Microsoft Teams: Sicherheitslücke gefährdet externe Zusammenarbeit

Microsoft Teams steht vor einem Wendepunkt. Während das Unternehmen für Januar 2026 eine umfassende Performance-Optimierung ankündigt, warnen Sicherheitsforscher vor einer kritischen Schwachstelle im Design der Plattform. Das Problem: Externe Zusammenarbeit könnte Unternehmen schutzlos Cyberangriffen aussetzen.

Die Cybersecurity-Firma Ontinue veröffentlichte am Mittwoch einen Bericht, der einen grundlegenden Konstruktionsfehler in der Gast-Zugriffsfunktion von Teams offenlegt. Gleichzeitig verspricht Microsoft eine drastische Reduzierung des Ressourcenverbrauchs – doch die Sicherheitsbedenken überschatten die technischen Fortschritte.

„Schutzfreie Zonen”: Wenn externe Kollaboration zur Gefahr wird

Am 26. November schlugen Sicherheitsexperten von Ontinue Alarm. Ihr Bericht identifiziert eine erhebliche Lücke in der Business-to-Business-Architektur von Microsoft Teams. Was zunächst technisch klingt, hat weitreichende Konsequenzen: Mitarbeiter verlassen faktisch den Sicherheitsperimeter ihrer eigenen Organisation, sobald sie einer externen Teams-Umgebung beitreten.

Das Kernproblem liegt in der Verwaltung der Sicherheitsprotokolle. Wenn ein Nutzer als Gast in der Teams-Umgebung einer anderen Organisation agiert, werden seine Schutzfunktionen – etwa Microsoft Defenders Safe Links oder die Zero-hour Auto Purge (ZAP) – vollständig vom gastgebenden Unternehmen kontrolliert, nicht von der eigenen IT-Abteilung.

Externe Gäste in Microsoft Teams können Schutzmechanismen aushebeln – Phishing und Malware gelangen so leichter ins Unternehmensnetz. Das kostenlose Anti-Phishing-Paket erklärt in vier klaren Schritten, wie Sie CEO‑Fraud erkennen, gefährliche Einladungen abwehren und Mitarbeitende gezielt schulen. Enthalten: Praxistipps, Checklisten und sofort umsetzbare Maßnahmen für IT‑Teams und Administratoren. Anti‑Phishing‑Guide jetzt gratis herunterladen

„Sobald Nutzer als Gäste in einer fremden Umgebung arbeiten, bestimmt ausschließlich diese Umgebung ihre Sicherheitsvorkehrungen”, erklärt Rhys Downing, Sicherheitsforscher bei Ontinue.

Diese Architektur schafft das, was Experten als „schutzfreie Zonen” bezeichnen. Angreifer könnten einen schädlichen Microsoft-365-Mandanten erstellen, sämtliche Sicherheitsfunktionen deaktivieren und Opfer zur Zusammenarbeit einladen. Akzeptiert das Opfer die Einladung, betritt es eine Umgebung, in der die Schutzmaßnahmen des eigenen Unternehmens wirkungslos sind. Phishing und Malware, die normalerweise blockiert würden, können ungehindert durchdringen.

Besonders brisant: Die „Mit jedem chatten”-Funktion vereinfacht die Kontaktaufnahme mit externen Nutzern erheblich und senkt damit die Hürde für Social-Engineering-Angriffe.

Performance-Revolution: Der neue Prozess ms-teams_modulehost.exe

Während Sicherheitsteams mit den Risiken externer Zugriffe ringen, erreichten IT-Administratoren diese Woche erfreuliche Nachrichten zur Plattform-Performance. In einer Mitteilung an das Microsoft-365-Message-Center (MC1189656) kündigte Microsoft eine strukturelle Änderung des Teams-Desktop-Clients für Windows an, die hohe CPU- und Speicherauslastung reduzieren soll.

Das Update führt einen neuen Unterprozess namens ms-teams_modulehost.exe ein. Dieser entkoppelt die Anruffunktionen von der Hauptanwendung und ermöglicht es Audio- und Videoprozessen, unabhängig von den Chat- und Interface-Funktionen zu laufen.

„Diese Änderung optimiert die Ressourcennutzung und verbessert das Meeting-Erlebnis deutlich”, heißt es in der Ankündigung. Durch die Isolierung dieser ressourcenintensiven Aufgaben soll die Haupt-Teams-Anwendung auch bei hoher Meeting-Last reaktionsschnell bleiben.

Der Rollout ist für Januar 2026 geplant. Doch die Ankündigung diese Woche ist mehr als eine bloße Information – sie ist ein Weckruf für IT-Abteilungen. Administratoren müssen ihre Endpoint-Security-Software und Positivlisten umgehend aktualisieren, um den neuen Prozess zu erkennen. Andernfalls drohen blockierte Meeting-Verbindungen ab Januar.

