Was ist passiert? Exchange Online stoppte legitime Mails

Microsoft bestätigte, dass eine Reihe heuristischer Erkennungsregeln in Exchange Online fälschlicherweise reguläre Geschäftskommunikation als Credential-Phishing eingestuft hat. In der Folge wurden E-Mails automatisch in die Quarantäne verschoben oder blockiert. Parallel wurden vereinzelt Störungen bei der Zustellung von Microsoft Teams-Nachrichten berichtet. Microsoft hat die betroffenen Regeln nach eigenen Angaben entschärft beziehungsweise zurückgerollt.

Heuristische Erkennung ist ein wichtiges Werkzeug gegen Phishing, denn Angreifer variieren ihre Taktiken ständig. Doch wenn die Schwelle zu aggressiv eingestellt ist, steigt die False-Positive-Rate – geschäftskritische Mails gehen verloren, Workflows brechen ab und Support-Teams werden überlastet. Für Unternehmen ist das nicht nur ein Produktivitätsproblem, sondern kann auch Compliance-Risiken auslösen.

Warum heuristische Regeln fehlgehen können

Heuristiken in E-Mail-Sicherheitslösungen – etwa in Exchange Online Protection (EOP) oder Defender for Office 365 – kombinieren Mustererkennung, Kontextsignale und Reputation. Das Ziel: neue Phishing-Varianten erkennen, bevor Signaturen oder bekannte IOC-Listen greifen. Dabei spielen unter anderem folgende Faktoren eine Rolle:

• Inhaltliche Signale: Sprache, Links, Aufforderungen zur Eingabe von Passwörtern.
• Technische Merkmale: SPF/DKIM/DMARC-Konformität, Absender-Infrastruktur, URL-Rewrites.
• Verhaltensbasierte Hinweise: ungewohnte Kommunikationsmuster, neue Domänen, zeitliche Häufungen.

Problematisch wird es, wenn mehrere unscharfe Signale zu streng gewichtet werden. Ein legitimer Newsletter mit Login-Hinweis, eine interne Benachrichtigung mit Markenlinks oder eine automatisierte Rechnungsmail kann dann als Phishing markiert werden. Gerade bei kurzzeitig ausgerollten Regel-Updates steigt das Risiko, dass ein Tuning fehlt – mit spürbaren Folgen für den Mailfluss.

Auswirkungen auf Unternehmen: Vom Helpdesk bis zur Compliance

Falsch eingestufte E-Mails sind mehr als ein Ärgernis. Sie haben direkte Auswirkungen auf IT-Sicherheit, Produktivität und rechtliche Pflichten:

• Produktivitätsverlust: Verzögerte Angebote, blockierte Freigaben oder fehlende Rechnungen stören Kernprozesse.
• Helpdesk-Last: Admins müssen Quarantäne-Ordner prüfen, Sender erlauben und Nachrichten freigeben – oft manuell.
• Compliance-Risiken: Fristen können verpasst werden, Aufbewahrungspflichten sind gefährdet, SLA-Verstöße drohen.
• Risikoverschiebung: Frust führt dazu, dass Mitarbeitende unsichere Umgehungslösungen (private Accounts, Schatten-IT) nutzen.

Beispiel aus der Praxis

Ein mittelständisches Fertigungsunternehmen meldete, dass mehrere Lieferantenrechnungen plötzlich in der Quarantäne landeten. Die Finanzabteilung bemerkte es erst, als Mahnungen eintrafen. Nach einer Message Trace-Analyse stellte das IT-Team fest, dass eine heuristische Regel auf generische Login-Formulierungen in E-Mail-Templates reagierte. Nach dem Rollback und gezielten Allow-Overrides (z. B. per Transportregel und Allowed Sender) stabilisierte sich der Posteingang – die Episode zeigte aber Lücken im internen Incident-Playbook auf.

