Direkt zum Inhalt
UCC Pro GmbH Logo
Kontakt

SharePoint-Phishing-Welle: Wenn die echte Plattform zur Falle wird

Phishing-Symbolik: Mail mit Angelhaken und Warnsymbol

Eine Mail landet im Postfach: «Vertrag.pdf wurde mit Ihnen geteilt.» Absender ist ein bekannter Geschäftskontakt, das Layout sieht aus wie Microsoft 365, der Link führt tatsächlich auf sharepoint.com – die echte Microsoft-Plattform. Du klickst, loggst Dich ein, und übergibst Deine Microsoft-Credentials an einen Angreifer.

Das BACS hat am 3. Februar 2026 eine weltweite Phishing-Welle dokumentiert, die genau dieses Schema nutzt – und die Schweiz ist betroffen. Was sie gefährlich macht: der Phishing-Link führt nicht auf eine gefälschte Domain. Er führt auf das echte SharePoint. Klassische E-Mail-Filter haben damit ein Problem.

Der Trick mit der echten Plattform

Die Angreifer haben legitime SharePoint-Konten kompromittiert (oder eigene Tenants angelegt) und laden dort scheinbar harmlose Dokumente hoch. Diese Dokumente enthalten dann ihrerseits einen Link – meist getarnt als «Anlage öffnen» oder «Dokument herunterladen» – der erst auf die echte Phishing-Seite führt: eine täuschend echte Microsoft-Login-Maske.

Schritt für Schritt:

  1. Mail an Dich: scheint von Microsoft oder einem bekannten Kontakt zu kommen, «Vertrag.pdf wurde geteilt».
  2. Klick führt auf echtes SharePoint – grünes Schloss-Symbol, korrekte Domain. Auch ein technisch versierter Empfänger sieht hier nichts Verdächtiges.
  3. Dokument im SharePoint: meistens minimalistisch, mit einem prominenten Button «Dokument anzeigen».
  4. Erst dieser Button führt auf die Phishing-Seite (Domain wie microsoft-secure-login.com oder ähnlich). Login-Maske, perfekt nachgebaut.
  5. Du gibst Deine Microsoft-Credentials ein – inklusive 2FA-Code, falls aktiv.

Was der Angreifer dann hat: Vollzugriff auf das M365-Konto. Damit kann er die gleiche Mail an Dein gesamtes Adressbuch verschicken, Mails in Deinem Namen lesen und beantworten, OneDrive-Dateien einsehen, Teams-Konversationen mitlesen. Bei Unternehmen mit Cloud-Backup für Exchange können auch Mails komplett exfiltriert werden.

Warum Filter das nicht erkennen

Klassische Phishing-Filter prüfen drei Dinge: ist die Absender-Adresse plausibel, hat sie einen guten Reputations-Score, führt der Link auf eine bekannt schädliche Domain? Bei dieser Welle versagen alle drei Mechanismen:

  • Absender: häufig kompromittierte echte Konten, mit guter Reputation
  • Sprache und Layout: KI-generiert, kontextpassend, sprachlich einwandfrei
  • Erster Link: führt auf sharepoint.com – höchste Reputation, kein Filter blockiert das

Der bösartige Link existiert erst im SharePoint-Dokument. Filter können den Inhalt eines fremden SharePoint-Dokuments nicht analysieren – das ist eine Microsoft-eigene Plattform.

Was jetzt funktioniert

1. FIDO2 / Passkeys statt OTP-MFA. Die kompromittierten Mails übermitteln auch SMS- und App-OTP-Codes weiter, weil das Opfer sie aktiv eingibt. FIDO2-Hardware-Keys (YubiKey, Microsoft Hello, Windows Hello) lassen sich nicht durch Phishing umgehen – sie prüfen die echte Domain kryptographisch und geben den Authentifizierungs-Token nur dort frei. Wer 2026 noch SMS-MFA für Microsoft 365 hat, ist konkret gefährdet.

2. Conditional Access-Policies. In Entra ID lässt sich definieren: Login nur aus bestimmten Ländern, nur von verwalteten Geräten, nur mit MFA über Authenticator-App (nicht SMS). Bei vielen KMU sind diese Policies entweder nicht konfiguriert oder zu lax eingestellt. Ein Login aus einem fremden Land sollte mindestens zusätzliches Risk-Signal triggern.

3. Mitarbeitende über die Masche informieren. Der entscheidende Reflex: misstrauisch werden, sobald nach einem SharePoint-Klick eine Login-Maske erscheint, obwohl man bereits eingeloggt ist. Echte SharePoint-Dokumente verlangen kein neues Login. Wenn doch: Browser schliessen, kein Login eingeben.

4. Anomalie-Detection im Audit-Log aktivieren. Microsoft-Defender, Sentinel oder Drittanbieter-SIEMs erkennen ungewöhnliche Login-Muster, Massenversand von Mails aus einem Konto, oder Inbox-Rules die plötzlich alle eingehenden Mails löschen (klassischer Schritt nach Konto-Übernahme). Wer keine zentralen Logs hat, merkt die Übernahme oft erst nach Tagen.

Was tun, wenn es schon passiert ist

  1. Sofort alle Sessions beenden über das Microsoft-Admin-Center oder die User-Self-Service-Funktion. Damit fliegt der Angreifer zumindest temporär raus.
  2. Passwort ändern – sonst kommt er gleich wieder rein.
  3. MFA-Methoden überprüfen: oft fügen Angreifer eine eigene Authenticator-App hinzu, um sich dauerhaften Zugriff zu sichern. Diese Methoden alle entfernen, neu setzen.
  4. Inbox-Rules prüfen – häufiger Trick: Regel anlegen, die alle eingehenden Mails sofort löscht oder in einen versteckten Ordner verschiebt. Damit bemerkt das Opfer Folge-Mails nicht.
  5. Adressbuch warnen – die nächste Welle geht möglicherweise an die eigenen Kontakte raus, mit dem kompromittierten Konto als Absender.
  6. Wenn Daten exfiltriert: DSGVO-Meldung prüfen. Bei Verdacht auf Datenabfluss kritischer Inhalte hat eine Meldung an EDÖB Schweiz (oder zuständige Aufsicht in DE) eine 72-Stunden-Frist.

Zusammenfassung in zwei Sätzen

SharePoint-Phishing nutzt die echte Microsoft-Plattform, um Filter zu umgehen – die Phishing-Seite kommt erst zwei Klicks später. Wer FIDO2-Authentifizierung statt SMS-OTP einsetzt, Conditional Access scharf konfiguriert und seine Mitarbeitenden über das Muster informiert, ist gegen diese Klasse von Angriffen weitgehend abgesichert.

Quelle: NCSC – BACS Bundesamt für Cybersicherheit, Meldung vom 03.02.2026: «Weltweite SharePoint-Phishing-Welle – auch die Schweiz ist betroffen» (ncsc.admin.ch).

Brauchst Du Beratung dazu?

Schreib uns kurz, was bei Dir konkret ansteht. Wir melden uns persönlich zurück.

Kontakt aufnehmen
Nach oben scrollen