Power BI Phishing: Wie vertraute Plattformen Cyber-Versicherungsschäden befeuern

Wenn vertrauenswürdige Plattformen zu Angriffsvektoren werden: Die Power BI-Phishing-Kampagne

Am 6. Februar 2025 detaillierte ein neuer Threat-Intelligence-Bericht eine ausgeklügelte Phishing-Kampagne, die zwei weit verbreitete und vertrauenswürdige Microsoft-Plattformen ausnutzt: SharePoint und Power BI. Die Angriffskette beginnt mit einem scheinbar legitimen SharePoint-Link, der die Opfer anschließend auf eine gefälschte Power BI-Anmeldeseite weiterleitet, die darauf ausgelegt ist, Anmeldedaten abzugreifen. Laut dem Bericht wurden in den vergangenen 30 Tagen über 1.800 Organisationen aus den Bereichen Finanzdienstleistungen, Gesundheitswesen und Fertigungsindustrie angegriffen. Für Versicherungsfachleute stellt diese Kampagne eine wachsende Risikoklasse dar, bei der vertrauenswürdige Geschäftstools instrumentalisiert werden, was die Erkennung erschwert und Schadenfälle wahrscheinlicher macht.

Was geschah ist: Die Angriffskette in einfachen Worten

Die Kampagne beginnt mit einer Phishing-E-Mail, die anscheinend von einem bekannten Kollegen oder Geschäftspartner stammt. Die E-Mail enthält einen Link zu einer SharePoint-Datei – häufig ein „Quartalsbericht“ oder eine „Rechnung“. Wenn der Empfänger auf den Link klickt, wird er auf eine legitime SharePoint-Seite weitergeleitet, die eine schädliche Datei hostet. Diese Datei, in der Regel eine .html- oder .aspx-Seite, leitet den Browser automatisch auf einen gefälschten Microsoft Power BI-Anmeldebildschirm weiter.

Die gefälschte Anmeldeseite ist optisch identisch mit der echten Power BI-Anmeldung, inklusive des Logos und des Corporate Designs der Organisation (die aus der E-Mail-Domain des Opfers gewonnen wurden). Gibt der Benutzer seine Anmeldedaten ein, erfasst der Angreifer diese und nutzt sie umgehend, um auf die echte Power BI-Umgebung zuzugreifen, wobei er häufig Dashboards und Datenberichte exfiltriert. Bemerkenswert ist der Angriff, weil er die legitime Microsoft-Infrastruktur (SharePoint) als initiale Weiterleitung nutzt und somit viele E-Mail-Sicherheitsfilter umgeht, die unbekannte Domains blockieren.

Warum dies für die Versicherung relevant ist: Schadenfrequenz und -schwere

Diese Kampagne wirkt sich direkt auf drei zentrale Versicherungskennzahlen aus:

• Schadenfrequenz: Der Diebstahl von Anmeldedaten ist die führende Ursache für Datenpannen. Durch die Ausnutzung vertrauenswürdiger Plattformen erhöhen Angreifer die Erfolgsquote von Phishing, was zu mehr Schadenfällen pro versichertem Portfolio führt. Frühe Daten des Berichts deuten auf eine um 40 % höhere Klickrate im Vergleich zu standardmäßigen Phishing-Kampagnen hin.
• Schadenschwere: Sobald Angreifer Zugriff auf Power BI haben, können sie sensible Business Intelligence, Kundendaten und Finanzberichte einsehen. Die durchschnittlichen Kosten einer Datenpanne, die Business-Analytics-Plattformen betrifft, werden auf 4,8 Millionen US-Dollar geschätzt (IBM, 2024), vor allem aufgrund von Diebstahl geistigen Eigentums und regulatorischen Bußgeldern.
• Deckungsauslöser: Viele Cyber-Policen setzen für die Deckung ein „Sicherheitsversagen“ voraus. Gibt ein Mitarbeiter freiwillig Anmeldedaten auf einer gefälschten Anmeldeseite ein, könnten Versicherer argumentieren, dass dies kein Versagen technischer Kontrollen, sondern des Nutzerverhaltens war. Diese Grauzone kann zu Streitigkeiten führen.

