Eine Teams-Nachricht poppt auf. «Hi, hier IT-Support. Wir sehen einen verdächtigen Login-Versuch aus Rumänien auf Deinem M365-Konto. Kannst Du kurz auf den Link klicken und Dich neu authentifizieren? Das dauert zwei Minuten.» Absender: ein Account, der «IT Support» heisst, mit Logo und allem. Tatsächlich ist es ein Angreifer von ausserhalb Deiner Organisation, der die External-Collaboration-Funktion von Teams ausnutzt.
Cyberproof hat am 27. April 2026 eine konkrete Welle solcher Angriffe dokumentiert. Threat actors – also Angreifer – nutzen verstärkt die Funktion, dass externe Microsoft-365-Tenants standardmässig in Teams Kontakt aufnehmen können. Sie geben sich als Helpdesk, Microsoft-Support oder interner IT-Mitarbeiter aus, schicken Phishing-Links oder reden Opfer in Echtzeit-Calls dazu, Fernwartungssoftware zu installieren oder Zugangsdaten preiszugeben.
Wie der Angriff abläuft
Mehrere Varianten zirkulieren aktuell:
Variante 1: Chat-Phishing. Eine Teams-Nachricht von «IT-Support» oder «Microsoft-Helpdesk» warnt vor einem Sicherheitsproblem mit dem Konto. Der Link führt auf eine echt aussehende M365-Login-Seite, die Zugangsdaten und MFA-Codes abgreift.
Variante 2: Voice-Call mit Bildschirmfreigabe. Der Angreifer ruft via Teams-Audio an, gibt sich als Helpdesk aus, bittet um Bildschirmfreigabe und führt das Opfer Schritt für Schritt durch eine «Reparatur» – tatsächlich werden dabei Tokens kopiert oder Quick-Assist-Sessions gestartet, die später Backdoor-Zugriff erlauben.
Variante 3: Tool-Installation. Der «Support» erklärt, das Problem lasse sich nur mit einem speziellen Tool lösen. Geschickt wird ein Link zu einer ausführbaren Datei oder einem RMM-Tool wie ScreenConnect, AnyDesk oder Quick Assist. Sobald installiert, hat der Angreifer dauerhaften Zugriff auf das Endpoint.
Was alle Varianten gemeinsam haben: der Angreifer kommt aus einem fremden Microsoft-365-Tenant, nicht von ausserhalb der Microsoft-Welt. Teams zeigt ihn als externen Kontakt an – mit kleinem Hinweis «Extern» am Namen. Wer den Hinweis übersieht oder nicht kennt, hält den Account für intern.
Warum es funktioniert
External Access ist standardmässig offen. In der Default-Konfiguration von Microsoft 365 dürfen alle anderen Tenants Deine Mitarbeitenden in Teams kontaktieren. Niemand muss vorher eingeladen werden. Die Hürde für Angreifer ist null: einen Trial-Tenant aufsetzen, Anzeigename «IT Support» oder «Microsoft Helpdesk», schreiben.
Helpdesk-Vertrauen ist hoch. Mitarbeitende sind darauf trainiert, dem internen Support zu folgen. Wenn jemand sich als IT ausgibt und nach einem Login fragt oder ein Tool zur Installation schickt, ist die Wahrscheinlichkeit hoch, dass das ohne Rückfrage passiert. Vor allem wenn die Nachricht in der gewohnten Teams-Umgebung kommt, nicht per Mail.
Die «Extern»-Markierung wird übersehen. Teams zeigt zwar einen externen Tenant an, aber die Markierung ist klein, und im Stress des Arbeitstags fällt sie kaum auf. Wer nicht aktiv geschult ist, sieht nur den Anzeigenamen.
Schweizer KMU sind im Vollblick. Microsoft 365 ist Standard. Teams ist überall. Und Helpdesk-Outsourcing oder Multi-Tenant-Setups (zum Beispiel mit IT-Dienstleistern) sind so verbreitet, dass externe Kontakte nicht automatisch verdächtig wirken.
Vier Massnahmen, die wirken
1. External Access einschränken. Im Microsoft Teams Admin Center unter «External access» entweder komplett deaktivieren oder auf eine Allowlist von echten Geschäftspartner-Tenants beschränken. Das ist der wichtigste Hebel und kostet nichts ausser einer kurzen Konfiguration. Wer mit niemandem ausserhalb der eigenen Organisation chatten muss, schaltet es einfach ab.
2. Quick Assist und unautorisierte RMM-Tools blockieren. Quick Assist ist auf jedem Windows vorinstalliert und wird in dieser Angriffswelle gezielt missbraucht. Auf Endpoints per Group Policy oder Intune deaktivieren. Andere RMM-Tools wie AnyDesk, TeamViewer, ScreenConnect nur über Application Allowlisting (zum Beispiel Microsoft Defender Application Control oder AppLocker) zulassen, wenn sie überhaupt nötig sind.
3. Mitarbeitende schulen – mit konkretem Beispiel. Ein 5-Minuten-Briefing reicht: «Wenn Dich jemand in Teams kontaktiert und sich als Support ausgibt, prüfe ob unter dem Namen ‚Extern‘ steht. Wenn ja: niemals Login-Daten eingeben, niemals Tools installieren, niemals Bildschirm freigeben. Im Zweifel: Ticket aufmachen oder direkt im Büro nachfragen.» Das ist nicht kompliziert, muss aber einmal explizit gesagt werden.
4. Conditional Access mit MFA-Phishing-Resistance. Wenn doch jemand Zugangsdaten preisgibt: Conditional-Access-Policies mit phishing-resistenter MFA (FIDO2-Schlüssel oder Passkeys) machen das gestohlene Passwort wertlos. Auch Token-Replay-Schutz (Continuous Access Evaluation) hilft, gestohlene Session-Tokens kurzlebig zu halten.
Was Du diese Woche prüfen solltest
- Ist External Access in Teams auf «Allow only specific external domains» oder komplett «Off»?
- Ist Quick Assist auf den Endpoints deaktiviert oder zumindest auditiert?
- Wissen die Mitarbeitenden, dass die kleine «Extern»-Markierung in Teams ein Warnsignal ist?
- Sind die Admin-Konten mit phishing-resistenter MFA gesichert?
Das sind vier Häkchen, die in einer Stunde gemacht sind und einen ganzen Angriffsweg schliessen.
Drei Sätze zum Mitnehmen
Microsoft Teams External Access ist standardmässig offen – das ist eine Komfort-Funktion, die in dieser Angriffswelle zum Einfallstor wird.
Helpdesk-Impersonation funktioniert, weil Mitarbeitende dem Support vertrauen und die «Extern»-Markierung in Teams leicht übersehen.
Vier konkrete Massnahmen – External Access einschränken, Quick Assist blockieren, kurzes Awareness-Briefing, phishing-resistente MFA – schliessen den ganzen Angriffsweg in einer Stunde.
Brauchst Du Beratung dazu?
Wenn Du Dir unsicher bist, wie External Access bei Euch konfiguriert ist oder ob Eure RMM-Tool-Strategie sauber ist: Schreib uns kurz. Wir schauen gemeinsam drauf.
Quelle: Cyberproof Threat Alerts vom 27. April 2026 – «Threat actors abusing external collaboration features in Microsoft Teams».