Passkey-Betrug bei Microsoft 365

Passkey-Betrug bei Microsoft 365 durch Social Engineering und angeblichen IT-Support

Passkeys, Microsoft 365 und Schutz vor Kontoübernahmen

Passkey-Betrug bei Microsoft 365: Warum sichere Anmeldung allein nicht ausreicht

Passkeys sollen Passwörter ersetzen und Benutzerkonten wirksam gegen Phishing schützen. Technisch gehören sie zu den derzeit sichersten Anmeldeverfahren. Trotzdem gelingt es Cyberkriminellen, Microsoft-365-Konten im Zusammenhang mit einer vermeintlichen Passkey-Einrichtung zu übernehmen.

Der Grund liegt nicht in einer gebrochenen Verschlüsselung oder einem unsicheren Passkey-Verfahren. Angreifer konzentrieren sich stattdessen auf den Menschen und auf die Prozesse, mit denen neue Anmeldemethoden eingerichtet, bestätigt oder wiederhergestellt werden.

Beschäftigte werden telefonisch kontaktiert. Der Anrufer gibt sich als interner IT-Support, externer Dienstleister oder Microsoft-Mitarbeiter aus und erklärt, dass das Unternehmen gerade auf die neue sichere Passkey-Anmeldung umgestellt werde.

Während der Mitarbeiter glaubt, eine notwendige Sicherheitsmaßnahme umzusetzen, wird im Hintergrund der Zugriff des Angreifers vorbereitet oder bestätigt.

Der Passkey wird dabei nicht technisch geknackt. Der Benutzer wird dazu gebracht, einen fremden Zugriff für legitim zu halten.

Passkey-Betrug und Social Engineering bei Microsoft 365 erklärt von der InoBit Datensysteme GmbH
Passkeys schützen wirksam vor klassischem Phishing. Unsichere Einrichtungs-, Freigabe- und Wiederherstellungsprozesse können jedoch weiterhin angegriffen werden.

Was ist ein Passkey?

Ein Passkey ist ein modernes Anmeldeverfahren, das klassische Passwörter ersetzen kann. Grundlage ist der FIDO2-Standard. Statt eines geheimen Passworts wird ein kryptografisches Schlüsselpaar verwendet.

Ein Teil dieses Schlüsselpaares verbleibt sicher auf dem Gerät des Benutzers. Der andere Teil wird beim jeweiligen Onlinedienst hinterlegt. Bei der Anmeldung bestätigt der Benutzer seine Identität beispielsweise mit:

  • Windows Hello
  • Fingerabdruck
  • Gesichtserkennung
  • Geräte-PIN
  • Smartphone
  • FIDO2-Sicherheitsschlüssel

Das eigentliche Geheimnis wird dabei nicht an den Onlinedienst übertragen. Ein Angreifer kann daher nicht einfach eine gefälschte Anmeldeseite erstellen und den Passkey wie ein Passwort abfangen.

Warum Passkeys als phishingresistent gelten

Bei einem klassischen Phishing-Angriff erhält ein Benutzer eine gefälschte E-Mail und wird auf eine nachgebaute Anmeldeseite geführt. Dort gibt er Benutzername, Passwort und möglicherweise einen zusätzlichen Einmalcode ein.

Der Angreifer übernimmt diese Informationen und verwendet sie für die echte Anmeldung.

Passkeys funktionieren anders. Sie sind technisch an den richtigen Dienst und dessen Internetadresse gebunden. Eine gefälschte Website kann den für Microsoft 365 bestimmten Passkey normalerweise nicht für sich verwenden.

Dadurch schützen Passkeys insbesondere vor:

  • gefälschten Microsoft-Anmeldeseiten
  • Diebstahl klassischer Passwörter
  • Abfangen von Einmalcodes
  • vielen Adversary-in-the-Middle-Angriffen
  • automatisierten Passwortangriffen
  • Wiederverwendung gestohlener Zugangsdaten

Passkeys sind deshalb ein wichtiger Fortschritt für die Sicherheit von Microsoft-365- und Entra-ID-Konten.

Warum Passkeys trotzdem kein vollständiger Schutz sind

Ein Anmeldeverfahren kann technisch sehr sicher sein und trotzdem durch unsichere Abläufe geschwächt werden.

