Erstgespräch
IT-Beratung
Cloud Backup E-Mail-Archivierung (GoBD) Netzwerk & WLAN
IT-Strategie
IT-Sicherheitsanalyse & Schwachstellen-Scan IT-Compliance (GoBD, DSGVO, NIS2) IT-Notfallplan
IT-Dienstleistungen
IT-Support & Helpdesk IT-Flatrate IT-Notfall & Soforthilfe Preise & Modelle
Managed Services
Endpoint Protection E-Mail-Sicherheit MFA & Identitätsschutz
Microsoft 365
Migration zu Microsoft 365 Lizenzberatung Microsoft Teams
Smarte Kommunikation
Teams-Telefonie E-Mail-Signaturen Teams-Räume
KI im Arbeitsalltag Neu
Microsoft 365 Copilot KI-Assistenten & Chatbots Prozesse automatisieren Eigene KI-Lösungen Sichere Nutzung & Datenschutz
Kostenlose Tools Gratis
Ransomware-Check Domain-Check Mail-Tester M365-Sicherheitscheck
NEWS
IT-SicherheitStand: 19. Juni 2026

Device-Code-Phishing: Wie Angreifer die MFA von Microsoft 365 umgehen

Viele Unternehmen fühlen sich nach der Einführung der Mehr-Faktor-Anmeldung (MFA) sicher, zu Recht, denn MFA blockiert die meisten klassischen Phishing-Versuche. Doch eine Angriffsmethode mit dem Namen Device-Code-Phishing setzt genau dort an, wo die Schutzmaßnahmen formal greifen: Sie bringt Mitarbeitende dazu, sich auf der echten Microsoft-Anmeldeseite anzumelden, und übergibt die Sitzung trotzdem an Angreifer. Microsoft und mehrere Sicherheitsforscher beobachten diese Masche seit Längerem in aktiven Kampagnen gegen Microsoft-365-Konten. Dieser Beitrag erklärt verständlich, was dahintersteckt und welche Maßnahmen wirken.

Was ist Device-Code-Phishing?

Die Gerätecode-Anmeldung (Device Code Flow) ist ein legitimer Bestandteil des Anmeldestandards OAuth 2.0. Sie wurde für Geräte mit eingeschränkter Eingabe geschaffen, etwa Smart-TVs, Drucker oder IoT-Geräte, auf denen sich kein vollständiges Anmeldefenster bedienen lässt. Das Gerät zeigt einen kurzen Code an, den die Nutzerin oder der Nutzer dann auf einem zweiten Gerät im Browser auf der offiziellen Microsoft-Seite eingibt.

Genau diesen Ablauf missbrauchen die Angreifer. Sie stoßen den Anmeldevorgang selbst an, erzeugen einen gültigen Gerätecode und verleiten das Opfer per Phishing-Nachricht dazu, diesen Code auf der echten Microsoft-Login-Seite einzugeben. Sobald das Opfer den Vorgang mit seinen Zugangsdaten und der MFA-Bestätigung abschließt, erhalten nicht das Gerät des Nutzers, sondern die Angreifer die gültigen Anmelde-Token.

Warum die Masche so gefährlich ist

Der entscheidende Punkt: Es wird kein Passwort gestohlen, und es muss keine gefälschte Login-Seite überlistet werden. Die Anmeldung läuft über die originale Microsoft-Infrastruktur. Dadurch greifen viele bewährte Schutzmechanismen nicht. Die abgegriffenen Zugriffs- und Aktualisierungs-Token (Access- und Refresh-Token) erlauben dauerhaften Zugriff auf das Konto, in vielen Fällen sogar dann noch, wenn das Opfer später sein Passwort ändert. Mit dem Konto können Angreifer E-Mails lesen, auf Dateien in OneDrive und SharePoint zugreifen und sich seitlich im Unternehmen ausbreiten.

Wie ein Angriff im Mittelstand abläuft

Microsoft beschreibt eine Kampagne der Gruppe „Storm-2372“, die das Unternehmen mit mittlerer Zuversicht russischen Interessen zuordnet und die seit August 2024 aktiv ist. Die Angreifer bauen zunächst über Messenger wie WhatsApp, Signal oder Microsoft Teams Vertrauen auf und versenden dann gefälschte Teams-Besprechungseinladungen, die zur Eingabe eines Gerätecodes auffordern.

