Microsoft 365 Sicherheit: Bedrohungen und Verteidigung
Bei der Microsoft 365 Sicherheit geht es um den Schutz von Identität, E-Mail und Daten im Microsoft-Cloud-Ökosystem. Die Hauptbedrohung heute ist nicht das Passwort, sondern die Session: AiTM-Angriffe und OAuth-Token-Diebstahl umgehen klassische MFA, gefolgt von BEC und Betrug. Verteidigung erfordert Identitätsschutz nach der Authentifizierung (ITDR), AiTM-Anti-Phishing und kontinuierliche Detection & Response auf der Defender-Plattform.
Der Perimeter ist die Identität
Mit Microsoft 365 leben die Daten und die Identität in der Cloud: Der Perimeter ist nicht mehr das Netzwerk, er ist die Identität. Angreifer wissen das und haben aufgehört, Passwörter zu stehlen: Sie stehlen Sessions. Es ist der Paradigmenwechsel, der klassische MFA notwendig, aber nicht mehr ausreichend macht.
Die Session ist die neue Zugangsberechtigung
Bei AiTM- und Device-Code-Angriffen erbeutet der Angreifer den Session-Token nach legitimer Authentifizierung: Er gelangt in M365, ohne Alarme auszulösen, manchmal wochenlang. Von dort beginnt BEC: Posteingangsregeln, um Alarme zu verbergen, Zahlungsumleitung, Exfiltration, alles mit legitimen APIs.
M365 wirklich verteidigen
Drei Hebel: Identität (ITDR, erweiterte Conditional Access, FIDO2/Passkey), AiTM-Anti-Phishing, das blockiert, bevor Zugangsdaten eingegeben werden, und kontinuierliche Detection & Response auf der Defender- und Sentinel-Plattform, betrieben von einem 24·7-SOC. Der Service: MDR auf Microsoft Defender.
M365-Bedrohung → Verteidigung
| Bedrohung | Was sie macht | Verteidigung |
|---|---|---|
| AiTM-Phishing | Fängt Zugangsdaten und Tokens im Reverse-Proxy ab | AiTM-Anti-Phishing, FIDO2/Passkey |
| OAuth-Token-Diebstahl | Nutzt die Session, überspringt MFA | ITDR, Anomalieerkennung nach Auth |
| BEC | Betrug über kompromittiertes Postfach | Verhaltensbasierte Detection, MDR |
Die Analyse der PhaaS-Plattform Kali365 (800 Domains kartiert) zeigt, wie OAuth-Token-Diebstahl nach legitimer Authentifizierung klassische MFA auf Microsoft 365 umgeht: der Beweis, dass Identitätsschutz nach der Authentifizierung nötig ist.
Zur Analyse →Häufige Fragen.
Reicht MFA, um Microsoft 365 zu schützen?
Nein, nicht allein. AiTM-Angriffe und Session-Token-Diebstahl umgehen klassische MFA, indem sie die Session nach der Authentifizierung stehlen. Man braucht FIDO2/Passkey, AiTM-Anti-Phishing und Identitätsschutz nach der Authentifizierung (ITDR).
Was ist ein AiTM-Angriff auf M365?
AiTM (Adversary-in-the-Middle) ist Reverse-Proxy-Phishing, das Zugangsdaten und Session-Tokens in Echtzeit abfängt und so Zugang selbst bei aktivierter MFA ermöglicht. Siehe AiTM-Phishing-Schutz.
Was ist BEC (Business Email Compromise)?
Es ist Betrug, der von einem kompromittierten Postfach ausgeht: Der Angreifer liest die Threads, schaltet sich ein und leitet Zahlungen oder Daten um. Er nutzt keine Malware: legitime Tokens und APIs, sodass der Endpoint nichts sieht.
Wie schützt man Microsoft 365?
Identität (ITDR, Conditional Access, FIDO2), AiTM-Anti-Phishing und kontinuierliche Detection & Response auf der Defender- und Sentinel-Plattform, betrieben von einem 24·7-SOC. Siehe MDR auf Microsoft Defender.
Von der Theorie zum realen Einsatz.
Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: MDR auf Microsoft Defender.
Verwandte Ressourcen: AiTM-Phishing-Schutz · Identitätsschutz (ITDR) · Was ist MDR
Ein technisches Gespräch, kein Funnel.
Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.