Security

E-Mail-Bedrohungslage Q1 2026: Microsoft-Einblicke

3 Min. Lesezeit

Zusammenfassung

Microsoft meldet 8,3 Milliarden erkannte Phishing-E-Mails im Q1 2026. QR-Code-Phishing hat sich mehr als verdoppelt, und durch CAPTCHA geschützte Kampagnen entwickeln sich schnell weiter. Die Erkenntnisse sind für Sicherheitsteams relevant, weil Angreifer verstärkt auf linkbasierten Diebstahl von Anmeldedaten setzen, während Maßnahmen gegen Tycoon2FA zeigen, dass koordinierte Aktionen die Auswirkungen von Phishing verringern können.

Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung

Microsofts Analyse der E-Mail-Bedrohungen für Q1 2026 zeigt, wie schnell sich Phishing-Taktiken verändern. Für IT- und Sicherheitsadministratoren bietet der Bericht einen nützlichen Einblick, worauf Angreifer ihre Bemühungen konzentrieren und welche Schutzmaßnahmen in Microsoft 365- und Defender-Umgebungen priorisiert werden sollten.

Was ist neu in Q1 2026

Microsoft Threat Intelligence erkannte zwischen Januar und März 2026 rund 8,3 Milliarden E-Mail-basierte Phishing-Bedrohungen. Obwohl das monatliche Gesamtvolumen leicht zurückging, wurden mehrere Angriffstechniken raffinierter und effektiver.

  • QR-Code-Phishing nahm stark zu – von 7,6 Millionen Angriffen im Januar auf 18,7 Millionen im März, ein Anstieg von 146 %.
  • Linkbasiertes Phishing dominierte und machte im Quartal 78 % der E-Mail-Bedrohungen aus.
  • Schädliche Payloads machten im Januar 19 % der Angriffe aus, bevor der Anteil im Februar und März auf 13 % sank. Das deutet darauf hin, dass Angreifer zunehmend gehostete Phishing-Seiten statt dateibasierter Zustellung bevorzugten.
  • Business Email Compromise (BEC) blieb ein großes Problem; im Q1 wurden 10,7 Millionen Angriffe beobachtet.
  • Durch CAPTCHA geschütztes Phishing entwickelte sich weiter, da Angreifer gefälschte Verifizierungsschritte einsetzten, um automatisierte Analysen zu verlangsamen und das Vertrauen der Nutzer zu erhöhen.

Auswirkungen der Tycoon2FA-Störung

Microsoft hob außerdem die Wirkung seiner Maßnahme vom März 2026 gegen die Tycoon2FA phishing-as-a-service platform hervor. Nach koordinierten Maßnahmen mit Europol und Partnern sank das mit Tycoon2FA verknüpfte E-Mail-Volumen im restlichen März um 15 %, und der Zugriff auf aktive Phishing-Seiten wurde deutlich eingeschränkt.

Obwohl sich die Plattform durch den Wechsel von Hosting-Anbietern und Mustern bei der Domainregistrierung anpasste, sagt Microsoft, dass die Erholung eher teilweise als eine vollständige Rückkehr zu früheren Fähigkeiten erscheint.

Warum das für Administratoren wichtig ist

Diese Trends unterstreichen, dass sich Phishing weiterhin auf den Diebstahl von Anmeldedaten konzentriert, auch wenn sich die Zustellungsmethoden ändern. QR-Code-Phishing ist besonders besorgniserregend, weil es Nutzer auf nicht verwaltete mobile Geräte lenken kann und so einige klassische, auf Desktop-Systeme ausgerichtete Schutzmaßnahmen umgeht.

Für Microsoft 365- und Defender-Administratoren ist der Bericht auch eine Erinnerung daran, dass Störungsmaßnahmen wichtig sind, die Bedrohung jedoch nicht beseitigen. Angreifer sind anpassungsfähig und verlagern ihre Infrastruktur nach Abschaltungen oft schnell.