Was du jetzt tun solltest: Sofortmaßnahmen für M365

Folgende Schritte helfen, den Zustand zu prüfen und die E-Mail-Sicherheit zu stabilisieren, ohne Schutzbarrieren zu senken:

• Service-Health prüfen: Kontrolliere das Microsoft 365 Service Health Dashboard und Message Center auf aktuelle Advisories.
• Quarantäne-Review: Erhöhe temporär die Frequenz deiner Quarantäne-Prüfung – besonders für High Confidence Phish und Bulk.
• Message Trace & Reports: Identifiziere betroffene Absender/Domänen. Nutze Explorer/Advanced Hunting (Defender for Office 365) für Muster.
• Gezielte Ausnahmen statt Pauschal-Whitelist: Erlaube geprüfte Absender über Trusted Senders oder Authentication-Bypass, aber eng zugeschnitten und zeitlich begrenzt.
• Benutzerkommunikation: Informiere Fachbereiche über die Situation, damit kritische Mails gemeldet werden statt ignoriert.
• Teams überwachen: Prüfe Zustellraten und Richtlinien, falls Kollaborationsnachrichten betroffen sind.

Tipp: Wenn du interne Awareness stärken willst, verweise auf unsere Inhalte zu Security Awareness und führe eine Phishing-Simulation durch, um Meldewege zu testen.

Mittel- bis langfristige Strategien für robuste E-Mail-Sicherheit

Nach der Akutphase lohnt sich ein strukturiertes Hardening rund um Phishing, Ransomware und Social Engineering. Diese Maßnahmen haben sich bewährt:

• DMARC mit Quarantäne/Reject: Baue eine saubere Absenderreputation auf und minimiere Spoofing-Risiken.
• Defender-Policies feinjustieren: Passe Anti-Phish-, Anti-Spam- und Safe Links/Safe Attachments-Profile differenziert pro Benutzergruppe an.
• Adaptive Auswertung: Nutze kontextbasierte Regeln (z. B. VIP-Schutz, externe Tagging, Anomalie-Erkennung) statt globaler One-Size-Fits-All-Policies.
• Quarantäne-Workflows professionalisieren: Definiere Freigaberechte, Eskalationswege und Protokollierung – idealerweise mit SLA.
• Verifizierte Kommunikationskanäle: Etabliere Fallbacks (signierte Portale, M365-Gruppenpostfächer) für geschäftskritische Dokumente.
• Playbooks & Tabletop-Übungen: Teste Routinen für Filterfehler, Zero-Day-Ausfälle und Massen-False-Positives.
• User-Ebene stärken: Kontinuierliche Security-Awareness-Trainings, simulierte Angriffe und klare Melde-Buttons in Outlook.
• Transparenz schaffen: Binde Fachbereiche über Governance & Kommunikation ein, um legitime Absender frühzeitig zu erfassen.

Gerade im Spannungsfeld zwischen Schutz und Verfügbarkeit ist Feintuning entscheidend. Ein zu lascher Filter erhöht das Risiko erfolgreicher Angriffe; ein zu strenger Filter bremst das Geschäft. Die richtige Balance ist ein kontinuierlicher Prozess.

Pro & Contra: Aggressive Anti-Phishing-Heuristiken

• Pro: Bessere Erkennung neuer Phishing-Wellen, Schutz vor Credential-Diebstahl, schnellere Reaktion auf Taktikwechsel.
• Contra: Höhere False-Positive-Rate, Administrationsaufwand, Friktion in Geschäftsprozessen, potenzielle Compliance-Folgen.

Best Practice ist ein gestuftes Modell: aggressivere Regeln für Hochrisiko-Gruppen und externe Absender, konservativere Profile für kritische Geschäftsprozesse – plus klare Override-Mechanismen.

Fazit: Resilienz statt Panik – jetzt Weichen richtig stellen

Fehlalarme in Exchange Online zeigen: Selbst führende Plattformen sind nicht vor Tuning-Fehlern gefeit. Wichtig ist, dass du Transparenz über dein E-Mail-Ökosystem schaffst, Quarantäne-Prozesse professionalisierst und Security Awareness kontinuierlich stärkst. So hältst du Phishing, Ransomware und Social Engineering in Schach – ohne dein Geschäft auszubremsen.

Call-to-Action: Prüfe jetzt deine M365-Policies, etabliere ein abgestuftes Freigabekonzept und plane im nächsten Quartal eine Phishing-Simulation. Lies außerdem unsere aktuellen Zero-Day-Trends und den Leitfaden zur M365-Härtung.