Kalender-Phishing: Neue Angriffswelle umgeht E-Mail-Sicherheit

Cyberkriminelle nutzen jetzt Kalender-Einladungen und QR-Codes, um Sicherheitsbarrieren zu durchbrechen. Eine neue, raffinierte Angriffswelle zielt direkt auf die Terminplanung von Nutzern, um Schadsoftware zu verbreiten und Multi-Faktor-Authentifizierung zu umgehen. Sicherheitsexperten warnen vor einer massiven Zunahme dieser Angriffe.

Diese fiesen Hacker-Methoden führen aktuell zu Rekord-Schäden in deutschen Unternehmen, da herkömmliche Filter oft versagen. Unser kostenloser Report zeigt Ihnen, wie Kriminelle vorgehen und wie Sie Ihre Organisation effektiv schützen. Kostenlosen Anti-Phishing-Guide herunterladen

Gefälschte Rechnungen im Kalender

Die Angreifer nutzen eine automatische Funktion in Kalender-Apps wie Google Workspace und Microsoft 365. Statt verdächtige E-Mails zu verschicken, die von Sicherheitssystemen erkannt werden könnten, senden sie direkt Kalendereinladungen. Diese enthalten gefälschte Zahlungserinnerungen mit überhöhten Beträgen – oft für angebliche Vertragsverlängerungen im Wert von mehreren hundert Euro.

Die Taktik zielt auf psychologischen Druck: Die Einladung erscheint automatisch im Kalender und sieht wie eine legitime Systembenachrichtigung aus. Sie enthält eine gefälschte Support-Telefonnummer. Das Opfer soll in Panik geraten und diese Nummer anrufen, anstatt einen Link zu klicken. Am Telefon versuchen die Betrüger dann, Bankdaten abzugreifen oder die Installation von Fernzugriffssoftware zu erreichen.

QR-Codes knacken Zwei-Faktor-Authentifizierung

Eine noch gefährlichere Methode nutzt Kalenderdateien im .ics-Format, das für legitime Terminplanung standardisiert ist. Sicherheitstools prüfen diese Dateien oft nicht gründlich. Angreifer verstecken darin QR-Codes.

Ein aktueller Fall: Eine gefälschte Einladung zu einer angeblichen „Compliance-Überprüfung“ enthielt einen QR-Code. Scannte das Opfer diesen, landete es auf einer täuschend echten Microsoft-365-Login-Seite – mit bereits vorausgefüllter E-Mail-Adresse. Durch die Anmeldung auf dieser Fake-Seite stahlen die Angreifer die Session-Tokens. Diese ermöglichen Zugriff auf E-Mails und interne Systeme – ohne dass die Zwei-Faktor-Authentifizierung greift.

Angriffe durch vertrauenswürdige Dienste

Um Entdeckung zu vermeiden, schicken die Cyberkriminelle ihre Phishing-Links durch seriöse Internetdienste. Ein dokumentierter Angriff auf einen Sicherheitsexperten nutzte eine siebenstufige Weiterleitungskette.

Die Phishing-E-Mail besaß eine gültige DKIM-Signatur von Amazon SES. Der darin enthaltene Link leitete zunächst auf die Infrastruktur von Cisco Secure Web um, dann auf den legitimen E-Mail-Sync-Dienst Nylas. Erst die letzte Weiterleitung führte zur eigentlichen Phishing-Seite. Da jeder einzelne Schritt vertrauenswürdig erschien, konnten automatisierte Sicherheitssysteme die Bedrohung nicht erkennen.

Da 73% der deutschen Unternehmen nicht ausreichend auf Cyberangriffe vorbereitet sind, wird die Stärkung der IT-Sicherheit zur Chefsache. Erfahren Sie in diesem Experten-Report, wie Sie Ihr Unternehmen mit einfachen Strategien ohne Budget-Explosion absichern. Gratis E-Book: Cyber Security Trends sichern

Dramatischer Anstieg der Identitätsdiebstähle

Diese Entwicklung fällt mit einem generellen Boom bei Phishing-Angriffen zusammen. Der Identity Exposure Report 2026 des Unternehmens SpyCloud zeigt: Erfolgreiche Phishing-Angriffe sind im Vergleich zum Vorjahr um 400 Prozent gestiegen. Allein 2025 erfasste das Unternehmen fast 30 Millionen gestohlene Identitätsdaten – etwa die Hälfte davon von Unternehmensnutzern.

Die Strategie der Angreifer ist logisch: Da E-Mail-Filter immer besser werden, weichen sie auf Kanäle aus, die Nutzer von Haus aus vertrauen. Eine Kalendereinladung wirkt vertrauenswürdiger als eine unbekannte E-Mail. Diese psychologische Manipulation, kombiniert mit technischen Tricks, stellt Sicherheitsteams vor enorme Herausforderungen.

So können sich Unternehmen schützen

Sicherheitsexperten raten zu sofortigen Maßnahmen:
* Automatische Kalendersynchronisation deaktivieren: Stellen Sie ein, dass nur Kontakte aus dem eigenen Adressbuch Termine hinzufügen können.
* Session-Token überwachen: IT-Abteilungen sollten Identitätsschutz-Lösungen nutzen, die kompromittierte Tokens und API-Schlüssel erkennen – nicht nur die E-Mail-Sicherheit verstärken.
* Mitarbeiter sensibilisieren: In Schulungen muss klar werden: Kalendereinladungen unbekannter Absender sind genauso skeptisch zu betrachten wie verdächtige E-Mails. Besondere Vorsicht ist bei QR-Codes in Termineinladungen geboten.

Der Trend wird sich voraussichtlich verstärken. Angreifer werden weitere Kommunikationskanäle und Automatisierungsfunktionen missbrauchen. Die Verteidigung muss mit einer Mischung aus strengeren Standardeinstellungen, besserer Überwachung und geschärftem Risikobewusstsein reagieren.

de | boerse | 68915882 |