Einleitung
Cloud-Dienste wie Microsoft 365 sind aus dem Arbeitsalltag nicht mehr wegzudenken – besonders für kleine und mittlere Unternehmen (KMU) in der Schweiz. E-Mails, Teams, SharePoint, OneDrive – alles ist zentral verfügbar und fördert das mobile Arbeiten. Doch mit der steigenden Nutzung steigt auch das Risiko: Cyberkriminelle haben Microsoft 365 längst als lohnendes Ziel entdeckt.Aktuell häufen sich gezielte Angriffe auf Entra ID, ehemals Azure Active Directory, das zentrale Identitätsmanagement von Microsoft 365. Diese Angriffe sind oft hochentwickelt und umgehen sogar Mehrfaktorauthentifizierung (MFA). Methoden wie Token-Diebstahl, MFA-Bypass und Consent Phishing setzen dort an, wo sich viele Unternehmen sicher fühlen.
Für viele KMU in Bern und der gesamten Schweiz bedeutet das eine neue Realität: Klassische Schutzmechanismen reichen nicht mehr aus. In diesem Blog erklären wir:
- Wie moderne Angriffe auf Entra ID funktionieren
- Warum MFA allein heute keinen ausreichenden Schutz mehr bietet
- Welche Schutzmassnahmen KMU jetzt ergreifen sollten
- Welche Alternativen es zur klassischen Zugriffsverwaltung gibt
Vorteile von Microsoft 365 und Entra ID
Microsoft 365 bietet enorme Vorteile für Unternehmen:- Zentrale Benutzerverwaltung über Entra ID
- Einfache Integration von Anwendungen, Geräten und Identitäten
- Skalierbarkeit für wachsende Unternehmen
- Zugriff von überall – ideal fürs Homeoffice und Remote Work
- Integrierte Sicherheitsfunktionen wie MFA, Conditional Access und Audit Logs
Nachteile & Risiken: Warum Entra ID unter Beschuss steht
Die Kehrseite der zentralen Verwaltung:- Ein einziger Zugangspunkt für alle Cloud-Dienste – wird dieser kompromittiert, ist das gesamte System gefährdet.
- Phishing & Consent-Angriffe zielen auf Benutzerinteraktion ab – und hebeln MFA teilweise aus.
- Mangelndes Monitoring – viele KMU bemerken verdächtige Aktivitäten zu spät.
- Veraltete Konfigurationen – oft werden Standard- oder unsichere Richtlinien nicht angepasst.
Wie moderne Angriffe auf Entra ID funktionieren (Details)
1. Token-Diebstahl
Angreifer nutzen gestohlene Session-Tokens, um sich ohne erneute Authentifizierung Zugriff auf Microsoft 365 zu verschaffen. Diese Tokens lassen sich z. B. über infizierte Browser-Erweiterungen oder Man-in-the-Middle-Angriffe erbeuten.2. MFA-Bypass mit Consent Phishing
Hier wird dem Nutzer eine App präsentiert, die scheinbar harmlos wirkt, aber über OAuth-Berechtigungen tiefgreifenden Zugriff auf das Microsoft-Konto erhält – ganz ohne Passworteingabe. MFA greift hier nicht, da der Benutzer den Zugriff bewusst (wenn auch unwissentlich) erlaubt.3. Legacy Authentication
Veraltete Protokolle wie IMAP oder POP3 unterstützen keine MFA und bieten ein leichtes Einfallstor, wenn sie nicht deaktiviert wurden.4. Pass-the-Cookie-Angriffe
Session-Cookies werden abgefangen und in andere Browserumgebungen übertragen. So kann ein Angreifer den angemeldeten Zustand „mitnehmen“ – MFA wird umgangen.5. Conditional Access Umgehung durch neue Cloud Apps
Ohne klare Richtlinien kann eine neu registrierte App (z. B. eine „Benutzer-App“) durch zu lockere Conditional Access Policies Zugriff erhalten, ohne den Admin zu informieren.Alternativen & Schutzmassnahmen für KMU in Bern
1. Zero Trust-Ansatz einführen
Vertraue niemandem – auch nicht innerhalb des Netzwerks. Jedes Zugriffsersuchen wird geprüft, basierend auf Gerät, Standort, Nutzerverhalten.2. Conditional Access konsequent nutzen
Richte Regeln ein, die z. B. Zugriffe nur von verwalteten Geräten oder aus der Schweiz erlauben. Blockiere veraltete Authentifizierungsprotokolle.3. Security Defaults aktivieren (oder eigene Policies definieren)
Microsoft bietet sogenannte „Security Defaults“, die z. B. MFA für alle Benutzer verpflichtend machen. Besser: Eigene Richtlinien mit feineren Einstellungen.4. Monitoring & Log-Analyse implementieren
Nutze Entra ID Logs, Defender for Cloud Apps oder Sentinel, um verdächtige Anmeldeversuche, App-Registrierungen oder Geolokationen zu überwachen.5. App-Consents regelmässig überprüfen
Welche Apps haben Zugriff auf Microsoft-Konten? Wer hat was genehmigt? Diese Liste sollte regelmässig kontrolliert und bereinigt werden.6. Awareness-Schulungen für Mitarbeitende
Mitarbeitende müssen verstehen, wie moderne Phishing- und Consent-Angriffe funktionieren. Schulung ist oft der beste Schutz gegen Social Engineering.Fazit: Jetzt handeln, bevor der Angriff erfolgt
Viele Unternehmen in Bern vertrauen darauf, dass MFA und Passwörter reichen. Doch die Realität ist: Cloud-Angriffe entwickeln sich ständig weiter – und umgehen klassische Schutzmechanismen zunehmend erfolgreich.Gerade Entra ID als zentrale Identitätsplattform verlangt nach einer strategischen Sicherheitskonfiguration, nicht nach Standardlösungen. Wer heute vorbereitet ist, spart sich morgen nicht nur Kosten, sondern auch Reputationsschäden und Betriebsunterbrüche.
Der Schlüssel: Zero Trust, Conditional Access, Monitoring und Awareness. KMU sollten jetzt handeln – bevor es zu spät ist.
FAQ: Häufig gestellte Fragen zu Entra ID und Microsoft 365-Sicherheit
Was ist Entra ID?
Entra ID ist der neue Name für Azure Active Directory – Microsofts Cloud-Identitätsplattform für Benutzer-, Gruppen- und Zugriffsverwaltung.Reicht MFA als Schutzmaßnahme?
Nicht mehr. Moderne Angriffe wie Token-Diebstahl oder Consent-Phishing umgehen MFA erfolgreich. MFA ist wichtig, aber nicht ausreichend.Was bedeutet „Consent Phishing“?
Ein Benutzer wird dazu gebracht, einer App weitreichende Berechtigungen zu erteilen – etwa Zugriff auf E-Mails, Kalender oder OneDrive – ohne dass ein Passwort nötig ist.Wie kann ich prüfen, ob mein Unternehmen betroffen ist?
In Entra ID gibt es Anmeldeprotokolle, die verdächtige Aktivitäten zeigen. Auch Microsoft Defender oder Sentinel helfen bei der Analyse.Welche Massnahmen sind für KMU am wichtigsten?
- MFA (wenn noch nicht aktiv)
- Conditional Access einrichten
- Alte Authentifizierungsprotokolle abschalten
- Regelmässige Kontrolle von App-Consents
- Mitarbeiterschulungen
