Pirate Payroll-Angriffe: Uni-Gehälter im Visier von Hackern

Lesezeit: 6 Min.

Seit März 2025 registriert Microsoft eine Serie gezielter Angriffe auf US-Hochschulen: Die Gruppe „Storm-2657“ versucht, Gehaltszahlungen von Mitarbeitenden auf fremde Konten umzuleiten. Das Muster ist bekannt, doch die Professionalität nimmt zu – und die Lehren sind für Universitäten und Unternehmen gleichermaßen relevant.

In diesem Beitrag erfährst Du, wie die „Pirate Payroll“-Masche funktioniert, warum Hochschulen besonders verwundbar sind und welche Maßnahmen Deine IT-Sicherheit jetzt priorisieren sollte.

Was ist passiert? Gehaltsumleitungen als lukratives Ziel

Microsoft ordnet die aktuelle Kampagne der Kriminellen-Gruppe Storm-2657 zu. Ziel ist es, Konten von Hochschulmitarbeitenden zu kompromittieren, in Self-Service-Portalen die Bankverbindung zu ändern und so Gehaltsläufe umzuleiten. Solche „Payroll Diversion“-Angriffe gelten als Spielart von Business Email Compromise (BEC) und basieren häufig auf Phishing sowie Social Engineering – keine Zero-Day-Exploits, keine Ransomware, aber dennoch hohe Schäden und enormer Aufwand in HR und IT.

Typisch ist ein mehrstufiges Vorgehen: Zunächst werden Zugangsdaten über täuschend echte Anmeldeseiten abgefischt. Anschließend versuchen die Angreifer, MFA (Mehrfaktor-Authentifizierung) mit Techniken wie Prompt Bombing oder Adversary-in-the-Middle (AiTM) auszuhebeln. Gelingt die Anmeldung, werden Benutzermailboxen durchsucht, Weiterleitungsregeln gesetzt und die Bankdaten im Payroll-System geändert – oft kurz vor dem Zahltag, um die Erkennung zu erschweren.

Taktiken und Techniken: So arbeiten die Täter

Phishing & AiTM-Proxy

Storm-2657 nutzt laut Microsoft hochwertige Phishing-Kits, die Logos, Tonalität und Domains von Hochschulen imitieren. Über AiTM-Proxys leiten die Täter legitime Logins durch, fangen Session-Cookies ab und umgehen so einfache MFA-Varianten wie SMS oder App-Push. Stichworte für Deine Sicherheitsstrategie: Phishing und Phishing-resistente MFA.

Identitätsdiebstahl & Mailbox-Manipulation

Nach erfolgreicher Kompromittierung werden Postfächer systematisch nach „Payroll“, „Direct Deposit“ oder „Bankverbindung“ durchsucht. Angreifer legen Weiterleitungsregeln an, um Bestätigungs-E-Mails abzufangen. Diese TTPs (Tactics, Techniques and Procedures) sind aus BEC-Fällen branchenübergreifend bekannt.

Missbrauch von Self-Service-Portalen

Hochschulen bieten oft Self-Service-Workflows für Gehaltsdaten. Ohne Step-up-MFA, Out-of-Band-Bestätigung oder Vier-Augen-Prinzip werden solche Prozesse zum Einfallstor. Gerade vor Monatsläufen sind Payroll-Teams stark ausgelastet – ein Zeitfenster, das Angreifer gezielt ausnutzen.

Warum Hochschulen besonders gefährdet sind

Universitäten vereinen eine komplexe IT-Landschaft mit hoher Nutzerfluktuation: neue Semester, Gastdozierende, studentische Beschäftigte. Diese Dynamik erschwert eine konsequente Durchsetzung von Zero Trust-Prinzipien. Budgetdruck und Legacy-Systeme tun ihr Übriges. Zwei Faktoren stechen hervor:

• Verteilte Identitäten: Viele Rollen und Systeme, teils föderiertes SSO – ideal für Social Engineering und Credential-Stuffing.
• Dezentrale Prozesse: Fakultäts-spezifische Abläufe, die Sicherheitskontrollen in HR- und Payroll-Prozessen variieren lassen.

Wichtig: Die Muster sind auf Unternehmen jeder Größe übertragbar – insbesondere dort, wo Self-Service-Portale für Gehalts- oder Lieferantendaten bestehen. Eine starke Security Awareness kombiniert mit technischen Kontrollen ist entscheidend.

Beispiel aus der Praxis: Ein anonymisierter Vorfall

Eine US-Universität bemerkt kurz vor dem Gehaltslauf mehrere Anträge zur Änderung von Direct-Deposit-Daten. Der Helpdesk hat zuvor vermehrt Anrufe wegen „Problemen mit der MFA-App“ erhalten. Die Untersuchung ergibt: Mehrere Konten wurden über eine gefälschte SSO-Seite kompromittiert, Session-Cookies abgegriffen und Bankverbindungen auf Mules-Konten geändert. Erst eine Anomalieerkennung im IAM-System stoppte den Lauf.

Lehre daraus: Ohne phish-resistente MFA, Conditional Access und Out-of-Band-Verifizierung bei sensiblen Änderungen bleibt die Lücke offen – unabhängig von Branche oder Größe.

