Skip to content
Roman und Flo besprechen die SharePoint-Pishing Bedrohungen

SharePoint-Phishing erkennen und stoppen: Aktuelle Bedrohungen und Schutzmassnahmen

Roman Padrun Knowledge

Eine SharePoint-Freigabe von Microsoft oder ein Angriff? Moderne Phishing-Kampagnen setzen gezielt auf Identitätsmissbrauch statt Malware und treffen viele Organisationen.

Aktuelle Warnungen von BACS sowie dem Nationalen Cyber-Sicherheitszentrum zeigen deutlich, dass sich die Bedrohungslage rund um SharePoint-basiertes Phishing in der Schweiz weiter zuspitzt. Was früher als klassische E-Mail-Phishing-Kampagne erkennbar war, hat sich zu hochprofessionellen Angriffen entwickelt, die gezielt auf Vertrauen, Routine und Microsoft-Ökosysteme setzen.

Diese Angriffe sind technisch sauber umgesetzt, optisch kaum von legitimen Microsoft-Benachrichtigungen zu unterscheiden und treffen Organisationen aller Grössen.

Was beobachtet wird

Die aktuell gemeldeten Kampagnen folgen meist einem ähnlichen Muster:

  • Benutzer erhalten scheinbar legitime SharePoint-Dokumentfreigaben oder Einladungen

  • Absender wirken intern oder geschäftlich vertraut

  • Verlinkte Seiten führen zu täuschend echten Microsoft-Anmeldeseiten

  • Anmeldeinformationen und teilweise auch MFA-Informationen werden abgegriffen mithilfe von AiTM (Adversary in the Middle)

  • In der Folge kommt es zu:

    • Missbrauch von Identitäten

    • Einrichtung schädlicher OAuth-Anwendungen

    • Manipulation von Postfächern

    • Weiterverbreitung innerhalb der Organisation

    • Exfiltration von Daten

Der entscheidende Punkt: Es handelt sich häufig nicht um Malware-Angriffe, sondern um reinen Identitätsmissbrauch, der von klassischen Schutzmechanismen nur verzögert erkannt wird.

Warum SharePoint ein attraktives Ziel ist

SharePoint ist in modernen Unternehmen ein zentraler Bestandteil des Arbeitsalltags. Dokumentfreigaben, externe Zusammenarbeit und spontane Einladungen sind etabliert und werden selten hinterfragt. Genau dieser Vertrauensvorschuss wird ausgenutzt:

  • SharePoint-Links gelten als legitim

  • Microsoft-Branding senkt die Hemmschwelle

  • Technisch saubere Implementierungen umgehen einfache Filtermechanismen

Damit verschiebt sich der Angriffsvektor klar weg vom Endgerät hin zur Identität.

Einordnung in der Praxis

In vielen Microsoft Tenants zeigen sich wiederkehrende Herausforderungen:

  • Endpoint-Schutz greift zu spät oder gar nicht
  • Conditional-Access-Richtlinien werden durch gültige Tokens umgangen
  • Audit-Logs sind vorhanden, werden jedoch nicht aktiv ausgewertet
  • Externe Freigaben sind historisch gewachsen und kaum kontrolliert
  • Nicht Phishing-Resistenten Anmeldemethoden werden genutzt

Diese Kombination macht SharePoint-Phishing besonders wirksam und gefährlich.

Empfohlene Massnahmen

Identitätszentrierte Sicherheitsstrategie

  • Risiko-basierte Conditional-Access-Richtlinien
  • Einschränkung und Überwachung von OAuth-Consent
  • Nutzung moderner Schutzmechanismen für Tokens und Sessions

Kontrolle externer Zusammenarbeit

  • Regelmässige Überprüfung externer SharePoint-Zugriffe
  • Klare Richtlinien für externe Freigaben
  • Transparenz darüber, wer Inhalte teilt und mit wem

Zielgerichtete Sensibilisierung

  • Praxisnahe Beispiele realer Angriffe
  • Klare Handlungsanweisungen bei unerwarteten Freigaben
  • Fokus auf Login-Seiten und Kontextprüfung

Aktive Erkennung und Monitoring

  • Überwachung auffälliger SharePoint-Aktivitäten
  • Korrelation von Klick-, Login- und Consent-Ereignissen
  • Frühzeitige Erkennung von Identitätsanomalien

Einordnung: Von Awareness zu Umsetzung

Bei Epic Fusion sehen wir SharePoint-Phishing nicht als isoliertes E-Mail-Problem, sondern als Symptom fehlender Governance und Awareness im M365 Umfeld. Die Angriffe funktionieren nicht wegen einer einzelnen Schwachstelle, sondern wegen gewachsener Konfigurationen, zu breiter Freigaben, fehlender Transparenz rund um Identitäten und Zugriffe und fehlender Awareness.

Empfehlung

SharePoint-Phishing wird bleiben. Die Frage ist nicht, ob eine Organisation betroffen sein kann, sondern wie gut sie darauf vorbereitet ist. Wenn du wissen willst, wie dein Tenant aktuell dasteht und wo konkrete Risiken liegen, lohnt sich ein strukturierter Blick hinter die Kulissen.

Ein gezieltes Security Assessment ist oft der erste Schritt von reaktiver Absicherung hin zu nachhaltiger Governance.

 

Roman Padrun, Modern Workplace Engineer und Cloud Services

Fragen? Ich helfe dir gerne.

Du möchtest gerne mehr erfahren? Prüfen wie es bei dir ausschaut? Dich darüber austauschen? 

Kein Problem. Nimm einfach mit mir Kontakt auf. 

Kontakt aufnehmen