Microsoft Teams: Neue Chat-Funktion wird zur Sicherheitsfalle

Microsoft Teams erhält eine brisante neue Funktion: Ab Januar können Nutzer jeden beliebigen Kontakt per E-Mail-Adresse direkt anschreiben – ohne IT-Freigabe. Was als Produktivitätsschub gedacht war, alarmiert jetzt Sicherheitsexperten weltweit. Der Grund: Die Funktion schafft ein gefährliches Einfallstor für Cyberangriffe.

Die neue Funktion, die Microsoft unter der Roadmap-ID 513271 führt, revolutioniert die externe Kommunikation in Teams. Statt aufwendiger Administrator-Setups oder formeller Gastkonten genügt künftig eine simple E-Mail-Adresse. Einfach eintippen, absenden – fertig. Klingt praktisch. Doch genau diese Einfachheit bereitet Sicherheitsforschern schlaflose Nächte.

Hat der Empfänger kein Teams-Konto, erhält er eine E-Mail-Einladung zum Chat. Microsoft nennt das “reibungslose Zusammenarbeit”. Seit Anfang November läuft die gestaffelte Einführung für ausgewählte Nutzergruppen. Die weltweite Freischaltung folgt im Januar 2026 – standardmäßig aktiviert für alle Lizenzen von Teams Essentials bis zu verschiedenen Business-Tarifen.

Ihre Teams-Nutzer könnten ungefilterte Phishing-Nachrichten direkt in ihrem Chat erhalten. Studien zeigen, dass viele Unternehmen nicht ausreichend auf solche gezielten Angriffe vorbereitet sind. Das kostenlose E-Book “Cyber Security Awareness Trends” erklärt praxisnahe Maßnahmen, mit denen IT-Teams Schatten‑Tenants, Chat‑Phishing und fehlende Filter in Microsoft Teams abwehren können. Enthalten sind Checklisten, Priorisierungs‑Tipps und konkrete PowerShell‑Schritte für Administratoren. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Vergangenen Mittwoch schlug die Sicherheitsfirma Ontinue Alarm. Ihr Befund: Die neue Funktion öffnet eine massive Sicherheitslücke in der Unternehmensverteidigung. Sicherheitsforscher Rhys Downing spricht von einem “mandantenübergreifenden blinden Fleck”.

Das Problem liegt in der Architektur: Akzeptiert ein Mitarbeiter eine Chat-Einladung von extern, verlässt er faktisch den geschützten Bereich seines Unternehmens. Alle Sicherheitsmechanismen, die normalerweise greifen – Microsoft Defender, Safe Links, Safe Attachments – bleiben außen vor. Der Schutz richtet sich nun nach der Gastgeber-Umgebung, nicht mehr nach der Heimatorganisation.

Was bedeutet das konkret? Ein Angreifer kann für wenige Euro eine Test-Lizenz von Microsoft 365 erwerben, sämtliche Sicherheitsfunktionen deaktivieren und dann Mitarbeiter in diese “schutzfreie Zone” einladen. Einmal im Chat, können Schadsoftware und Phishing-Links ohne jede Filterung zugestellt werden.

Kriminelle nutzen “Schatten-Tenants”

Die Einstiegshürde für Cyberkriminelle ist erschreckend niedrig. Wie die britische Fachzeitschrift Computing UK gestern berichtete, können Angreifer problemlos sogenannte “Schatten-Tenants” aufsetzen – Microsoft-Umgebungen ohne erweiterte Sicherheitskontrollen.

Das Angriffsszenario ist simpel: Ein Krimineller gibt sich als Lieferant oder Kunde aus, verschickt eine Chat-Einladung an einen Zielmitarbeiter. Nimmt dieser an, landet Malware oder Phishing direkt in der vertrauten Teams-Oberfläche. Da die Einladung von legitimer Microsoft-Infrastruktur stammt, umgeht sie Standard-E-Mail-Gateways mühelos.

“Die Sicherheitslücke entsteht nicht durch einen Fehler in Teams, sondern durch die Realität mandantenübergreifender Zusammenarbeit”, erklärt Ontinue in seinem Report. Doch die “Chat mit jedem”-Funktion verschärfe das Risiko dramatisch, weil nun Massensendungen ohne administrative Genehmigung möglich seien.

Sofortmaßnahmen für IT-Abteilungen

Die Sicherheitsbranche reagiert mit dringenden Warnungen. Berichte von The Hacker News und GBHackers der letzten 48 Stunden empfehlen IT-Administratoren, ihre Konfigurationen umgehend zu überprüfen.

“Diese Entwicklung ist hervorragend für die Lieferantenkoordination… aber sie bringt neue Sicherheitsaspekte mit sich, die IT-Verantwortliche nicht ignorieren dürfen”, warnen Analysten von US Cloud.

Immerhin: Microsoft bietet Kontrollmöglichkeiten – wenn auch nur für proaktive Administratoren. Die Funktion lässt sich per PowerShell deaktivieren, indem der Parameter UseB2BInvitesToAddExternalUsers auf “false” gesetzt wird.

Sicherheitsexperten empfehlen zudem:

• Striktere Zugangsregeln: Konfiguration von Entra ID (ehemals Azure AD), um Gasteinladungen nur von vertrauenswürdigen Domains zuzulassen
• Mitarbeiterschulungen: Behandlung von Teams-Gasteinladungen mit derselben Skepsis wie externe E-Mails
• Granulare Zugriffsrichtlinien: Blockierung oder Beschränkung der Zusammenarbeit mit nicht verifizierten Tenants

Brisanter Zeitpunkt vor der Urlaubssaison

Mit dem nahenden Januar 2026 bleibt die Spannung zwischen Benutzerfreundlichkeit und Sicherheit ein Brennpunkt für IT-Abteilungen. Microsoft hat trotz der Sicherheitswarnungen noch keine Änderung am Standard-aktivierten Status angekündigt.

Besonders brisant: Die Urlaubssaison steht vor der Tür – traditionell eine Hochphase für Phishing-Angriffe. Sicherheitsteams sind aufgerufen, ihre Teams-Richtlinien jetzt zu überprüfen, bevor Mitarbeiter unwissentlich in ungeschützte digitale Umgebungen spazieren.

“Diese Fortschritte erweitern die Möglichkeiten zur Zusammenarbeit erheblich”, resümiert Forscher Downing. “Aber sie vergrößern auch die Verantwortung, sicherzustellen, dass diese externen Umgebungen vertrauenswürdig sind.” Für deutsche Unternehmen, die oft strengeren Datenschutzauflagen unterliegen als ihre internationalen Pendants, dürfte diese neue Funktion zur Zerreißprobe zwischen Produktivität und Compliance werden.

Übrigens: Schon mit wenigen, prioritären Maßnahmen lassen sich viele Risiken durch externe Chat‑Einladungen minimieren. Der Gratis‑Leitfaden für Unternehmen enthält eine sofort anwendbare Checkliste, konkrete Einstellungen für Entra ID und PowerShell‑Befehle sowie Empfehlungen für Schulungen, damit Ihre Mitarbeiter nicht zur Schwachstelle werden. Holen Sie sich die Praxis‑Tipps für kurzfristigen Schutz. Jetzt Cyber-Security-Guide für Unternehmen sichern