Microsoft Teams wird von über 270 Millionen Usern eingesetzt – sei es in Unternehmen, in der Schule oder privat. In zahlreichen Unternehmen und Organisationen ist es mittlerweile ein zentrales Tool für die interne Kommunikation. IT-Sicherheitsforscher der Firma Avanan haben in diesem Jahr eine Häufung von Angriffen in Microsoft Teams bemerkt. Wir zeigen Ihnen, warum (auch „nur“) der Einsatz von Microsoft Teams unbedingt technische und organisatorische Maßnahmen zum Schutz Ihres Unternehmens benötigt und wie das Vorgehen bei einem Angriff ist.
Ausgangspunkt für Angriffe ist ein Zugriff zu Teams
Damit Hacker einen Angriff in Microsoft Teams durchführen können, müssen Sie sich erstmal einen Zugriff zu einem Konto des Microsoft Teams Tendants verschaffen. Eine Möglichkeit ist es, dass Hacker im Darknet Zugänge zu komprimierten Teams Konten kaufen. Ein anderer Ansatz, um Zugriff zu Teams zu erhalten, setzt daran an, Phishing Emails zu verschicken, bei denen Zugangsdaten für Microsoft 365 abgefragt werden.
Malware in Microsoft Teams Chats
In den Angriffen, die von Avanan beobachtet werden, laden Angreifer eine .exe-Datei als Anhang in Chats von Teams-Mitgliedern und Teams-Gruppen. Bei den Angriffen wurde die Malware häufig UserCentric.exe genannt, allerdings kann der Dateiname bei Angriffen natürlich modifiziert werden. Wenn die Datei vom User ausgeführt wird, kann das Programm Einträge in die Registry schreiben, DLL Dateien installieren und Shortcut Links erstellen. So kann der Angreifer die Kontrolle über den betroffenen Rechner übernehmen.
Awareness für Angriffsmöglichkeiten in Microsoft Teams
Auch wenn Phishing Mails tagtäglich erfolgreich sind, wissen einige Mitarbeitende worauf sie achten müssen. Bei Teams fühlt man sich aktuell in einer „sicheren Bubble“ und hat ein viel stärkeres Vertrauen in die Nachrichten als es bei E-Mails der Fall ist. Angreifer können sehr leicht vortäuschen, dass Sie ein Mitarbeiter aus der IT-Abteilung sind und Sie darum bitten, die angehängte Datei zu installieren. Dazu kann einfach ein neuer Microsoft Teams Account erstellen werden. Doch auch existierende Identitäten bzw. Teams Konten wie die des Geschäftsführers oder der Finanzabteilung können eingenommen werden.
Simulierte Phishing Kampagnen, um das Einfallstor zu schließen
Zuallererst setzen wir am Ausgangspunkt eines Angriffs in Microsoft Teams an – das Phishing von Microsoft 365 Zugängen. Schulen Sie Ihre Mitarbeitenden regelmäßig, damit sie in der Lage sind Phishing Mails zu erkennen. Wir empfehlen Ihnen die Durchführung einer simulierten Phishing Kampagne, in der gezielt auf dieses Szenario eingegangen wird. Beispielsweise wird im Namen Ihres IT Teams eine E-Mail an alle Beschäftigten geschickt. In dieser E-Mail wird dazu aufgefordert, über einen hinterlegten Link den Zugang zu Outlook Web Access (OWA) zu überprüfen und sich mit den Zugangsdaten von Microsoft 365 einzuloggen. Sobald der Link geklickt wird, erhält der Mitarbeitende eine Meldung, dass dies zum Glück kein Phishing-Angriff war, aber einer hätte sein können. Diesen Moment wird Ihr Mitarbeitender vermutlich nicht so schnell vergessen und bei einer nächsten möglichen Phishing E-Mail, die Microsoft 365 Zugänge erfordert, die Nachricht genauer prüfen und nochmal Rücksprache halten.
Sicherheitskonzept für Microsoft Teams
Sollte das Abgreifen von Microsoft 365 Zugängen erfolgreich sein, gibt es verschiedene Maßnahmen, die einen laufenden Angriff abwehren können. Dazu zählt beispielsweise das Erzwingen einer 2 Faktor Authentifizierung (2FA) oder andere Sicherheitsmechanismen wie Conditional Access. Achten Sie hier auch besonders darauf, dass Anwender keine Rechte besitzen, zentral vorgegebene Sicherheitsregeln wie 2FA zu deaktivieren.
Eine wichtige Rolle spielt auch der Umgang mit Externen in Microsoft Teams. Hierbei gibt es verschiedene Einstellungsmöglichkeiten, die bei der Konfiguration eines Tenants umgesetzt werden können:
- Personen außerhalb ihrer Organisation können Sie per Teams-Chat kontaktieren,
- Externe User können bei Teams-Gruppen hinzugefügt werden,
- Externe User erhalten keinen Zugriff auf Ihre Microsoft Teams Umgebung.
Bei Nutzung von Microsoft Teams sollte man sich mit zahlreichen Fragestellungen aus der Informationssicherheit und dem Datenschutz beschäftigen. Dazu zählt beispielsweise, ob man es erlauben möchte, Anwendungen aus den USA oder Drittanbieter-Apps in Microsoft Teams zu verwenden.
Nachziehen bei einer schnellen Einführung von Microsoft Teams
Gerade in der Pandemie wurde Teams in vielen Unternehmen schnell eingeführt, um den laufenden Geschäftsbetrieb und die interne Kommunikation aufrechtzuerhalten. Es ist wichtig, dass man ein Konzept für Microsoft Teams entwickelt. Dies umfasst Themen aus der IT-Sicherheit, dem Datenschutz und weiteren organisatorischen Themen.
So sollte beispielsweise festgelegt werden, dass nicht jeder Mitarbeitende eine Microsoft 365 Gruppe erstellen kann, sondern ein Freigabeprozess definiert wird. Damit vermeidet man einen Wildwuchs und kann klare Strukturen festlegen. Man sollte sich auch Gedanken machen, wie man damit umgeht, dass Gruppen-Owner für die Berechtigungen zuständig sind und nicht mehr der IT-Administrator wie früher. Aber ein Thema, das nicht (nur) in der IT-Abteilung liegt, ist es, auch ein Big Picture für Microsoft 365 zu zeichnen. Darin wird festgelegt, wie man in Microsoft 365 arbeiten möchte, welche Möglichkeiten Microsoft 365 überhaupt bietet und welche Prozesse möglicherweise in diesem Tool abgebildet werden.
Deshalb sollte immer zu Beginn eines Microsoft 365 Projekts ein Workshop angesetzt werden, der sich mit diesen Anforderungen auseinandersetzt.