Die Angreifer nutzten eine perfide Kombination aus Social Engineering und dem Missbrauch der Self-Service-Passwortzurücksetzung (SSPR). Das Besondere: Sie machten sich eine Funktion zunutze, die eigentlich die IT-Arbeit erleichtern soll. Die Kampagne zeigt eine wachsende „Identitätskrise“ in der Cloud-Sicherheit – legitime Plattformfunktionen werden gegen ihre Betreiber gewendet.
Vom E-Mail-Zugang zur kompletten Cloud-Infrastruktur
Die Täter gingen systematisch vor. Nachdem sie durch manipulierte Passwortrücksetzungen ersten Zugang erlangt hatten, konzentrierten sie sich auf die Datenausleitung aus zentralen Kollaborationstools. Sicherheitsanalysten beobachteten die Exfiltration tausender Dateien aus OneDrive und SharePoint.
Ob Hacker-Angriffe oder fehlerhafte System-Updates – Windows-Nutzer stehen oft vor technischen Hürden, die den digitalen Alltag lähmen. In diesem kostenlosen Ratgeber erfahren Sie, wie Sie typische Fehler wie Update-Probleme oder Datenverlust ganz ohne teuren IT-Service in wenigen Minuten selbst beheben. Erste Hilfe für Windows 11 jetzt gratis sichern
Doch damit nicht genug: Storm-2949 gelang der Sprung von kompromittierten Microsoft-365-Identitäten in die Azure-Infrastruktur. Durch die Ausnutzung legitimer Cloud-Verwaltungsfunktionen drangen die Hacker in App Services, Key Vaults und Storage Accounts ein. Auf diese Weise erlangten sie Zugriff auf sensible kryptografische Schlüssel und Anwendungsdaten – der Angriff wanderte von der Produktivitätssuite direkt in die darunterliegende Cloud-Architektur.
Besonders perfide: Der Missbrauch der SSPR-Funktion umgeht traditionelle Passwortschutzmechanismen, ohne dass die Angreifer bestehende Anmeldedaten entschlüsseln müssten. Ein wachsender Trend, bei dem Hacker lieber Identitätsverwaltungsprozesse manipulieren, statt Softwarelücken auszunutzen.
Microsoft setzt auf Passkeys – SMS-Codes werden abgeschafft
Als Reaktion auf die zunehmenden identitätsbasierten Angriffe zieht Microsoft Konsequenzen. Anfang der Woche bestätigte der Konzern, SMS-Codes für persönliche Microsoft-Konten abzuschaffen. Sicherheitsverantwortliche bezeichneten SMS-basierte Zwei-Faktor-Authentifizierung als eine der Hauptquellen für Betrug – anfällig für SIM-Swapping und Abhörangriffe.
Die Zukunft gehört Passkeys: Sie nutzen gerätegebundene Kryptografie und biometrische Authentifizierung über Windows Hello. Ein wirksamerer Schutz gegen Social-Engineering-Angriffe wie die von Storm-2949. Allerdings hagelt es auch Kritik: Passkeys bieten in bestimmten Umgebungen wie virtuellen Maschinen keinen zuverlässigen Fallback – dort sind hardwaregebundene Biometriedaten oft nicht verfügbar.
Die Dimension der Herausforderung ist gewaltig. Branchen-Webinare vom 18. Mai 2026 machten deutlich: Das Microsoft-365-Ökosystem bleibt das Hauptziel für großflächige Account-Übernahmen. Der Fokus verschiebt sich zunehmend auf Erkennung und schnelle Reaktion, da sich Social Engineering durch rein technische Kontrollen kaum verhindern lässt.
Patch-Day-Chaos und die MiniPlasma-Bedrohung
Die Sicherheitslage wurde durch den Mai-Patch-Day zusätzlich verkompliziert. 137 Schwachstellen wurden geschlossen, 31 davon als kritisch eingestuft – darunter Risiken für Remote-Code-Ausführung (RCE) in Windows, Office und Azure. Besondere Aufmerksamkeit erregten CVE-2026-42897, eine Spoofing-Lücke in Exchange Server, die Session-Hijacking über Outlook Web Access (OWA) ermöglicht, sowie CVE-2026-40361 zur lokalen Code-Ausführung.
