„Wir haben doch Zwei-Faktor" reicht hier nicht

Die Zwei-Faktor-Authentifizierung gilt vielen kleinen und mittleren Unternehmen als der Haken, der die größte Sicherheitslücke schließt: Selbst wenn ein Passwort abhandenkommt, fehlt dem Angreifer der zweite Faktor. In den meisten Fällen stimmt das auch. Bei einer Phishing-Welle, die derzeit Microsoft-365-Konten ins Visier nimmt, stimmt es jedoch nicht — und zwar aus einem unangenehmen Grund: Die Mehr-Faktor-Anmeldung wird hier nicht ausgehebelt, sondern in den Angriff eingebaut. Das Opfer meldet sich korrekt an, bestätigt brav den zweiten Faktor — und übergibt damit den Zugang an einen Fremden.

Wer seine Abwehr allein auf das Vorhandensein einer 2FA stützt, übersieht diese Lücke leicht. Es lohnt sich daher, kurz zu verstehen, was hier technisch passiert.

Auf einen Blick

  • Die Angriffe missbrauchen den **Geräte-Code-Anmeldevorgang** (OAuth-2.0-Device-Code-Flow) von Microsoft 365 — ein an sich legitimes Verfahren.
  • Das Opfer gibt seinen Anmeldecode auf der **echten Microsoft-Login-Seite** ein. Die MFA läuft sauber durch.
  • Im Hintergrund erhält dadurch der **Angreifer** die Zugriffs-Token für E-Mail, Kalender, OneDrive, Teams und SharePoint — **ohne dass ein Passwort gestohlen wird**.
  • Kernpunkt: **Die MFA ist nicht umgangen, sondern in die Angriffslogik integriert.** Sie schützt den Login, verhindert die Token-Ausgabe an den Angreifer aber nicht.
  • Wirksamste Gegenmaßnahme: den Geräte-Code-Anmeldevorgang per Conditional Access **sperren**, sofern Sie ihn nicht benötigen.

Was der Geräte-Code-Anmeldevorgang ist

Der Geräte-Code-Flow wurde für Geräte ohne brauchbare Tastatur entworfen — etwa Smart-TVs, Konsolen oder Konferenzsysteme. Statt dort umständlich Benutzername und Passwort einzutippen, zeigt das Gerät einen kurzen Code an. Den geben Sie bequem an einem zweiten, vertrauten Gerät ein — auf der regulären Anmeldeseite von Microsoft. Anschließend ist das erste Gerät angemeldet. Ein praktisches, etabliertes Verfahren.

Genau diese Mechanik machen sich die Angreifer zunutze. Der entscheidende Unterschied: Das „Gerät", das angemeldet werden soll, gehört nicht Ihnen, sondern dem Angreifer.

Warum die Token trotz korrekter MFA beim Angreifer landen

Der Ablauf ist deshalb so tückisch, weil aus Sicht des Opfers alles richtig aussieht. Es gibt keine gefälschte Login-Seite, kein abgefangenes Passwort, keine verdächtige Domain in der Adresszeile — der Anmeldecode wird auf der originalen Microsoft-Seite eingegeben.

Die Täter stoßen den Anmeldevorgang ihrerseits an und bringen das Opfer dann mit einem Vorwand dazu, den dazugehörigen Code einzugeben — etwa als angebliche Bestätigung für ein Support-Ticket, eine Team-Einladung oder eine neue Konferenzlösung. Gibt das Opfer den Code ein und bestätigt die Anmeldung samt zweitem Faktor, schließt Microsoft den Vorgang ab — und händigt die Zugriffs-Token an die Seite aus, die den Vorgang gestartet hat. Das ist nicht das Opfer, sondern der Angreifer.

Damit liegt der Kern des Problems offen: Die MFA hat ihre Aufgabe erfüllt — sie hat bestätigt, dass sich eine berechtigte Person anmeldet. Sie kann aber nicht beurteilen, *wessen* Gerät am Ende den Zugang erhält. Der Angreifer braucht weder das Passwort noch den zweiten Faktor dauerhaft: Er hält anschließend gültige Token in der Hand und kann damit auf das Postfach und die übrigen Dienste zugreifen, als wäre er der angemeldete Nutzer.

