Phishing auf vertrauenswürdigen Plattformen: Cyberversicherungsrisiken durch SharePoint- und Power-BI-Angriffe

Das Trusted-Platform-Paradoxon: Wenn Power BI und SharePoint zu Phishing-Vektoren werden

Am 6. Februar 2025 detaillierte ein Threat-Intelligence-Bericht eine hochentwickelte Phishing-Kampagne, die zwei der am weitesten verbreiteten Business-Tools im Unternehmen ausnutzt: Microsoft SharePoint und Power BI. Die Angriffskette ist trügerisch einfach – ein scheinbar legitimer SharePoint-Link in einer E-Mail leitet den Benutzer über einen Power-BI-Bericht weiter, der schließlich auf einer Seite zur Erfassung von Anmeldedaten landet, die eine Microsoft-Anmeldung nachahmt. Für eine Branche, die jahrelang darauf trainiert hat, Benutzern Misstrauen gegenüber unbekannten Domains und zufälligen Anhängen einzuimpfen, stellt diese Kampagne eine gefährliche Weiterentwicklung dar: die Waffennutzung vertrauenswürdiger Plattformen.

Dies ist kein theoretisches Risiko. Microsoft Power BI wird weltweit von über 3 Millionen Organisationen genutzt, und SharePoint dient Hunderttausenden von Unternehmen als Rückgrat des Dokumentenmanagements. Wenn Angreifer das Vertrauen ausnutzen, das Benutzer in diese Tools setzen, umgehen sie traditionelle Sicherheitskontrollen und nutzen eine grundlegende menschliche Voreingenommenheit aus – Vertrautheit. Für CISOs, Risikoingenieure und Versicherungs-Underwriter signalisiert diese Kampagne eine Verschiebung des Risikoumfelds, die eine Neubewertung der Cyberversicherungszeichnung, der Schadenmodellierung und der Risikominderungsstrategien erfordert.

Anatomie des Angriffs: Wie vertrauenswürdige Plattformen den Diebstahl von Anmeldedaten ermöglichen

Die Kampagne, die erstmals Anfang Februar 2025 von Bedrohungsforschern identifiziert wurde, folgt einem mehrstufigen Prozess, der die eigene Infrastruktur von Microsoft nutzt, um der Erkennung zu entgehen.

1. Erst-E-Mail: Das Opfer erhält eine E-Mail, die von einem bekannten Kontakt oder einem internen System zu stammen scheint. Die E-Mail enthält einen Link zu einem SharePoint-Dokument oder einem Power-BI-Dashboard. Da der Link auf eine legitime sharepoint.com- oder powerbi.com-Domain verweist, lassen E-Mail-Sicherheitsgateways und URL-Reputationsfilter ihn in der Regel passieren.

2. Weiterleitung zu Power BI: Das Klicken auf den SharePoint-Link löst eine Weiterleitung zu einem Power-BI-Bericht aus. Der Angreifer hat einen Power-BI-Arbeitsbereich mit einem Bericht erstellt, der einen eingebetteten Link oder ein benutzerdefiniertes visuelles Element enthält. Power-BI-Berichte können Webinhalte, Bilder und interaktive Elemente enthalten. Der Angreifer nutzt dies, um eine gefälschte Microsoft-Anmeldeaufforderung anzuzeigen oder den Benutzer auf eine externe Phishing-Seite weiterzuleiten.

3. Erfassung von Anmeldedaten: Der Benutzer sieht eine vertraute Microsoft-gebrandete Oberfläche und gibt seine Anmeldedaten ein. Der Angreifer erfasst diese und kann sie dann nutzen, um auf das tatsächliche Microsoft-365-Konto des Opfers zuzugreifen, einschließlich E-Mails, SharePoint-Dateien und anderer verbundener Dienste.

4. Laterale Bewegung: Einmal im System, kann sich der Angreifer lateral innerhalb der Organisation bewegen, möglicherweise auf sensible Daten zugreifen, Ransomware einsetzen oder Informationen exfiltrieren.

Die entscheidende Neuerung hier ist die Nutzung von Power BI als Weiterleitungsinstrument. Power-BI-Berichte können öffentlich oder innerhalb einer Organisation geteilt werden und können eingebettetes HTML oder JavaScript enthalten. Angreifer nutzen diese Funktionalität, um die Phishing-Inhalte auf einer Domain zu hosten, die von Sicherheitstools und Benutzern gleichermaßen als vertrauenswürdig eingestuft wird.