Für Underwriter signalisiert die Kampagne die Notwendigkeit einer Neubewertung, wie Phishing-Simulationen und Multi-Faktor-Authentifizierung (MFA) bewertet werden. Organisationen, die MFA nicht auf Power BI und SharePoint ausgedehnt haben, sind einem deutlich höheren Risiko ausgesetzt.

Technische Details (für Entscheider erklärt)

Der Angriff nutzt eine Vertrauensbeziehung zwischen zwei Microsoft-Diensten aus. Aus technischer Sicht muss der Angreifer weder SharePoint noch Power BI selbst kompromittieren. Stattdessen nutzt er eine Funktion namens „SharePoint File Embedding“, um eine schädliche HTML-Datei zu hosten, die eine serverseitige Weiterleitung durchführt. Die Weiterleitung ist für den Nutzer unsichtbar, da die URL im Browser auf sharepoint.com bleibt, bis die gefälschte Anmeldeseite geladen wird.

Wichtige technische Punkte für Risk Engineers und CISOs:

• Keine Malware beteiligt: Der Angriff basiert ausschließlich auf Anmeldedaten. Traditionelle Endpoint-Detection-Tools erkennen ihn möglicherweise nicht, da keine ausführbare Datei heruntergeladen wird.
• MFA-Bypass-Potenzial: Ist die gefälschte Anmeldeseite als Reverse Proxy eingerichtet (z. B. mit Tools wie EvilGinx), kann sie Session-Cookies erfassen und MFA-Tokens umgehen. Der Bericht bestätigt, dass 30 % der erfolgreichen Kompromittierungen in dieser Kampagne einen MFA-Bypass involvierten.
• Datenexfiltration über Power BI-APIs: Sobald sie im System sind, nutzen Angreifer die nativen Exportfunktionen von Power BI, um Dashboards und Datensätze herunterzuladen. Dies wird häufig als normale Nutzeraktivität protokolliert, was die Erkennung erschwert.

Für Underwriter ist das entscheidende Signal, ob der Versicherungsnehmer Conditional-Access-Richtlinien implementiert hat, die MFA für alle Cloud-Apps, einschließlich SharePoint und Power BI, vorschreiben. Eine standardmäßige MFA nur für E-Mails ist unzureichend.

Implikationen für Deckung und Underwriting

Diese Kampagne legt mehrere Deckungslücken offen, die Makler und Underwriter angehen müssen:

1. Social-Engineering-Ausschlussklauseln: Viele Policen schließen Schäden aus, die durch „voluntary parting“ (freiwillige Herausgabe) von Anmeldedaten entstehen. Wurde ein Mitarbeiter von einer überzeugenden gefälschten Anmeldeseite getäuscht, ist das dann freiwillig? Gerichte sind hier uneinig. Underwriter sollten klären, ob die Police die Eingabe von Anmeldedaten durch Täuschung deckt.

2. Betriebsunterbrechung durch Datenverlust: Löschen oder beschädigen Angreifer Power BI-Datensätze, kann der Versicherungsnehmer erhebliche betriebliche Ausfallzeiten erleiden. Standardmäßige Cyber-Policen beschränken die Deckung für Betriebsunterbrechungen oft auf Netzwerkausfälle, nicht jedoch auf Datenbeschädigung. Makler sollten prüfen, ob die Police „Datenverlust“ als versicherte Schadenursache enthält.

3. Regulatorische Bußgelder und Benachrichtigungskosten: Datenpannen, die Business-Analytics-Plattformen betreffen, lösen häufig Meldepflichten nach DSGVO, HIPAA oder CCPA aus, da die Daten in der Regel strukturiert und identifizierbar sind. Underwriter sollten sicherstellen, dass die Sublimits für behördliche Verteidigung angemessen sind.

