IT made in Düsseldorf

Ghost-Sender: Kritische Sicherheitslücke in Exchange Online

Ghost-Sender bedroht E-Mail-Sicherheit bei Exchange Online

Eine besorgniserregende Sicherheitslücke in Microsoft Exchange Online ermöglicht es Cyberkriminellen derzeit, gefälschte E-Mails an allen Schutzmaßnahmen vorbei direkt in Ihre Postfächer zu schleusen. Die als „Ghost-Sender“ bezeichnete Schwachstelle betrifft zahlreiche Unternehmen, die Exchange Online mit vorgelagertem Mailfilter nutzen – und Microsoft sieht sich nicht in der Verantwortung zu handeln.

Was ist Ghost-Sender und wie funktioniert die Sicherheitslücke?

Bei Ghost-Sender handelt es sich um einen Konfigurationsfehler im Zusammenspiel zwischen Exchange Online und externen Mailfilter-Diensten. Das Problem entsteht in folgender Konstellation:

  • Ihr Unternehmen nutzt einen externen Dienst zur Mailfilterung (etwa für Spam-Schutz oder Archivierung)
  • Dieser Dienst ist als MX-Eintrag im DNS hinterlegt
  • Eingehende E-Mails werden zunächst an diesen externen Dienst geleitet
  • Der externe Dienst leitet die E-Mails nach der Bearbeitung an Exchange Online weiter

An genau dieser Stelle liegt das Problem: Exchange Online ignoriert bei der Weiterleitung vom externen Dienst etablierte Sicherheitsmechanismen wie SPF (Sender Policy Framework) und DMARC (Domain-based Message Authentication, Reporting & Conformance). Das Resultat: Selbst offensichtlich gefälschte E-Mails werden ohne weitere Prüfung an die Empfänger zugestellt.

Reale Bedrohung für Unternehmen

Die Sicherheitsforscher von Infoguard haben diese Schwachstelle am 21. April 2025 an Microsoft gemeldet. Besonders alarmierend: Bereits einen Tag später bestätigte der Microsoft-Kundendienst eine großangelegte Versandaktion gefälschter E-Mails durch Cyberkriminelle. Die Lücke wird also aktiv ausgenutzt.

Was die Sache noch bedrohlicher macht: Gefälschte E-Mails erscheinen in Outlook mit dem korrekten Profilbild des vermeintlichen Absenders. Für Mitarbeiter ist es dadurch nahezu unmöglich, die Fälschung auf den ersten Blick zu erkennen.

Business Email Compromise: Die Gefahr für Ihr Unternehmen

Ghost-Sender eröffnet Cyberkriminellen Tür und Tor für sogenannte „Business Email Compromise“ (BEC)-Angriffe. Bei dieser Betrugsmasche geben sich Angreifer als Geschäftsführung, Lieferanten oder Geschäftspartner aus, um:

  • Überweisungen auf fremde Konten zu veranlassen
  • Zugangsdaten und sensible Informationen zu erschleichen
  • Malware in Ihr Netzwerk einzuschleusen
  • Vertrauliche Geschäftsinformationen abzugreifen

BEC-Angriffe gehören zu den kostspieligsten Cyber-Bedrohungen für Unternehmen. Laut FBI entstehen durch diese Masche jährlich Schäden in Milliardenhöhe.

Microsofts Reaktion: Kunden müssen sich selbst schützen

Besonders frustrierend an der Ghost-Sender-Problematik ist Microsofts Umgang damit. Das Microsoft Security Response Center (MSRC) wies die Meldung der Sicherheitsforscher mit der Begründung ab, es handele sich weder um eine sicherheitsrelevante Schwachstelle noch um einen Fall für das MSRC.

Diese Haltung ist aus unserer Sicht nicht nachvollziehbar, zumal Microsoft selbst bestätigte, dass die Lücke bereits aktiv ausgenutzt wird. Dennoch: Bis heute hat Microsoft keine Lösung bereitgestellt. Unternehmen müssen die Sicherheitslücke eigenständig schließen.

So schützen Sie Ihr Unternehmen vor Ghost-Sender

Die gute Nachricht: Es gibt wirksame Gegenmaßnahmen, die Ihre IT-Abteilung umgehend implementieren kann. Infoguard empfiehlt zwei Hauptansätze:

Methode 1: Partner Organization Connector konfigurieren

Konfigurieren Sie einen sogenannten „Partner Organization Connector“ in Exchange Online. Diese Einstellung definiert explizit, welche externen Mailserver als vertrauenswürdig gelten und E-Mails weiterleiten dürfen.