Hinzu kommt: Ein Sicherheitsforscher namens Nightmare-Eclipse veröffentlichte einen funktionsfähigen Exploit namens MiniPlasma. Dieser zielt auf einen Regressionsfehler einer Schwachstelle aus dem Jahr 2020 (CVE-2020-17103) im Windows-Cloud-Filtertreiber ab. MiniPlasma ermöglicht eine Rechteausweitung auf SYSTEM-Ebene – und das auf vollständig gepatchten Windows-11-Systemen Mitte Mai 2026. Unabhängige Sicherheitsgruppen bestätigten die Wirksamkeit auf aktuellen Produktionssystemen.
Das Mai-Sicherheitsupdate KB5089549 bereitet zudem technische Probleme: Microsoft bestätigte, dass die Installation auf Systemen scheitert, deren EFI-Systempartition (ESP) weniger als 10 MB freien Speicherplatz hat. Der Installationsvorgang bricht dann bei etwa 35 bis 36 Prozent ab. Administratoren müssen auf Known-Issue-Rollbacks oder Gruppenrichtlinien-Anpassungen ausweichen.
KI-Agenten schaffen neue Governance-Herausforderungen
Mit der Einführung fortschrittlicher KI-Tools wie dem Frontier-Agenten entstehen neue Anforderungen an die Datenverwaltung. Frontier, kürzlich gegen den Standard-M365-Copilot getestet, erstellt tiefgehender recherchierte und besser strukturierte Präsentationen für Personal-, Family- und Premium-Abonnenten.
Doch Cloud-Governance-Experten warnen: Die rasche KI-Einführung ersetzt nicht die Notwendigkeit traditioneller Datenverwaltung. Erfolgreiche Governance im KI-Zeitalter erfordert einen geschäftsorientierten Ansatz, der den gesamten Datenlebenszyklus berücksichtigt – von aktiven Daten über die Abschlussphase bis zur Archivierung. Der Erfolg von KI-Agenten hängt entscheidend von der zugrundeliegenden Informationsarchitektur und der Verwendung von Sensitivitätsbezeichnungen ab, die verhindern, dass die KI versehentlich geschützte Informationen preisgibt oder exfiltriert.
Für kleine und mittlere Unternehmen bleibt die Frage: Einheitliche Plattform wie Microsoft 365 oder Sammlung separater Tools? Einheitliche Plattformen bieten niedrigere Gesamtkosten und zentrale Verwaltung – konzentrieren aber auch das Risiko, wie der Storm-2949-Angriff eindrucksvoll belegt.
Marktanalyse: Trotz Sicherheitsproblemen bleibt Microsoft auf Wachstumskurs
Trotz der Sicherheitsherausforderungen und Update-Probleme bleiben Analysten optimistisch. Am 18. Mai 2026 bekräftigte TD Cowen seine Kaufempfehlung für Microsoft-Aktien mit Kurszielen von bis zu 540 Euro. Grundlage sind starke Akzeptanzraten für GitHub Copilot und M365 Copilot sowie Verbesserungen der Azure-Kapazitäten.
Während Microsoft die Hardware-Anforderungen für künftige Windows-Versionen verschärft, rückt das Support-Ende für ältere Systeme immer näher. Dieser Gratis-Report zeigt Ihnen einen legalen Weg, wie Sie das Upgrade auf Windows 11 auch auf offiziell inkompatiblen PCs ohne neue Hardware und ohne Datenverlust durchführen. Anleitung für Windows-11-Upgrade kostenlos herunterladen
Die technische Roadmap für Windows zeigt zudem eine Verschärfung der Hardware-Anforderungen. Kommende Versionen wie Windows 11 26H1 werden voraussichtlich eine Neural Processing Unit (NPU) mit mindestens 40 TOPS sowie 16 GB RAM voraussetzen. Dieser Schritt folgt Microsofts „Security-First“-Offensive, zu der auch das bevorstehende Ablaufen der Secure-Boot-Zertifikate am 26. Juni 2026 gehört.
Angesichts des nahenden Endes des Supports für Windows 10 im Oktober 2026 werden Unternehmen zur beschleunigten Migration auf Windows 11 gedrängt. Doch die Entdeckung von Schwachstellen wie YellowKey, die Berichten zufolge die BitLocker-Verschlüsselung in unter fünf Minuten umgehen kann, zeigt: Selbst moderne Hardware- und Softwarekonfigurationen erfordern ständige Wachsamkeit und mehrschichtige Verteidigungsstrategien – um gegen gezielte Kampagnen wie die von Storm-2949 gewappnet zu sein.
