IT Security

Business E-Mail Compromise: Wenn MFA nicht mehr reicht

MFA aktiv, Konto trotzdem gekapert: So umgeht Business E-Mail Compromise Ihren Microsoft-365-Schutz – und was dagegen schützt.

Adrian Woizik
Jun 22, 2026

 Für viele IT-Teams ist Multi-Faktor-Authentifizierung der Beweis, dass die E-Mail-Konten sicher sind. Doch moderne Angreifer stehlen längst nicht mehr nur Passwörter – sie übernehmen ganze Sitzungen, völlig regelkonform. Warum MFA hier ins Leere läuft, wie ein solcher Angriff Schritt für Schritt abläuft und was wirklich schützt.  

Die Nachricht aus der IT-Abteilung klingt beruhigend: „Wir haben Multi-Faktor-Authentifizierung überall aktiviert. Unsere E-Mail-Konten sind sicher." Das Problem an diesem Satz: Er beruht auf einem gefährlichen Missverständnis.

In den letzten Jahren hat sich die Bedrohungslage grundlegend verschoben. Business E-Mail Compromise (BEC) gehört heute zu den teuersten Cyberbedrohungen für Unternehmen – und die meisten MFA-Implementierungen schützen nicht davor.

▶️Jetzt effektiven BEC-Schutz entdecken!◀️

Das MFA-Trugbild

Ein Häkchen bei MFA fühlt sich an wie „Problem gelöst". Die Logik ist bestechend einfach: Wer ein Passwort stiehlt, kommt ohne den zweiten Faktor nicht hinein.

Doch diese Rechnung geht nicht auf. MFA schützt vor genau einem Szenario – dem Diebstahl eines Passworts. Es verhindert, dass sich jemand allein mit einem erbeuteten Passwort von seinem eigenen Gerät anmeldet. Aber was passiert, wenn der Angreifer nicht nur das Passwort abgreift, sondern auch den Authentifizierungstoken, der nach dem zweiten Faktor ausgestellt wird?

Folgendes Szenario: Eine Mitarbeiterin erhält eine E-Mail vom vermeintlichen „IT-Support". Der Link wirkt vertraut und führt auf eine Seite, die der Microsoft-365-Anmeldung täuschend ähnlich sieht. Sie gibt Benutzername und Passwort ein, dann den Code aus ihrer Authenticator-App. Was sie nicht weiß: Zwischen ihr und Microsoft sitzt ein Angreifer-Werkzeug wie Evilginx. Es fängt nicht nur Benutzername und Passwort ab, sondern auch die Session-Cookies und Token, die nach dem erfolgreichen MFA-Durchlauf entstehen.

Diese Tokens sind vollkommen legitim. Microsoft hat sie korrekt ausgestellt, nachdem sich die echte Nutzerin mit beiden Faktoren authentifiziert hat. Der Angreifer hält sie nun in der Hand, und MFA kann nicht mehr prüfen, wer sie verwendet.

Für Microsoft 365 ist der Angreifer ab diesem Moment nicht mehr von der echten Nutzerin zu unterscheiden. MFA war aktiv, alles verlief regelkonform. Trotzdem hat der Angreifer Zugriff. Hier sitzt der blinde Fleck von MFA: Es schützt die Anmeldung, nicht die Sitzung danach.

 

 

Haben Sie sich schon für unseren monatlichen Newsletter zu IT-News & allerart Tech-Themen angemeldet? 📩

JETZT ANMELDEN

 

Anatomie eines BEC-Angriffs

Hat ein Angreifer über Session Hijacking erst einmal Zugriff auf ein E-Mail-Konto, beginnt die eigentliche Gefahr. Was nun folgt, ist ein leiser, vierstufiger Angriff, den Multi-Faktor-Authentifizierung nicht verhindern kann.

Schritt 1: Das Konto ist kompromittiert – und niemand merkt es

Der Angreifer hat sich erfolgreich mit einem gültigen Session-Token eingeloggt. Von außen ist nichts Auffälliges erkennbar. Der Token ist legitim, und dass die Anmeldung aus einem anderen Land kommt, ist im mobilen Arbeiten kein Alarmsignal.

Microsoft 365 registriert zwei gleichzeitige Sitzungen: eine von der echten Nutzerin, eine vom Angreifer. Der Angreifer kann ab jetzt lesen, schreiben und löschen, genau wie die echte Nutzerin. Beide Sitzungen sind authentifiziert, beide berechtigt. Niemand schlägt Alarm.

Schritt 2: Posteingangsregeln manipulieren – die unsichtbare Kontrolle

Der Angreifer öffnet die Posteingangsregeln in Outlook und legt eine neue an:

„Wenn eine E-Mail die Begriffe ‚Rechnung', ‚Überweisung' oder ‚Zahlung' enthält → an angreifer@externe-domain.com weiterleiten, in den Ordner ‚RSS-Feeds' verschieben und als gelesen markieren."

