Microsoft schließt gefährliche Kalender-Lücke in Office 365

Schluss mit Zombie-Einladungen: Microsoft stoppt raffinierte Phishing-Attacke.

Angreifer nutzten einen gefährlichen Trick – sie versteckten ihre Phishing-Links in Kalendereinladungen, die selbst nach Löschung der E-Mail aktiv blieben. Microsoft hat diese Sicherheitslücke nun geschlossen. Die Maßnahme kommt zu einem kritischen Zeitpunkt: Cybersecurity-Experten melden einen drastischen Anstieg von Angriffen, die über scheinbar harmlose .ics-Kalenderdateien erfolgen.

Das Perfide an dieser Methode? Die bösartigen Einladungen verwandeln vertraute Planungstools in Einfallstore für Datendiebstahl und Schadsoftware.

Das Problem der “untoten” Termine

Microsoft kündigte am frühen Dienstagmorgen eine entscheidende Verbesserung der “Hard Delete”-Funktion in Defender for Office 365 an. Bislang entfernten Sicherheitsteams zwar die schädliche E-Mail aus dem Posteingang – die dazugehörige Besprechung blieb jedoch im Kalender bestehen. Diese “Zombie-Einladungen” ermöglichten Angreifern einen stillen Zugang zur Aufmerksamkeit ihrer Opfer, lange nachdem die ursprüngliche Bedrohung scheinbar neutralisiert war.

“Besprechungseinladungen, die sich im Kalender einnisten, überleben oft lange nach dem Verschwinden der bösartigen E-Mail”, berichtete Help Net Security heute. “Das hinterlässt einen unauffälligen Zugang für Angreifer.”

Nithin Nara, Senior Product Manager bei Microsoft, erläuterte die operative Änderung: “Hard Delete entfernt künftig auch den zugehörigen Kalendereintrag jeder Besprechungseinladung.” Diese Synchronisierung stellt sicher, dass bei der Beseitigung einer Bedrohung diese vollständig aus der digitalen Umgebung des Nutzers verschwindet.

Passend zum Thema Kalender‑Phishing: Kalendereinladungen mit eingebetteten Links sind eine unterschätzte Eintrittspforte für Angreifer – besonders wenn automatische .ics-Verarbeitung Termine selbst nach Löschung der E-Mail erzeugt. Unser kostenloses Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie bösartige Kalendereinträge erkennen, automatische Verarbeitung deaktivieren und Mitarbeiter dauerhaft sensibilisieren. Enthalten sind praktische Checklisten, Beispielregeln für Exchange/Outlook und sofort umsetzbare Richtlinien für Administratoren. Anti-Phishing-Paket jetzt kostenlos herunterladen

Die Mechanik des ICS-Angriffs

Der Zeitpunkt von Microsofts Update ist kein Zufall. Im November 2025 beobachteten Sicherheitsfirmen eine ausgeklügelte Weiterentwicklung bei der Ausnutzung des iCalendar-Standards (.ics).

Anders als traditionelle Phishing-E-Mails nutzen diese Angriffe die automatische Verarbeitungsfunktion gängiger Kalenderplattformen aus. Wenn eine bösartige .ics-Datei verschickt wird, fügen viele E-Mail-Systeme – einschließlich der Standardkonfigurationen von Microsoft Outlook und Google Calendar – den Termin automatisch als “Mit Vorbehalt” zum Kalender hinzu.

Das senkt die Hürde drastisch und erhöht die Engagement-Rate, wie aktuelle Analysen zeigen. Die Einladungen tarnen sich als dringende Geschäftsbesprechungen, Gehaltsabrechnungen oder “Zahlungserinnerungen” für nicht existierende Rechnungen. Einmal im Kalender, lösen sie legitime Systembenachrichtigungen auf Smartphones und Desktops aus – und verleihen dem Angriff einen unverdient authentischen Anstrich.

In der vergangenen Woche beobachtete Angriffe platzierten bösartige URLs direkt in den Feldern für Besprechungsbeschreibung oder Ort. Diese Links leiteten Opfer zu Credential-Harvesting-Seiten, gefälschten Krypto-Support-Portalen oder Malware-Seiten weiter. Weil die Benachrichtigung von der Kalender-App selbst stammt – einem vertrauenswürdigen Systemdienst – klicken Nutzer statistisch häufiger auf den Link als bei einer normalen E-Mail.

Doppelter Angriff auf Verteidiger

Sicherheitsforscher von Sublime Security, die Anfang des Monats vor dem Anstieg dieser Attacken warnten, beschrieben die Taktik als “doppelten Schlag” für Verteidiger. Angreifer erhalten faktisch zwei Chancen: zuerst über den E-Mail-Posteingang, dann über die Kalenderbenachrichtigung.

