Mehrfaktor-Anmeldung schützt Konten nur dann zuverlässig, wenn sie an allen Stellen sauber umgesetzt und durch weitere Kontrollen ergänzt wird. Rund um eine neue Angriffsvariante namens Kali365 zeigt sich, wie Angreifer ihre Methoden an klassische Schutzmechanismen anpassen: Sie missbrauchen täuschend echte Anmeldeseiten, sammeln Zugangsdaten ab und nutzen anschließend Schwachstellen im Ablauf der Anmeldung aus. Für Microsoft-365-Umgebungen bedeutet das, dass nicht nur die Sichtbarkeit von Angriffen wichtig ist, sondern vor allem die richtige Härtung der Identität, des Mail-Systems und der Administrationsrechte.
Wer Microsoft 365 betreibt, sollte die Schutzschichten nicht isoliert betrachten. MFA ist ein Baustein, aber kein vollständiger Sicherheitsgürtel. Entscheidend ist, dass Anmeldewege eingeschränkt, Richtlinien präzise gesetzt und verdächtige Sitzungen früh erkannt werden. Genau dort setzt eine robuste Verteidigung an.
Wie der Angriff typischerweise abläuft
Die beobachtete Technik zielt auf den Punkt, an dem Nutzer ihre Zugangsdaten eingeben und eine Sitzung freigeben. Statt nur ein Passwort zu erbeuten, versuchen Täter, auch den zweiten Faktor zu umgehen oder vorhandene Sitzungen zu übernehmen. Dafür werden häufig gefälschte Login-Seiten, Proxy-Techniken oder manipulierte Weiterleitungen eingesetzt. Das Ergebnis ist oft ein gültiger Zugriff, obwohl MFA aktiviert ist.
Im nächsten Schritt folgen meist Änderungen am Postfach, an Weiterleitungen oder an Zugriffsregeln. Danach werden Konten ausgesperrt, Kennwörter zurückgesetzt oder Sicherheitsinformationen verändert. Gerade in Microsoft-365-Umgebungen kann das schnell mehrere Dienste betreffen, weil sich Identität, Mail, Teams und OneDrive an denselben Konten orientieren.
Erste Maßnahmen nach einem Verdacht
Bei einem konkreten Verdacht zählt die Reihenfolge. Zuerst muss der Zugriff des Angreifers unterbrochen werden, danach werden Spuren gesichert und anschließend die betroffenen Identitäten neu aufgebaut. So vermeiden Sie, dass ein Täter weiterhin in einer Sitzung arbeitet oder neue Tokens abgreift.
- Betroffene Konten sofort sperren oder das Kennwort zurücksetzen.
- Aktive Sitzungen, Refresh Tokens und Gerätebindungen widerrufen.
- Alle Weiterleitungen, Inbox-Regeln und App-Kennwörter prüfen.
- MFA-Registrierungen kontrollieren und unbekannte Methoden entfernen.
- Admin-Rollen, Gastzugänge und verbundene Anwendungen durchsehen.
- Mail- und Audit-Logs sichern, bevor sie überschrieben werden.
Wichtig ist dabei, den Zugriff nicht nur auf dem angegriffenen Konto zu stoppen. Häufig nutzen Täter weitere Konten als Sprungbrett, etwa über freigegebene Postfächer, alte Dienstkonten oder unklare Administratorrechte.
Schutz in Microsoft 365 richtig aufbauen
Ein wirkungsvoller Aufbau beginnt mit bedingtem Zugriff. Damit lassen sich Anmeldungen aus riskanten Ländern, von unbekannten Geräten oder bei auffälligem Verhalten blockieren. Zusätzlich sollte MFA nicht nur aktiviert, sondern in eine passende Methode überführt werden. Push-Bestätigungen allein sind anfällig für Zustimmungsbetrug; sicherer sind FIDO2-Schlüssel, Zertifikatsauthentifizierung oder streng geschützte Authenticator-Verfahren mit Nummernabgleich.