Entscheidend ist nicht nur die spätere Anmeldung. Ebenso wichtig sind:

  • die erstmalige Registrierung eines Passkeys
  • das Hinzufügen eines neuen Geräts
  • das Ändern von Sicherheitsinformationen
  • die Wiederherstellung eines Kontos
  • das Zurücksetzen bestehender Anmeldemethoden
  • der Umgang mit verlorenen Geräten
  • die Identitätsprüfung durch den IT-Support

Kann ein Angreifer einen dieser Prozesse manipulieren, muss er den Passkey selbst nicht überwinden.

Der Tresor kann technisch hervorragend sein.
Wenn ein Angreifer als neuer Schlüsselinhaber eingetragen wird, muss er den Tresor nicht aufbrechen.

Die aktuelle Masche: angebliche Passkey-Einrichtung durch den IT-Support

Bei der aktuell beobachteten Angriffsmethode beginnt der Angriff häufig mit einem Telefonanruf. Der Angreifer gibt sich als Mitarbeiter der eigenen IT-Abteilung, eines bekannten IT-Dienstleisters oder des Microsoft-Supports aus.

Als Begründung wird beispielsweise genannt:

  • Microsoft stelle die Anmeldung kurzfristig auf Passkeys um.
  • Das Unternehmen müsse eine neue Sicherheitsvorgabe erfüllen.
  • Die bisherige Mehrfaktor-Authentifizierung werde abgeschaltet.
  • Das Benutzerkonto müsse wegen eines Sicherheitsvorfalls neu registriert werden.
  • Der Mitarbeiter müsse eine neue Anmeldemethode bestätigen.
  • Eine angebliche Kontosperrung müsse verhindert werden.

Diese Aussagen wirken glaubwürdig, weil Passkeys tatsächlich zunehmend eingeführt werden und Microsoft die Nutzung phishingresistenter Anmeldemethoden weiter ausbaut.

Der Angreifer nutzt damit eine reale technische Entwicklung als glaubwürdige Kulisse.

Wie der Angriff typischerweise abläuft

Der genaue Ablauf kann variieren. Das Grundprinzip ist jedoch ähnlich:

  1. Der Angreifer sammelt Informationen über das Unternehmen, den Mitarbeiter und mögliche IT-Dienstleister.
  2. Der Mitarbeiter wird telefonisch oder über einen Messenger kontaktiert.
  3. Der Anrufer gibt sich als berechtigter Supportmitarbeiter aus.
  4. Es wird zeitlicher Druck erzeugt, beispielsweise durch eine angeblich bevorstehende Kontosperrung.
  5. Der Benutzer wird zu einer Microsoft-Seite oder einem Anmeldevorgang geführt.
  6. Der Mitarbeiter bestätigt eine Anmeldung, einen Gerätecode, eine Registrierungsanfrage oder eine Änderung der Sicherheitsinformationen.
  7. Der Angreifer erhält Zugriff auf das Konto oder kann eine eigene Anmeldemethode hinterlegen.
  8. Anschließend werden E-Mails, Dateien, Kontakte und weitere Cloud-Dienste durchsucht.

Während des Gesprächs hält der Angreifer den Mitarbeiter häufig beschäftigt. Er erklärt einzelne Schritte, stellt Rückfragen und vermittelt den Eindruck, den Vorgang selbst zu überwachen.

Dadurch bleibt weniger Zeit, Warnhinweise aufmerksam zu lesen oder den Vorgang mit einem bekannten Ansprechpartner zu überprüfen.

Der Passkey selbst bleibt sicher

Wichtig ist eine klare Einordnung: Diese Angriffsmethode beweist nicht, dass Passkeys unsicher sind.

Der Angreifer berechnet keinen privaten Schlüssel, kopiert keine biometrischen Merkmale und bricht nicht die FIDO2-Kryptografie.

Er versucht stattdessen, einen legitimen Benutzer zu einer legitimen Aktion zu bewegen, die dem Angreifer nützt.

Das ist ein grundlegender Unterschied.

Passkeys reduzieren das Risiko klassischer Phishing-Angriffe erheblich. Unternehmen dürfen daraus jedoch nicht ableiten, dass Schulung, Zugriffskontrolle, Monitoring und klare Supportprozesse danach nicht mehr erforderlich sind.