4. Anpassung der Risikobewertung: Versicherer, die Tools zur Quantifizierung von Cyber-Risiken nutzen, wie etwa Resiliently’s FAIR-based risk reports, sollten ihre Loss-Exceedance-Kurven anpassen, um die höhere Wahrscheinlichkeit von Anmeldedatendiebstahl über vertrauenswürdige Plattformen zu berücksichtigen. Die Kampagne erhöht die Eintrittswahrscheinlichkeit einer Datenpanne bei Organisationen, die Power BI ohne Conditional Access nutzen, schätzungsweise um 15–20 %.

Handlungsempfehlungen für die einzelnen Zielgruppen

Für CISOs und Risk Engineers:

• Implementieren Sie Conditional-Access-Richtlinien, die MFA für alle Microsoft 365-Apps, insbesondere SharePoint und Power BI, vorschreiben.
• Setzen Sie Browser-Isolation oder URL-Rewriting für alle eingehenden Links ein, auch solche aus vertrauenswürdigen Domains.
• Schulen Sie Anwender, die URL in der Adressleiste zu überprüfen, bevor sie Anmeldedaten eingeben. Die gefälschte Anmeldeseite wird eine leicht abweichende Domain aufweisen (z. B. powerbi-login.com statt powerbi.microsoft.com).
• Überwachen Sie die Power BI-Audit-Logs auf ungewöhnliche Exportaktivitäten, wie etwa mehrere Dashboard-Downloads innerhalb kurzer Zeit.

Für Makler und Underwriter:

• Erfragen Sie beim Versicherungsnehmer den Umfang der MFA-Abdeckung. Ist MFA nicht für SharePoint und Power BI erzwungen, erwägen Sie einen Prämienzuschlag oder einen Ausschluss.
• Prüfen Sie die Klauseln der Police zu „Social Engineering“ und „voluntary parting“. Stellen Sie sicher, dass Anmeldedatendiebstahl über täuschende Anmeldeseiten ausdrücklich gedeckt ist.
• Nutzen Sie Threat-Intelligence-Feeds, um zu verfolgen, ob die Branche des Versicherungsnehmers aktiv angegriffen wird. Die Kampagne hat sich bisher auf Finanzdienstleistungen und das Gesundheitswesen konzentriert.

Für alle Stakeholder:

• Führen Sie eine Tabletop-Übung durch, die einen Vorfall mit Anmeldedatendiebstahl bei Power BI simuliert. Testen Sie, ob die Incident-Response-Pläne das Widerrufen von Session-Tokens und das Deaktivieren von OAuth-Apps umfassen.
• Erwägen Sie den Erwerb einer eigenständigen Cyber-Crime-Deckung für Überweisungsbetrug (Funds Transfer Fraud), da Angreifer gestohlenen Power BI-Zugriff nutzen könnten, um Finanzberichte zu manipulieren und betrügerische Überweisungen zu veranlassen.

Das Fazit

Die Power BI-Phishing-Kampagne ist kein neuer technischer Exploit – sie ist eine neue Social-Engineering-Taktik, die das Vertrauen in das Microsoft-Ökosystem instrumentalisiert. Für die Versicherungsbranche verdeutlicht sie einen grundlegenden Wandel: Angreifer müssen nicht mehr in Systeme eindringen; sie müssen Nutzer nur noch dazu verleiten, die Tür zu öffnen. Underwriter müssen ihre Risikomodelle aktualisieren, um die höhere Frequenz von Anmeldedatendiebstahl bei involvierten vertrauenswürdigen Plattformen widerzuspiegeln. Makler müssen sicherstellen, dass die Police-Sprache eindeutig definiert, was ein „Sicherheitsversagen“ darstellt. Und CISOs müssen Sicherheitskontrollen über E-Mail hinaus auf jede Cloud-Anwendung ausdehnen, die sensible Daten enthält.