Zum Inhalt springen
NEWS
IT-SicherheitStand: 13. Juli 2026

Gefälschter IT-Support in Microsoft Teams: Wie Angreifer per Quick Assist ins KMU-Netz kommen

Eine kurze Nachricht in Microsoft Teams, ein freundlicher Anruf vom vermeintlichen IT-Support, eine schnelle Fernwartung zur Behebung eines angeblichen Problems: Was harmlos klingt, ist eine der derzeit erfolgreichsten Angriffsmethoden gegen Unternehmen. Cyberkriminelle nutzen Microsoft Teams gezielt, um sich als interner Helpdesk auszugeben und so Zugriff auf Mitarbeiterrechner zu erlangen. Gerade kleine und mittlere Unternehmen (KMU) ohne eigene IT-Abteilung sind ein dankbares Ziel, weil hier die Grenze zwischen "echtem" und "falschem" Support oft schwer zu ziehen ist.

Wie der Angriff über Microsoft Teams abläuft

Der Ablauf folgt einem wiederkehrenden Muster. Zunächst überfluten die Angreifer das Postfach einer Zielperson mit Hunderten harmloser Mails (sogenanntes "E-Mail-Bombing"). Kurz darauf meldet sich über Teams ein vermeintlicher IT-Mitarbeiter, der "bei dem Problem helfen" möchte. Der Zeitdruck und das Chaos im Postfach machen das Angebot glaubwürdig.

Im nächsten Schritt bewegt der Angreifer die Zielperson dazu, ein Fernwartungswerkzeug zu starten, häufig die in Windows integrierte Funktion Quick Assist (Schnellhilfe) oder Tools wie AnyDesk. Sobald die Verbindung steht, kann der Angreifer Schadcode nachladen, Zugangsdaten abgreifen und sich dauerhaft im System einnisten. Bekannt wurde die Masche durch die Ransomware-Gruppe Black Basta: Laut einem Bericht von BleepingComputer und Microsoft gaben sich deren Akteure in Teams als IT-Support aus, um über Quick Assist in Unternehmensnetze einzudringen. Ein solcher Erstzugang ist oft der Auftakt für Datendiebstahl und Verschlüsselung.

Das Problem ist nicht abgeklungen. Das Sicherheitsunternehmen ReliaQuest berichtete laut The Hacker News, dass die Methode auch 2025 weiterverwendet wird. Auffällig: Rund die Hälfte der zwischen Februar und Mai 2025 beobachteten Teams-Phishing-Versuche kam von onmicrosoft.com-Domains, weitere 42 Prozent von zuvor kompromittierten Domains. Die Absender wirken dadurch täuschend echt.

Warum Microsoft Teams so anfällig ist

Der Kern des Problems liegt in einer Standardeinstellung. Wie Microsoft in seiner Dokumentation beschreibt, erlaubt Teams den externen Zugriff (External Access) standardmäßig, das heißt: Nutzer aus beliebigen anderen Organisationen können Ihre Mitarbeitenden anschreiben. Für legitime Zusammenarbeit ist das praktisch, für Angreifer ist es eine offene Tür.

Hinzu kommt ein menschlicher Faktor: Eine Nachricht innerhalb von Teams wirkt vertrauenswürdiger als eine klassische E-Mail, weil Teams als internes, geschütztes Werkzeug wahrgenommen wird. Genau dieses Vertrauen nutzen die Täter aus.

Passend zum Thema
E-Mail-Sicherheit für Unternehmen
Wir setzen das für kleine und mittlere Unternehmen um, mit festem Ansprechpartner statt Hotline.

So schützen Sie Ihr Unternehmen

Der wirksamste Schutz ist eine Kombination aus Technik, klaren Prozessen und geschulten Mitarbeitenden:

  • Externe Teams-Kommunikation einschränken: Begrenzen Sie den externen Zugriff auf bekannte Partnerdomänen, statt Kontakt mit allen Organisationen zuzulassen.
  • Fernwartung kontrollieren: Sperren oder beschränken Sie Quick Assist und andere Fernwartungstools, sofern sie nicht ausdrücklich freigegeben sind.
  • Rückrufprinzip etablieren: Echte IT-Anfragen sollten über einen zweiten, bekannten Kanal bestätigt werden, etwa einen Rückruf an die fest hinterlegte Support-Nummer.
  • Mitarbeitende sensibilisieren: Wer die Masche kennt, fällt seltener darauf herein. Regelmäßige Schulungen sind hier zentral.

Mehr Hintergrund zu Fachbegriffen finden Sie in unserem Cybersecurity-Lexikon. Wie sich Microsoft 365 grundlegend absichern lässt, lesen Sie auf unserer Seite zu Microsoft 365.

Häufige Fragen

Ist Quick Assist gefährlich und sollte ich es abschalten?

Quick Assist selbst ist ein legitimes Windows-Werkzeug. Gefährlich wird es nur, wenn Unbefugte Mitarbeitende zur Nutzung überreden. Wenn Ihr Unternehmen die Funktion nicht aktiv benötigt, ist es sinnvoll, sie zentral zu deaktivieren oder auf freigegebene Tools zu beschränken.

Reicht die Mehr-Faktor-Anmeldung als Schutz?

Mehr-Faktor-Authentifizierung ist wichtig, schützt aber nicht vor dieser Masche. Bei der gefälschten Fernwartung gibt der Mitarbeitende dem Angreifer den Zugriff freiwillig, oft am bereits angemeldeten Rechner. Hier helfen vor allem Prozesse und Awareness.

Woran erkenne ich einen gefälschten IT-Support in Teams?

Typische Warnzeichen sind: eine unaufgefordert eingehende Support-Nachricht von extern, hoher Zeit- oder Handlungsdruck und die Aufforderung, eine Fernwartung zu starten. Echter Support kündigt sich in der Regel über bekannte Wege an und drängt nicht zur sofortigen Freigabe.

So unterstützt Sie die High5Manufaktur GmbH

Als IT-Dienstleister für KMU im Raum Karlsruhe richtet die High5Manufaktur GmbH (H5M) Ihre Microsoft-365-Umgebung so ein, dass externe Teams-Kontakte und Fernwartungstools kontrolliert werden, ohne die tägliche Zusammenarbeit auszubremsen. Im Rahmen unserer Managed Services überwachen wir kritische Einstellungen laufend und unterstützen Sie bei der Sensibilisierung Ihrer Mitarbeitenden. Lassen Sie uns in einem unverbindlichen Erstgespräch prüfen, wie gut Ihr Unternehmen gegen solche Angriffe aufgestellt ist.

Quellen

Alexander Häffner

Alexander Häffner

Geschäftsführer der High5Manufaktur GmbH. Betreut seit 2021 kleine und mittlere Unternehmen bei Microsoft 365, IT-Sicherheit und Digitalisierung.

Fehler entdeckt oder eine Anmerkung zum Thema? Schreiben Sie uns an info@h5m.de. Wir freuen uns über Ihren Hinweis.