Wenn Regeln, Formulare und Konnektoren zum Einfallstor werden

Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Wenn wir über E-Mail-Sicherheit sprechen, denken viele sofort an Phishing und Passwortdiebstahl.

Doch neben diesen bekannten Bedrohungen geraten zunehmend unscheinbare Funktionen von Outlook und Microsoft 365 ins Visier von Angreifern – etwa E-Mail-Regeln, benutzerdefinierte Formulare oder Mailfluss-Konnektoren. Was eigentlich praktische Werkzeuge für Automatisierung und Ordnung im Posteingang sind, kann in den falschen Händen zur ernsthaften Gefahr für Unternehmen werden.

Gelingt es Kriminellen, an die Zugangsdaten eines Microsoft-365-Kontos zu kommen – sei es durch Phishing, Passwortlisten (Credential Stuffing) oder sogar durch abgefangene Einmal-Codes für die Multi-Faktor-Authentifizierung (MFA) – haben sie freie Bahn. Sie können dann:

• E-Mail-Regeln und Formulare missbrauchen, um Nachrichten automatisch weiterzuleiten, zu löschen oder zu verändern. So lassen sich Zahlungen manipulieren oder interne Kommunikation unauffällig abfangen.
• Mailfluss-Konnektoren umkonfigurieren, die den E-Mail-Verkehr zwischen Microsoft Exchange Online und anderen Systemen steuern. Damit können Angreifer z. B. Mails über eigene Server umleiten oder Absenderinformationen verfälschen.

Das Gefährliche: Diese Manipulationen bleiben selbst nach einer Passwortänderung oder einer neuen MFA-Einrichtung bestehen, da sie tief in der Cloud verankert sind. Wer sie finden will, muss gezielt danach suchen.

Typische Angriffsmuster

Ein häufiges Vorgehen sieht so aus:

1. Der Angreifer durchsucht das kompromittierte Postfach nach sensiblen Informationen, etwa Rechnungen.
2. Er richtet Regeln oder Konnektoren ein, um genau diese Kommunikation abzufangen.
3. Echte Zahlungsanweisungen werden durch gefälschte ersetzt.
4. Antworten werden so umgeleitet, dass der eigentliche Kontoinhaber nichts mitbekommt. Auf diese Weise können Angriffe wochenlang unbemerkt bleiben – selbst in Unternehmen mit eigentlich hohen Sicherheitsstandards. Der Schaden reicht von gefälschten Überweisungen bis hin zu langfristigem Datendiebstahl.

Warum viele Unternehmen überrascht werden

Ein Teil des Problems ist schlicht Unwissenheit. Vielen IT-Teams ist gar nicht bewusst, dass Outlook-Regeln, Formulare und Konnektoren in Microsoft 365 standardmäßig verfügbar sind – und entsprechend auch missbraucht werden können. Besonders kritisch wird es, wenn einzelne Mitarbeitende sowohl Nutzer- als auch Administratorrechte besitzen, ohne sich der Risiken bewusst zu sein.

Maßnahmen für mehr Sicherheit

Umso wichtiger ist es, dass Unternehmen und IT-Teams diese Angriffsvektoren aktiv auf dem Schirm haben:

• Regelmäßige Prüfungen: Administratoren sollten Outlook-Regeln, -Formulare und Mailfluss-Konnektoren regelmäßig im Microsoft 365 Admin Center kontrollieren.
• Starke Authentifizierung: Statt leicht abfangbarer Einmalpasswörter sollten phishingsichere Methoden wie FIDO2-Sicherheitsschlüssel oder Passkeys eingesetzt werden.
• Sicherheitslösungen richtig konfigurieren: Systeme sollten so eingerichtet sein, dass Änderungen an Regeln oder Konnektoren sofort eine Warnmeldung auslösen.
• Awareness und Schulung: Mitarbeitende müssen wissen, wie Angriffe ablaufen können – und wie verdächtige Mails oder ungewöhnlicher Mailfluss erkannt werden.
• Monitoring: Auffälligkeiten im ausgehenden E-Mail-Verkehr oder Unstimmigkeiten bei Absenderangaben sollten konsequent überprüft werden.

Fazit

Gerade weil Funktionen wie Regeln, Formulare und Konnektoren so unscheinbar wirken, sind sie für Angreifer attraktiv. Wer hier wachsam ist, regelmäßig kontrolliert und Mitarbeitende sensibilisiert, kann das Risiko einer unbemerkten Kontoübernahme in Microsoft 365 deutlich verringern.