Microsoft Teams: Neue Sicherheits-Tools gegen Social-Engineering-Angriffe

Microsoft rüstet Teams mit schärferen Sicherheitskontrollen gegen die wachsende Bedrohung durch Social-Engineering-Angriffe auf. Die Updates sollen Unternehmen helfen, bösartige externe Domains in Echtzeit zu blockieren und verdächtige Kommunikationsmuster frühzeitig zu erkennen.

Die zentrale Neuerung ist die direkte Integration der Teams-Sicherheit in das Microsoft Defender-Portal. Seit dem 3. Februar können Administratoren dort externe Domains und einzelne Absender für Teams blockieren – eine Aufgabe, die zuvor über separate Oberflächen im Teams Admin Center lief. Diese Vereinheitlichung ist ein großer Schritt für die Abwehrgeschwindigkeit.

Sicherheitsteams können so gezielte Einträge auf eine Sperrliste setzen. Das System stoppt sofort alle neuen Chat-Nachrichten, Meeting-Einladungen und Kanal-Kommunikation von den markierten Quellen. Selbst bereits versendete Nachrichten werden rückwirkend gelöscht. Das gibt den SOC-Teams (Security Operations Center) ein mächtiges Werkzeug an die Hand, um während laufender Angriffe schnell zu reagieren. Bis zu 4.000 Domains und 200 individuelle E-Mail-Adressen lassen sich blockieren.

Social‑Engineering‑Angriffe verlagern sich zunehmend in Chat‑Tools wie Teams — und ein einziger unbemerkter Kontakt kann ganze Netzwerke kompromittieren. Das kostenlose Anti‑Phishing‑Paket liefert eine praxisorientierte 4‑Schritte‑Anleitung für Unternehmen: Wie Sie psychologische Angriffsmuster erkennen, Phishing‑Versuche über externe Domains blockieren und Mitarbeitende richtig schulen. Plus: branchenspezifische Checklisten und Maßnahmen zur Prävention von CEO‑Fraud. Schnell umsetzbar für IT‑Verantwortliche und Admins. Anti‑Phishing‑Paket jetzt kostenlos anfordern

KI-Report erkennt verdächtige Muster

Ergänzend zu den Sperrwerkzeugen rollt Microsoft den neuen „External Domains Anomalies“-Report aus. Dieses Tool nutzt maschinelles Lernen, um ungewöhnliche Kommunikationsmuster zwischen internen Nutzern und externen Domains aufzuspüren.

Cybersicherheitsexperten sehen darin eine direkte Antwort auf einen Trend: Angreifer umgehen zunehmend E-Mail-Filter, indem sie den ersten Kontakt über Teams herstellen. Der Report markiert Verhaltensweisen, die auf Phishing, Account-Übernahmen oder Datenabfluss hindeuten. Das Ziel ist klar: Verteidigern früher die nötige Sichtbarkeit geben, um zu handeln, bevor Angreifer Vertrauen bei Mitarbeitern aufbauen können.

Granulare Kontrolle durch neue Admin-Rolle

Für eine präzisere Verwaltung führt Microsoft die dedizierte Rolle „Teams External Collaboration Administrator“ ein. Diese rollenbasierte Zugriffskontrolle (RBAC) erlaubt es, die Verwaltung von externen Zugriffsrichtlinien zu delegieren – etwa das Erlauben oder Blockieren bestimmter Partner-Domains – ohne umfassende Teams-Admin-Rechte zu vergeben.

Diese Trennung der Aufgaben ist für große Unternehmen, die das „Prinzip der geringsten Rechte“ (Principle of Least Privilege) einhalten müssen, entscheidend. Zusätzlich vereinfacht ein neues, einheitliches „External Collaboration“-Interface im Admin Center die komplexen Federation-Einstellungen. Administratoren können zwischen drei vordefinierten Modi wählen: „Offen“ für breite Zusammenarbeit, „Kontrolliert“ für den Zugriff spezifischer vertrauenswürdiger Domains und „Benutzerdefiniert“ für spezielle Compliance-Anforderungen.

Hintergrund: Teams als neues Einfallstor für Angreifer

Die Dringlichkeit dieser Updates spiegelt die sich wandelnde Bedrohungslage wider. Seit Ende 2025 berichten Threat-Intelligence-Gruppen von einem starken Anstieg an Kampagnen, bei denen Angreifer wie „Midnight Blizzard“ kompromittierte Teams-Umgebungen nutzen, um sich als IT-Support oder externe Partner auszugeben.

Indem Microsoft die Blockier-Funktionen in Defender integriert, anerkennt der Konzern, dass Teams nicht mehr nur ein Produktivitäts-Tool, sondern ein kritisches Einfallstor für Cyber-Bedrohungen ist. Die Möglichkeit, eine Domain tenant-weit direkt aus dem Defender-Portal zu sperren, verkürzt die „Time to Remediation“ während eines Live-Vorfalls erheblich.

Ein weiteres Sicherheitsnetz ist die Ausweitung der „Zero-hour-auto-purge“ (ZAP)-Funktion auf Microsoft Defender für Office 365 Plan 1. ZAP entfernt bösartige Nachrichten rückwirkend, auch wenn sie die Erst-Erkennung umgangen haben.

Ausblick: „Missbrauch melden“ für Anrufe kommt

Microsoft kündigt für März und April 2026 weitere Teams-Sicherheitsupdates an. Geplant ist unter anderem eine nutzerseitige „Report a Call“-Funktion. Mitarbeiter sollen damit verdächtige Sprachanrufe direkt aus ihrem Anrufverlauf melden können. Die Metadaten dieser Meldungen sollen dann die Anomalie-Erkennungsmodelle im Defender-Portal weiter trainieren.

IT-Administratoren wird empfohlen, den neuen Anomalie-Report zu prüfen und die Sperrliste in Defender zu konfigurieren. In einer Welt, in der unternehmensübergreifende Zusammenarbeit Standard ist, ist die Fähigkeit, Verbindungen zu bösartigen Akteuren sofort zu kappen, zu einer unabdingbaren Voraussetzung für die Unternehmenssicherheit geworden.

PS: IT‑Teams sollten nicht nur reagieren, sondern proaktiv sichern. Der kostenlose Cyber‑Security‑Guide erklärt aktuelle Bedrohungstrends, einfache Schutzmaßnahmen für begrenzte Budgets und wie Machine‑Learning‑Modelle sinnvoll zur Erkennung von Anomalien eingesetzt werden können — genau die Themen, die der neue External Domains Anomalies‑Report anschneidet. Für Entscheider und Administratoren enthält der Guide konkrete To‑dos zur Absicherung von Collaboration‑Tools. Jetzt Cyber‑Security‑Guide herunterladen