Social Engineering verlagert sich auf Sicherheitsprozesse

Je stärker Unternehmen ihre technische Anmeldung absichern, desto stärker konzentrieren sich Angreifer auf die verbleibenden Ausweichmöglichkeiten.

Dazu gehören insbesondere:

  • Helpdesk und telefonischer Support
  • Passwort- und Kontowiederherstellung
  • Registrierung neuer Geräte
  • Änderung von MFA-Methoden
  • OAuth- und Gerätecode-Freigaben
  • Ausnahmeprozesse für Führungskräfte
  • Notfallkonten
  • schwächere alternative Anmeldemethoden

Der Angriff verschiebt sich damit von der eigentlichen Anmeldung auf den Prozess, der den Zugang ermöglicht oder verändert.

Warum telefonische Angriffe besonders wirksam sind

Viele Beschäftigte erkennen verdächtige E-Mails inzwischen besser als früher. Bei einem Telefonat gelten andere psychologische Bedingungen.

Der Anrufer kann unmittelbar reagieren, Einwände entkräften und zusätzlichen Zeitdruck aufbauen. Gleichzeitig wirkt ein persönliches Gespräch glaubwürdiger als eine unpersönliche Nachricht.

Angreifer nutzen häufig:

  • Dringlichkeit
  • Autorität
  • technische Fachbegriffe
  • echte Namen und Unternehmensinformationen
  • Hilfsbereitschaft der Beschäftigten
  • Angst vor einer Kontosperrung
  • aktuelle Microsoft-Ankündigungen

Durch öffentlich verfügbare Informationen, soziale Netzwerke und frühere Datenabflüsse lassen sich solche Gespräche zunehmend glaubwürdig vorbereiten.

Welche Schäden nach einer Kontoübernahme entstehen können

Ein kompromittiertes Microsoft-365-Konto bietet Angreifern weit mehr als nur Zugriff auf ein E-Mail-Postfach.

Je nach Berechtigung können betroffen sein:

  • Exchange Online und geschäftliche E-Mails
  • OneDrive-Dateien
  • SharePoint-Dokumente
  • Teams-Chats und Besprechungen
  • Kontakt- und Kundendaten
  • interne Rechnungen und Zahlungsinformationen
  • freigegebene Projektunterlagen
  • weitere verbundene Cloud-Anwendungen

Angreifer können anschließend interne Kommunikation beobachten, neue Phishing-Nachrichten aus einem vertrauenswürdigen Konto versenden oder Zahlungsanweisungen manipulieren.

Besonders kritisch sind kompromittierte Konten mit administrativen Rechten. Darüber können weitere Benutzer, Geräte, Anwendungen und Sicherheitsrichtlinien beeinflusst werden.

Warnsignale für Beschäftigte

Beschäftigte sollten misstrauisch werden, wenn ein angeblicher Supportmitarbeiter:

  • unerwartet anruft und eine sofortige Aktion verlangt
  • zur Eingabe oder Bestätigung eines Gerätecodes auffordert
  • die Registrierung einer neuen Anmeldemethode verlangt
  • eine Kontosperrung oder Arbeitsunterbrechung androht
  • vom Rückruf über die bekannte Firmennummer abrät
  • zur Freigabe einer ungewöhnlichen Anmeldung auffordert
  • den Inhalt eines Sicherheitsdialogs herunterspielt
  • verlangt, Warnmeldungen zu ignorieren
  • auf dem privaten Smartphone eine geschäftliche Anmeldung durchführen möchte

Ein echter Supportprozess sollte jederzeit erlauben, das Gespräch zu beenden und den bekannten Ansprechpartner über eine bereits gespeicherte Rufnummer zurückzurufen.

Was Unternehmen jetzt organisatorisch festlegen sollten

Die Einführung von Passkeys sollte nicht ausschließlich als technische Umstellung betrachtet werden. Sie benötigt einen klaren organisatorischen Rahmen.

Unternehmen sollten verbindlich festlegen:

  • Wer darf die Einrichtung eines Passkeys anfordern?
  • Wie werden Mitarbeiter vor einer Umstellung informiert?
  • Über welche offiziellen Kanäle erfolgt die Kommunikation?
  • Darf eine Passkey-Einrichtung telefonisch begleitet werden?
  • Wie wird die Identität des Supportmitarbeiters geprüft?
  • Wie werden neue Geräte und Authentifizierungsmethoden kontrolliert?
  • Wer darf Sicherheitsinformationen zurücksetzen?
  • Wie werden verlorene Geräte behandelt?
  • Welche alternativen Anmeldemethoden bleiben erlaubt?
  • Wer prüft ungewöhnliche Änderungen?