So fängt der Angreifer gezielt die Nachrichten ab, die ihn verraten könnten – etwa die Rückfrage der Buchhaltung oder die Warnung eines Lieferanten. Eine Kopie landet bei ihm, das Original verschwindet still in einem toten Ordner. Der übrige Mailverkehr läuft unauffällig weiter, der Posteingang wirkt für die echte Nutzerin völlig normal.

Warum das so kritisch ist:

  • Die Manipulation des eigenen Postfachs bleibt der Nutzerin verborgen.
  • Der Angreifer liest alle eingehenden E-Mails mit: sensible Informationen, Finanzdaten, Kundenanfragen.
  • Kommt es später zu einer Untersuchung, sind kritische E-Mails bereits verschwunden.
  • Der Angreifer kann sich auf den aktuellen Stand der internen Kommunikation einstellen.

Das ist klassische Informationssammlung. Der Angreifer weiß jetzt, wer mit wem spricht, welche Projekte laufen, welche Kunden anfragen und welche Hierarchien existieren. Microsoft Exchange zeigt dafür kein Warnzeichen, denn Posteingangsregeln sind ganz normale Funktionalität.

Schritt 3: Identitätsmissbrauch – der Angreifer wird zum Insider

Der Angreifer hat nun ein vollständiges Bild: das Konto einer legitimen Person, Wissen über die Organisation und die Berechtigungen dieses Kontos. Damit wird er zum Insider – und Insidern wird vertraut.

 

Drei mögliche Szenarien:

Finanzabteilung 🏦

Eine E-Mail kommt vom echten Konto einer bekannten Führungskraft (in Wahrheit vom Angreifer): „Ich brauche schnell eine Überweisung. Bitte 50.000 € auf folgendes Konto." Der Mitarbeiter kennt die Person, die Adresse stimmt, alles wirkt legitim. 

IT-Administration 💻

Eine E-Mail von einem Führungskräfte-Account an die IT: „Unsere neue Cloud-Anwendung braucht Azure-Admin-Zugriff. Können Sie mir kurz eine Berechtigung erteilen?" Die IT vertraut der Führungskraft und erteilt den Zugriff. 

Laterale Bewegung 🏃

Der Angreifer schreibt von einem Entwickler-Konto an ein anderes: „Für das neue Projekt brauchen wir Zugriff aufs Data Warehouse. Kannst du das freischalten?" Der Kollege hat keinen Grund zu misstrauen, denn die Mail kommt von einem bekannten Konto. 

 

Schritt 4: Laterale Ausbreitung – vom Konto zum ganzen Netzwerk

Hat der Angreifer die Organisation durchschaut, beginnt die finale Phase: Zugangsdaten sammeln, Berechtigungen ausweiten, sich im Netzwerk ausbreiten.

⚙️ Ein kompromittierter Admin-Account erlaubt es, Konten zu erstellen, Berechtigungen zu ändern, Daten zu exportieren, Backups zu löschen und neue Weiterleitungen für künftige Angriffe vorzubereiten.

💻 Ein kompromittierter Entwickler-Account öffnet den Zugriff auf Code-Repositories, versteckte Zugangsdaten im Code, mögliche Hintertüren und im schlimmsten Fall Produktivsysteme.

Und all das läuft unter dem Namen einer legitimen Person. Für Microsoft 365, für die Netzwerküberwachung, für jedes Audit-Log sieht es aus wie Alltag.

 

Echte Angriffsmuster:

Finanzbetrug ‼️

Das Konto eines CFO wird übernommen. Der Angreifer versendet eine Zahlungsanweisung, das Finanzteam überweist. Das Geld ist weg, bevor der echte CFO am nächsten Tag etwas bemerkt.  

Daten-Exfiltration 💽

Ein kompromittiertes Konto in der Rechtsabteilung verschafft dem Angreifer Zugriff auf alle E-Mails mit Kundendaten. Sensible Informationen werden abgezogen. Wochen später folgen die Meldungen über den Datenschutzverstoß. 

Supply-Chain-Angriff ⛴️

Das Konto eines Einkaufsleiters wird übernommen. Der Angreifer verschickt Rechnungen für nie bestellte Waren, die Zahlungen landen auf einem gefälschten Konto. Auffällig wird es erst, wenn echte Bestellungen ausbleiben. 

 

 

Wenn traditionelle Schutzmaßnahmen nicht mehr greifen

Die meisten Organisationen setzen auf mehrere Schutzschichten: starke Passwörter, MFA, Standard-Spam- und Malware-Filter, Awareness-Trainings, Geo-Sperren. Jede davon hat ihren Wert. Aber sie alle haben dieselbe Schwäche: Sie schützen den Einstiegspunkt. Keine von ihnen erkennt, was ein Angreifer mit einer einmal erbeuteten, gültigen Sitzung danach anstellt.

Das ist die eigentliche Lücke. Die meisten Umgebungen beantworten zwei Fragen souverän:

  • Authentifizierung – „Wer bist du?" (Passwort + MFA)
  • Autorisierung – „Was darfst du?" (Zugriff auf Postfach, Teams, SharePoint)
  • Verhaltensüberwachung – „Ergibt es Sinn, dass du das gerade tust?" Ist es normal, dass dieses Konto nachts um drei eine Weiterleitungsregel anlegt oder plötzlich 1.000 E-Mails auf einmal weiterleitet?

