Cyberangriffe werden nicht nur raffinierter, sondern auch zunehmend menschlicher. Eine aktuelle Angriffsmethode zeigt, wie Kriminelle gezielt Vertrauen ausnutzen: Sie geben sich als IT-Helpdesk aus und kontaktieren Mitarbeitende direkt über Kollaborationstools wie Microsoft Teams. Statt klassischer Phishing-Mails beginnt der Angriff also mitten im Arbeitsalltag – dort, wo Kommunikation normalerweise als sicher gilt.

Wie der Angriff funktioniert

Der Angriff startet mit einer scheinbar harmlosen Nachricht: Ein angeblicher IT-Mitarbeiter meldet sich über Teams und behauptet, ein Sicherheitsproblem beheben zu müssen. Die Angreifer nutzen dabei externe Zugänge („Cross-Tenant“), wodurch sie wie legitime Kontakte erscheinen können.

Obwohl Microsoft Teams Warnhinweise anzeigt – etwa bei externen Kontakten oder verdächtigen Nachrichten – basiert der Angriff darauf, dass Nutzer diese ignorieren. Oft erzeugen die Täter gezielt Druck oder Dringlichkeit („Ihr Konto ist gefährdet“), um schnelle Entscheidungen zu erzwingen.

Der entscheidende Schritt: Fernzugriff

Im nächsten Schritt überreden die Angreifer ihr Opfer, eine Fernwartung zu starten, zum Beispiel über „Quick Assist“. Gibt der Nutzer den Zugriff frei, übernehmen die Angreifer die Kontrolle über den Rechner auf eine Art und Weise, völlig legitim wirkt.

Innerhalb weniger Sekunden können sie:

• Programme starten
• Befehle ausführen
• Systemrechte ausweiten

Was nach dem Zugriff passiert

Sobald der erste Zugang steht, läuft der Angriff in mehreren Phasen ab:

1. Schnelle Analyse des Systems

Die Angreifer prüfen unmittelbar:

• Benutzerrechte
• Systeminformationen
• Netzwerkzugang

So entscheiden sie, ob sich der Angriff lohnt oder ob sie später zurückkehren.

2. Tarnung durch legitime Software

Statt auffälliger Malware setzen die Täter auf echte, signierte Programme. Diese werden mit manipulierten Zusatzdateien kombiniert, um Schadcode auszuführen. Dadurch wirkt alles wie normale Softwareaktivität.

3. Aufbau von Kontrolle im Hintergrund

Konfigurationsdaten werden oft verschlüsselt in der Registry gespeichert und erst zur Laufzeit genutzt. So bleibt kaum eine Spur auf der Festplatte zurück.

4. Kommunikation mit Kontrollservern

Die kompromittierten Systeme bauen verschlüsselte Verbindungen zu externen Servern auf. Diese sehen aus wie normaler Webverkehr und fallen daher selten auf.

5. Bewegung im Netzwerk

Über Standardprotokolle wie Windows Remote Management (WinRM) bewegen sich die Angreifer weiter im Unternehmen, oft in Richtung besonders sensibler Systeme wie Domain Controller.

6. Dauerhafter Zugriff

Zusätzliche Fernwartungssoftware wird installiert, damit der Zugriff auch bestehen bleibt, wenn erste Spuren entfernt werden.

7. Datendiebstahl

Am Ende werden gezielt Unternehmensdaten gesammelt und über Tools wie Rclone in externe Cloudspeicher übertragen. Dabei achten die Täter darauf, nur relevante Daten mitzunehmen, um unauffällig zu bleiben.

Warum dieser Angriff so gefährlich ist

Das Besondere: Es wird kaum klassische Schadsoftware eingesetzt. Stattdessen nutzen die Angreifer:

• legitime Programme
• vorhandene Admin-Werkzeuge
• echte Benutzerzugriffe

Dadurch verschwimmen die Grenzen zwischen normaler IT-Arbeit und Angriff. Viele Sicherheitslösungen erkennen solche Aktivitäten erst spät oder gar nicht.

Schutzmaßnahmen für Unternehmen

Um solche Angriffe zu verhindern, braucht es eine Kombination aus Technik, Prozessen und geschulten Mitarbeitenden.

1. Misstrauen gegenüber externem IT-Support

• Unaufgeforderte Helpdesk-Anfragen immer hinterfragen
• Identität über einen zweiten Kanal prüfen (z. B. Telefon)
• Keine spontanen Fernwartungen akzeptieren

2. Teams-Sicherheit richtig konfigurieren

• Externe Kommunikation einschränken oder gezielt erlauben
• Warnhinweise für externe Kontakte verpflichtend sichtbar machen
• Unbekannte Kontakte standardmäßig blockieren

3. Fernzugriff stark kontrollieren

• Tools wie Quick Assist nur für autorisierte Rollen erlauben
• Sitzungen protokollieren und überwachen
• Adminrechte minimieren

4. Starke Identitätsabsicherung

• Multi-Faktor-Authentifizierung für alle Konten
• Besonders strenge Regeln für Admin-Zugriffe
• Zugriff nur von vertrauenswürdigen Geräten zulassen

5. Netzwerk und Systeme überwachen

• ungewöhnliche Remote-Zugriffe erkennen
• Nutzung von Tools wie Rclone überwachen
• verdächtige Registry- oder Prozessaktivitäten analysieren

6. Technische Härtung

• DLL-Sideloading durch Richtlinien verhindern
• unsichere Protokolle und unnötige Dienste deaktivieren
• Application Control einsetzen

7. Mitarbeiterschulung

• klare Regel: IT fordert niemals ungefragt Fernzugriff
• externe Teams-Nachrichten kritisch prüfen
• typische Betrugsmaschen erkennen lernen
• interne „Authentifizierungsregeln“ für den Helpdesk definieren (z. B. Codewort)

Die größte Schwachstelle ist nicht die Technik, sondern der Mensch. Angreifer setzen gezielt auf Vertrauen, Routine und Zeitdruck. Unternehmen müssen deshalb umdenken. Moderne IT-Sicherheit bedeutet nicht nur, Systeme zu schützen, sondern auch, Menschen zu befähigen, Angriffe zu erkennen und richtig zu reagieren.