Je eindeutiger diese Regeln sind, desto schwieriger wird es für Angreifer, Unsicherheit und spontane Ausnahmen auszunutzen.

Passkey-Einführungen vorher ankündigen

Mitarbeiter sollten eine Passkey-Umstellung niemals erstmals durch einen unangekündigten Telefonanruf erfahren.

Eine sichere Einführung sollte vorbereitet werden:

  • schriftliche Vorankündigung
  • klarer Zeitplan
  • benannte Ansprechpartner
  • bekannte Support-Rufnummer
  • kurze verständliche Anleitung
  • Hinweis auf typische Betrugsversuche
  • eindeutige Regel, welche Daten niemals abgefragt werden

Beschäftigte müssen wissen, dass sie einen unerwarteten Vorgang abbrechen dürfen, ohne dadurch gegen eine betriebliche Anweisung zu verstoßen.

Schwache Rückfallmethoden vermeiden

Ein Passkey schützt nur begrenzt, wenn das Konto weiterhin über deutlich schwächere Verfahren erreichbar ist.

Typische Rückfallmethoden sind:

  • SMS-Codes
  • Sprachanrufe
  • einfache Sicherheitsfragen
  • unsichere Passwortzurücksetzung
  • nicht kontrollierte Support-Ausnahmen
  • alte App-Kennwörter
  • nicht mehr benötigte Authentifizierungsmethoden

Unternehmen sollten deshalb nicht nur Passkeys hinzufügen, sondern gleichzeitig prüfen, welche schwächeren Verfahren anschließend noch bestehen bleiben.

Eine starke Haustür schützt nur begrenzt, wenn der Ersatzschlüssel weiterhin unter der Fußmatte liegt.

Registrierte Anmeldemethoden regelmäßig kontrollieren

Die Sicherheitsinformationen von Microsoft-365-Benutzern sollten regelmäßig überprüft werden.

Dabei ist insbesondere zu kontrollieren:

  • Welche Passkeys sind registriert?
  • Welche Smartphones und Sicherheitsschlüssel sind hinterlegt?
  • Existieren unbekannte Authenticator-Registrierungen?
  • Sind alte Telefonnummern gespeichert?
  • Wurden kürzlich neue Anmeldemethoden hinzugefügt?
  • Gibt es Benutzer mit ungewöhnlich vielen Methoden?
  • Sind ausgeschiedene Beschäftigte vollständig entfernt?

Änderungen an Sicherheitsinformationen sollten protokolliert und bei besonders schützenswerten Konten aktiv überwacht werden.

Administratorkonten besonders schützen

Globale Administratoren und andere privilegierte Konten benötigen ein höheres Schutzniveau als normale Benutzerkonten.

Sinnvolle Maßnahmen sind:

  • getrennte Benutzer- und Administratorkonten
  • phishingresistente Authentifizierung
  • keine tägliche E-Mail-Nutzung mit Administratorkonten
  • strenge Zugriffsbeschränkungen
  • Überwachung von Änderungen und Anmeldungen
  • begrenzte Zahl globaler Administratoren
  • regelmäßige Kontrolle privilegierter Rollen
  • geschützte Notfallkonten mit dokumentiertem Verfahren

Ein kompromittiertes Standardkonto ist bereits problematisch. Ein kompromittiertes Administratorkonto kann die gesamte Microsoft-365-Umgebung gefährden.

Was bei einem Verdachtsfall zu tun ist

Hat ein Mitarbeiter eine unbekannte Anmeldung bestätigt, einen Gerätecode eingegeben oder eine neue Anmeldemethode registriert, sollte der Vorgang nicht nur beobachtet werden.