Auch die Standardeinstellungen verdienen Aufmerksamkeit. Alte Protokolle wie POP, IMAP, SMTP AUTH oder Legacy Authentication sollten abgeschaltet werden, sofern sie nicht zwingend benötigt werden. Diese Wege umgehen moderne Schutzfunktionen oft besonders leicht. Ebenso wichtig ist, dass Administratoren eigene Konten mit getrennten Identitäten nutzen und keine alltäglichen E-Mail-Konten für Verwaltungsaufgaben verwenden.
Diese Einstellungen gehören in die Prüfung
- Microsoft Entra ID: Anmelderisiken, bedingter Zugriff und MFA-Richtlinien.
- Exchange Admin Center: Weiterleitungsregeln, Transportregeln und externe Freigaben.
- Microsoft 365 Defender: Warnungen zu Identität, Mail und Cloud-Anwendungen.
- Entra-Überwachung: Anmeldeprotokolle, Änderungsereignisse und neue Geräte.
- Sicherheitscenter: Richtlinien für Benutzer, Administratoren und Gastkonten.
Wer diese Bereiche regelmäßig prüft, erkennt Manipulationen oft bevor sie sich ausbreiten. Das gilt besonders in Umgebungen mit vielen externen Partnern, mehreren Mandanten oder ausgelagertem IT-Betrieb.
Konten absichern, damit die Sperre nicht wiederkommt
Nach der Eindämmung geht es darum, die betroffenen Konten so neu aufzusetzen, dass ein erneuter Zugriff deutlich schwerer wird. Dazu gehört, alle Wiederherstellungswege zu säubern. Telefonnummern, alternative Mailadressen, App-Passwörter und veraltete Geräte müssen geprüft werden. Außerdem sollten Passwörter nur dann neu vergeben werden, wenn zuvor sämtliche aktiven Sitzungen und Tokens entfernt wurden.
In vielen Fällen lohnt sich ein kompletter Sicherheits-Reset für privilegierte Konten. Dazu zählen Administratoren, Mailbox-Besitzer mit Weiterleitungsrechten und Konten, die für Automatisierungen oder Schnittstellen eingesetzt werden. Nach der Wiederherstellung sollten neue MFA-Methoden eingerichtet und alte Registrierungen entfernt werden, damit kein zurückgelassener Faktor bestehen bleibt.
Was im Mail-System besonders gefährdet ist
E-Mail ist oft der erste Ort, an dem sich ein erfolgreicher Zugriff zeigt. Angreifer legen Weiterleitungen an, löschen Warnmails oder erstellen Regeln, die Sicherheitsbenachrichtigungen unsichtbar machen. Ebenso beliebt sind automatische Antworten an externe Ziele, um weitere Gespräche einzuleiten. Auch Shared Mailboxes sollten deshalb genau kontrolliert werden, denn dort bleiben Manipulationen oft lange unbemerkt.
Prüfen Sie regelmäßig, ob neue Regeln ohne bekannte Ursache auftauchen, ob externe Weiterleitungen zugelassen sind und ob Absenderauthentifizierung korrekt arbeitet. Für Organisationen mit hohem Schutzbedarf ist außerdem sinnvoll, ausgehende Mail-Flows so zu beschränken, dass kritische Nachrichten nicht ohne Kontrolle umgeleitet werden können.
Abwehr gegen MFA-Umgehung im laufenden Betrieb
Technisch wirksam wird Schutz erst dann, wenn mehrere Bausteine zusammenspielen. Eine einzelne Einstellung reicht selten aus. Sinnvoll ist ein Stufenmodell, das Identität, Endgerät und Sitzung gleichzeitig bewertet. So kann eine Anmeldung von einem bekannten Standort trotzdem blockiert werden, wenn das Gerät nicht verwaltet ist oder die Sitzung bereits riskant wirkt.
Zusätzlich hilft es, Anomalien automatisch zu melden. Dazu gehören neue Länder bei Anmeldung, ungewöhnliche Uhrzeiten, viele Fehlversuche, Änderungen an Sicherheitsinformationen und plötzliche Admin-Aktivitäten. Wer diese Hinweise an ein zentrales Monitoring oder an ein Security-Team weiterleitet, verkürzt die Zeit bis zur Reaktion deutlich.
Praktische Reihenfolge für die Härtung
- Legacy-Protokolle abschalten und Ausnahmen dokumentieren.
- Bedingten Zugriff für sensible Konten erzwingen.
