Das FBI schlägt Alarm: Die seit April 2026 auf Telegram aktive Software umgeht selbst die Zwei-Faktor-Authentifizierung (MFA) und übernimmt die Kontrolle über Microsoft-365-Konten. Betroffen sind auch zahlreiche europäische und deutsche Firmen.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Report für Unternehmen anfordern
So funktioniert der Angriff
Kali365 nutzt eine Schwachstelle im OAuth-2.0-Device-Code-Flow von Microsoft aus. Dabei handelt es sich um ein legitimes Anmeldeverfahren, das eigentlich für Geräte ohne Browser gedacht ist. Die Angreifer kapern diesen Prozess und stehlen Zugriffstoken – ohne jemals das Passwort des Opfers zu benötigen.
Das Ergebnis: Angreifer erhalten dauerhaften Zugriff auf Outlook, Teams und OneDrive. Sicherheitsfirmen wie Arctic Wolf und Huntress bestätigen, dass die Angriffe bereits kritische Branchen treffen – darunter das Gesundheitswesen, die Fertigungsindustrie, Bildungseinrichtungen, Finanzdienstleister und Regierungsbehörden.
Was Unternehmen jetzt tun müssen
Das FBI empfiehlt IT-Administratoren dringend, bedingte Zugriffsrichtlinien (Conditional Access Policies) zu implementieren. Zudem sollte die Nutzung des Device-Code-Flow innerhalb der Organisation eingeschränkt werden.
Betroffene Unternehmen werden aufgefordert, formelle Beschwerden beim Internet Crime Complaint Center (IC3) einzureichen.
Microsoft verschärft Sicherheitsregeln
Parallel zur FBI-Warnung kündigte Microsoft im Rahmen seiner Secure Future Initiative (SFI) weitreichende Änderungen an. Ab dem 6. Juli 2026 startet das Unternehmen eine Kampagne zur verpflichtenden Registrierung von Authentifizierungsmethoden für die Self-Service-Passwortzurücksetzung (SSPR).
Bis zum 7. September 2026 werden nur noch registrierte Authentifizierungsmethoden unterstützt. Rund 86 Prozent der aktuellen Nutzer sind von dieser Umstellung bereits betroffen. Der Schritt folgt einem branchenweiten Trend: Bereits im Frühjahr hatte das britische National Cyber Security Centre (NCSC) den Umstieg von traditionellen Passwörtern auf Passkeys gefordert, die auf Public-Key-Kryptografie und biometrischen Daten basieren.
Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll? Ein kostenloser Report zeigt, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten. Sicher, bequem und passwortlos – Gratis-Report jetzt lesen
Wenn das Konto bereits gekapert wurde
Die Wiederherstellung eines kompromittierten Kontos gestaltet sich schwierig. Wie aktuelle Berichte aus den Microsoft-Supportforen vom 30. und 31. Mai zeigen: Hat ein Angreifer erst einmal die Sicherheitsinformationen geändert, ist eine Wiederherstellung nur noch über das offizielle automatisierte Wiederherstellungsformular möglich.
Die Support-Mitarbeiter von Microsoft können in diesen Fällen nicht manuell eingreifen. Schlägt das Wiederherstellungsformular fehl, gilt das Konto oft als dauerhaft verloren.
Passwort-Management im Unternehmen
GoDaddy veröffentlichte am 31. Mai aktualisierte Richtlinien für Administratoren von Microsoft 365. Demnach können Kontoinhaber jetzt Passwörter für alle Nutzer über das Email & Office Dashboard zurücksetzen. Allerdings warnt der Dienstleister: Die Synchronisation der Änderungen kann bis zu 30 Minuten dauern.
Für Nutzer älterer Software endet am 31. Mai ein Angebot für eine lebenslange Lizenz von Microsoft Office Professional 2021. Microsoft selbst weist darauf hin, dass veraltete Praktiken wie der obligatorische 60-Tage-Passwortwechsel heute als obsolet gelten – sie führen oft zu schwächeren, vorhersagbaren Passwörtern.
