Microsoft, Teams

Microsoft Teams: Sicherheitslücke hebelt Unternehmensschutz aus

28.11.2025 - 14:21:12

Microsoft Teams: Sicherheitslücke hebelt Unternehmensschutz aus - Foto: über boerse-global.de
Microsoft Teams: Sicherheitslücke hebelt Unternehmensschutz aus - Foto: über boerse-global.de

Ein Architekturdefekt in Microsoft Teams erlaubt Angreifern, Nutzer in ungeschützte „Gast-Umgebungen” zu locken – vorbei an allen Firewalls.

Beunruhigende Nachrichten für Unternehmen: Eine neu entdeckte Schwachstelle in Microsoft Teams untergräbt die Sicherheitsvorkehrungen ganzer Konzerne. Cyberkriminelle können die „Gastzugriff”-Funktion der Plattform ausnutzen, um regelrechte Sicherheits-Vakuums zu schaffen. Das Perfide daran: Sobald Mitarbeiter eine externe Einladung annehmen, verlieren sie den Schutz ihrer eigenen IT-Infrastruktur – ohne es zu merken.

Die Schwachstelle, die das Sicherheitsunternehmen Ontinue am Donnerstag öffentlich machte, nutzt eine technische Besonderheit der mandantenübergreifenden Zusammenarbeit in Teams aus. Wenn ein Nutzer eine Einladung in eine fremde Teams-Umgebung akzeptiert, wechselt sein gesamter Sicherheitskontext zum gastgebenden Mandanten. Microsoft Defender für Office 365 – normalerweise der Bodyguard gegen Phishing und Malware – bleibt plötzlich außen vor.

Wie funktioniert diese digitale Falle? Der Kern des Problems liegt in einem fundamentalen Designprinzip: Unternehmens-Sicherheitsregeln gelten nur im eigenen digitalen Hoheitsgebiet. Sobald Mitarbeiter als Gäste in fremden Teams-Umgebungen agieren, bestimmt der gastgebende Mandant die Spielregeln – nicht mehr die hauseigene IT-Abteilung.

Anzeige

Passend zum Thema sichere Zusammenarbeit: Viele Unternehmen unterschätzen, dass Gastzugriffe perimeterbasierte Schutzlösungen ausschalten – und damit Security-Operations-Center faktisch blind werden. Ein kostenloses E‑Book zeigt praxisorientierte Maßnahmen, wie Sie Zugriffsrichtlinien, Monitoring und Mitarbeiterschulungen so kombinieren, dass externe Einladungen nicht zur Sicherheitslücke werden. Zusätzlich enthält der Leitfaden Hinweise zu neuen Regularien und Prioritäten für 2025. Jetzt kostenlosen Cyber-Security-Leitfaden sichern

„Die Schutzmaßnahmen werden vollständig von der Hosting-Umgebung bestimmt”, erklärt Sicherheitsforscher Rhys Downing von Ontinue in seinem Bericht. Ein gefährlicher Blindfleck entsteht: Angreifer können für wenige Euro einen Microsoft-365-Mandanten aufsetzen – etwa ein günstiges Teams Essentials oder Business Basic Abo – der bewusst ohne erweiterte Sicherheitsfunktionen betrieben wird.

In dieser kontrollierten Umgebung können Kriminelle dann nach Belieben schalten und walten. Schadsoftware oder Phishing-Links, die normalerweise von Firmen-Scannern blockiert würden, passieren ungehindert – denn die Heimat-Sicherheitssysteme des Opfers bekommen vom Geschehen im Gast-Mandanten schlichtweg nichts mit.

„Mit jedem chatten”: Das neue Einfallstor

Verschärft wird die Situation durch ein Microsoft-Update vom November 2025. Die neue Funktion „Mit jedem chatten” (Update MC1182004) erlaubt es Teams-Nutzern, mit beliebigen externen Kontakten über deren E-Mail-Adresse Gespräche zu beginnen – häufig ist diese Funktion standardmäßig aktiviert.

Was Microsoft als Verbesserung der Zusammenarbeit vermarktet, senkt gleichzeitig die Hürde für Angreifer dramatisch. Früher erforderte der Gastzugriff formelle Administratoren-Einladungen oder Verzeichniseinträge. Heute genügt eine E-Mail-Adresse.

Besonders tückisch: Die Einladungen stammen aus Microsofts eigener Infrastruktur und umgehen dadurch mühelos Standard-Authentifizierungen wie SPF, DKIM und DMARC. Sie landen mit einem Anschein von Legitimität direkt im Posteingang oder Teams-Aktivitätsfeed – für Mitarbeiter kaum von echten Geschäftskontakten zu unterscheiden.