- Phishing-resistente MFA für Administratoren einführen.
- Weiterleitungen, Gäste und App-Integrationen eng begrenzen.
- Protokolle zentral auswerten und Warnungen priorisieren.
- Wiederherstellungswege regelmäßig kontrollieren.
Diese Abfolge reduziert nicht nur das Risiko eines erfolgreichen Zugriffs, sondern erschwert auch die spätere Ausbreitung in andere Dienste. Je sauberer die Identitätsverwaltung, desto geringer die Wirkung einzelner Fehlklicks oder kompromittierter Anmeldeseiten.
Worauf Unternehmen und Einzelanwender achten sollten
In kleinen Umgebungen fehlt oft ein zentrales Security-Team, daher muss die tägliche Pflege umso disziplinierter sein. Einzelanwender profitieren von Hardware-Schlüsseln, einem Passwortmanager und sorgfältig geprüften Anmeldeseiten. Unternehmen brauchen zusätzlich klare Zuständigkeiten, damit Sicherheitswarnungen nicht in Postfächern liegen bleiben.
Besonders wichtig ist die Trennung von Rollen. Wer Mails verwaltet, sollte nicht zugleich unkontrolliert globale Rechte besitzen. Wer externe Partner einbindet, braucht zusätzliche Prüfungen für Freigaben und Gäste. Und wer auf cloudbasierte Identitäten setzt, sollte regelmäßig testen, ob Sperrung, Wiederherstellung und Protokollierung im Ernstfall wirklich funktionieren.
Damit wird aus einer reaktiven Verteidigung ein belastbares Konzept, das nicht nur auf bekannte Angriffswege reagiert, sondern auch auf neue Varianten vorbereitet ist.
Warum MFA-Umgehung in Microsoft 365 so wirksam ist
Mehrfaktor-Authentifizierung schützt nur dann zuverlässig, wenn die Anmeldung nicht an einer späteren Stelle wieder abgefangen wird. Bei Angriffen mit Geräten wie Kali365 greifen Täter daher oft nicht direkt das Kennwort an, sondern den gesamten Anmeldeprozess. Sie kombinieren Phishing-Seiten, Session-Diebstahl, Proxy-Techniken und Social Engineering, bis ein gültiger Zugriff vorliegt, der wie eine normale Benutzeranmeldung wirkt.
Für Unternehmen ist besonders heikel, dass ein erfolgreicher Zugriff häufig nicht sofort auffällt. Die Sitzung kann bereits bestehen, während im Hintergrund Regeln für Postfächer, Weiterleitungen oder neue App-Passwörter gesetzt werden. Danach reicht ein einziger zusätzlicher Schritt, etwa das Ändern von Berechtigungen oder das Hinzufügen eines Identitätsfaktors, und der echte Kontoinhaber verliert den Zugang wieder.
Die Schwachstellen liegen oft außerhalb des Kennworts
Wer nur auf Passwortlänge und klassische MFA schaut, übersieht mehrere Angriffsflächen. Typisch sind manipulierte Anmeldeseiten, OAuth-Missbrauch, unsauber eingerichtete Geräte-Registrierungen und schwache Freigaben für alte Protokolle. Auch Administratoren sind betroffen, wenn ihre Konten denselben Weg wie normale Benutzerkonten nehmen und keine zusätzlichen Schutzstufen haben.
- Proxy-Phishing leitet Eingaben an echte Microsoft-365-Dialoge weiter.
- Session-Cookies können nach der Anmeldung weiterverwendet werden.
- Alte Authentifizierungswege umgehen moderne Sicherheitsregeln teilweise.
- Unsichere App-Zugriffe erlauben späteren Missbrauch ohne erneute MFA-Abfrage.
Angriffswege im Konto sichtbar machen
Für die technische Einordnung reicht es nicht, nur den Login-Ablauf zu prüfen. Entscheidend ist die gesamte Kette aus Anmeldung, Token-Erstellung, Postfachänderungen und Gerätestatus. In Microsoft 365 und Entra ID sollten deshalb die Anmeldeprotokolle, Auditdaten und Risikoereignisse zusammen betrachtet werden. Erst das Gesamtbild zeigt, ob ein legitimer Nutzer sich eingeloggt hat oder ob ein Zugriff aus einer fremden Umgebung kam.