Erforderliche Schritte können sein:

  • IT-Verantwortliche sofort informieren
  • aktive Sitzungen des Benutzers widerrufen
  • registrierte Authentifizierungsmethoden überprüfen
  • unbekannte Passkeys und Geräte entfernen
  • Passwort und Wiederherstellungsinformationen zurücksetzen
  • Anmeldeprotokolle auswerten
  • Postfachregeln und Weiterleitungen kontrollieren
  • OAuth-Freigaben und Anwendungen prüfen
  • OneDrive- und SharePoint-Aktivitäten kontrollieren
  • betroffene Kontakte vor möglichem Folgephishing warnen

Ein einfaches Ändern des Passworts reicht bei einer bereits eingerichteten zusätzlichen Anmeldemethode möglicherweise nicht aus.

Awareness muss konkrete Situationen abbilden

Allgemeine Hinweise wie „Klicken Sie nicht auf verdächtige Links“ reichen für moderne Identitätsangriffe nicht mehr aus.

Beschäftigte müssen konkrete Situationen erkennen können:

  • unerwarteter Anruf zur MFA- oder Passkey-Einrichtung
  • Anforderung eines Gerätecodes
  • unbekannte Push-Benachrichtigung
  • Änderung von Sicherheitsinformationen
  • angebliche Kontosperrung
  • Supportanruf mit Zeitdruck
  • Bitte um Bestätigung einer fremden Anmeldung

Gute Awareness erklärt nicht nur, was verboten ist. Sie zeigt auch, wie sich ein Mitarbeiter im Zweifel richtig verhalten soll.

Passkeys sind Teil eines Sicherheitsbetriebs

Passkeys sind eine starke technische Maßnahme, aber kein vollständiger Sicherheitsbetrieb.

Ein belastbares Identitätskonzept verbindet:

  • phishingresistente Anmeldung
  • klare Registrierungsprozesse
  • kontrollierte Wiederherstellung
  • Überwachung sicherheitsrelevanter Änderungen
  • regelmäßige Rechteprüfung
  • verständliche Mitarbeiterschulung
  • definierte Reaktion auf Verdachtsfälle
  • nachvollziehbare Dokumentation

Erst diese Verbindung reduziert das Risiko dauerhaft.

Passkey-Sicherheit für Unternehmen im Ruhrgebiet

Microsoft 365 wird in zahlreichen Unternehmen, Arztpraxen, Kanzleien, Handwerksbetrieben und sozialen Einrichtungen im Ruhrgebiet eingesetzt.

Ob in Bochum, Herne, Dortmund, Essen, Gelsenkirchen, Witten, Recklinghausen, Castrop-Rauxel, Hattingen, Duisburg, Oberhausen oder Mülheim an der Ruhr: Die Umstellung auf moderne Anmeldeverfahren betrifft zunehmend auch kleine und mittlere Unternehmen.

Gerade kleinere Betriebe verfügen jedoch selten über eine eigene Abteilung für Identitäts- und Zugriffsmanagement. Passkeys, Mehrfaktor-Authentifizierung, Administratorrollen, Wiederherstellungsverfahren und Benutzerkonten werden häufig neben dem normalen IT-Betrieb verwaltet.

Die InoBit Datensysteme GmbH unterstützt Unternehmen im Ruhrgebiet dabei, Microsoft-365-Anmeldungen sicher einzurichten, bestehende Authentifizierungsmethoden zu prüfen und klare Verfahren für Support, Wiederherstellung und Verdachtsfälle aufzubauen.

Fazit: Passkeys sind sicher – der Prozess muss es ebenfalls sein

Passkeys gehören zu den wirksamsten Maßnahmen gegen klassisches Phishing und den Diebstahl von Zugangsdaten.

Die aktuelle Angriffsmethode zeigt jedoch, dass Angreifer nicht zwingend die stärkste Schutzmaßnahme technisch überwinden müssen.

Oft reicht es, einen Benutzer zur Bestätigung eines fremden Vorgangs zu bewegen oder einen schwächeren Wiederherstellungs- und Freigabeprozess auszunutzen.

Unternehmen sollten Passkeys deshalb einführen, aber gleichzeitig ihre Registrierungs-, Support- und Wiederherstellungsverfahren überprüfen.

Beschäftigte müssen wissen, dass ein unerwarteter Anruf niemals ausreicht, um eine neue Anmeldemethode einzurichten oder eine fremde Anmeldung zu bestätigen.

Passkeys schützen vor gefälschten Anmeldeseiten. Sie schützen aber nicht davor, dass ein Mensch einen falschen Auftrag für echt hält.

