Das Bundesamt für Cybersicherheit (BACS) warnt derzeit vor einer umfassenden Phishing-E-Mail-Welle, bei der täuschend echte Microsoft-Nachrichten selbst gut informierte und aufmerksame Mitarbeitende zur Preisgabe von Zugangsdaten verleiten. KMU reduzieren dieses Geschäftsrisiko, indem sie ihre Microsoft-365-Sicherheitsumgebung aktiv betreuen und Identitäten sowie Zugriffe laufend überwachen.
Phishing E-Mail: Ein bekanntes Risiko in neuer Qualität
Phishing E-Mails gehören seit Jahren zu den verbreitetsten Angriffsformen – doch das Niveau hat sich deutlich verändert: Heute setzen Angreifer diese Methode wesentlich professioneller und glaubwürdiger ein als noch vor einigen Jahren. Das Bundesamt für Cybersicherheit (BACS) zeigt in seinem aktuellen Rückblick1, wie Angreifer nun Microsoft SharePoint nutzen, um Unternehmen über scheinbar legitime Dateifreigaben anzugreifen.
Dabei geht es nicht um plumpe Spam-Nachrichten mit offensichtlichen Rechtschreibfehlern. Ganz im Gegenteil: Moderne Phishing E-Mails fügen sich nahtlos in den Arbeitsalltag ein. Sie greifen bekannte Prozesse auf, verwenden reale Plattformen und setzen auf Vertrauen statt auf technische Schwachstellen.
Was ist eine Phishing E-Mail? Und warum ist sie für Unternehmen so gefährlich?
Eine Phishing E-Mail ist eine betrügerische Nachricht, die Empfänger dazu verleiten soll, sensible Informationen wie Passwörter, Zugangsdaten oder andere vertrauliche Angaben preiszugeben. In vielen Fällen geschieht dies über einen Link, der zu einer täuschend echt nachgebauten Login-Seite führt.
Für Unternehmen entsteht daraus ein erhebliches Risiko, weil Phishing E-Mails nicht nur einzelne Personen betreffen, sondern direkt auf zentrale Unternehmenssysteme abzielen. Wird ein Microsoft-365-Konto kompromittiert, erhalten Angreifer unter Umständen Zugriff auf E-Mails, SharePoint-Dokumente, Teams-Chats und weitere geschäftskritische Informationen.
Besonders gefährlich sind Phishing E-Mails dann, wenn sie bekannte Plattformen wie Microsoft SharePoint missbrauchen. Mitarbeitende erwarten dort regelmässig Einladungen, Freigaben oder Benachrichtigungen. Genau diese Erwartungshaltung nutzen Angreifer gezielt aus.
Warum SharePoint-basierte Phishing E-Mails besonders wirksam sind
Microsoft SharePoint ist in vielen KMU fest im Arbeitsalltag verankert. Die Mitarbeitenden teilen damit Dokumente, bearbeitet sie gemeinsam und aktualisieren sie regelmässig. Eine E-Mail mit dem Hinweis «Ein Dokument wurde mit Ihnen geteilt» wirkt daher plausibel.
Die im BACS-Wochenrückblick beschriebenen Phishing E-Mails setzen genau hier an. Sie verwenden eine Reihe von vertrauenswürdigen Signalen, um die Empfänger zu täuschen:
- Echte Microsoft-Domains als Zwischenschritt
- Realistische Absenderinformationen
- Sprachlich korrekte Inhalte
- Glaubwürdige Betreffzeilen
Für Mitarbeitende – selbst für gut geschulte – ist es kaum möglich, solche E-Mails allein anhand äusserer Merkmale als Phishing zu erkennen. Der Angriff zielt vor allem auf Routine und Vertrauen.
Phishing E-Mail als Geschäftsrisiko
Für Geschäftsleitungen ist es entscheidend einzuordnen, welche konkreten Auswirkungen eine erfolgreiche Phishing E-Mail haben kann. Denn in der Praxis bleibt es selten bei einem einzelnen Vorfall.
Typische Folgen einer erfolgreichen Phishing E-Mail
| Unternehmensbereich | Mögliche Auswirkungen |
|---|---|
| Betrieb | Zugriff auf interne Dokumente, Projektverzögerungen |
| Finanzen | Betrugsversuche, falsche Zahlungsanweisungen |
| Reputation | Vertrauensverlust bei Kunden und Partnern |
| Recht & Compliance | Datenschutzverletzungen, Meldepflichten |
| Sicherheit | Interne Weiterverbreitung weiterer Phishing E-Mails |
Gerade in KMU sind Benutzerkonten oft breit berechtigt, d.h. die jeweiligen Nutzenden haben Zugriff auf eine Vielzahl von Daten bzw. Ebenen. Ein kompromittiertes Konto kann daher weitreichende Folgen haben – technisch wie organisatorisch.