Auswirkungen auf die Versicherung: Schadenhäufigkeit, Schadenhöhe und Deckungslücken

Für Cyberversicherer hat diese Kampagne direkte Auswirkungen auf die Schadenhäufigkeit und -schwere. Phishing bleibt die Hauptursache für Datenschutzverletzungen und Ransomware-Infektionen und war 2024 laut Branchenschadendaten für über 40 % aller Cyberversicherungsansprüche verantwortlich. Die Nutzung vertrauenswürdiger Plattformen wie Power BI und SharePoint erhöht die Wahrscheinlichkeit erfolgreicher Phishing-Angriffe, weil:

• Höhere Erfolgsquote: Traditionelle Phishing-E-Mails haben eine Klickrate von etwa 3–5 %. Wenn der Link auf eine legitime Domain verweist, kann sich diese Rate verdoppeln oder verdreifachen, da Benutzer weniger misstrauisch sind.
• Schnellere Kompromittierung von Anmeldedaten: Der Diebstahl von Anmeldedaten von Microsoft-365-Konten ist oft der Vorläufer von Business-E-Mail-Compromise (BEC) oder Ransomware. Allein BEC-Ansprüche kosteten Versicherer 2024 über 2,9 Milliarden US-Dollar.
• Verzögerte Erkennung: Da der Angriff legitime Infrastruktur nutzt, erkennen Sicherheitsteams den Einbruch möglicherweise erst, nachdem laterale Bewegungen stattgefunden haben, was die Schwere des Vorfalls erhöht.

Es entstehen auch Deckungslücken. Viele Cyberversicherungspolicen haben Sublimits für Social-Engineering-Betrug oder Überweisungsbetrug, aber der Diebstahl von Anmeldedaten selbst wird oft unter den Kosten der Erstparteien-Schadenbearbeitung abgedeckt. Wenn der Angreifer die gestohlenen Anmeldedaten jedoch für den Zugriff auf Cloud-Dienste nutzt, muss die Police möglicherweise cloud-spezifische Ausschlüsse adressieren. Beispielsweise schließen einige Policen Verluste aus, die durch die Nutzung „autorisierter Anmeldedaten“ entstehen, selbst wenn diese betrügerisch erlangt wurden. Diese Kampagne unterstreicht die Notwendigkeit klarer Formulierungen zum Diebstahl von Anmeldedaten und zur Übernahme von Cloud-Konten.

Technische Mechanismen für ein geschäftliches Publikum: Wie Power BI zur Waffe wird

Um das Risiko zu verstehen, hilft es zu wissen, wie Power BI auf funktionaler Ebene arbeitet. Power BI ist ein Business-Analytics-Tool, mit dem Benutzer interaktive Dashboards und Berichte erstellen können. Diese Berichte können statische Daten, dynamische Visualisierungen und sogar eingebettete Webinhalte über die Integration von „Web Viewer“ oder „Power Apps“ enthalten.

Angreifer nutzen eine Funktion namens „benutzerdefinierte Visuals“ oder „berichtsbezogene Sicherheit“ aus, um bösartigen Code einzuschleusen. Im Einzelnen:

• Eingebettetes HTML/JavaScript: Ein Power-BI-Bericht kann ein Textfeld oder ein benutzerdefiniertes visuelles Element enthalten, das HTML rendert. Ein Angreifer kann ein gefälschtes Anmeldeformular oder ein Weiterleitungsskript einbetten, das den Benutzer auf eine externe Phishing-Seite sendet.
• Geteilte Links: Power-BI-Berichte können über einen Link geteilt werden, der keine Authentifizierung erfordert. Angreifer stellen den Bericht auf „Jeder mit dem Link kann anzeigen“ und verteilen den Link dann per E-Mail oder über soziale Medien.
• Weiterleitung über SharePoint: SharePoint-Dokumentbibliotheken können Links zu Power-BI-Berichten enthalten. Der Angreifer lädt ein Dokument mit einem eingebetteten Link hoch oder ändert ein gemeinsam genutztes Dokument so, dass es auf den bösartigen Power-BI-Bericht verweist.

Die geschäftliche Auswirkung besteht darin, dass dieser Angriff mit herkömmlichen Sicherheitstools äußerst schwer zu blockieren ist. URL-Filterlisten lassen powerbi.com und sharepoint.com zu. E-Mail-Sicherheitslösungen, die maschinelles Lernen zur Erkennung von Phishing einsetzen, kennzeichnen möglicherweise keine E-Mail, die einen Link zu einer legitimen Domain enthält. Die Multi-Faktor-Authentifizierung (MFA) kann den Diebstahl von Anmeldedaten abmildern, aber viele Organisationen setzen MFA immer noch nicht für alle Benutzer durch, und Angreifer nutzen zunehmend MFA-Ermüdungsangriffe in Kombination mit der Erfassung von Anmeldedaten.

