Wenn vertrauenswürdige Plattformen zu Phishing-Ködern werden: Was die Power-BI-Kampagne für die Cyber-Versicherung bedeutet

Am 6. Februar 2025 veröffentlichte ein neuer Threat-Intelligence-Report Details über eine Phishing-Kampagne, die zwei der am weitesten verbreiteten und vertrauenswürdigsten Geschäftsplattformen ausnutzt: Microsoft SharePoint und Power BI. Die Angreifer versenden E-Mails mit legitimen SharePoint-Links, die die Empfänger auf ein Power-BI-Dashboard weiterleiten. Dieses Dashboard enthält eine gefälschte Microsoft-365-Anmeldeseite, die darauf abzielt, Anmeldedaten zu stehlen. Die Kampagne ist nicht wegen ihrer technischen Raffinesse bemerkenswert, sondern weil sie genau die Werkzeuge als Waffe einsetzt, auf die Unternehmen für ihre tägliche Zusammenarbeit und Berichterstattung angewiesen sind.

Für Versicherungsfachleute und Risikoingenieure stellt dieser Angriffsvektor eine Verschiebung dar – sowohl in der Art und Weise, wie Credential-Diebstahl erfolgt, als auch in der entsprechenden Neubewertung von Schadenhäufigkeit, Deckungsauslösern und Underwriting-Signalen.

Was passiert ist: Ein genauerer Blick auf die Kampagne

Die Kampagne beginnt mit einer Phishing-E-Mail, die einen Link zu einer SharePoint-Datei oder -Website enthält. Der Link ist echt – er verweist auf eine legitime SharePoint-Domain (z. B. *.sharepoint.com). Sobald der Empfänger klickt, leitet SharePoint den Benutzer automatisch auf einen Power-BI-Bericht weiter, der auf demselben Mandanten gehostet wird. Der Bericht enthält ein eingebettetes Iframe oder ein benutzerdefiniertes visuelles Element, das eine überzeugende Microsoft-Anmeldeaufforderung anzeigt.

Da der gesamte Ablauf innerhalb der vertrauenswürdigen Microsoft-Domains bleibt, werden herkömmliche E-Mail-Sicherheitsfilter – die auf Domain-Reputation und URL-Scanning setzen – die Nachricht oft nicht als bösartig erkennen. Der Benutzer sieht eine vertraute SharePoint-Oberfläche und ein Power-BI-Dashboard, die beide in seinem täglichen Arbeitsablauf üblich sind. Vertrauen ist die Hauptwaffe des Angreifers.

Der Threat-Report zeigt, dass die Kampagne mehrere Branchen ins Visier genommen hat, darunter Finanzdienstleistungen, Gesundheitswesen und Fertigung. Die gestohlenen Anmeldedaten werden dann für Lateral Movement, Datendiebstahl oder als Sprungbrett für Business-E-Mail-Compromise-Angriffe (BEC) genutzt.

Warum dies für die Versicherungswirtschaft wichtig ist: Schadenhäufigkeit und Deckungslücken

Dieser Angriffsvektor wirkt sich direkt auf mehrere Bereiche der Cyber-Versicherungsexponierung aus:

Erhöhte Schadenhäufigkeit bei Credential-Diebstahl. Credential-Diebstahl ist bereits eine der Hauptursachen für Datenschutzverletzungen und Ransomware-Vorfälle. Wenn Angreifer vertrauenswürdige Plattformen nutzen, steigt die Erfolgsquote von Phishing, was zu mehr Vorfällen pro versichertem Unternehmen führt. Für Underwriter deutet dies darauf hin, dass die Annahmen zur Häufigkeit, die auf traditionellen Phishing-Raten basieren, möglicherweise zu niedrig angesetzt sind.

Deckungslücken bei Social-Engineering- und BEC-Policen. Viele Cyber-Versicherungspolicen enthalten Sublimits für Social-Engineering-Betrug oder autorisierte Zahlungsanweisungen. Die Power-BI-Kampagne beinhaltet jedoch keine direkten Zahlungsanweisungen – sie stiehlt Anmeldedaten. Diese Anmeldedaten können später genutzt werden, um betrügerische Überweisungen zu veranlassen oder Rechnungen zu manipulieren. Der Auslöser für die Deckung kann davon abhängen, ob der Verlust als „unbefugter Zugriff“ (gedeckt unter Netzwerksicherheit) oder als „freiwillige Preisgabe“ (oft mit niedrigeren Sublimits oder Ausschlüssen) eingestuft wird. Diese Unklarheit schafft potenzielle Streitigkeiten.