Dass die Masche nicht nur Behörden trifft, zeigt eine breitere Welle aus dem Jahr 2026: Laut einem Bericht von The Hacker News, der sich auf Analysen des Sicherheitsanbieters Huntress stützt, waren über 340 Microsoft-365-Organisationen in den USA, Kanada, Australien, Neuseeland und Deutschland betroffen, quer durch Branchen wie Bau, Immobilien, Fertigung, Finanzdienstleistung, Gesundheit und Recht. Als Köder dienten unter anderem gefälschte Ausschreibungen, DocuSign-Benachrichtigungen, Sprachnachrichten-Hinweise und Microsoft-Forms-Aufforderungen. Diese Bandbreite macht deutlich: Auch kleine und mittlere Unternehmen sind lohnende, weil oft leichter angreifbare Ziele.

So schützen Sie Ihr Unternehmen

Wirksamer Schutz setzt nicht beim Passwort, sondern beim Anmeldeverfahren an:

  • Gerätecode-Anmeldung einschränken: Microsoft empfiehlt, den Device Code Flow zu blockieren, wo er nicht zwingend gebraucht wird. Das gelingt über bedingte Zugriffsrichtlinien (Conditional Access) in Microsoft Entra ID. Wichtig und transparent: Conditional Access erfordert Entra ID P1, das in Microsoft 365 Business Basic und Standard nicht enthalten ist, sondern in Business Premium oder als Zusatzlizenz.
  • Sensibilisierung: Schulen Sie Mitarbeitende, niemals Codes aus E-Mails oder Chats blind auf Anmeldeseiten einzugeben. Eine legitime Anmeldung beginnt fast immer auf dem eigenen Gerät, nicht über einen zugesandten Code.
  • Token bei Verdacht zurückziehen: Bei Hinweisen auf einen Vorfall sollten Sitzungen und Token sofort widerrufen und betroffene Konten überprüft werden.
  • Anmeldungen überwachen: Ungewöhnliche Anmeldeorte und -muster früh erkennen und automatisiert darauf reagieren.

Einen Überblick über Begriffe rund um solche Angriffe finden Sie in unserem Cybersecurity-Lexikon. Wie sich Microsoft 365 grundlegend absichern lässt, lesen Sie auf unserer Seite zu Microsoft 365.

Häufige Fragen

Schützt mich MFA nicht vor Device-Code-Phishing?

Nur eingeschränkt. Da die Anmeldung über die echte Microsoft-Seite und mit gültiger MFA-Bestätigung abläuft, werden die Angreifer im selben Vorgang mit autorisiert. MFA bleibt unverzichtbar, reicht hier aber allein nicht aus. Ergänzend braucht es Einschränkungen beim Gerätecode-Verfahren und eine wachsame Belegschaft.

Brauche ich für den Schutz teure Zusatzlizenzen?

Das Blockieren der Gerätecode-Anmeldung über Conditional Access setzt Microsoft Entra ID P1 voraus, das in Business Premium enthalten ist. In Business Basic und Standard ist es nicht enthalten. Schulung, klare Prozesse und das Widerrufen von Token sind jedoch unabhängig von der Lizenzstufe möglich.

Woran erkenne ich einen solchen Angriffsversuch?

Verdächtig ist jede Nachricht, die Sie auffordert, einen mitgeschickten Code auf einer Microsoft-Seite einzugeben, oft verpackt als Teams-Einladung, geteiltes Dokument oder Sprachnachricht. Im Zweifel keinen Code eingeben und die IT-Verantwortlichen informieren.

So unterstützt Sie die High5Manufaktur GmbH

Als IT-Dienstleister für kleine und mittlere Unternehmen im Raum Karlsruhe richten wir Ihre Microsoft-365-Umgebung sicher ein, prüfen Ihre Anmelderichtlinien und konfigurieren, wo lizenzseitig möglich, passende Schutzmaßnahmen wie bedingte Zugriffsrichtlinien. Im Rahmen unserer Managed Services überwachen wir Anmeldungen und reagieren im Verdachtsfall. Sprechen Sie uns für eine unverbindliche Einschätzung an: Vereinbaren Sie ein kostenloses Erstgespräch.

Quellen

Alexander Häffner

Alexander Häffner

Geschäftsführer der High5Manufaktur GmbH. Betreut seit 2021 kleine und mittlere Unternehmen bei Microsoft 365, IT-Sicherheit und Digitalisierung.

Kostenloses Erstgespräch Mehr Artikel