Thought Leadership
Der IT-Support meldet sich per Microsoft-Teams-Chat, weist auf ein dringendes Sicherheitsupdate hin und bittet um Fernzugriff. Was nach Routine klingt, ist eine der gefährlichsten Einbruchsmethoden in Unternehmensnetzwerke.
In der modernen Arbeitswelt hat sich der Fokus von Angreifern weg von technischen Exploits hin zur psychologischen Manipulation verschoben. Ein aktueller Bericht von Microsoft sowie Analysen von Sophos zeigen eine besorgniserregende Zunahme von Angriffen auf, bei denen die interne Kommunikationsstruktur von Unternehmen direkt gegen sie eingesetzt wird, berichtet Bleeping Computer. Im Zentrum steht dabei Microsoft Teams, das durch seine externe Kollaborationsfunktion einfallslos wirkende, aber hocheffektive Einfallstore für Cyberkriminelle bietet.
Hacker geben sich als Mitglieder des Helpdesks aus
Die Strategie der Hacker ist dabei so simpel wie tückisch: Sie nutzen die sogenannten Cross-Tenant-Chats, um Kontakt zu Mitarbeitern aufzunehmen. Dabei geben sie sich als Mitglieder der eigenen IT-Abteilung oder des Helpdesks aus. In einer Zeit, in der Remote-Work und hybride Arbeitsmodelle den direkten persönlichen Kontakt zum IT-Personal reduziert haben, fällt dieser Schwindel oft erst zu spät auf. Die Hacker behaupten meist, es gäbe ein dringendes Problem mit dem Benutzerkonto, ein notwendiges Sicherheitsupdate oder eine Anpassung des Spam-Filters, die eine sofortige Intervention erfordere.
Sobald der Kontakt hergestellt ist, beginnt eine neunstufige Angriffskette, die darauf abzielt, legitime Administrationswerkzeuge für kriminelle Zwecke zu missbrauchen. Das Ziel des ersten Schritts ist es, das Opfer dazu zu bewegen, eine Fernwartungssitzung zu starten. Hierbei greifen die Täter bevorzugt auf Quick Assist zurück, eine offizielle Windows-Anwendung. Da dieses Tool im Unternehmenskontext bekannt und vertrauenswürdig ist, schöpfen die meisten Mitarbeiter keinen Verdacht, wenn sie zur Eingabe eines Sicherheitscodes aufgefordert werden, der dem Hacker volle Kontrolle über ihren Rechner gewährt.
Hacker haben eine hohe Professionalität
Sobald der Zugriff steht, agieren die Täter wie professionelle Systemadministratoren. Über die Eingabeaufforderung und PowerShell führen sie eine schnelle Aufklärung im Netzwerk durch, prüfen Privilegien und die Erreichbarkeit von Domänen-Controllern. Um dauerhaften Zugriff zu sichern, ohne Alarmsysteme auszulösen, nutzen sie eine Technik namens DLL Side-Loading. Dabei wird ein kleiner, bösartiger Codeblock in Verzeichnisse wie ProgramData geschleust und dann über eine vollkommen legitime, digital signierte Anwendung wie Adobe Acrobat Reader, Autodesk-Software oder sogar Windows-eigene Fehlerberichterstattungs-Dienste gestartet. Für den Endpunktschutz sieht es so aus, als würde eine legitime Software routinemäßig ausgeführt, während im Hintergrund die Verbindung zum Server der Angreifer (Command-and-Control) aufgebaut wird.
Diese Form der Infiltration ist deshalb so gefährlich, weil sie mit dem normalen Rauschen des IT-Alltags verschmilzt. Die Hacker bewegen sich lateral durch das Netzwerk, indem sie native Protokolle wie Windows Remote Management (WinRM) nutzen. Ihr Ziel sind hochwertige Ziele, insbesondere die Domänen-Controller, um weitreichende Berechtigungen zu erlangen. Analysten von Sophos bringen diese Taktiken mit der Bedrohungsgruppe GOLD ENCOUNTER in Verbindung, die seit Mitte 2025 mit der PayoutsKing-Ransomware assoziiert wird. Auffällig ist hierbei die hohe Professionalität: Statt auf automatisierte Malware-Sprengsätze zu setzen, agieren die Täter oft manuell am Keyboard, um sich individuell an die Sicherheitsarchitektur des Opfers anzupassen.
Externe Kommunikation in Microsoft Teams als riskant einstufen
Wenn die Angreifer schließlich die gewünschten Daten identifiziert haben, nutzen sie Werkzeuge wie Rclone, um diese in externe Cloud-Speicher zu übertragen. Dabei gehen sie extrem selektiv vor. Durch den Einsatz spezifischer Filter reduzieren sie das Datenvolumen auf das Wesentliche, was die Wahrscheinlichkeit verringert, dass Anomalien im Netzwerkverkehr durch Data-Exfiltration-Wächter entdeckt werden.
Für Unternehmen bedeutet diese Entwicklung, dass technische Schutzwälle allein nicht mehr ausreichen. Microsoft und Sicherheitsdienstleister raten dringend dazu, die externe Kommunikation in Teams standardmäßig als riskant einzustufen. Administratoren sollten Fernwartungs-Tools wie Quick Assist streng reglementieren und die Nutzung von WinRM auf dedizierte Management-Hosts beschränken. Da die Angreifer im April 2026 verstärkt auf die „menschliche Schnittstelle“ setzen, ist die kontinuierliche Schulung der Belegschaft, insbesondere im Umgang mit unaufgeforderten Hilfeangeboten via Chat, die wichtigste Verteidigungslinie gegen diese unsichtbaren Eindringlinge.
