Blog & News

SharePoint-Phishing: Wenn Vertrauen zur grössten Schwachstelle wird

Geschrieben von Roman Padrun | 5. Feb 2026

Aktuelle Warnungen von BACS sowie dem Nationalen Cyber-Sicherheitszentrum zeigen deutlich, dass sich die Bedrohungslage rund um SharePoint-basiertes Phishing in der Schweiz weiter zuspitzt. Was früher als klassische E-Mail-Phishing-Kampagne erkennbar war, hat sich zu hochprofessionellen Angriffen entwickelt, die gezielt auf Vertrauen, Routine und Microsoft-Ökosysteme setzen.

Diese Angriffe sind technisch sauber umgesetzt, optisch kaum von legitimen Microsoft-Benachrichtigungen zu unterscheiden und treffen Organisationen aller Grössen.

Was beobachtet wird

Die aktuell gemeldeten Kampagnen folgen meist einem ähnlichen Muster:

  • Benutzer erhalten scheinbar legitime SharePoint-Dokumentfreigaben oder Einladungen

  • Absender wirken intern oder geschäftlich vertraut

  • Verlinkte Seiten führen zu täuschend echten Microsoft-Anmeldeseiten

  • Anmeldeinformationen und teilweise auch MFA-Informationen werden abgegriffen mithilfe von AiTM (Adversary in the Middle)

  • In der Folge kommt es zu:

    • Missbrauch von Identitäten

    • Einrichtung schädlicher OAuth-Anwendungen

    • Manipulation von Postfächern

    • Weiterverbreitung innerhalb der Organisation

    • Exfiltration von Daten

Der entscheidende Punkt: Es handelt sich häufig nicht um Malware-Angriffe, sondern um reinen Identitätsmissbrauch, der von klassischen Schutzmechanismen nur verzögert erkannt wird.

Warum SharePoint ein attraktives Ziel ist

SharePoint ist in modernen Unternehmen ein zentraler Bestandteil des Arbeitsalltags. Dokumentfreigaben, externe Zusammenarbeit und spontane Einladungen sind etabliert und werden selten hinterfragt. Genau dieser Vertrauensvorschuss wird ausgenutzt:

  • SharePoint-Links gelten als legitim

  • Microsoft-Branding senkt die Hemmschwelle

  • Technisch saubere Implementierungen umgehen einfache Filtermechanismen

Damit verschiebt sich der Angriffsvektor klar weg vom Endgerät hin zur Identität.

Einordnung in der Praxis

In vielen Microsoft Tenants zeigen sich wiederkehrende Herausforderungen:

  • Endpoint-Schutz greift zu spät oder gar nicht
  • Conditional-Access-Richtlinien werden durch gültige Tokens umgangen
  • Audit-Logs sind vorhanden, werden jedoch nicht aktiv ausgewertet
  • Externe Freigaben sind historisch gewachsen und kaum kontrolliert
  • Nicht Phishing-Resistenten Anmeldemethoden werden genutzt

Diese Kombination macht SharePoint-Phishing besonders wirksam und gefährlich.

Empfohlene Massnahmen

Einordnung: Von Awareness zu Umsetzung

Bei Epic Fusion sehen wir SharePoint-Phishing nicht als isoliertes E-Mail-Problem, sondern als Symptom fehlender Governance und Awareness im M365 Umfeld. Die Angriffe funktionieren nicht wegen einer einzelnen Schwachstelle, sondern wegen gewachsener Konfigurationen, zu breiter Freigaben, fehlender Transparenz rund um Identitäten und Zugriffe und fehlender Awareness.

Empfehlung

SharePoint-Phishing wird bleiben. Die Frage ist nicht, ob eine Organisation betroffen sein kann, sondern wie gut sie darauf vorbereitet ist. Wenn du wissen willst, wie dein Tenant aktuell dasteht und wo konkrete Risiken liegen, lohnt sich ein strukturierter Blick hinter die Kulissen.

Ein gezieltes Security Assessment ist oft der erste Schritt von reaktiver Absicherung hin zu nachhaltiger Governance.

 
Vollständigen Beitrag anzeigen