Zum Ausmaß der aktuellen Welle kursieren verschiedene Zahlen; verlässlich belegt sind bislang vor allem der Mechanismus und die Gegenmaßnahmen, nicht die genauen Opferzahlen. Für die Einordnung in Ihrem Unternehmen ist das aber zweitrangig: Ob hundert oder tausend Organisationen betroffen sind, ändert nichts an der Frage, ob *Ihr* Tenant diesen Anmeldeweg überhaupt offen lassen muss.

Was Sie jetzt tun sollten

Die gute Nachricht: Gegen diesen konkreten Angriff gibt es eine klare, ruhige Antwort. Drei Maßnahmen greifen ineinander.

Den Geräte-Code-Anmeldevorgang sperren, wenn Sie ihn nicht brauchen

Die meisten kleinen Unternehmen melden sich nie über einen Geräte-Code an — es gibt schlicht keinen Smart-TV oder Konsolen-Login im Arbeitsalltag. Dann lässt sich dieser Anmeldeweg über eine Conditional-Access-Richtlinie im Microsoft-365-Tenant gezielt unterbinden. Das nimmt dem beschriebenen Angriff die Grundlage, ohne dass jemand im Tagesgeschäft etwas davon merkt. Wo der Weg vereinzelt gebraucht wird, lässt er sich auf bestimmte Geräte oder Konten einschränken, statt ihn für alle offen zu lassen.

Mitarbeitende für das Code-Muster sensibilisieren

Die wichtigste Regel ist einfach und gilt unabhängig von der Technik: Geben Sie niemals einen Anmeldecode ein, den Ihnen jemand von außen zugesandt oder am Telefon durchgegeben hat. Ein legitimer Anmeldevorgang geht immer von Ihrem eigenen Gerät aus — nicht von einer E-Mail, einer Chat-Nachricht oder einem angeblichen Support-Anruf. Wer einen Code von dritter Seite erhält und ihn eingeben soll, sollte stutzig werden und nachfragen, statt zu bestätigen.

Die Anmeldeprotokolle im Blick behalten

Im Microsoft-365-Tenant lassen sich die Anmeldeereignisse einsehen. Auffällig sind insbesondere Anmeldungen über den Geräte-Code-Flow, die zu Ihrem Betrieb nicht passen — etwa aus untypischen Regionen, zu ungewöhnlichen Zeiten oder über Geräte, die niemandem zuzuordnen sind. Wer solche Ereignisse regelmäßig prüft oder automatisiert auswerten lässt, bemerkt einen Missbrauch, bevor daraus ein größerer Schaden wird. Ergänzend zur MFA helfen kontext- und verhaltensbasierte Richtlinien, die nicht nur fragen, *ob* jemand einen zweiten Faktor hat, sondern auch, ob die Anmeldung ins gewohnte Muster passt.

Unsere Einschätzung

Dieser Angriff ist ein guter Anlass, eine verbreitete Annahme zu hinterfragen: dass eine vorhandene 2FA das Thema Anmeldesicherheit erledigt. Die Mehr-Faktor-Anmeldung bleibt richtig und wichtig — sie ist hier nur nicht der letzte Baustein. Entscheidend ist, welche Anmeldewege Ihr Tenant überhaupt offen lässt und ob Sie sehen, was darüber passiert.

Für die meisten kleinen und mittleren Unternehmen ist die Absicherung überschaubar: einen ungenutzten Anmeldeweg schließen, ein klares Verhaltensmuster vermitteln, die Protokolle im Auge behalten. Falls Sie unsicher sind, ob der Geräte-Code-Flow in Ihrem Microsoft-365-Tenant aktiv ist oder wie sich eine passende Conditional-Access-Richtlinie sauber einrichten lässt, prüfen wir das gern gemeinsam mit Ihnen.