Die dritte Frage bleibt offen:

Genau diese Fähigkeit, anomales Verhalten zu erkennen, fehlt in den meisten Microsoft-365-Umgebungen. Und die Angreifer wissen das.

 

Sicherheit braucht mehrere Schichten, die ineinandergreifen

Multi-Faktor-Authentifizierung ist notwendig, aber nicht ausreichend. Das ist eine unbequeme Wahrheit für alle, die MFA als letztes Wort in Sachen Sicherheit verstanden haben.

Echter Schutz vor BEC entsteht nicht durch eine einzelne Maßnahme, sondern durch das Zusammenspiel mehrerer Ebenen:

  • 📧 Fortgeschrittene E-Mail-Filterung, die Phishing stoppt, bevor es überhaupt im Postfach landet.
  • 👁️ Kontinuierliche Identitäts- und Verhaltensüberwachung, die kompromittierte Konten an ihrem Verhalten erkennt – nicht erst am Schaden.
  • 🛡️ Ein Expertenteam, das rund um die Uhr eingreift, statt nur Warnmeldungen weiterzuleiten.
  • 🔍 Regelmäßige Tests, die Schwachstellen aufdecken, bevor Angreifer sie finden.

Jede Ebene fängt ab, was die vorherige nicht gesehen hat. Erst im Zusammenspiel ergeben sie echten Schutz.

Wie groß der Unterschied ist, zeigt ein realer Fall aus dem Sophos MDR-Team: Ein Angreifer hatte über ein Phishing-Kit gültige Session-Token erbeutet und begann bereits, Postfachregeln für einen BEC-Angriff anzulegen. Sophos MDR erkannte die Anomalie, sperrte die Anmeldungen und widerrief sämtliche aktiven Sitzungen – 95 Sekunden nach dem ersten Alarm. Kein Schaden, keine Betriebsunterbrechung, kein Versicherungsfall.

Genau hier entscheidet sich BEC-Abwehr: nicht daran, ob MFA aktiv ist, sondern daran, ob jemand das Verhalten nach der Anmeldung beobachtet. 41 % der Bedrohungsfälle, die Sophos MDR in Microsoft-Umgebungen stoppt, werden über genau solche Signale ausgelöst.

 

 

ML-Group-Blog-Juni-BEC-pirate-ship
 Fazit: Lassen Sie nicht zu, dass ihr Konto gekapert wird!

Sicherheit endet nicht bei der Anmeldung

MFA bleibt unverzichtbar. Aber wer sich allein darauf verlässt, vertraut auf ein Schloss, das Angreifer längst umgehen. Wer Business E-Mail Compromise ernsthaft begegnen will, muss die Frage „Ergibt es Sinn, dass dieses Konto das gerade tut?" beantworten können – und zwar bevor das Geld überwiesen ist.

Ihr nächster Schritt: Sophos für Microsoft kennenlernen

MFA schützt die Anmeldung – Mit Sophos schützen und überwachen Sie Ihre Systeme ganzheitlich: Sophos MDR überwacht Ihre Microsoft-365-Umgebung rund um die Uhr und stoppt BEC-Angriffe, bevor Schaden entsteht – ergänzt um Sophos Email (Phishing- und BEC-Schutz für Exchange Online), Sophos ITDR (Identitätsüberwachung für Entra ID) und Sophos Advisory Services (Penetrationstests und Assessments).

BEC-Schutz entdecken

 

Sie sind unsicher, wo Ihre Microsoft-365-Umgebung verwundbar ist? Sprechen Sie mit uns. Vereinbaren Sie einen unverbindlichen Beratungstermin über das untenstehende Formular  

Ihre Security-Strategie im Fokus

Kontaktformular

Von Network Security über SOC bis hin zu Awareness. Wir haben für Ihr Thema den richtigen Ansprechpartner. Sprechen Sie uns an!
 
IT Security IT-News IT-Experte - Adrian Woizik

Weitere Artikel

IT Security

7 Cybersecurity Vorhersagen für 2024

Entdecken Sie die 7 Schlüsselprognosen für Cybersecurity in 2024 und wie die Medialine Group Ihr Unternehmen schützt. Jetzt sicher ins digitale...

Joachim P. Walter Jan 8, 2024

Über IT-News auf dem Laufenden bleiben

Einmal im Monat informieren wir zu aktuellen Trend-Themen, News und Veranstaltungen aus der IT-Welt. Zusätzlich erhalten Sie im Bedarfsfall Sondernewsletter, falls es aktuelle Entwicklungen oder Sicherheitsrisiken nicht zulassen, Ihnen diese Informationen bis zum nächsten planmäßigen Newsletter vorzuenthalten.

Unsere Datenschutzhinweise, die Sie umfassend über unsere Datenverarbeitung und Ihre Datenschutzrechte informieren, finden Sie hier. 

Willkommen an Bord! Bitte halten Sie sich fest, während wir durch den Datenstrom segeln.