“Selbst wenn die E-Mail automatisch von einer Sicherheitslösung unter Quarantäne gestellt wird, bleibt der Kalendereintrag häufig bestehen”, erklärten Forscher in einer Warnung, die dem heutigen Patch vorausging. Diese Persistenz bedeutete, dass automatisierte Abwehrsysteme zwar die Schlacht um den Posteingang gewannen, aber den Krieg um die Aufmerksamkeit der Nutzer verloren.

Die Angriffe haben sich zudem weiterentwickelt, um “unter dem Radar zu fliegen”. Jüngste Kampagnen nutzten legitime Dienste wie Google Forms, Google Drawings und SharePoint, um die in Kalendereinladungen eingebetteten Weiterleitungs-Links zu hosten. Durch die Verwendung von Domains mit hoher Reputation stellen Angreifer sicher, dass ihre bösartigen .ics-Dateien seltener von Spamfiltern markiert werden, bevor sie einen Kalendereintrag erzeugen können.

Branchenreaktion und Gegenmaßnahmen

Die Cybersecurity-Community begrüßt Microsofts Update als notwendigen Schritt zur Härtung von Unternehmenskommunikationslösungen. Experten warnen jedoch, dass die Funktion davon abhängt, dass Sicherheitsteams aktiv Gegenmaßnahmen ergreifen – sie verhindert nicht automatisch die initiale Platzierung von Einladungen in allen Szenarien.

“Der Kalender-Fix beseitigt eine häufige Quelle von Restrisiken bei Phishing-Angriffen über Besprechungseinladungen”, analysierten Experten heute. Sie warnten aber, dass “Kalendereinträge, die durch manuell geöffnete .ics-Dateien hinzugefügt wurden, unberührt bleiben” – was die anhaltende Notwendigkeit von Nutzerwachsamkeit unterstreicht.

Angesichts der laufenden Kampagne raten Sicherheitsprofis Unternehmen zu sofortigen Abwehrmaßnahmen, die über Hersteller-Patches hinausgehen:

• Automatische Verarbeitung deaktivieren: Administratoren sollten Exchange-Einstellungen so konfigurieren, dass Kalendereinladungen von externen oder unbekannten Absendern nicht automatisch hinzugefügt werden.
• “Extern”-Kennzeichnung prüfen: Sicherstellen, dass Kalendereinträge von außerhalb der Organisation klar markiert sind, damit Nutzer Phishing-Einladungen nicht mit internen Meetings verwechseln.
• Mitarbeiterschulungen: Mitarbeiter darüber aufklären, dass bösartige Links genauso leicht in Kalenderbenachrichtigungen wie in E-Mails oder SMS erscheinen können.

Ausblick: Die nächste Angriffswelle

Die “Bewaffnung von Workflow-Tools” bleibt eines der dominierenden Themen in der Cyberkriminalität 2025. Angreifer bewegen sich zunehmend weg von simplem Spoofing hin zur Ausnutzung der Logik von Produktivitätssuiten.

Mit Microsofts Schließung der Zombie-Einladungs-Lücke dürften Angreifer umschwenken. Analysten rechnen mit einem möglichen Anstieg von “Notification Bombing” – dem Fluten von Nutzern mit Kalendereinladungen zur Ermüdung – oder einer Verschiebung hin zur Ausnutzung anderer vertrauenswürdiger Benachrichtigungskanäle wie Teams-Alerts oder mobile Push-Benachrichtigungen.

Das heutige Update liefert Verteidigern jedenfalls ein entscheidendes Werkzeug: Sie können bösartige Meetings endlich mit einem einzigen Klick vollständig ausradieren.

PS: Gerade bei Angriffen über Kalender ist schnelle Prävention entscheidend. Dieses kostenlose Anti‑Phishing‑Paket bietet eine kompakte Umsetzungshilfe mit Maßnahmen gegen .ics-Angriffe, Empfehlungen für Filterregeln, Vorlagen für Mitarbeiterwarnungen und einen Notfall-Plan für IT-Teams. Ideal für mittelständische Unternehmen und IT‑Verantwortliche, die die neue Microsoft‑Hard‑Delete‑Update ergänzen möchten. Holen Sie sich die Schritt‑für‑Schritt‑Anleitung kostenlos – inklusive Praxistipps zur Konfiguration von Outlook und Exchange. Anti-Phishing-Leitfaden kostenlos anfordern