Teams-Chat-Feature öffnet Tür für Cyberangriffe

Eine neue Funktion in Microsoft Teams sollte die Zusammenarbeit erleichtern – stattdessen schafft sie gefährliche Sicherheitslücken. Cyberkriminelle können damit Unternehmensschutz komplett umgehen.

Seit November 2025 rollt Microsoft eine Funktion aus, die zum Bumerang werden könnte: “Chat mit jedem” ermöglicht Teams-Nutzern, externe Kontakte per E-Mail-Adresse direkt anzuschreiben. Klingt praktisch? Ist es auch – aber nur für Angreifer. Sicherheitsforscher von Ontinue schlagen Alarm: Die standardmäßig aktivierte Funktion kreiert “schutzfreie Zonen”, in denen selbst hochgerüstete Unternehmensabwehr versagt.

Das Problem liegt in der Architektur: Wer eine Gast-Einladung annimmt, verlässt den Sicherheitsschirm der eigenen Organisation. Was dann passiert, dürfte IT-Verantwortliche nervös machen.

Viele IT‑Teams unterschätzen, wie neue Collaboration‑Features Angriffsflächen schaffen – gerade bei Funktionen wie „Chat mit jedem“. Untersuchungen zeigen, dass 73% der deutschen Unternehmen nicht ausreichend gegen moderne Cyberangriffe gewappnet sind. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt die wichtigsten Bedrohungen (Phishing, Gastzugriffe, Fehlkonfigurationen) und bietet praxisnahe Sofortmaßnahmen, Checklisten und Kommunikationsvorlagen für Administratoren und Führungskräfte. So können Sie kritische Lücken schnell schließen, bevor Angreifer sie ausnutzen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Microsoft verfolgte mit Update MC1182004 eigentlich ein nobles Ziel: Schluss mit komplizierter Gast-Verwaltung, her mit schneller Kollaboration. Ein Klick, eine E-Mail-Adresse – fertig ist die Verbindung zu Lieferanten, Partnern oder Kunden.

Doch der Teufel steckt im Detail. Sobald ein Mitarbeiter eine externe Einladung akzeptiert, betritt er technisch gesehen einen fremden Mandanten. Dort gelten nicht mehr die Sicherheitsregeln des eigenen Unternehmens, sondern ausschließlich die des Gastgebers.

Millionen Unternehmens-Mandanten akzeptieren solche Verbindungen automatisch – sofern Administratoren nicht aktiv gegensteuerten. Die Funktion erreicht bis Januar 2026 weltweite Verfügbarkeit.

Anatomie eines eleganten Angriffs

Cyberkriminelle reiben sich die Hände. Der Angriffsvektor ist simpel und verheerend zugleich:

Ein Angreifer mietet einen günstigen Microsoft-365-Mandanten – etwa Teams Essentials für wenige Euro monatlich. Diese Basis-Lizenzen verzichten standardmäßig auf fortgeschrittene Sicherheitsfeatures wie Defender für Office 365.

Dann verschickt er harmlos wirkende Chat-Einladungen an Mitarbeiter gut geschützter Unternehmen. “Anfrage zur Zusammenarbeit” oder “Rückfrage zu Ihrem Angebot” – solche Köder wirken.

Sobald das Opfer annimmt, kippt die Situation: Der Mitarbeiter operiert nun als Gast im kontrollierten Umfeld des Angreifers. Safe Links zur URL-Prüfung? Fehlanzeige. Zero-hour Auto Purge gegen Schadsoftware? Abgeschaltet. Die Heimat-Security schaut tatenlos zu.

“Die Schutzmaßnahmen werden vollständig durch die Hosting-Umgebung bestimmt, nicht durch die Heimatorganisation”, erklärt Rhys Downing von Ontinue. Phishing-Links und Malware erreichen ihr Ziel ungefiltert – selbst SPF, DKIM und DMARC greifen nicht, da die Einladungsbenachrichtigung von Microsofts legitimer Infrastruktur stammt.

Komfort contra Sicherheit

Die Situation offenbart ein klassisches Dilemma der Cloud-Ära: Jeder Schritt zu mehr Nutzerfreundlichkeit kann zum Sicherheitsrisiko mutieren. Microsoft hat die Reibung bei B2B-Kollaboration verringert – gleichzeitig aber auch die Hürde für Social Engineering dramatisch gesenkt.

Anders als beim “Externen Zugriff” (Föderation), bei dem Nutzer in ihren eigenen Mandanten verbleiben, verschiebt der Gast-Zugriff die Identität tatsächlich in fremde Umgebungen. Ein feiner, aber entscheidender Unterschied.

Branchenexperten betonen: Dies ist kein klassischer Bug, sondern ein Konfigurationsrisiko. Das “Shared Responsibility Model” der Cloud zeigt hier seine Zähne – Microsoft sichert die Infrastruktur, Kunden müssen ihre Konfiguration selbst verantworten.

Was IT-Teams jetzt tun müssen

Bis Januar 2026 dürfte eine Welle gezielter Phishing-Kampagnen anrollen. Angreifer lieben “Living off the Land”-Techniken, bei denen legitime Tools zur Waffe werden.

Druck auf Microsoft wächst: Sollte der Standard nicht restriktiver sein? Könnten Sicherheitsrichtlinien mit dem Nutzer “reisen”? Bis dahin bleibt die Verantwortung bei IT-Abteilungen.

Sofortmaßnahmen für Administratoren:

• Feature deaktivieren: Per PowerShell den Parameter UseB2BInvitesToAddExternalUsers in der TeamsMessagingPolicy auf false setzen
• Gast-Einladungen beschränken: In Entra ID (ehemals Azure AD) nur vertrauenswürdige Domains zulassen
• Nutzer sensibilisieren: Mitarbeiter aufklären, dass der “Gast”-Banner bedeutet: Hier schützt keine Firewall mehr

Die Uhr tickt. Wer jetzt nicht handelt, lädt Cyberkriminelle praktisch zur Kaffeetafel ein – und serviert dabei gleich noch die Unternehmensdaten mit.

PS: Wenn Sie gezielt Phishing-Angriffe verhindern wollen, enthält das E‑Book konkrete Anti‑Phishing‑Strategien, Vorlagen für Awareness‑Trainings und Empfehlungen zur Absicherung von Gastzugriffen. Ideal für IT-Verantwortliche, die ihre Richtlinien schnell anpassen und Mitarbeiter effektiv schulen möchten. Holen Sie sich die praxiserprobten Maßnahmen, um Social‑Engineering‑Attacken früh zu stoppen. Gratis-Download: Anti-Phishing- und Cyber-Security-Strategien sichern