Police-Sprache für „vertrauenswürdige Drittanbieterdienste“. Einige Policen schließen Verluste aus, die aus der Nutzung von „vertrauenswürdigen“ oder „autorisierten“ Drittanbieterdiensten entstehen. Da SharePoint und Power BI Unternehmenswerkzeuge sind, könnte ein Verlust, der aus deren Missbrauch resultiert, in eine Grauzone fallen. Risikoingenieure und Makler müssen prüfen, ob die Policen ihrer Kunden den Credential-Diebstahl über legitime SaaS-Plattformen explizit abdecken.

Technische Details in der Geschäftssprache

Aus technischer Sicht handelt es sich bei dem Angriff um eine Form von „Living off the Land“ (LotL), angewendet auf Phishing. Der Angreifer hostet keine bösartige Infrastruktur auf eigenen Domains. Stattdessen missbraucht er das Vertrauen, das Unternehmen in die Microsoft-Cloud-Ökosysteme setzen.

• SharePoint-Link: Die ursprüngliche E-Mail enthält eine URL, die auf eine SharePoint-Ressource verweist. Da die Domain legitim ist, passieren E-Mail-Gateways, die nur die Domain-Reputation prüfen, die Nachricht.
• Power-BI-Weiterleitung: SharePoint leitet den Benutzer automatisch auf einen Power-BI-Bericht weiter. Dies ist normales Verhalten – Power-BI-Berichte werden häufig von SharePoint aus verlinkt. Der Angreifer hat einen Bericht hochgeladen, der ein bösartiges visuelles Element oder eine eingebettete Webseite enthält.
• Gefälschtes Anmeldeformular: Der Power-BI-Bericht zeigt eine Anmeldeaufforderung, die die Microsoft-365-Anmeldeseite imitiert. Der Benutzer gibt seine Anmeldedaten ein, die an den Server des Angreifers gesendet werden (oft über einen Webhook oder eine separate Formularübermittlung).
• Keine Malware: Der gesamte Angriff ist Social Engineering. Es werden keine Dateien heruntergeladen, keine Makros ausgeführt. Dadurch ist er für Endpoint Detection and Response (EDR)-Tools, die sich auf ausführbare Bedrohungen konzentrieren, unsichtbar.

Für einen CISO ist die wichtigste Erkenntnis, dass Sicherheitsbewusstseinstrainings jetzt Szenarien umfassen müssen, in denen vertrauenswürdige interne Tools als Phishing-Vektoren genutzt werden. Für einen Underwriter ist die Erkenntnis, dass herkömmliche Kontrollen (E-Mail-Filterung, Antivirus) nicht ausreichen, um diese Art von Vorfällen zu verhindern.

Auswirkungen auf Deckung und Underwriting

Underwriting-Signale, auf die zu achten ist:

• Multi-Faktor-Authentifizierung (MFA)-Abdeckung: Setzt der Kunde MFA für alle extern zugänglichen Anwendungen durch, einschließlich Power BI? Wenn MFA nicht erforderlich ist, können die gestohlenen Anmeldedaten direkt verwendet werden. Wenn MFA erzwungen wird, könnte der Angreifer versuchen, diese zu umgehen (z. B. durch MFA-Ermüdung oder Session-Cookie-Diebstahl). Underwriter sollten fragen, ob der Kunde über Conditional Access Policies verfügt, die den Zugriff von nicht vertrauenswürdigen Standorten blockieren.
• E-Mail-Sicherheitskontrollen: Verwendet der Kunde eine erweiterte E-Mail-Sicherheit, die URL-Weiterleitungsketten und Anhängeinhalte überprüft, nicht nur die Domain-Reputation? Lösungen, die eine Echtzeit-Überprüfung von SharePoint-Links und Power-BI-Berichten durchführen, sind noch selten.
• Sicherheitsbewusstseinstraining: Hat der Kunde seine Mitarbeiter darin geschult, Phishing-Versuche zu erkennen, die von internen Domains stammen? Viele Schulungsprogramme konzentrieren sich auf externe E-Mails mit verdächtigen Absendern. Diese Kampagne umgeht diese Heuristik.
• Incident-Response-Bereitschaft: Wie schnell kann der Kunde einen Credential-Diebstahl erkennen, der über eine legitime Plattform erfolgt? Protokolle von SharePoint und Power BI werden möglicherweise nicht mit der gleichen Sorgfalt überwacht wie herkömmliche E-Mail-Protokolle.