Eine gute Prüfung beginnt mit den Zeitpunkten, an denen der erste verdächtige Zugriff stattfand. Danach wird überprüft, ob neue Weiterleitungsregeln, Änderungen an Sicherheitsinformationen oder Registrierungen unbekannter Geräte aufgetaucht sind. Auch neue OAuth-Zustimmungen und ungewöhnliche Postfachberechtigungen gehören in diese Spurensicherung.
Diese Prüfungen gehören an den Anfang
- In Entra ID die Anmeldeprotokolle nach anomalen IP-Adressen, Ländern und Benutzeragenten filtern.
- Im Audit-Log nach Änderungen an MFA-Methoden, App-Kennwörtern und Geräteeinträgen suchen.
- In Exchange Online Postfachregeln, Weiterleitungen und Delegierungen kontrollieren.
- In den Identitäts- und Risikoberichten prüfen, ob ein Konto als gefährdet markiert wurde.
- OAuth-Berechtigungen auf neue oder ungewöhnliche Drittanbieter-Apps untersuchen.
Hilfreich ist eine feste Reihenfolge, damit keine Spur übersehen wird. Zuerst werden die Zugangsdaten und Sitzungen bewertet, danach die Postfachlogik, anschließend die Geräte- und App-Ebene. So lässt sich auch erkennen, ob ein Konto nur kurz missbraucht wurde oder bereits dauerhaft unter Kontrolle steht.
Kontrolle über Sitzung, App und Gerät zurückholen
Ist ein Konto kompromittiert, muss die aktive Sitzung sofort beendet werden. Dazu gehört mehr als nur das Zurücksetzen des Kennworts. Alle Zugriffstoken, Refresh-Tokens und verbundene Apps sollten entzogen werden, damit ein bereits eingeloggter Angreifer nicht einfach weitermachen kann. Danach folgt die Prüfung aller registrierten Sicherheitsinformationen, weil manipulierte Methoden sonst erneut Zugriff geben können.
Geräte mit verdächtigem Status sollten in Entra ID überprüft und gegebenenfalls entfernt oder neu bewertet werden. Gerade bei hybriden Umgebungen kommt es darauf an, ob sich ein Gerät regelkonform bei Intune oder über andere MDM-Verfahren verwaltet. Ein unsauber registriertes Endgerät kann dieselbe Tür erneut öffnen, selbst wenn das Passwort bereits geändert wurde.
Vorgehen zur technischen Bereinigung
- Sessions in Entra ID für das betroffene Konto widerrufen.
- Passwort neu setzen und dabei starke, einzigartige Werte verwenden.
- Alle MFA-Methoden des Kontos prüfen und unbekannte Einträge entfernen.
- Postfachregeln, automatische Weiterleitungen und Delegationen löschen.
- Drittanbieter-Apps und verbundene Identitäten entziehen, falls sie nicht zwingend gebraucht werden.
- Verdächtige Geräte aus dem Verwaltungsbestand nehmen oder neu aufsetzen.
Bei Administratorkonten sollte zusätzlich überprüft werden, ob privilegierte Rollen verändert wurden. Es genügt nicht, ein Benutzerkonto zu reparieren, wenn gleichzeitig eine neue Rolle vergeben oder eine bestehende Berechtigung ausgeweitet wurde. Auch Gruppenmitgliedschaften und administrative Zustimmungen müssen deshalb mit in die Analyse.
Schutzmechanismen so aufbauen, dass der Angriff ins Leere läuft
Der wirksamste Schutz beginnt mit einer sauberen Trennung zwischen normalen Konten und privilegierten Konten. Admin-Zugänge brauchen eigene Identitäten, separate Geräte und restriktive Anmeldebedingungen. Außerdem sollte der Zugriff nur aus verwalteten, gehärteten Endgeräten erfolgen. Dadurch sinkt die Wahrscheinlichkeit, dass ein abgegriffenes Sitzungstoken oder eine gefälschte Abfrage genügt.
