logo lineofbiz

Die unscheinbare Einladung: Phishing mit Kalendereinladungen

12. Juni 2026
KnowBe Kalendereinladungen Infektionszyklus
Quelle. Knowbe4

Angreifer nutzen Kalendereinladungen, um E-Mail-Sicherheitsmaßnahmen zu umgehen – dieser Angriffsvektor hat in den letzten sechs Monaten um 49 Prozent zugenommen. Ein analytischer Blick hinter die Kulissen liefert eine detaillierte Analyse und beleuchtet die technischen Grundlagen und taktischen Veränderungen von Multi-Vektor-Angriffen, die auf den Kalender abzielen.

Modernes Phishing geht inzwischen weit über den einfachen Versand von E-Mails hinaus. Angreifer wissen, dass eine Besprechungsbenachrichtigung dringlicher wirkt als eine gewöhnliche E-Mail. Diese Taktik basiert auf der Ausnutzung des Vertrauens in die Plattform.

Nutzer sind darauf konditioniert, Benachrichtigungen von Zoom, Microsoft Teams oder Google Kalender als native Systemmeldungen zu betrachten. Aufgrund dieser Konditionierung unterzieht kaum jemand eine Einladung derselben genauen Prüfung wie eine verdächtige E-Mail.

Dieses fehlgeleitete Vertrauen kann durch Standard-Sicherheitslücken in Kollaborationsplattformen ausgenutzt werden. Viele Systeme sind standardmäßig so konfiguriert, dass Einladungen automatisch in den Kalender übernommen werden. Diese technische Lücke ermöglicht es einer bösartigen .ics-Datei, den Terminkalender eines Benutzers zu füllen – selbst wenn die E-Mail mit der Einladung herausgefiltert oder gar nicht erst geöffnet wird.

Die letzte Komponente ist das taktische Timing, ein Phänomen, das als „End-of-Day-Blur“ bezeichnet wird. Die ausgewerteten Daten zeigen einen deutlichen Anstieg dieser Angriffe nach dem Mittagessen. Die Angreifer timen diese Kampagnen bewusst so, dass sie dann zuschlagen, wenn die kognitive Belastung am höchsten ist.

Die Angriffe funktionieren wie folgt:

  • Unbemerkte Zustellung: Der Angriff beginnt, wenn eine bösartige .ics-Datei per E-Mail versendet oder über ein kompromittiertes internes Konto geteilt wird. Da diese Dateien häufig automatisch von Collaboration-Suiten verarbeitet werden, umgehen sie den primären Posteingang und landen direkt im Kalender des Benutzers. Dieser erste Eintrag bleibt für herkömmliche Secure-Email-Gateways (SEGs) oft unsichtbar, da diese die tief liegenden Metadaten innerhalb der Einladung nicht überprüfen.
  • Vertrauenswürdige Darstellung: Sobald der Termin im Kalender feststeht, wird das Opfer über ein natives System-Pop-up auf seinem Desktop oder Mobilgerät benachrichtigt. Diese Benachrichtigung hat das Gewicht einer vertrauenswürdigen Systemwarnung. Die Vorbereitungsphase endet, wenn das Opfer unter dem Druck eines geplanten Termins auf den bösartigen Link klickt oder die betrügerischen „Support“-Nummern wählt, die in der Terminbeschreibung eingebettet sind.
  • Direkte Ausnutzung: Die letzte Phase hängt vom jeweiligen Angriffsvektor ab. Bei Szenarien zum Sammeln von Anmeldedaten wird das Opfer über einen Adversary-in-the-Middle-(AiTM)-Proxy auf eine gefälschte Anmeldeseite geleitet. In fortgeschritteneren Kampagnen löst das Klicken auf den „Join“-Link den stillen Download eines Remote Monitoring and Management (RMM)-Agenten aus. Alternativ wird das Opfer bei Vishing-basierten Ködern mit einem betrügerischen Agenten verbunden. Dieser versucht mit aggressivem Social Engineering, das Opfer zur Preisgabe sensibler Finanz- oder Systemzugangsdaten zu zwingen.

Empfehlungen zur Abwehr

Unternehmen müssen ihre Kalendersysteme als kritischen Angriffsvektor betrachten.Die Sicherheitsforscher von KnowBe4 empfehlen die folgenden technischen und richtlinienbasierten Maßnahmen, um die digitale Belegschaft zu schützen.

  • Verbesserung der Kalendersicherheit: E-Mail-Gateways sollten so konfiguriert werden, dass sie .ics-Dateien auf bösartige URLs und ungewöhnliche Datenstrukturen überprüfen.
  • Link-Sandboxing implementieren: Sie sollten Sicherheitstools verwenden, die Links in Kalenderereignisdetails und -orten nicht nur bei der Zustellung, sondern auch beim Anklicken scannen und ausführen.
  • Strenge Absenderüberprüfung: Sie sollten SPF-, DKIM- und DMARC-Richtlinien durchsetzen und sicherstellen, dass die Kalender-App Einladungen von externen oder nicht verifizierten Absendern deutlich kennzeichnet.
  • Automatische Annahme einschränken: Des weiteren sollten sie die automatische Verarbeitung von Besprechungseinladungen von außerhalb der eigenen Organisation deaktierten, um sicherzustellen, dass bösartige Ereignisse nicht auf synchronisierten Geräten verbleiben.
  • Risikoorientierte Sensibilisierungsschulungen: Und zu guterletzt sollten sie ihre Schulungsmodule zur Mitarbeitersensibilisierung so aufsetzen, dass gezielt Beispiele für kalenderbasierte Phishing-Angriffe einbezogen werden. (rhh)

Knowbe4

Lesen Sie auch

call center Pixa LoB TeleSolutionsCallCentral

E-Mail- und Chat-Sicherheit vereint

Buero Komposing ambulant KIM lesen

So wird eine digitale Infrastruktur zur Entlastung

hacker LoB Pixa geralt

Gefälschte KI-Browser-Erweiterungen