Viele IT- und Sicherheitsverantwortliche denken beim Thema E-Mail-Sicherheit vor allem an Phishing und ähnliche Gefahren in Verbindung mit dem Diebstahl von Zugangsdaten durch Cyberkriminelle. Aber zunehmend rücken auch bislang weniger beachtete Funktionen von E-Mail-Software wie Outlook in den Fokus der Diskussion: E-Mail-Regeln, Formulare und Mailfluss-Konnektoren können manipuliert werden und bergen ein ernstzunehmendes Risiko für Unternehmen, die Dienste wie Microsoft-365 nutzen.
Angreifer können die eingehend genannten Funktionen, welche eigentlich für die legitime Automatisierung und Steuerung des E-Mail-Verkehrs gedacht ist, ausnutzen, um dauerhaft und unbemerkt auf kompromittierte Konten zuzugreifen. Fälle wie die kritische Sicherheitslücke im Outlook-Modul „OLE“ (Object Linking and Embedding), vor der das BSI Anfang des Jahres warnte, häufen sich, und zeigen die potenziellen Gefahren im Microsoft-365-Ökosystem auf.
Wie Angreifer vorgehen
Erhält ein Angreifer die Zugangsdaten eines Microsoft-365-Kontos – etwa durch Phishing, Credential-Stuffing oder das Abfangen eines Einmalpassworts für die Multi-Faktor-Authentifizierung (MFA) – kann er Regeln in der E-Mail-Software, benutzerdefinierte Outlook-Formulare oder Nachrichtenfluss-Konnektoren einrichten. E-Mail-Regeln und Formulare ermöglichen es in Outlook Nachrichten automatisch weiterzuleiten, zu löschen oder zu verändern. Bei missbräuchlicher Nutzung können damit unter anderem betrügerische Aktivitäten verschleiert und Daten entwendet werden.
Konnektoren, die serverseitig in Microsoft Exchange Online arbeiten, steuern den E-Mail-Verkehr zwischen Exchange Online und anderen Systemen. Angreifer können diese so konfigurieren, dass E-Mails über fremde Server umgeleitet, Absenderangaben verändert oder Antworten auf eigene Domains umgeleitet werden. Da diese Konfigurationen in der Cloud gespeichert werden, bleiben sie auch nach Passwortänderungen, einer Neueinrichtung der MFA oder einer Neuinstallation des E-Mail-Clients bestehen. Sie werden nur entdeckt, wenn gezielt danach gesucht wird.
Typische Angriffsmuster
Angreifer durchsuchen nach der Anmeldung eines kompromittierten Kontos das Postfach nach geschäftlich relevanten Inhalten, beispielsweise offenen Rechnungen. Anschließend richten sie Regeln oder Connectors ein, um die betroffene Kommunikation abzufangen und zu manipulieren, etwa indem legitime Zahlungsanweisungen durch gefälschte ersetzt werden.
Antworten der Empfänger werden häufig so umgeleitet, dass sie den Kontoinhaber nicht erreichen. Dadurch kann der Angriff über Tage oder Wochen unbemerkt bleiben. Selbst ansonsten technisch gut geschützte Unternehmen und deren Sicherheitsverantwortliche können so hinters Licht geführt werden, was erhebliche finanziellen Schäden zur Folge haben kann.
Die zunehmende Ausnutzung von Mailfluss-Konnektoren durch Cyberkriminelle hängt auch damit zusammen, dass viele Organisationen sich der Gefahr schlicht nicht bewusst sind. Sicherheitsverantwortliche wissen nicht immer, dass diese Funktionen standardmäßig in Microsoft 365 verfügbar sind. Besonders kritisch sind Fälle, in denen einzelne Mitarbeiter ohne die nötigen Sicherheitskennnisse sowohl Nutzer- als auch Administratorrechte besitzen.
Maßnahmen zur Risikominimierung
Zunächst müssen Unternehmen und Sicherheitsteams ein Bewusstsein dafür entwickeln, dass diese Funktionen existieren und missbraucht werden können. Administratoren sollten regelmäßig sowohl Outlook-Regeln und -Formulare als auch Mailfluss-Konnektoren im Microsoft-365-Admin-Center prüfen und sicherstellen, dass alle Einträge legitim und erforderlich sind. Auch die eingesetzten Authentifizierungsmethoden sollten möglichst Phishing-resistent sein. So sorgt zum Beispiel der Einsatz von FIDO2-Sicherheitsschlüsseln oder Passkeys anstelle leicht abfangbarer Einmalpasswörter für mehr Sicherheit. Beim Einsatz von Security-Lösungen gilt, dass sie so eingerichtet werden sollten, dass bei der Erstellung oder Änderung von Regeln, Formularen und Connectors innerhalb der E-Mail-Software sofort eine Warnmeldung erfolgt.
Neben der Notwendigkeit Mitarbeitende zu schulen und über die Gefahren aufzuklären, gilt es für Sicherheitsteams auch, auffällige Muster im ausgehenden E-Mail-Verkehr oder Unstimmigkeiten bei Absenderinformationen zeitnah zu untersuchen. Die gewissenhafte Überprüfung der Microsoft-365-Funktionen, kombiniert mit dem Einsatz starker Authentifizierung und regelmäßigen Security-Schulungen für Mitarbeitende, kann das Risiko einer langfristigen und unbemerkten Kontoübernahme in Microsoft-365 deutlich reduzieren.
Von Dr. Martin Krämer, Security Awareness Advocate bei KnowBe4
