Eine neue Welle raffinierter Phishing-Angriffe nutzt die Vertrautheit mit Tools wie Microsoft Teams und Zoom aus. Die Attacken zielen direkt auf den digitalen Arbeitsalltag und umgehen gängige Sicherheitsvorkehrungen.
Die Bedrohungslage für den digitalen Arbeitsplatz spitzt sich zu. Sicherheitsforscher warnen vor einer neuen, koordinierten Phishing-Kampagne, die gefälschte Meeting-Einladungen für Microsoft Teams, Zoom und Google Meet verschickt. Das Ziel: Mitarbeiter dazu zu bringen, Schadsoftware zu installieren. Damit wird die alltägliche Routine des Videokonferenz-Joins zum Einfallstor für Cyberkriminelle.
Diese Angriffe markieren eine gefährliche Entwicklung. Sie verlassen den klassischen E-Mail-Kanal und operieren stattdessen im hochvertrauenswürdigen Ökosystem der Kollaborationstools. Ein aktueller Bericht des Cybersecurity-Unternehmens Acronis vom 20. Februar 2026 unterstreicht den Trend: Fortgeschrittene Angriffe auf Kollaborationstools betrafen 2025 bereits 31 Prozent der Organisationen – ein deutlicher Anstieg gegenüber 12 Prozent im Jahr 2024.
So funktioniert der Betrug mit dem falschen Meeting
Die Kampagne, die Mitte Februar von Netskope Threat Labs identifiziert wurde, setzt auf ausgeklügelte Social Engineering. Sie beginnt mit einer Phishing-E-Mail, die wie eine interne Meeting-Einladung aussieht, oft vermeintlich von einer Führungskraft. Klickt der Mitarbeiter auf den „Join“-Link, landet er nicht auf der echten Plattform, sondern auf einer täuschend echten Fälschung.
Diese gefälschten Seiten imitieren täuschend echt den Login-Bildschirm oder eine laufende Besprechung. Dynamische Elemente wie ein Countdown oder eine scheinbar aktive Teilnehmerliste erzeugen Druck. Der entscheidende Moment kommt, wenn der Nutzer versucht, dem Call beizutreten. Ein Pop-up erscheint und behauptet, ein Software-Update sei aufgrund von Kompatibilitätsproblemen zwingend erforderlich.
Der angebotene Download – häufig gehostet auf einer Domain mit Tippfehlern wie „zoom-meet.us“ – ist jedoch kein legitimes Update. Es handelt sich um ein Remote-Monitoring-and-Management-Tool (RMM) wie Datto RMM oder ScreenConnect. Diese Tools sind an sich legitim und werden von IT-Abteilungen für den Fernsupport genutzt – genau das macht sie für Angreifer so wertvoll.
Warum die Attacke so erfolgreich ist
Dieser Angriffsvektor ist so effektiv, weil er die Psychologie des gestressten Mitarbeiters ausnutzt und Lücken in der konventionellen Sicherheit überspringt. Die Taktik basiert auf dem impliziten Vertrauen und der Routine, die mit täglichen Kollaborationsaufgaben verbunden sind. Die erzeugte Dringlichkeit verleitet Opfer dazu, Sicherheitswarnungen zu übergehen, um nur ja nicht zu spät zum „wichtigen Meeting“ zu kommen.
Technisch ist die Kampagne darauf ausgelegt, gängige Sicherheitsmaßnahmen zu umgehen. Die initialen E-Mails enthalten oft keine offensichtlich bösartigen Links und passieren so Filter. Die Nutzung signierter RMM-Software als Schadcode ist ein gezielter Schachzug. Da diese Tools häufig auf der Allow-Liste der Unternehmens-IT stehen und von vertrauenswürdigen Anbietern signiert sind, lösen sie oft keine Alarme in Antiviren- oder EDR-Systemen aus. Im Erfolgsfall erhalten die Angreifer so administrativen Vollzugriff auf den kompromittierten Rechner.
Teil eines größeren Trends: Der Kampf um digitale Identitäten
Die Meeting-Phishing-Masche ist Teil einer strategischen Neuausrichtung von Cyberkriminellen. Sie zielen verstärkt auf digitale Identitäten und Zugangsprotokolle ab, die das moderne Unternehmen tragen. Eine weitere, hochsophistizierte Methode, die aktuell an Bedeutung gewinnt, ist das „Device Code Phishing“. Dabei wird der OAuth-Geräteregistrierungsprozess missbraucht, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Bei diesem Szenario wird der Nutzer dazu gebracht, einen Gerätecode einzugeben. Dieser autorisiert dann ein vom Angreifer kontrolliertes Gerät und gewährt dauerhaften Zugang zum Microsoft-365-Konto des Opfers – inklusive Outlook, Teams und OneDrive. Der Acronis-Bericht zeigt, dass Phishing in 52 Prozent der Ransomware-Vorfälle der initiale Zugangsvektor ist. Diese ersten Brückenköpfe werden später monetarisiert.
Wie sich Unternehmen schützen müssen
Die jüngsten Kampagnen zeigen, dass Angreifer ihre Methoden aktiv an die Workflows ihrer Ziele anpassen. Die Verteidigungsstrategien müssen sich entsprechend weiterentwickeln und über den traditionellen E-Mail-Gateway hinausgehen.
Experten empfehlen einen mehrschichtigen Ansatz:
* Sensibilisierung der Nutzer: Schulungen müssen Mitarbeiter skeptisch gegenüber unerwarteten Aufforderungen machen. Meeting-Einladungen oder Update-Aufforderungen sollten über separate, vertrauenswürdige Kanäle verifiziert werden.
* Technische Maßnahmen: Organisationen sollten eine striktere Application-Allow-Listing-Politik umsetzen und Verhaltensanalysetools nutzen, die anomale Nutzung von RMM-Software erkennen – etwa Zugriffe von unbekannten Standorten.
* Erweiterte Überwachung: Sicherheitsteams benötigen bessere Visibility und Logging-Fähigkeiten innerhalb der Kollaborationsplattformen, um verdächtige Dateifreigaben, ungewöhnliche Login-Muster oder auffällige Kommunikation mit externen Parteien zu identifizieren.
Wer sein Unternehmen vor genau diesen Meeting‑Phishing- und OAuth‑Angriffen schützen möchte, findet praxisnahe Strategien im kostenlosen E‑Book „Cyber Security Awareness Trends“. Der Guide erklärt aktuelle Angriffsvektoren (inkl. Phishing über Kollaborationstools), psychologische Angriffsmuster und konkrete Maßnahmen, mit denen IT‑Teams und Entscheider ihre Abwehr deutlich stärken können. Jetzt kostenlosen Cyber-Security-Guide herunterladen
Der Schutz des kollaborativen Unternehmens erfordert eine Sicherheitshaltung, die diese Plattformen mit derselben Ernsthaftigkeit behandelt wie jede andere kritische Infrastruktur.