Wichtig ist auch, ältere Protokolle und unsichere Freigaben konsequent zu deaktivieren. Moderne Schutzfunktionen entfalten ihren Nutzen nur, wenn POP, IMAP, SMTP AUTH oder ähnliche Wege nicht unkontrolliert offen bleiben. Ebenso sollten Conditional-Access-Richtlinien so gebaut werden, dass riskante Orte, unbekannte Geräte und nicht konforme Plattformen nicht einfach durchgewunken werden.
Einstellungen mit hoher Wirkung
- Phishing-resistente Anmeldeverfahren wie FIDO2 oder Passkeys priorisieren.
- Legacy-Auth in Exchange und Entra ID abschalten, soweit möglich.
- Conditional Access auf Gerätezustand, Standort und Risiko stützen.
- Admin-Konten nur über separate, gehärtete Arbeitsplätze zulassen.
- Selbstbedienung für Sicherheitsinformationen mit starken Prüfregeln absichern.
- Benachrichtigungen bei ungewöhnlichen Anmeldungen zentral auswerten.
Für Organisationen mit vielen Benutzern lohnt sich eine Staffelung nach Schutzbedarf. Normale Konten erhalten Basisregeln, Konten mit Zugriff auf Finanzdaten oder E-Mail-Administration bekommen strengere Auflagen, und privilegierte Rollen werden zusätzlich überwacht. So bleibt das Modell beherrschbar, ohne jede Anmeldung unnötig zu blockieren.
Administrative und technische Härtung im laufenden Betrieb
Nach der Bereinigung sollte die Umgebung so angepasst werden, dass ähnliche Vorfälle nicht wieder über dieselbe Lücke eintreten. Dazu gehören klare Verantwortlichkeiten, regelmäßige Prüfintervalle und automatisierte Kontrollen für Änderungen an Identität und Mailfluss. Auch eine saubere Dokumentation ist wichtig, damit neue Admins nachvollziehen können, warum bestimmte Sperren, Ausnahmen oder Schutzregeln eingerichtet wurden.
Für den Alltag empfiehlt sich ein abgestuftes Kontrollset: tägliche Prüfung kritischer Anmeldeereignisse, wöchentliche Kontrolle neuer Weiterleitungen und monatliche Überprüfung von Rollen, App-Zustimmungen und Gerätereports. In größeren Umgebungen sollte diese Auswertung in SIEM- oder XDR-Systeme einfließen, damit Korrelationen zwischen Login, Mailbox und Endgerät schneller auffallen.
Routine für eine stabile Absicherung
- Neue Regeln und Berechtigungen in Exchange und Entra ID automatisiert protokollieren.
- Abweichungen bei Sign-in-Risiko, Geräte-Compliance und Postfachänderungen melden lassen.
- Admin-Zugriffe nur mit zusätzlichen Schutzstufen und engen Ausschlussregeln erlauben.
- Veraltete App-Zugriffe und nicht mehr genutzte Servicekonten regelmäßig entfernen.
- Wiederkehrende Überprüfungen in einem festen Wartungsplan verankern.
Auch Schulung bleibt ein technischer Faktor, nicht nur ein organisatorischer. Wer Anmeldeseiten, Zustimmungsdialoge und Sicherheitsabfragen erkennen kann, gibt weniger leicht Daten preis. Ergänzend sollte das Helpdesk-Team Prozesse für Notfallkonten, Sperrungen und Wiederherstellungen kennen, damit im Ernstfall kein improvisierter Workaround neue Risiken erzeugt.
FAQ
Woran lässt sich ein Angriff mit umgangener Anmeldung überhaupt erkennen?
Typisch sind ungewöhnliche Anmeldeorte, neue Geräte in den Sitzungen, unerklärliche Regeländerungen im Postfach und plötzliche Sperrungen von Konten. Auch Warnungen zu Weiterleitungen, Löschregeln oder geänderten Authentifizierungsdaten sind ein ernstes Signal.
Warum reicht ein starker zweiter Faktor allein nicht aus?
Ein zusätzlicher Faktor schützt nur dann zuverlässig, wenn er nicht abgegriffen, umgeleitet oder durch Sitzungsdiebstahl umgangen wird. Angreifer setzen oft auf Protokolle, Token, Phishing-Kits oder manipulierte OAuth-Zugriffe, statt direkt das Kennwort zu knacken.
