NCSC CH warnt vor Phishing-Welle mit Microsoft-Branding — April-Stand
Das Nationale Zentrum für Cybersicherheit meldet eine gezielte Welle gegen Schweizer KMU mit täuschend echt wirkenden M365-Login-Seiten. Was bei Mitarbeitenden konkret ankommt.
Das NCSC hat seit Ende März 2026 eine deutliche Zunahme von Phishing-Mails registriert, die sich gezielt gegen Schweizer KMU richten. Die Mails imitieren Microsoft-365-Admin-Benachrichtigungen — von ‹Lizenz-Renewal› über ‹Storage-Quota› bis zu ‹Abrechnungs-Problem›. Die Landing-Pages sind visuell kaum von echten Microsoft-Seiten zu unterscheiden.
Das neue Element: Session-Hijacking
Anders als in den Standard-Phishing-Kits der letzten Jahre versuchen die Angreifer nicht, Passwort plus MFA-Code abzufangen, sondern die Session-Cookies nach erfolgreicher Authentifizierung. Der Nutzer loggt sich normal ein, wird dann auf eine echte Microsoft-Seite weitergeleitet — und der Angreifer hat parallel ein gültiges Session-Token für den Tenant. Phishing-resistente MFA hilft; SMS- oder TOTP-MFA nicht.
Was KMU kommunizieren sollten
Die NCSC-Empfehlung ist klar: Keine M365-Admin-Benachrichtigungen per Klick bestätigen, sondern immer über das Admin-Center einloggen. Mitarbeitende auf die aktuelle Welle hinweisen, Meldungsweg an die IT klar kommunizieren, verdächtige Mails an das NCSC-Reporting-Tool (antiphishing.ch) weiterleiten.