Warum klassische Schutzmassnahmen gegen Phishing E-Mails nicht mehr ausreichen
Viele KMU haben ihre IT-Sicherheit in den letzten Jahren kontinuierlich ausgebaut. Spamfilter, Virenschutz und Firewalls gehören heute zum Standard. Diese Massnahmen bleiben wichtig, adressieren jedoch vor allem bekannte Schadsoftware und einfache Angriffe.
Moderne Phishing E-Mails umgehen diese Schutzmechanismen, weil sie ohne die typischen Erkennungsmerkmale auskommen:
- Sie enthalten keine Schadsoftware
- Sie nutzen legitime und vertrauenswürdige Plattformen
- Sie arbeiten mit echten Benutzerkonten
Sobald Angreifer über gültige Microsoft-365-Zugangsdaten verfügen, bewegen sie sich innerhalb der regulären Umgebung. Technisch unterscheiden sie sich kaum von legitimen Nutzenden. Genau das macht die Erkennung so schwierig.
Der Perspektivenwechsel: Von der E-Mail zur Identität
Phishing E-Mails sind heute vor allem ein Identitätsproblem. Der eigentliche Schaden entsteht dabei nicht durch die E-Mail selbst, sondern durch den Missbrauch der erlangten Identitäts- und Zugangsdaten.
Der Fokus moderner Cyber Security verschiebt sich deshalb von einzelnen Schutzsystemen hin zu weiteren Sicherheitsanforderungen:
- Identitätsschutz
- Zugriffskontrolle
- Kontinuierliche Überwachung.
Phishing E-Mail: Früher vs. heute
| Früher | Heute |
|---|---|
| Auffällige Absender | Reale Microsoft-Dienste |
| Schlechte Sprache | Professionelle Formulierungen |
| Direkte Fake-Links | Mehrstufige Weiterleitungen |
| Leicht erkennbar | Selbst für erfahrene Mitarbeitende schwer erkennbar |
| Technisches Problem | Geschäftsrisiko |
Wie KMU das Risiko durch Phishing E-Mails wirksam reduzieren
Statt auf isolierte Massnahmen zu setzen, braucht es einen ganzheitlichen Ansatz, der Technik, Prozesse und Menschen verbindet. Entscheidend sind dabei zweifellos die Sicherheitsfunktionen, doch noch wichtiger ist deren Zusammenspiel im Alltag.
Zentral sind drei Ebenen:
- Der Schutz von Identitäten
- Die Sichtbarkeit von Auffälligkeiten
- Die Fähigkeit zur schnellen Reaktion
Erst wenn diese Ebenen zusammenwirken, lassen sich Phishing E-Mails sowohl abfangen, als auch ihre Folgen wirksam begrenzen.
Identitätsschutz als Fundament der Phishing-Abwehr
Der wichtigste Schutz gegen Phishing E-Mails ist eine konsequent abgesicherte Identität. Zugangsdaten allein dürfen nicht ausreichen, um Schaden anzurichten. Zusätzliche Schutzmechanismen wie Multifaktor-Authentifizierung und Zugriffsbeschränkungen reduzieren das Risiko erheblich.
Dabei geht es nicht nur um Technik, sondern auch um klare Regeln: Wer darf von wo aus auf welche Ressourcen zugreifen? Welche Geräte gelten als vertrauenswürdig? Welche Anmeldungen erfordern zusätzliche Prüfungen?
Sichtbarkeit schaffen: Warum Monitoring entscheidend ist
Selbst mit guten Schutzmechanismen lässt sich nicht jede Phishing E-Mail verhindern. Entscheidend ist daher, was danach passiert. Ohne laufende Überwachung bleiben viele Vorfälle unentdeckt – oft über Wochen oder Monate.
Ein wirksames Monitoring erkennt verschiedene Auffällligkeiten:
- Ungewöhnliche Anmeldezeiten
- Anmeldungen aus ungewohnten Regionen
- Auffällige Download-Muster
- Wiederholte fehlgeschlagene Login-Versuche
Diese Informationen ermöglichen es, frühzeitig zu reagieren, bevor grösserer Schaden entsteht.
Reaktion im Ernstfall: Zeit ist der kritische Faktor
Wird ein Konto durch eine Phishing E-Mail kompromittiert, zählt jede Minute. Je schneller die Reaktion erfolgt, desto geringer fällt der Schaden aus. Klare Abläufe und Zuständigkeiten sind deshalb entscheidend.
Unternehmen sollten im Vorfeld eine Reihe von Notfallmassnahmen in einem Disaster Recovery Plan definieren:
- Wer wird bei einem Phishing-Vorfall informiert?
- Wer sperrt Konten oder entzeiht Zugriffe?
- Wie werden betroffene Daten geprüft?
- Wie wird intern kommuniziert wird?
Ohne solche Prozesse bleibt auch die beste Technik wirkungslos – Sicherheitsfunktionen, Monitoring-Werkzeuge und Richtlinien sind zwar vorhanden, greifen aber nicht zuverlässig, wenn nicht klar definiert ist, wer welche Schritte wann auslöst, wie im Ernstfall entschieden wird und wie Informationen zwischen IT, Geschäftsleitung und Mitarbeitenden fliessen.
