Ein Spray, kein Durchbruch

Die Sicherheitsfirma Huntress meldete eine Password-Spraying-Kampagne, die vom 12. bis 26. Juni 2026 lief und am 22. Juni ihren Höhepunkt erreichte. Dabei wurden mehr als 81 Millionen Anmeldeversuche gegen Microsoft-365-Konten gerichtet. Der Verkehr stammte aus einem IPv6-Bereich, der auf einen einzelnen Betreiber registriert war, und die Angreifer rieten die Passwörter nicht blind. Sie spielten Benutzernamen- und Passwortpaare erneut ab, die aus früheren, unabhängigen Datenlecks stammten, in der Annahme, dass Menschen ihre Zugangsdaten über mehrere Dienste hinweg wiederverwenden. Aus dieser Flut wurden 78 Konten in 64 Organisationen kompromittiert.

Bemerkenswert ist das Fehlen von allem Exotischen. Es gab keinen Zero-Day, keine raffinierte Schadsoftware, keinen Lieferketten-Trick. Es war Masse plus wiederverwendete Zugangsdaten plus ein schwacher Authentifizierungsweg. Diese Kombination steht jedem gewöhnlichen Angreifer zur Verfügung, und genau deshalb verdient sie die Aufmerksamkeit eines Eigentümers: Die Technik ist billig, wiederholbar und zielt auf die Identitätsebene, die die meisten Unternehmen mit der Mehr-Faktor-Authentifizierung bereits für gesichert halten. Gerade im Mittelstand wird diese Ebene oft als erledigt abgehakt.

Wie die Logins an MFA vorbeikamen

Der Mechanismus war ein alter Anmeldeweg. Die Angreifer authentifizierten sich über die Azure-Kommandozeilenwerkzeuge mit dem Resource-Owner-Password-Credentials-Fluss, bekannt als ROPC, einer älteren OAuth-Methode, die Benutzername und Passwort direkt annimmt und in vielen Mandanten überhaupt keine Mehr-Faktor-Abfrage auslöst. Wo ein Mandant MFA aktiviert, aber eng eingegrenzt hatte, gingen die wiederverwendeten Zugangsdaten direkt durch die Lücke. Huntress fand dieselben Fehlkonfigurationen immer wieder: MFA nur für ausgewählte Anwendungen, MFA nur für Administratorgruppen, MFA nur von nicht vertrauenswürdigen Standorten und Conditional-Access-Richtlinien im reinen Berichtsmodus, in dem sie protokollieren, aber nie blockieren.

Die nicht offensichtliche Lehre ist, dass MFA kein Schalter ist, sondern eine Abdeckungskarte. Ein Mandant kann eine Prüfung bestehen, die nur fragt, ob MFA vorhanden ist, und trotzdem eine alte Tür unverschlossen lassen. Die Angreifer bezwangen die Mehr-Faktor-Authentifizierung nicht; sie fanden die Anmeldungen, bei denen sie nie verlangt wurde. Dieser Unterschied ist die ganze Geschichte, und er bleibt unsichtbar, solange niemand überprüft, welche Authentifizierungswege ein Mandant noch zulässt.

Die halbe Stunde, die die Lücke schließt

Dies ist ein Konfigurationsproblem mit einer Konfigurationsantwort, und das meiste davon ist eine kurze Verwaltungssitzung statt eines Kaufs. Blockieren Sie die alte Authentifizierung und deaktivieren Sie den ROPC-Fluss, damit Benutzername-Passwort-Anmeldungen, die MFA überspringen, schlicht abgelehnt werden. Erzwingen Sie die Mehr-Faktor-Authentifizierung über jede Anwendung und jede Anmeldung, nicht nur für Administratorkonten oder nicht vertrauenswürdige Standorte, und schalten Sie Conditional Access vom reinen Berichtsmodus in aktives Blockieren um. Prüfen Sie dann die Anmeldeprotokolle auf das Muster der gescheiterten Sprays und setzen Sie jede Zugangsdatei zurück, die ein früheres Datenleck offengelegt haben könnte.

Für ein europäisches Unternehmen gibt es einen zweiten Grund, schnell zu handeln. Wenn wiederverwendete Zugangsdaten ein Postfach mit personenbezogenen Daten öffnen, kann der Vorfall eine Meldepflicht nach der DSGVO innerhalb von 72 Stunden auslösen, sodass aus einer stillen Identitätslücke ein meldepflichtiges Ereignis und ein Gespräch mit der Behörde wird. Das BSI empfiehlt genau diese Konfigurationshygiene. Die Kosten, die Tür zu schließen, betragen einen Nachmittag Konfiguration; die Kosten, sie offen zu lassen, bemessen sich in Meldepflichten und verlorenem Vertrauen. Behandeln Sie die Identitätsebene als das Perimeter, das sie geworden ist.