Microsoft 365 gehackt: Was tun bei einer Datenpanne trotz MFA?

Inhalt in Kürze

• MFA schützt nicht vor allen Angriffen: Durch sogenannte Adversary-in-the-Middle-Angriffe (AiTM) können Angreifer Session-Tokens stehlen und MFA komplett umgehen – auch bei aktivierter Multifaktor-Authentifizierung.
• 72-Stunden-Frist: Bei einer Datenpanne mit personenbezogenen Daten müssen Sie die zuständige Datenschutzbehörde innerhalb von 72 Stunden nach Art. 33 DSGVO informieren.
• Geschwindigkeit entscheidet: Je schneller Sie reagieren, desto kleiner der Schaden. Sofortige Passwort-Zurücksetzung, Session-Revocation und Sperrung des Kontos sind die ersten drei Schritte.
• Schulung ist kein Luxus: Der beschriebene Angriff hätte durch bessere Awareness-Schulung möglicherweise erkannt werden können – obwohl die E-Mail von einem echten Absender kam.

---

Ein Geschäftsführer klickt auf einen OneDrive-Link in einer E-Mail. Die E-Mail kommt von einem echten Geschäftspartner. Er gibt seine Microsoft-365-Zugangsdaten ein. Er bestätigt den MFA-Code. Augenscheinlich passiert nichts.

Zwei Stunden später verschickt sein Postfach dieselbe E-Mail an alle Geschäftskontakte. Mehrere tausend Spam-Nachrichten gehen raus. Die Hacker haben sogar seine MFA deaktiviert.

Das ist kein hypothetisches Szenario. Das ist 2025 bei einem unserer Kunden passiert.

Was genau passiert ist

Der betroffene Betrieb: ein Dienstleister mit 15 Mitarbeitenden. Keine Großkonzern-IT, aber solide aufgestellt. Microsoft 365 als Plattform. MFA aktiviert. Eigentlich alles richtig gemacht.

Dann kam die E-Mail. Sie stammte tatsächlich vom Geschäftspartner – genauer: aus dessen bereits kompromittiertem Postfach. Im Anhang ein OneDrive-Link. Der Geschäftsführer klickte darauf und landete auf einer Seite, die exakt wie die Microsoft-Anmeldung aussah.

Er gab seine Zugangsdaten ein. Er bestätigte seinen MFA-Code per Authenticator-App. Auf dem Bildschirm passierte scheinbar nichts – kein Dokument, kein Fehler.

Im Hintergrund lief ein sogenannter Adversary-in-the-Middle-Angriff (AiTM). Die gefälschte Seite leitete seine Eingaben in Echtzeit an Microsoft weiter – inklusive MFA-Code. Der Angreifer fing dabei den Session-Token ab, der nach erfolgreicher Authentifizierung ausgestellt wird.

Mit diesem Token hatte der Angreifer vollen Zugriff auf das Postfach. Er richtete Weiterleitungsregeln ein, verschickte die gleiche Phishing-Mail an sämtliche Kontakte und deaktivierte die MFA – obwohl das eigentlich nur Admins können. Selbst die zuständige Datenschutzbehörde war über diesen letzten Punkt verwundert.

Das Ergebnis: ein klassisches Schneeballsystem. Jeder, der klickte und seine Daten eingab, wurde zum nächsten Absender.

Warum MFA allein nicht reicht

Multifaktor-Authentifizierung ist eine der wichtigsten Sicherheitsmaßnahmen. Das steht außer Frage. Aber MFA schützt vor allem vor einem Szenario: gestohlene Passwörter.

Gegen AiTM-Angriffe hilft klassische MFA nicht. Der Grund ist einfach: Der Angreifer sitzt zwischen Ihnen und Microsoft. Sie authentifizieren sich gegenüber Microsoft – aber der Angreifer sieht alles mit und übernimmt die dabei erstellte Sitzung.

Das BSI warnt seit 2023 explizit vor AiTM-Phishing als eine der größten Bedrohungen für Unternehmen. Die Angriffe werden professioneller, die Phishing-Kits sind im Darknet für wenige hundert Euro verfügbar.

Die richtige Reaktion: 72-Stunden-Regel

Wenn personenbezogene Daten betroffen sind – und bei einem kompromittierten E-Mail-Postfach ist das praktisch immer der Fall – greift Art. 33 DSGVO. Sie haben ab Kenntnis der Datenpanne 72 Stunden, um die zuständige Aufsichtsbehörde zu informieren. In Hamburg ist das der HmbBfDI.

72 Stunden klingen viel. Sind sie nicht. Zwischen Entdeckung, Analyse, Eindämmung und Dokumentation vergeht die Zeit erschreckend schnell.

Sofortmaßnahmen bei einer M365-Datenpanne

Schritt	Maßnahme	Zeitrahmen
1	Passwort des betroffenen Kontos zurücksetzen	Sofort (Minute 0)
2	Alle aktiven Sessions beenden (Revoke Sessions)	Sofort (Minute 0)
3	MFA-Methoden prüfen und neu einrichten	Innerhalb 1 Stunde
4	Postfachregeln prüfen (Weiterleitungen, Löschregeln)	Innerhalb 1 Stunde
5	Audit-Log in Microsoft 365 sichern und auswerten	Innerhalb 2 Stunden
6	Betroffene Kontakte informieren	Innerhalb 4 Stunden
7	Datenschutzbeauftragten informieren	Innerhalb 4 Stunden
8	Meldung an die Aufsichtsbehörde vorbereiten	Innerhalb 24 Stunden
9	Meldung an die Aufsichtsbehörde absenden	Innerhalb 72 Stunden
10	Betroffene Personen informieren (bei hohem Risiko)	Innerhalb 72 Stunden

Schritt 7 ist entscheidend: Ihr externer Datenschutzbeauftragter muss sofort eingebunden werden. Er bewertet, ob eine Meldepflicht besteht, welche Informationen die Behörde braucht und ob auch die betroffenen Personen nach Art. 34 DSGVO benachrichtigt werden müssen.

