Neue Taktiken im E-Mail-Missbrauch

Wenn Posteingänge zur Angriffsfläche werden

E-Mail Sicherheit
LinkedInRedditWhatsApp

Ein aktueller Bericht von Proofpoint zeigt, wie Cyberkriminelle zunehmend auf unauffällige Methoden setzen, um sich dauerhaft Zugriff auf Unternehmenssysteme zu sichern.

Im Mittelpunkt steht dabei eine Funktion, die eigentlich der Organisation des Arbeitsalltags dient: E-Mail-Regeln.

Anzeige

Wie das Forschungsteam um Anna Akselevich, Pavel Asinovsky und Yaniv Miron beschreibt, beginnen viele Angriffe weiterhin mit bekannten Methoden wie Phishing, Passwortangriffen oder missbräuchlichen OAuth-Zugriffen. Doch nach dem Eindringen verändert sich die Strategie.

Anstatt Schadsoftware einzusetzen, nutzen Angreifer gezielt vorhandene Funktionen innerhalb von Plattformen wie Microsoft 365. Dadurch bewegen sie sich unter der Identität legitimer Nutzer und bleiben oft lange unentdeckt.

Eine zentrale Rolle spielen dabei manipulierte E-Mail-Regeln. Diese ermöglichen es, eingehende Nachrichten automatisch zu verschieben, zu löschen, weiterzuleiten oder als gelesen zu markieren. Für Betroffene wirkt der Posteingang scheinbar normal – während im Hintergrund Kommunikation kontrolliert oder abgefangen wird.

Anzeige

Wie E-Mail-Regeln missbraucht werden

Die Möglichkeiten, die sich Angreifern durch diese Technik eröffnen, sind vielfältig:

Verdeckter Datenabfluss

Bestimmte Nachrichten werden gezielt an externe Postfächer weitergeleitet oder in versteckte Ordner verschoben. Häufig filtern Angreifer nach Schlüsselbegriffen wie Rechnungen oder Verträgen, um besonders wertvolle Informationen zu sammeln.

Unterdrückung von Warnsignalen

Sicherheitsrelevante E-Mails, etwa zu Passwortänderungen oder Zwei-Faktor-Authentifizierung, werden automatisch ausgeblendet. Dadurch bleibt der Angriff länger unbemerkt.

Dauerhafter Zugriff

Selbst nach einer Passwortänderung können bestehende Weiterleitungsregeln weiterhin Daten nach außen leiten. Der Zugriff bleibt damit indirekt bestehen.

Manipulation von Kommunikation

Angreifer können Nachrichten gezielt zurückhalten oder verändern und sich so in laufende Kommunikationsprozesse einschalten, ohne direkt sichtbar zu sein.

Schnelligkeit und Häufigkeit der Angriffe

Die Analyse zeigt, dass dieser Ansatz längst kein Einzelfall mehr ist. Im vierten Quartal 2025 war etwa jedes zehnte kompromittierte Konto kurz nach dem ersten Zugriff bereits mit schädlichen E-Mail-Regeln versehen. In einigen Fällen geschieht dies innerhalb weniger Sekunden.

Diese Geschwindigkeit macht deutlich, wie automatisiert und effizient moderne Angriffe inzwischen ablaufen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Praxisbeispiel: Gezielter Betrug über interne Kommunikation

Ein besonders anschauliches Szenario zeigt, wie Angreifer mehrere Schritte kombinieren. Nach der Übernahme eines Kontos im Finanzbereich wird zunächst eine Regel eingerichtet, die bestimmte Betreffzeilen automatisch versteckt.

Anschließend startet eine interne Phishing-Kampagne. Da die E-Mails aus einem legitimen Konto stammen, umgehen sie viele Sicherheitsmechanismen. Wird ein weiteres Konto kompromittiert, kann der Angriff ausgeweitet werden – etwa durch gezielte Manipulation von Gehaltsabrechnungen.

Entscheidend für den Erfolg ist dabei, dass Warnungen und Rückfragen durch die eingerichteten Regeln verborgen bleiben.

Andere Ziele: Massenangriffe statt Tarnung

Nicht alle Angriffe zielen auf unauffällige Manipulation ab. In Hochschulumgebungen beobachten die Forscher eine andere Strategie: Hier werden Postfächer oft vollständig isoliert.

Eingehende E-Mails werden pauschal gelöscht oder verschoben, sodass der eigentliche Nutzer keine Informationen mehr erhält. Gleichzeitig nutzen Angreifer die Konten für massenhafte Spam- oder Phishing-Kampagnen.

Diese Vorgehensweise setzt weniger auf Tarnung, sondern auf Geschwindigkeit und Reichweite.

Warum besonders Universitäten betroffen sind

Akademische Einrichtungen gelten als besonders anfällig. Gründe dafür sind unter anderem große Netzwerke mit vertrauensvollen Kontakten, eine oft geringere Sicherheitsdichte sowie zahlreiche inaktive Konten ehemaliger Nutzer.

Gerade solche ungenutzten Accounts bieten Angreifern ideale Voraussetzungen: Sie werden selten überwacht, verfügen oft über schwächere Sicherheitsmechanismen und bleiben bei Missbrauch lange unentdeckt.

Neue Perspektive auf ein unterschätztes Risiko

E-Mail-Regeln sind längst mehr als ein Komfortwerkzeug. Sie können nach einer erfolgreichen Kompromittierung zu einem zentralen Instrument für Angreifer werden.

Unternehmen müssen daher nicht nur klassische Angriffspfade im Blick behalten, sondern auch interne Funktionen stärker absichern und überwachen. Denn moderne Cyberangriffe zielen immer häufiger darauf ab, bestehende Systeme unauffällig zu missbrauchen – statt sie sichtbar zu durchbrechen.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Anzeige

Artikel zu diesem Thema

24. März 2026
E-Mail als Einfallstor: Warum Postfächer das größte Sicherheitsrisiko sind

Weitere Artikel

KI-Cybersicherheit: Warum die automatisierte Exploitsuche klassische Patch-Zyklen bricht
IT-Sicherheit in Deutschland: Standort gewinnt Vertrauen
ISC2 verankert Künstliche Intelligenz in allen Cybersecurity-Zertifizierungen
Kompetenzlücke statt Personalmangel in der Cybersicherheit
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.