Anatomie eines unsichtbaren Angriffs

Der Ablauf der Attacke ist so simpel wie effektiv:

  1. Vorbereitung: Der Angreifer richtet einen günstigen Microsoft-365-Mandanten ein und deaktiviert bewusst alle Sicherheitsfunktionen.
  2. Der Köder: Mit der „Mit jedem chatten”-Funktion verschickt er Teams-Einladungen an Zielpersonen – getarnt als Lieferant, Partner oder IT-Support.
  3. Der Kontextwechsel: Nimmt das Opfer die Einladung an, wechselt der Teams-Client automatisch in die Gast-Umgebung des Angreifers.
  4. Der Schlag: In dieser unüberwachten Zone teilt der Kriminelle Schadsoftware oder gefälschte Login-Seiten. Das Security Operations Center (SOC) des Unternehmens? Komplett blind.

„Die Gefahr liegt im trügerischen Sicherheitsgefühl”, warnt The Hacker News in einer Analyse vom Freitag. „Mitarbeiter sind darauf trainiert, der Teams-Oberfläche als sicherem internen Werkzeug zu vertrauen. Dass sie mit einer externen Einladung faktisch die Firmen-Firewall verlassen, realisieren die wenigsten.”

Kontext und Gegenmaßnahmen

Die Enthüllung reiht sich ein in eine Serie besorgniserregender Sicherheitsmängel bei Kollaborationstools. Erst Anfang November hatten Check Point-Forscher separate Schwachstellen in Teams aufgedeckt, die Nachrichten-Manipulation und Identitätstäuschung ermöglichen. Ein Muster zeichnet sich ab: Angreifer zielen zunehmend auf das Vertrauen der Nutzer in etablierte Plattformen – nicht nur auf technische Softwarefehler.

Die Gastzugriff-Lücke ist besonders heimtückisch, weil sie ein legitimes Feature ausnutzt, das für Business-to-Business-Kommunikation konzipiert wurde. „Diese Funktionen erweitern Kollaborationsmöglichkeiten, verlagern aber auch die Verantwortung dafür, dass externe Umgebungen vertrauenswürdig sind”, betont Downing.

Sicherheitsexperten empfehlen Unternehmen dringend folgende Sofortmaßnahmen:

  • Gastzugriff einschränken: In den Entra ID (ehemals Azure AD) Einstellungen für externe Zusammenarbeit nur Einladungen von explizit freigegebenen Domains zulassen.
  • „Mit jedem chatten” deaktivieren: Administratoren sollten die Update-MC1182004-Einstellungen prüfen und die Funktion für ungeprüfte externe E-Mail-Adressen abschalten.
  • Mitarbeiterschulung: Beschäftigte müssen verstehen, dass das „Gast”-Banner in Teams bedeutet, dass sie außerhalb des Unternehmens-Schutzperimeters operieren.

Wie geht es weiter?

Microsoft hat bislang keine grundlegende Änderung der Gastzugriff-Architektur angekündigt. Das aktuelle Design sei bewusst so konzipiert, dass mandantenspezifische Richtlinien durchgesetzt werden können, heißt es. Die heftige Kritik könnte den Konzern jedoch unter Zugzwang setzen, „Heimat-Mandanten-Überschreibungen” einzuführen – sodass kritische Schutzfunktionen wie Safe Links den Nutzer begleiten, unabhängig vom besuchten Mandanten.

Kurzfristig müssen sich Sicherheitsteams auf einen Anstieg von Social-Engineering-Kampagnen einstellen, die diesen Angriffsvektor nutzen. Mit der breiten Verfügbarkeit der „Mit jedem chatten”-Funktion war es noch nie so einfach, diese mandantenübergreifenden Attacken zu starten. Wachsamkeit und strikte Konfigurationskontrolle sind für den Rest des Jahres 2025 unverzichtbar.

PS: Die meisten Angriffe starten mit scheinbar legitimen Einladungen – viele Firmen sind darauf nicht vorbereitet. Holen Sie sich den kompakten Gratis-Report mit Checklisten für Anti‑Phishing-Maßnahmen, Richtlinien und sofort umsetzbaren Kontrollen, die auch ohne großes Budget greifen. Jetzt Cyber-Security-Report gratis herunterladen

@ boerse-global.de
Die besten Black Friday Angebote für