Aus der Praxis

Nils hat diesen Fall Anfang 2025 betreut. Der Kunde hatte keine Incident-Response-Pläne. Kein dokumentiertes Vorgehen für Datenpannen. Die IT war extern und nur eingeschränkt verfügbar. Trotzdem konnte die Meldung fristgerecht erfolgen – weil wir als Datenschutzbeauftragte sofort eingebunden wurden und die Kommunikation mit der Behörde übernommen haben.

Ohne professionelle Unterstützung wäre die 72-Stunden-Frist sehr wahrscheinlich gerissen. Und das hätte zusätzliche Konsequenzen gehabt.

So schützen Sie Ihr Unternehmen

Fünf konkrete Maßnahmen, die nach diesem Vorfall für jeden unserer Kunden zur Empfehlung geworden sind:

1. Phishing-resistente Authentifizierung einführen Ersetzen Sie klassische MFA (SMS, Authenticator-App) durch FIDO2-Sicherheitsschlüssel oder Passkeys. Microsoft unterstützt das in allen Business-Plänen. Die Investition pro Mitarbeitendem: ca. 25–50 € für einen Hardware-Key.
2. Conditional Access Policies aktivieren Beschränken Sie den Zugriff auf M365 nach Standort, Gerät und Risikostufe. Unbekannte Geräte oder Zugriffe aus ungewöhnlichen Ländern werden automatisch blockiert. Das ist in Microsoft Entra ID (ehemals Azure AD) konfigurierbar.
3. Regelmäßige Phishing-Simulationen durchführen Ihre Mitarbeitenden sollten mindestens vierteljährlich simulierte Phishing-Mails erhalten. Nicht als Bestrafung, sondern als Training. Wer klickt, bekommt eine kurze Erklärung. Das senkt die Klickrate erfahrungsgemäß um 60–80 % innerhalb eines Jahres.
4. Incident-Response-Plan erstellen Dokumentieren Sie vorher, wer im Ernstfall was tut. Wer setzt Passwörter zurück? Wer informiert den Datenschutzbeauftragten? Wer kommuniziert mit betroffenen Kunden? In der Hektik einer Datenpanne ist keine Zeit, das erst zu klären.
5. Website und IT regelmäßig prüfen lassen Nutzen Sie den Hugo Check, um Ihre Website auf DSGVO-Konformität zu scannen. Und lassen Sie Ihre IT-Infrastruktur im Rahmen einer IT-Sicherheitsberatung regelmäßig überprüfen – nicht erst nach einem Vorfall.

Häufige Fragen (FAQ)

Muss ich eine Datenpanne melden, wenn mein M365-Konto gehackt wurde?

Ja, in der Regel schon. Sobald ein Angreifer Zugriff auf ein E-Mail-Postfach hatte, muss davon ausgegangen werden, dass personenbezogene Daten betroffen sind – E-Mail-Adressen, Namen, Kommunikationsinhalte. Nach Art. 33 DSGVO ist die zuständige Aufsichtsbehörde innerhalb von 72 Stunden zu informieren, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Betroffenen.

Können Hacker MFA wirklich umgehen?

Ja. Bei sogenannten Adversary-in-the-Middle-Angriffen (AiTM) wird der MFA-Code in Echtzeit abgefangen und an den echten Server weitergeleitet. Der Angreifer stiehlt dabei den Session-Token, der nach erfolgreicher Anmeldung erstellt wird. Klassische MFA per Authenticator-App oder SMS schützt davor nicht. Phishing-resistente Verfahren wie FIDO2-Schlüssel sind derzeit der beste Schutz.

Wer haftet, wenn Kunden durch die Phishing-Mails aus meinem Postfach Schaden erleiden?

Das ist juristisch komplex. Grundsätzlich tragen Sie als Verantwortlicher die Pflicht, angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen (Art. 32 DSGVO). Waren Ihre Maßnahmen nachweislich unzureichend, kann eine Haftung bestehen. Lassen Sie sich im Schadensfall unbedingt rechtlich beraten.

Wie erkenne ich, ob mein Microsoft-365-Konto kompromittiert wurde?

Typische Anzeichen: ungewöhnliche Anmeldeaktivitäten im Audit-Log, neue Postfachregeln (besonders Weiterleitungen), E-Mails im Gesendet-Ordner, die Sie nicht verfasst haben, oder Hinweise von Geschäftspartnern, die verdächtige E-Mails von Ihnen erhalten haben. Microsoft bietet im Security & Compliance Center detaillierte Protokolle.

Reicht ein Virenscanner als Schutz vor solchen Angriffen?

Nein. AiTM-Phishing-Angriffe kommen ohne Schadsoftware aus. Der Angreifer nutzt eine gefälschte Anmeldeseite – da gibt es keinen Virus, den ein Scanner erkennen könnte. Der Schutz muss auf mehreren Ebenen ansetzen: phishing-resistente Authentifizierung, Conditional Access, E-Mail-Filterung, Mitarbeiter-Schulung und ein Incident-Response-Plan.