Vishing-Angriffe auf Microsoft 365: Wie die Gruppe Pink Cloud-Daten erpresst

Ein Anruf von einem scheinbar hilfsbereiten IT-Kollegen, wenige Minuten später fließen Firmendaten aus OneDrive und SharePoint ab: Sicherheitsforscher von Palo Alto Networks (Unit 42) beschreiben mit der Gruppe Pink einen Angreifer, der weitgehend ohne klassische Schadsoftware auskommt und stattdessen das Telefon als Werkzeug nutzt. Für kleine und mittlere Unternehmen mit Microsoft 365 ist das ein deutliches Warnsignal: Technische Schutzmaßnahmen allein reichen nicht aus, wenn Mitarbeitende am Telefon getäuscht werden.

Was steckt hinter der Erpressergruppe Pink?

Pink wird von den Forschern intern als Cluster CL-CRI-1147 geführt und gilt als neuer, finanziell motivierter Akteur. Die Gruppe betreibt seit Ende Mai 2026 eine eigene Leak-Seite, auf der sie gestohlene Daten veröffentlicht, um Druck auf die Opfer auszuüben. Berichtet wird zudem über mutmaßliche Verbindungen zum kriminellen Umfeld rund um das Kollektiv „The Com". Der Schwerpunkt liegt klar auf Cloud-Umgebungen, allen voran Microsoft 365.

Wie läuft ein Vishing-Angriff ab?

Der Begriff Vishing steht für Voice-Phishing, also Betrug per Telefon. Der Ablauf folgt einem wiederkehrenden Muster:

1. Die Täter rufen Beschäftigte an und geben sich als interner IT-Helpdesk oder technischer Support aus. 2. Sie bauen unter einem Vorwand Druck auf, etwa eine angebliche Sicherheitsmeldung oder ein notwendiges Update. 3. Das Opfer wird auf eine täuschend echte Anmeldeseite gelockt und gibt dort Zugangsdaten und den MFA-Code ein. 4. Die Angreifer kapern die aktive Anmeldesitzung und umgehen so die Mehr-Faktor-Anmeldung.

Anschließend nutzen sie die Bordmittel und Automatisierungsfunktionen von Microsoft 365 selbst, um in kurzer Zeit Cloud-Speicher zu durchsuchen und sensible Dateien aus OneDrive und SharePoint abzuziehen.

Warum reicht MFA hier nicht aus?

Die Mehr-Faktor-Anmeldung bleibt eine der wichtigsten Schutzmaßnahmen und sollte überall aktiv sein. Pink umgeht sie aber nicht durch einen technischen Bruch, sondern indem die Beschäftigten den zweiten Faktor in Echtzeit selbst preisgeben oder eine bereits angemeldete Sitzung gestohlen wird. Der Faktor wird also nicht geknackt, sondern erschlichen. Das zeigt: MFA ist notwendig, aber kein Ersatz für geschulte Mitarbeitende und zusätzliche Kontrollen.

Wie erpresst die Gruppe ihre Opfer?

Besonders perfide ist die Druckphase. Nach dem Datenabzug verschicken die Täter ihre Forderungen teilweise direkt über das gekaperte Konto des Opfers, etwa per E-Mail an Kolleginnen und Kollegen oder über Microsoft Teams. Den betroffenen Unternehmen wird dabei in der Regel eine knappe Frist gesetzt. Gezahlt werden soll dafür, dass die gestohlenen Daten nicht veröffentlicht werden.

Welche Schutzmaßnahmen sind jetzt sinnvoll?

• Legen Sie einen festen Rückruf-Prozess fest: Bei vermeintlichen IT-Anrufen niemals Codes nennen, sondern über eine bekannte interne Nummer zurückrufen.
• Schulen Sie Mitarbeitende regelmäßig zu Vishing und Social Engineering, nicht nur zu E-Mail-Phishing.
• Prüfen Sie Anmeldungen auf ungewöhnliche Standorte und Geräte und beschränken Sie Sitzungsdauern, wo möglich.
• Vergeben Sie Berechtigungen sparsam, damit ein einzelnes Konto nicht Zugriff auf alle Cloud-Daten hat.
• Halten Sie einen IT-Notfallplan bereit, damit im Ernstfall schnell reagiert werden kann.

Mehr Hintergründe zu Begriffen wie Vishing und Social Engineering finden Sie in unserem Cybersecurity-Lexikon.

Häufige Fragen

Brauchen wir jetzt eine teure Spezialsoftware?

Nein. Der wirksamste Hebel gegen Vishing sind klare Prozesse und geschulte Mitarbeitende. Technisch helfen vorhandene Microsoft-365-Funktionen wie Anmelderichtlinien und Berechtigungssteuerung, die oft schon in Business Basic oder Standard sinnvoll konfiguriert werden können. Lizenzen für erweiterte Sicherheitsfunktionen sollten transparent geprüft werden.

Sind auch kleine Unternehmen betroffen?

Ja. Angreifer wählen Ziele nach Erfolgsaussicht, nicht nach Größe. Gerade KMU ohne eigene IT-Abteilung sind anfällig, weil ein vermeintlicher Support-Anruf hier schwerer zu prüfen ist.

Sollen wir bei einer Erpressung zahlen?

Eine Zahlung bietet keine Sicherheit, dass Daten gelöscht werden, und finanziert weitere Angriffe. Sinnvoller ist ein vorbereiteter Notfallplan mit klaren Ansprechpartnern und, je nach Fall, Einbindung von Behörden.

So unterstützt Sie die High5Manufaktur GmbH

Als IT-Dienstleister im Raum Karlsruhe unterstützt die High5Manufaktur GmbH (H5M) kleine und mittlere Unternehmen dabei, ihre Microsoft-365-Umgebung sicher einzurichten, Anmelderichtlinien und Berechtigungen sinnvoll zu konfigurieren und Mitarbeitende für Vishing und Social Engineering zu sensibilisieren. Im Rahmen unserer Managed Services behalten wir Anmeldungen und Auffälligkeiten im Blick und helfen im Ernstfall mit einem vorbereiteten Notfallplan. Sprechen Sie uns gern für ein unverbindliches Erstgespräch an.