Konkrete Schutzmaßnahmen gegen Payroll-Betrug

Identität und Zugriff härten (Phishing, MFA, Zero Trust)

• Phishing-resistente MFA für alle Konten mit Zugriff auf HR/Payroll: FIDO2/WebAuthn (Security Keys, Plattform-Keys) bevorzugen, SMS-TAN vermeiden.
• Conditional Access: Step-up-MFA bei sensiblen Aktionen (Bankdaten ändern, IBAN hinzufügen), Geofencing, Device Compliance.
• Sitzungsschutz: Token-Bindung/Continuous Access Evaluation, kurze Cookie-Lebensdauer, anomale Session-Erkennung.

E-Mail- und Domain-Sicherheit stärken (BEC, DMARC)

• SPF, DKIM, DMARC auf „reject“ ausrollen, Monitoring und DMARC-Reports aktiv auswerten.
• Mailbox-Regel-Detektion: Warnen, wenn Weiterleitungen oder Auto-Delete-Regeln gesetzt werden.
• Brand Protection: Lookalike-Domain-Alerts und takedowns für gefälschte Portale.

HR- und Payroll-Prozesse absichern (Security Awareness, Vier-Augen-Prinzip)

• Out-of-Band-Verifizierung: Änderungen an Bankdaten nur nach Rückruf an eine hinterlegte Telefonnummer oder persönliche Bestätigung.
• Temporäre Sperrfenster vor Gehaltsläufen: Änderungen nur bis X Tage vorher, danach nur mit Management-Freigabe.
• Regelmäßige Awareness-Trainings für HR/Payroll und Phishing-Simulationen speziell zu Direct-Deposit-Phishing.

Erkennung und Reaktion (SOC, EDR, Threat Intel)

• IOC-/IOA-Überwachung aus Threat-Intel-Feeds (z. B. Microsoft, CERTs) integrieren; Aufklärung über Storm-2657-TTPs.
• EDR/XDR-Telemetrie aktiv nutzen, Browser- und SSO-Logs korrelieren, ungewöhnliche Anmeldemuster flaggen.
• Playbooks für Vorfälle: Konto zurücksetzen, Sessions invalidieren, Payroll prüfen, Rücküberweisungen anstoßen, Meldung an Banken.

Tiefe Einblicke in Awareness, BEC-Abwehr und Zero Trust findest Du auch in unserem Security-Blog.

Pro und Contra: Welche Strategie passt zu Dir?

• Phish-resistente MFA (FIDO2)
  Pro: Hohe Sicherheit, resistent gegen AiTM.
  Contra: Hardware-Keys verursachen Kosten, initialer Rollout-Aufwand.
• Striktes Out-of-Band für Payroll-Änderungen
  Pro: Sehr effektiv gegen BEC.
  Contra: Mehr Prozessaufwand, längere Durchlaufzeiten.
• Self-Service stark einschränken
  Pro: Reduziert Angriffsfläche.
  Contra: Weniger Nutzerfreundlichkeit, höhere HR-Last.
• Browser-Isolation für HR/Payroll
  Pro: Zusätzliche Schicht gegen Phishing und Session-Diebstahl.
  Contra: Performance-Overhead, Lizenzkosten.

Trend-Radar: BEC wird industrialisiert

Die Kampagne zeigt einen klaren Branchentrend: BEC benötigt weder Ransomware noch Zero-Day-Lücken, um profitabel zu sein. Phishing-Kits „as a Service“, AiTM-Proxys und Initial-Access-Marktplätze senken die Einstiegshürden. Parallel verschärfen Regulatorik und Versicherer die Anforderungen an IT-Sicherheit und Security Awareness. Organisationen, die noch auf schwache MFA oder rein reaktive Kontrollen setzen, laufen Gefahr, bei Audit, Prämien und Compliance unter Druck zu geraten.

Setze deshalb auf eine Zero-Trust-Architektur mit starker Identitätssicherung, klaren Prozesskontrollen und kontinuierlicher Schulung. So verringerst Du die Wahrscheinlichkeit erfolgreicher Gehaltsumleitungen signifikant – unabhängig davon, ob Deine Institution eine Universität, ein Krankenhaus oder ein mittelständisches Unternehmen ist.

Fazit: Jetzt Payroll-Prozesse und Identitäten abhärten

„Pirate Payroll“-Angriffe wie die von Storm-2657 leben von gut gemachten Phishing-Kampagnen und offenen Prozesslücken. Gute Nachricht: Mit phish-resistenter MFA, Conditional Access, DMARC, Out-of-Band-Verifizierung und solider Security Awareness lässt sich das Risiko drastisch reduzieren.

Starte mit einem Quick-Check: Sind Bankdaten-Änderungen mit Step-up-MFA und Rückruf abgesichert? Greift DMARC konsequent? Gibt es ein Playbook für BEC-Vorfälle? Wenn nicht, ist jetzt der richtige Zeitpunkt. Besuche unsere Ressourcen zu Awareness-Trainings, Phishing-Simulationen und lese weiter in unserem Security-Blog, um Deine Verteidigung zu stärken.