken besonders gefährlich ist

Was das für Sie bedeutet

Erkenntnisse für Organisationen und Einzelpersonen

// FAQ

// Verwandt