Überlegungen zur Zeichnung und Deckung

Underwriter müssen ihre Risikobewertungsmodelle aktualisieren, um die erhöhte Wahrscheinlichkeit des Diebstahls von Anmeldedaten über vertrauenswürdige Plattformen zu berücksichtigen. Wichtige Zeichnungssignale, die zu berücksichtigen sind:

• MFA-Einführung: Organisationen, die MFA für alle extern zugänglichen Anwendungen, insbesondere Microsoft 365, durchsetzen, sollten günstigere Konditionen erhalten. Diejenigen, die sich ausschließlich auf die Ein-Faktor-Authentifizierung verlassen, sind einem höheren Risiko ausgesetzt.
• Sicherheitsbewusstseinstraining: Herkömmliches Phishing-Training, das sich auf verdächtige Domains und Anhänge konzentriert, ist unzureichend. Das Training muss jetzt Szenarien mit vertrauenswürdigen Plattformen umfassen, wie z. B. „Ist dieser SharePoint-Link zu erwarten?“ und „Überprüfen Sie die Quelle des Power-BI-Berichts.“
• Cloud-Sicherheitslage: Underwriter sollten die Nutzung von Microsoft-365-Sicherheitsfunktionen durch die Organisation bewerten, einschließlich Conditional-Access-Richtlinien, Sitzungs-Timeout-Einstellungen und App-Zustimmungsrichtlinien. Die Möglichkeit, die Power-BI-Freigabe auf interne Benutzer zu beschränken, kann die Gefährdung verringern. Ein detailliertes Framework zur Cyber-Risikoquantifizierung finden Sie in unserem FAIR-Risikobericht-Tool.
• Reaktionsfähigkeit bei Vorfällen: Policen sollten verlangen, dass Organisationen einen Plan für die Übernahme von Cloud-Konten haben, einschließlich der Möglichkeit, Sitzungen schnell zu widerrufen, Anmeldedaten zurückzusetzen und Anmeldungen zu prüfen.

Die Auswirkungen auf die Deckung sind ebenso wichtig. Versicherer könnten erwägen, Ausschlüsse für Verluste hinzuzufügen, die durch den Diebstahl von Anmeldedaten unter Umgehung von MFA verursacht werden, oder sie könnten spezifische Kontrollen als Bedingung für die Deckung verlangen. Die Nutzung vertrauenswürdiger Plattformen als Angriffsvektoren könnte je nach Policensprache auch Sublimits für „Social Engineering“ oder „Überweisungsbetrug“ auslösen. Underwriter sollten überprüfen, wie ihre Formulare „autorisierter Benutzer“ und „Diebstahl von Anmeldedaten“ definieren, um unbeabsichtigte Deckungslücken zu vermeiden.

Minderungsstrategien für Versicherungsnehmer

Organisationen können ihre Gefährdung durch diese Art von Angriff durch mehrere konkrete Maßnahmen verringern:

• MFA mit Conditional Access durchsetzen: Verlangen Sie MFA für alle externen Zugriffe auf Microsoft 365 und nutzen Sie Conditional-Access-Richtlinien, um Anmeldungen von nicht vertrauenswürdigen Standorten oder Geräten zu blockieren.
• Power-BI-Freigabe einschränken: Konfigurieren Sie die Power-BI-Mandanteneinstellungen so, dass die Freigabe von Berichten mit „Jeder mit dem Link“ verhindert wird. Erlauben Sie die Freigabe nur innerhalb der Organisation oder nach Genehmigung für bestimmte externe Benutzer.
• Power-BI-Aktivitäten überwachen: Nutzen Sie Microsoft-365-Überwachungsprotokolle, um ungewöhnliche Erstellungs- oder Freigabemuster von Power-BI-Berichten zu erkennen. Richten Sie Warnungen für Berichte ein, die eingebettete Webinhalte enthalten.
• Benutzer über Phishing auf vertrauenswürdigen Plattformen schulen: Nehmen Sie spezifische Beispiele in das Sicherheitsbewusstseinstraining auf, die zeigen, wie Angreifer SharePoint und Power BI nutzen können, um Anmeldedaten zu erbeuten.
• Sitzungs-Timeout und erneute Authentifizierung implementieren: Zwingen Sie Benutzer, sich nach einer Phase der Inaktivität erneut zu authentifizieren, insbesondere beim Zugriff auf sensible Daten.

Diese Kontrollen verringern nicht nur die Wahrscheinlichkeit eines erfolgreichen Angriffs, sondern demonstrieren gegenüber Underwritern auch eine starke Sicherheitslage, was möglicherweise zu besseren Policenkonditionen führt.

Fazit

Die Waffennutzung von Microsoft SharePoint und Power BI markiert ein neues Kapitel bei Phishing-Angriffen. Indem Angreifer das Vertrauen ausnutzen, das Benutzer in vertraute Plattformen setzen, umgehen sie traditionelle Abwehrmechanismen und erhöhen die Wahrscheinlichkeit des Diebstahls von Anmeldedaten. Für die Cyberversicherungsbranche unterstreicht diese Kampagne die Notwendigkeit, Zeichnungsmodelle zu aktualisieren, Deckungssprachen zu klären und Versicherungsnehmer zu ermutigen, cloud-spezifische Sicherheitskontrollen einzuführen. Organisationen, die sich nicht anpassen, werden mit einer höheren Schadenhäufigkeit und -schwere konfrontiert sein, während diejenigen, die diese Risiken proaktiv angehen, ihre Widerstandsfähigkeit gegenüber einer sich entwickelnden Bedrohungslandschaft stärken werden.