Genau deshalb besteht moderne Informationssicherheit nicht nur aus Technik. Sie verbindet sichere Anmeldeverfahren mit klaren Prozessen, kontrollierten Berechtigungen, Monitoring und verständlicher Kommunikation.

InoBit Datensysteme GmbH unterstützt Sie bei Microsoft-365- und Passkey-Sicherheit

Die InoBit Datensysteme GmbH unterstützt Unternehmen und Arztpraxen dabei, Microsoft-365-Konten, Anmeldemethoden und administrative Zugänge sicher und nachvollziehbar zu verwalten.

Dazu gehören unter anderem:

  • Prüfung bestehender Microsoft-365-Anmeldemethoden
  • Einführung von Passkeys und phishingresistenter Authentifizierung
  • Kontrolle von MFA-, SMS- und Wiederherstellungsmethoden
  • Prüfung privilegierter und administrativer Konten
  • Bewertung von Benutzer-, Geräte- und App-Zugriffen
  • Aufbau klarer Support- und Rückrufverfahren
  • Überwachung sicherheitsrelevanter Kontoänderungen
  • Unterstützung bei Verdachtsfällen und Kontoübernahmen
  • praxisnahe Sensibilisierung der Beschäftigten

Ziel ist eine Microsoft-365-Umgebung, in der sichere Technik, klare Zuständigkeiten und kontrollierte Abläufe zusammenwirken.

Microsoft-365-Sicherheit prüfen lassen

Wichtiger Hinweis

Dieser Beitrag erläutert allgemeine Angriffsmethoden und Schutzmaßnahmen im Zusammenhang mit Passkeys, Microsoft 365 und Microsoft Entra ID. Er ersetzt keine individuelle technische Prüfung der jeweiligen Umgebung.

Welche Einstellungen und Maßnahmen sinnvoll sind, hängt unter anderem von den eingesetzten Microsoft-365-Lizenzen, den vorhandenen Geräten, der Benutzerstruktur, den administrativen Rollen und den betrieblichen Support- und Wiederherstellungsprozessen ab.

Facebook
X
LinkedIn
Telegram
Pinterest
XING
WhatsApp

Weitere Beiträge

Passkey-Betrug bei Microsoft 365 durch Social Engineering und angeblichen IT-Support

Passkey-Betrug bei Microsoft 365

Passkeys, Microsoft 365 und Schutz vor Kontoübernahmen Passkey-Betrug bei Microsoft 365: Warum sichere Anmeldung allein nicht ausreicht Passkeys sollen Passwörter ersetzen und Benutzerkonten wirksam gegen Phishing schützen. Technisch gehören sie zu den derzeit sichersten Anmeldeverfahren. Trotzdem gelingt es Cyberkriminellen, Microsoft-365-Konten im Zusammenhang mit einer vermeintlichen Passkey-Einrichtung zu übernehmen. Der Grund

Cyberlagebericht Juli 2026 zu Microsoft-Schwachstellen, SharePoint-Angriffen, Ransomware und IT-Monitoring

Cyberlagebericht Juli 2026

Cyberlagebericht Juli 2026 für Unternehmen Cyberlagebericht Juli 2026: Rekord-Patchday, aktive SharePoint-Angriffe und anhaltender Ransomware-Druck Der Juli 2026 bringt eine außergewöhnlich hohe Zahl veröffentlichter Microsoft- Sicherheitsupdates. Gleichzeitig werden mehrere Schwachstellen bereits aktiv ausgenutzt. Besonders im Fokus stehen lokal betriebene Microsoft-SharePoint-Server, zentrale Identitätsdienste und öffentlich erreichbare Unternehmenssysteme. Für kleine und mittlere Unternehmen

kooperation

Wie IT-Unternehmen ihren Kunden mehr Sicherheit bieten können

Informationssicherheit & Partnerberatung für IT-Unternehmen Informationssicherheit als Leistung: Wie IT-Unternehmen ihren Kunden mehr Sicherheit bieten können Viele IT-Unternehmen leisten täglich wichtige Arbeit für ihre Kunden. Sie sorgen dafür, dass Systeme laufen, Arbeitsplätze funktionieren, Backups eingerichtet sind und Probleme schnell gelöst werden. Gleichzeitig steigen die Anforderungen an Informationssicherheit: Kunden brauchen mehr