Methode 2: Mailregeln mit Header-Prüfung

Implementieren Sie Mailregeln, die alle E-Mails automatisch in Quarantäne verschieben, bei denen folgende Bedingungen zutreffen:

  • Der Header „X-MS-Exchange-Organization-AuthAs“ ist nicht auf „Internal“ gesetzt
  • Die IP-Adresse des einliefernden Mailservers ist unbekannt

Diese Regel sorgt dafür, dass nur E-Mails von bekannten, vertrauenswürdigen Quellen direkt zugestellt werden. Alle anderen landen zunächst in der Quarantäne und können geprüft werden.

Sind Sie von Ghost-Sender betroffen?

Prüfen Sie dringend, ob Ihre Exchange-Online-Konfiguration anfällig ist. Betroffen sind Sie, wenn folgende Punkte auf Ihre IT-Infrastruktur zutreffen:

  • Sie nutzen Microsoft Exchange Online für Ihre E-Mail-Kommunikation
  • Sie haben einen vorgelagerten E-Mail-Filter-Dienst im Einsatz
  • Dieser externe Dienst ist als MX-Eintrag in Ihrem DNS hinterlegt
  • E-Mails werden vom externen Dienst an Exchange Online weitergeleitet

Die Sicherheitsforscher haben ein kostenloses Testprogramm bereitgestellt, mit dem Sie die Anfälligkeit Ihrer Konfiguration überprüfen können. Heise Security konnte die Schwachstelle damit reproduzieren.

Handeln Sie jetzt – netyard unterstützt Sie

Die Ghost-Sender-Lücke zeigt einmal mehr, wie wichtig eine professionelle IT-Sicherheitsstrategie ist. Cyberkriminelle nutzen solche Schwachstellen binnen kürzester Zeit aus. Selbst wenn Hersteller wie Microsoft nicht reagieren, müssen Sie als Unternehmen handlungsfähig bleiben.

Unsere Empfehlungen für Ihre E-Mail-Sicherheit:

Kurzfristig: Prüfen Sie umgehend Ihre Exchange-Online-Konfiguration und implementieren Sie die empfohlenen Schutzmaßnahmen. Sensibilisieren Sie Ihre Mitarbeiter für das erhöhte Risiko gefälschter E-Mails.

Mittelfristig: Überprüfen Sie Ihre gesamte E-Mail-Sicherheitsarchitektur. Sind alle Schutzebenen korrekt konfiguriert? Funktionieren SPF, DKIM und DMARC in Ihrer Domain-Konfiguration?

Langfristig: Etablieren Sie ein kontinuierliches Security-Monitoring und regelmäßige Sicherheitsaudits. Nur so erkennen Sie neue Bedrohungen rechtzeitig.

netyard bietet Ihnen 361°-Sicherheit für Ihre IT-Infrastruktur

Als IT-Systemhaus aus Düsseldorf begleiten wir Sie mit unserer 361°-Philosophie von der ersten Beratung über die sichere Implementierung bis hin zum laufenden Monitoring Ihrer IT-Systeme. Wir übernehmen die technische Komplexität, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.

So unterstützen wir Sie konkret:

  • Sicherheitsaudit: Wir prüfen Ihre Exchange-Online-Konfiguration auf die Ghost-Sender-Anfälligkeit und weitere Sicherheitslücken
  • Sofortmaßnahmen: Wir implementieren die notwendigen Schutzmaßnahmen professionell und zügig
  • Umfassende E-Mail-Security: Wir konzipieren eine mehrschichtige Sicherheitsarchitektur für Ihre E-Mail-Kommunikation
  • Mitarbeiterschulung: Wir sensibilisieren Ihr Team für Phishing-Angriffe und Social Engineering
  • Kontinuierliches Monitoring: Wir behalten Ihre IT-Sicherheit im Blick und reagieren auf neue Bedrohungen

Fazit: Eigenverantwortung in der IT-Sicherheit

Der Fall Ghost-Sender macht deutlich: Auch bei etablierten Cloud-Diensten wie Exchange Online können Sie sich nicht blindlings auf den Hersteller verlassen. IT-Sicherheit erfordert proaktives Handeln, fachliche Expertise und kontinuierliche Wachsamkeit.

Die gute Nachricht: Mit den richtigen Maßnahmen und einem kompetenten IT-Partner an Ihrer Seite können Sie Ihre Systeme wirksam schützen – auch wenn Hersteller sich aus der Verantwortung ziehen.

Zögern Sie nicht, bis es zu spät ist. Cyberkriminelle nutzen Schwachstellen wie Ghost-Sender aktiv aus, und jeden Tag ohne Schutzmaßnahmen erhöht Ihr Risiko.

Weitere Infos und die Quelle finden Sie hier: https://labs.infoguard.ch/posts/ghost-sender/

Jetzt unkompliziert Kontakt aufnehmen – wir rufen Sie zurück.