Mehr Kontrolle für Nutzer: Falschmeldungen und Audio-Privacy

Neben den Backend-Änderungen rücken Updates dieser Woche die Endnutzer in den Fokus – mit mehr Kontrolle über Sicherheit und Datenschutz.

Fehlalarme melden
Seit Ende November finalisiert Microsoft die Einführung einer Funktion (MC1147984), die es Nutzern ermöglicht, ihrer Meinung nach fälschlicherweise blockierte Nachrichten zu melden. Bisher hatten Mitarbeiter kaum Möglichkeiten, wenn ein legitimer Business-Link von Defender blockiert wurde – ein Engpass für Arbeitsabläufe. Die neue Feedback-Schleife sendet Berichte direkt an das Microsoft-Defender-Portal. Sicherheitsteams können so ihre Bedrohungserkennungsmodelle anpassen und künftige Störungen minimieren.

Nur-Audio-Aufzeichnungen
Auch die Meeting-Privacy erhielt einen Schub: Die Einführung der „Audio-Only Recording”-Funktion (MC1173926) ist abgeschlossen. Meeting-Organisatoren können nun Aufzeichnungen erstellen, die ausschließlich die Audiospur erfassen und die Videoübertragung vollständig unterdrücken.

Diese Möglichkeit adressiert zwei moderne Herausforderungen: Bandbreitenprobleme und Datenschutz-Compliance. Unternehmen können Diskussionen dokumentieren, ohne sensible visuelle Daten oder Gesichtsinformationen zu erfassen – eine zentrale Anforderung für bestimmte Compliance-Standards und interne Reviews.

Was bedeutet das für Unternehmen?

Die Gleichzeitigkeit der Ankündigungen dieser Woche offenbart den Spagat, den Microsoft vollführen muss: offene Zusammenarbeit fördern und gleichzeitig Zero-Trust-Sicherheit gewährleisten.

Der Ontinue-Bericht stellt die Annahme infrage, dass „Cloud-Sicherheit” dem Nutzer folgt. In einem föderierten Identitätsmodell stellt das Fehlen persistenter Sicherheitsrichtlinien über Mandanten hinweg einen erheblichen blinden Fleck dar. Branchenanalysten vermuten, dass Microsoft gezwungen sein wird, die Entwicklung mandantenübergreifender Sicherheitsrichtlinien zu beschleunigen – Richtlinien, die den Schutz der Heimatorganisation mit dem Nutzer reisen lassen.

„Diese Fortschritte erweitern die Möglichkeiten zur Zusammenarbeit, aber sie vergrößern auch die Verantwortung sicherzustellen, dass externe Umgebungen vertrauenswürdig sind”, betont Downing in seiner Analyse.

Die Einführung des modulehost-Prozesses ist indes ein Eingeständnis langjähriger Kritik: Teams war immer „schwer”. Mit dem Schritt hin zu einer modulareren Architektur erkennt Microsoft an, dass die Plattform effizienter laufen muss – auf einer breiteren Palette von Hardware, ohne Systemressourcen zu dominieren.

Was kommt als Nächstes?

Mit Blick auf Dezember und Anfang 2026 steht für Unternehmen eine doppelte Agenda an:

1. Sofortige Sicherheitsaudits: Als Reaktion auf die Gast-Zugriffs-Erkenntnisse werden Sicherheitsadministratoren voraussichtlich externe Zugriffskonfigurationen verschärfen. Viele dürften den Gastzugriff auf „Nur-erlaubte”-Listen vertrauenswürdiger Partner-Domains beschränken, statt offene Federation beizubehalten.

2. Infrastruktur-Vorbereitung: IT-Teams haben nur ein kurzes Zeitfenster vor dem Januar-Rollout der neuen Anruf-Architektur. Wird die neue ausführbare Datei nicht rechtzeitig freigegeben, drohen flächendeckende „Anruf fehlgeschlagen”-Fehler. Proaktive Konfiguration ist unverzichtbar.

Zum Jahresende 2025 entwickelt sich Microsoft Teams von einem einfachen Kommunikationswerkzeug zu einer segmentierten, optimierten Plattform. Die Nutzererfahrung wird reibungsloser – doch die Sicherheitslandschaft erfordert erhöhte Wachsamkeit.

PS: Wenn Sie jetzt Ihre Zugriffsregeln und Endpoint‑Security überarbeiten, sollten Sie auch Phishing‑Risiken systematisch angehen. Das Anti‑Phishing‑Paket liefert branchenspezifische Szenarien, Vorlagen für Warnhinweise und einen 4‑Punkte‑Plan zur Hacker‑Abwehr — ideal, um Gastzugriffe sicherer zu machen. Kostenloser Download mit Checklisten für schnelle Umsetzung. Jetzt Anti‑Phishing‑Paket anfordern