Welche Sofortschritte sollten Admins nach einem Verdacht ausführen?
Zuerst müssen betroffene Konten gesperrt, aktive Sitzungen beendet und sämtliche Anmelde- und Gerätespuren gesichert werden. Danach folgt die Prüfung von Weiterleitungen, App-Zugriffen, Gerätekonformität und Rollenänderungen, damit keine Hintertür offenbleibt.
Wie beendet man aktive Sitzungen in Microsoft 365?
Im Microsoft Entra Admin Center lässt sich bei einem Benutzer das Widerrufen aller Sitzungen anstoßen. Zusätzlich sollten Passwörter zurückgesetzt und vorhandene Refresh-Tokens invalidiert werden, damit Angreifer nicht mit einer alten Anmeldung weitermachen können.
Welche Protokolle helfen bei der Ursachenanalyse?
Wichtig sind Anmeldeprotokolle, Audit-Logs, Exchange-Änderungsprotokolle und die Sign-ins der betroffenen App-Registrierungen. Daraus lässt sich meist ableiten, ob ein Browser-Login, ein Token-Missbrauch oder eine manipulierte Anwendung den Zugriff ermöglicht hat.
Welche Einstellungen verhindern den häufigsten Missbrauch?
Besonders wirksam sind bedingter Zugriff, MFA mit phishing-resistenter Methode, restriktive Legacy-Auth-Regeln und das Blockieren unnötiger App-Berechtigungen. Zusätzlich sollten riskante Länder, unbekannte Geräte und anonyme Umgehungstechniken konsequent eingeschränkt werden.
Wie schützt man Postfächer vor heimlichen Änderungen?
In Exchange Online gehören Prüfungen für Weiterleitungsregeln, Inbox-Regeln, Delegierungen und Vollzugriffe zu den Standardmaßnahmen. Wer hier ungewöhnliche Einträge früh entdeckt, stoppt oft das Ausspähen von Mails, bevor Folgeschäden entstehen.
Welche Rolle spielen App-Registrierungen und OAuth-Zustimmungen?
Angreifer nutzen häufig scheinbar legitime Anwendungen, um dauerhaft Zugriff zu behalten. Deshalb sollten Admins Benutzerzustimmungen begrenzen, privilegierte App-Berechtigungen streng prüfen und ungenutzte oder verdächtige Registrierungen entfernen.
Wie lassen sich privilegierte Konten besser absichern?
Administrationskonten brauchen getrennte Anmeldewege, starke Authentifizierung, keine alltägliche Postfachnutzung und möglichst nur Zugriff von verwalteten Geräten. Auch PIM, Just-in-Time-Berechtigungen und eine klare Rollenaufteilung senken das Risiko spürbar.
Was gehört in die laufende Überwachung?
Die Überwachung sollte neue Geräte, ungewöhnliche Sign-ins, Änderungen an MFA-Methoden, Mailregeln, App-Zustimmungen und Administrationsaktionen erfassen. Sinnvoll ist außerdem eine Alarmierung bei gleichzeitigen Anmeldeversuchen aus verschiedenen Regionen oder bei atypischen Zugriffsmustern.
Wie wird die Umgebung nach der Bereinigung dauerhaft stabilisiert?
Nach der Entfernung des Angriffs folgen Passwortwechsel, MFA-Neuregistrierung, Rollenprüfung, Gerätehärtung und eine neue Baseline für Zugriffsregeln. Ergänzend sollten Admins regelmäßig Notfallkonten testen, Wiederherstellungswege dokumentieren und die wichtigsten Kontrollen in festen Intervallen prüfen.
Fazit
Ein Angriff auf Microsoft 365 endet nicht mit dem Sperren eines Kontos, sondern erst mit der vollständigen Bereinigung von Sitzungen, Regeln, App-Zugriffen und Berechtigungen. Wer danach den bedingten Zugriff, die MFA-Strategie und die Protokollauswertung sauber nachzieht, reduziert das Risiko einer erneuten Kompromittierung deutlich. Entscheidend ist ein klarer Ablauf, der technische Spurensicherung und dauerhafte Härtung miteinander verbindet.