Die Herausforderung für KMU: Betrieb statt Theorie
In Gesprächen mit KMU zeigt sich immer wieder: Das Bewusstsein für Phishing E-Mails ist vorhanden. Schwieriger ist es, Sicherheitsmassnahmen dauerhaft und konsequent umzusetzen.
Typische Situationen:
-
Viele KMU richten Sicherheitsfunktionen einmal ein und überprüfen sie danach nicht mehr
- Warnmeldungen geraten im Alltag schnell in den Hintergrund
- Neue Angriffsmuster fliessen nicht zeitnah in die Sicherheitskonfiguration ein
- Im Alltag bleibt oft unklar, wer konkret wofür verantwortlich ist
Im Fall von SharePoint bietet Microsoft 365 zwar leistungsfähige Sicherheitsfunktionen. Ohne aktive Betreuung bleiben diese jedoch oft unter ihren Möglichkeiten.
Aktive Betreuung als pragmatischer Lösungsansatz
Gegen Phishing E-Mail-Attacken bewährt sich der Ansatz einer aktiv betreuten Microsoft-365-Sicherheitsumgebung. Sicherheit wird nicht als einmaliges Projekt mit punktuellen Massnahmen verstanden. Vielmehr ist es eine fortlaufende Aufgabe, die kontinuierlich stattfindet.
| Punktuelle Massnahmen | Aktive Betreuung |
|---|---|
| Einmalige Einrichtung | Laufende Optimierung |
| Reaktion nach Vorfall | Früherkennung |
| Unklare Zuständigkeiten | Klare Verantwortung |
| Geringe Transparenz | Regelmässige Auswertung |
Einordnung aus der Praxis
IT-Dienstleister mit Spezialisierung auf Microsoft-365-Umgebungen, wie z.B. care4IT, begleiten KMU genau bei diesen Fragestellungen. Der Fokus liegt dabei auf dem stabilen Betrieb einer sicheren Arbeitsumgebung, nicht auf einzelnen Tools.
Gerade im Zusammenhang mit Phishing E-Mails zeigt sich der Mehrwert einer aktiven Betreuung: Auffällige Anmeldungen werden früh erkannt, Sicherheitsrichtlinien laufend angepasst und Reaktionszeiten deutlich verkürzt. Die Geschäftsleitung erhält Transparenz über Risiken und getroffene Massnahmen.
Fazit: Phishing E-Mail als Daueraufgabe für KMU
Der aktuelle Hinweis des Bundesamts für Cybersicherheit zeigt deutlich: Phishing E-Mails entwickeln sich weiter und werden gezielter, glaubwürdiger und gefährlicher. SharePoint-basierte Angriffe stehen exemplarisch für diese Entwicklung.
Anstatt durch einzelne Massnahmen reduzieren KMU dieses Risiko, indem sie ihre Microsoft-365-Sicherheitsumgebung aktiv betreiben, überwachen und weiterentwickeln. Eine kontinuierlich betreute Sicherheitsstrategie schafft dafür die notwendige Grundlage – technisch wie organisatorisch.
Häufige Fragen zu Phishing E-Mails im Unternehmen
Warum fallen selbst aufmerksame Mitarbeitende auf Phishing E-Mails herein?
Weil moderne Phishing E-Mails reale Plattformen wie Microsoft SharePoint nutzen und inhaltlich zum Arbeitsalltag passen. Dadurch fehlen oft klassische Warnsignale, und die Nachricht wirkt wie eine normale Freigabe oder Benachrichtigung.
Reicht Sensibilisierung gegen Phishing E-Mails aus?
Nein. Phishing erkennen bleibt zwar eine wichtige Disziplin für sämtliche Mitarbeitenden und Schulungen bleiben notwendig. Doch sie ersetzen keine technische und organisatorische Absicherung. Wirksam wird der Schutz erst, wenn das Unternehmen oder sein IT-Dienstleister Identitäten (z.B. Multifaktor-Authentifizierung), Zugriffe und Sicherheitsmeldungen in Microsoft 365 konsequent betreut und überwacht.
Wie schnell muss auf eine erfolgreiche Phishing E-Mail reagiert werden?
Idealerweise innerhalb weniger Minuten. Je länger ein kompromittiertes Konto aktiv bleibt, desto eher können Angreifer Daten abziehen, interne Phishing-Nachrichten versenden oder Berechtigungen ausnutzen. Klare Zuständigkeiten und ein definierter Ablauf sind entscheidend.
Sind Phishing E-Mails auch für kleine Unternehmen relevant?
Ja. KMU sind besonders betroffen, weil sie oft weniger Ressourcen für kontinuierliche Cyber Security haben und Microsoft 365 als zentrale Arbeitsplattform nutzen. Ein einziges kompromittiertes Benutzerkonto kann bereits ausreichen, um Betrieb, Reputation und Compliance zu gefährden.
Quellen:
1 Bundesamt für Cybersicherheit (BACS) – Wochenrückblick 5/2026
