Ressourcen · Leitfaden · MDR · CTI · 1 Min. Lesezeit

Microsoft 365 Sicherheit: Bedrohungen und Verteidigung

Kurz gesagt

Bei der Microsoft 365 Sicherheit geht es um den Schutz von Identität, E-Mail und Daten im Microsoft-Cloud-Ökosystem. Die Hauptbedrohung heute ist nicht das Passwort, sondern die Session: AiTM-Angriffe und OAuth-Token-Diebstahl umgehen klassische MFA, gefolgt von BEC und Betrug. Verteidigung erfordert Identitätsschutz nach der Authentifizierung (ITDR), AiTM-Anti-Phishing und kontinuierliche Detection & Response auf der Defender-Plattform.

Der Perimeter ist die Identität

Mit Microsoft 365 leben die Daten und die Identität in der Cloud: Der Perimeter ist nicht mehr das Netzwerk, er ist die Identität. Angreifer wissen das und haben aufgehört, Passwörter zu stehlen: Sie stehlen Sessions. Es ist der Paradigmenwechsel, der klassische MFA notwendig, aber nicht mehr ausreichend macht.

Die Session ist die neue Zugangsberechtigung

Bei AiTM- und Device-Code-Angriffen erbeutet der Angreifer den Session-Token nach legitimer Authentifizierung: Er gelangt in M365, ohne Alarme auszulösen, manchmal wochenlang. Von dort beginnt BEC: Posteingangsregeln, um Alarme zu verbergen, Zahlungsumleitung, Exfiltration, alles mit legitimen APIs.

M365 wirklich verteidigen

Drei Hebel: Identität (ITDR, erweiterte Conditional Access, FIDO2/Passkey), AiTM-Anti-Phishing, das blockiert, bevor Zugangsdaten eingegeben werden, und kontinuierliche Detection & Response auf der Defender- und Sentinel-Plattform, betrieben von einem 24·7-SOC. Der Service: MDR auf Microsoft Defender.

Vergleich

M365-Bedrohung → Verteidigung

BedrohungWas sie machtVerteidigung
AiTM-PhishingFängt Zugangsdaten und Tokens im Reverse-Proxy abAiTM-Anti-Phishing, FIDO2/Passkey
OAuth-Token-DiebstahlNutzt die Session, überspringt MFAITDR, Anomalieerkennung nach Auth
BECBetrug über kompromittiertes PostfachVerhaltensbasierte Detection, MDR
Feldbeobachteter Nachweis · M365-Session-Diebstahl

Die Analyse der PhaaS-Plattform Kali365 (800 Domains kartiert) zeigt, wie OAuth-Token-Diebstahl nach legitimer Authentifizierung klassische MFA auf Microsoft 365 umgeht: der Beweis, dass Identitätsschutz nach der Authentifizierung nötig ist.

Zur Analyse →
FAQ

Häufige Fragen.

Reicht MFA, um Microsoft 365 zu schützen?

Nein, nicht allein. AiTM-Angriffe und Session-Token-Diebstahl umgehen klassische MFA, indem sie die Session nach der Authentifizierung stehlen. Man braucht FIDO2/Passkey, AiTM-Anti-Phishing und Identitätsschutz nach der Authentifizierung (ITDR).

Was ist ein AiTM-Angriff auf M365?

AiTM (Adversary-in-the-Middle) ist Reverse-Proxy-Phishing, das Zugangsdaten und Session-Tokens in Echtzeit abfängt und so Zugang selbst bei aktivierter MFA ermöglicht. Siehe AiTM-Phishing-Schutz.

Was ist BEC (Business Email Compromise)?

Es ist Betrug, der von einem kompromittierten Postfach ausgeht: Der Angreifer liest die Threads, schaltet sich ein und leitet Zahlungen oder Daten um. Er nutzt keine Malware: legitime Tokens und APIs, sodass der Endpoint nichts sieht.

Wie schützt man Microsoft 365?

Identität (ITDR, Conditional Access, FIDO2), AiTM-Anti-Phishing und kontinuierliche Detection & Response auf der Defender- und Sentinel-Plattform, betrieben von einem 24·7-SOC. Siehe MDR auf Microsoft Defender.

Wie Fortgale es liefert

Von der Theorie zum realen Einsatz.

Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: MDR auf Microsoft Defender.

Verwandte Ressourcen: AiTM-Phishing-Schutz · Identitätsschutz (ITDR) · Was ist MDR

Mit einem Analysten vertiefen?

Ein technisches Gespräch, kein Funnel.

Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.

Antwortzeit: < 1 Werktag.