Kalender-Phishing

Kalender-Phishing nimmt zu: Angreifer umgehen E-Mail-Schutz mit manipulierten Einladungen

, KnowBe4 | Autor: Herbert Wieler

Kalender-Phishing nimmt zu: Angreifer umgehen E-Mail-Schutz mit manipulierten Einladungen

Wie harmlose Kalendereinladungen zum Phishing-Angriff werden

Ein Termin-Pop-up wirkt harmlos – genau das macht es so gefährlich. Cyberkriminelle verlagern Phishing-Angriffe zunehmend in Kalender-Apps, weil Nutzer Einladungen von Microsoft Teams, Zoom oder Google Kalender deutlich seltener hinterfragen als klassische E-Mails. Für Unternehmen wird damit ein alltägliches Produktivitätswerkzeug zum neuen Einfallstor für Datendiebstahl, Malware und Social Engineering.

Kalendereinladungen entwickeln sich zu einem unterschätzten Risiko in der Cybersecurity. Nach Analysen des Threat Labs-Teams von KnowBe4 haben Angriffe über Kalenderbenachrichtigungen in den vergangenen sechs Monaten um 49 Prozent zugenommen. Der Grund: Angreifer nutzen das Vertrauen in Collaboration-Plattformen aus – und umgehen dabei häufig klassische E-Mail-Sicherheitsmechanismen.

Warum Phishing über Kalendereinladungen so gefährlich ist

Modernes Phishing findet längst nicht mehr nur im Posteingang statt. Während viele Mitarbeitende gelernt haben, verdächtige E-Mails kritischer zu prüfen, genießen Kalenderbenachrichtigungen oft einen Vertrauensvorschuss. Ein Meeting-Hinweis auf dem Smartphone oder Desktop wirkt wie eine native Systemmeldung – nicht wie ein möglicher Angriff.

Genau diesen psychologischen Effekt nutzen Cyberkriminelle aus. Eine angebliche Besprechung, ein vermeintlicher Support-Termin oder ein dringender Video-Call erzeugen Handlungsdruck. Nutzer klicken schneller auf „Teilnehmen“, öffnen eingebettete Links oder wählen angegebene Telefonnummern, ohne die Quelle der Einladung sorgfältig zu prüfen.

Besonders kritisch: Viele Kalender- und Collaboration-Systeme übernehmen externe Einladungen automatisch. Dadurch kann eine manipulierte .ics-Datei im Kalender erscheinen, selbst wenn die ursprüngliche E-Mail herausgefiltert oder nie geöffnet wurde. Für herkömmliche Secure Email Gateways bleibt dieser Angriff häufig schwer erkennbar, weil die schädlichen Inhalte tief in den Metadaten oder Beschreibungsfeldern der Einladung versteckt sind.

Infektionszyklus Kalender-Phishing Infektionszyklus Kalender-Phishing

Der „End-of-Day-Blur“: Angriffe treffen Nutzer im falschen Moment

KnowBe4 verweist außerdem auf ein taktisches Muster: Viele kalenderbasierte Phishing-Angriffe nehmen nach dem Mittag deutlich zu. Angreifer setzen offenbar bewusst auf Zeiten, in denen Aufmerksamkeit und Konzentration nachlassen.

Dieser Effekt wird als „End-of-Day-Blur“ beschrieben. Gemeint ist die Phase, in der Mitarbeitende zwischen Meetings, offenen Aufgaben und Zeitdruck weniger gründlich prüfen. Eine Kalendereinladung mit einem dringenden Link oder einer angeblichen Support-Nummer hat dann besonders gute Chancen, unbemerkt durchzurutschen.

So läuft ein Phishing-Angriff über Kalendereinladungen ab

Der Angriff beginnt meist mit einer manipulierten Kalendereinladung. Diese wird per E-Mail verschickt oder über ein kompromittiertes internes Konto geteilt. Da .ics-Dateien von vielen Collaboration-Suites automatisch verarbeitet werden, landet der Termin direkt im Kalender des Opfers.

Anschließend erhält die betroffene Person eine scheinbar legitime Systembenachrichtigung. Das Pop-up auf Desktop oder Mobilgerät wirkt vertrauenswürdig, weil es aus der gewohnten Kalenderumgebung stammt. In der Terminbeschreibung befinden sich jedoch schädliche Links, betrügerische Support-Nummern oder gefälschte Meeting-Buttons.

In der letzten Phase erfolgt die eigentliche Ausnutzung. Bei Credential-Phishing wird das Opfer über einen Link auf eine gefälschte Login-Seite geleitet, häufig über einen Adversary-in-the-Middle-Proxy. In anderen Fällen startet der Klick auf einen „Join“-Button den Download eines Remote-Monitoring-and-Management-Tools. Bei Vishing-Kampagnen wiederum landet das Opfer bei einem angeblichen Support-Mitarbeiter, der mit Druck und Social Engineering sensible Finanz-, Konto- oder Systemdaten abfragt.

Unternehmen sollten Kalendersysteme nicht länger nur als Produktivitätstool betrachten, sondern als sicherheitsrelevanten Kommunikationskanal. Kalender-Phishing zeigt, dass Angreifer gezielt dort ansetzen, wo Nutzer weniger misstrauisch sind.

Die wichtigsten Schutzmaßnahmen sind:

  • Kalenderdateien prüfen: E-Mail-Gateways und Security-Lösungen sollten .ics-Dateien auf schädliche URLs, ungewöhnliche Datenstrukturen und verdächtige Metadaten untersuchen.
  • Links in Kalenderereignissen absichern: Link-Sandboxing sollte nicht nur bei E-Mails greifen, sondern auch bei URLs in Terminbeschreibungen, Ortsfeldern und Meeting-Links – idealerweise sowohl bei der Zustellung als auch beim Anklicken.
  • Absender konsequent verifizieren: SPF, DKIM und DMARC sollten strikt umgesetzt werden. Externe oder nicht verifizierte Kalendereinladungen müssen für Nutzer klar sichtbar gekennzeichnet sein.
  • Automatische Annahme einschränken: Unternehmen sollten prüfen, ob externe Einladungen automatisch in Kalender übernommen werden. Wo möglich, sollte diese Funktion deaktiviert oder eingeschränkt werden.
  • Mitarbeitende gezielt sensibilisieren: Awareness-Trainings müssen kalenderbasiertes Phishing ausdrücklich abdecken. Nutzer sollten lernen, auch Meeting-Einladungen, Pop-ups und Kalenderlinks kritisch zu prüfen.

Fazit: Phishing verschiebt sich in vertraute Arbeitsabläufe

Kalender-Phishing ist besonders gefährlich, weil es nicht wie ein klassischer Angriff aussieht. Die Attacke nutzt vertraute Plattformen, gewohnte Benachrichtigungen und den Zeitdruck des Arbeitsalltags. Für Unternehmen bedeutet das: Cybersecurity muss über den Posteingang hinausgedacht werden – bis in Kalender, Collaboration-Tools und jede digitale Schnittstelle, der Mitarbeitende täglich vertrauen.