Deckungsauswirkungen:

• BEC vs. Netzwerksicherheit: Wenn die gestohlenen Anmeldedaten verwendet werden, um eine betrügerische Überweisung zu veranlassen, könnte der Anspruch unter Social-Engineering-Betrug fallen. Wenn die Anmeldedaten verwendet werden, um auf Daten zuzugreifen oder Ransomware einzuschleusen, fällt er unter Netzwerksicherheit. Policen mit getrennten Sublimits für diese Gefahren können je nach Angriffskette zu einer unzureichenden Deckung führen.
• Systemversagensausschluss: Einige Policen schließen Verluste aus, die durch „Versagen der Sicherheitskontrollen des Versicherungsnehmers“ verursacht werden. Wenn sich der Kunde auf die Sicherheitsfunktionen von Microsoft verlässt (z. B. die Standard-Freigabeeinstellungen von SharePoint) und diese Funktionen ausgenutzt werden, könnte der Versicherer argumentieren, dass der Verlust vorhersehbar und daher ausgeschlossen war. Dies ist ein sich entwickelndes Rechtsgebiet.
• Aggregationsrisiko: Wenn mehrere Kunden in derselben Branche von derselben Kampagne getroffen werden, könnte ein Versicherer mit einer Anhäufung von Schadenfällen konfrontiert sein. Underwriter sollten prüfen, ob ihr Portfolio in Branchen konzentriert ist, die stark auf Power BI und SharePoint setzen.

Handlungsempfehlungen

Für CISOs und Risikoingenieure:

• Implementieren Sie Conditional Access Policies, die MFA für den Power-BI-Zugriff erfordern, und blockieren Sie den Zugriff von Nicht-Unternehmensgeräten oder unbekannten IP-Bereichen.
• Deaktivieren Sie die externe Freigabe von Power-BI-Berichten, sofern nicht explizit genehmigt. Viele Organisationen lassen die Freigabe standardmäßig aktiviert.
• Setzen Sie E-Mail-Sicherheitslösungen ein, die URL-Weiterleitungen verfolgen und den Inhalt der endgültigen Zielseite überprüfen können. Tools, die Computer Vision zur Erkennung gefälschter Anmeldeformulare verwenden, können helfen.
• Integrieren Sie Szenarien mit „Phishing über vertrauenswürdige Plattformen“ in das Sicherheitsbewusstseinstraining. Simulieren Sie Angriffe, die SharePoint- und Power-BI-Links verwenden, um die Reaktionen der Mitarbeiter zu testen.

Für Versicherungsfachleute:

• Überprüfen Sie die Policenformulierungen auf Ausschlüsse im Zusammenhang mit vertrauenswürdigen Drittanbieterdiensten. Stellen Sie sicher, dass Credential-Diebstahl über SaaS-Plattformen explizit adressiert wird.
• Aktualisieren Sie Underwriting-Fragebögen, um Fragen zur MFA-Durchsetzung bei Kollaborationstools, zu E-Mail-Sicherheitsfähigkeiten und zur Incident-Response-Überwachung von Cloud-Plattformen aufzunehmen.
• Berücksichtigen Sie das Portfoliokonzentrationsrisiko, wenn viele Versicherungsnehmer auf denselben Plattformen basieren (z. B. Microsoft 365) und von einer einzigen Kampagne betroffen sein könnten.

Weitere Informationen darüber, wie sich diese Angriffsvektoren auf das Cyber-Versicherungs-Underwriting und die Schadenbearbeitung auswirken, finden Sie unter Resiliently’s cyber risk resources.