Empfohlene nächste Schritte

  • Überprüfen Sie Schutzmaßnahmen gegen QR-Code-Phishing in E-Mails, Anhängen und eingebetteten Bildern.
  • Stärken Sie die Abwehr gegen AiTM phishing nach Möglichkeit mit phishing-resistant MFA.
  • Überwachen Sie BEC-Muster, insbesondere einfache Identitätsnachahmung und allgemeine Outreach-Nachrichten.
  • Nutzen Sie Erkennungen und Hunting-Tools in Microsoft Defender, um linkbasiertes Phishing und verdächtige Payload-Aktivitäten zu untersuchen.
  • Sensibilisieren Sie Nutzer dafür, bei QR-Codes, CAPTCHA-Bildschirmen und unerwarteten Authentifizierungsaufforderungen vorsichtig zu sein.

Fazit

Microsofts Daten für Q1 2026 zeigen, dass Angreifer weiterhin auf skalierbares, linkgesteuertes Credential-Phishing setzen und dabei mit QR-Codes, CAPTCHA-Umgehung und neueren Methoden wie Device Code Phishing experimentieren. Sicherheitsteams sollten diese Erkenntnisse als Signal verstehen, die Erkennung zu verbessern, den Identitätsschutz zu stärken und Programme zur Nutzersensibilisierung zu aktualisieren.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Threat Intelligence and Microsoft Defender Security Research Team lesen
SecurityphishingMicrosoft DefenderQR code phishingBEC

Verwandte Beiträge

Security

{{Microsoft Security Updates für AI und Defender}}

Microsoft hat neue Sicherheitsfunktionen für Agent 365, Defender for Cloud, GitHub Advanced Security und Microsoft Purview angekündigt. Die Updates konzentrieren sich auf bessere Transparenz bei AI-Agent-Aktivitäten, einen stärkeren Schutz vom Code bis zur Runtime sowie schnellere Untersuchungen zur Datensicherheit für Security- und IT-Teams.

Security

CISO-Risikobewertungen: 8 Microsoft Best Practices

Microsoft hat einen praxisnahen Rahmen für CISOs und Sicherheitsverantwortliche veröffentlicht, um Risikobewertungen angesichts zunehmender KI-gestützter Cyberbedrohungen effektiver durchzuführen. Die Leitlinien konzentrieren sich auf acht Prüfbereiche – von Assets und Applications bis hin zu Authentication, Authorization und Netzwerkisolierung –, damit Unternehmen von reaktiver Reaktion zu proaktiver Risikoreduzierung wechseln können.

Security

Microsoft Sentinel UEBA: AWS-Erkennung erweitert

Microsoft Sentinel UEBA bietet jetzt umfassendere Verhaltensanalysen für AWS CloudTrail-Daten und liefert Sicherheitsteams integrierten Kontext wie erstmalige Geografie, ungewöhnlichen ISP, atypische Aktionen und abnormes Operationsvolumen. Das Update hilft Abwehrteams, verdächtige AWS-Aktivitäten schneller zu erkennen, und reduziert den Bedarf an komplexen KQL-Baselines und manueller Anreicherung.

Security

Microsoft KI-Abwehr gegen neue KI-Bedrohungen

Microsoft sagt, dass KI die Entdeckung und Ausnutzung von Schwachstellen beschleunigt und dadurch die Reaktionszeit für Verteidiger verkürzt. Als Reaktion baut das Unternehmen die KI-gestützte Schwachstellenerkennung, das Exposure Management und Defender-basierte Schutzfunktionen aus und stellt zudem eine neue Multi-Model-Scanning-Lösung für Kunden in einer Vorschau ab Juni 2026 in Aussicht.

Security

Erkennung eingeschleuster IT-Mitarbeiter mit Defender

Microsoft hat Strategien zur Erkennung beschrieben, mit denen sich Bedrohungsakteure mit Verbindungen zu Nordkorea identifizieren lassen, die sich als Remote-IT-Mitarbeiter ausgeben, um in Organisationen einzudringen. Die Leitlinien konzentrieren sich auf die Korrelation von Signalen aus HR-SaaS, Identitäten, E-Mail, Conferencing und Microsoft 365, damit Sicherheits- und HR-Teams verdächtige Kandidaten vor und nach dem Onboarding erkennen können.

Security

Opportunistische Cyberangriffe: Microsofts Design-Leitfaden

Microsoft fordert Unternehmen dazu auf, opportunistische Cyberangriffe zu erschweren, indem Anmeldeinformationen entfernt, öffentlich erreichbare Angriffsflächen verkleinert und sichere Plattformmuster standardisiert werden. Die Empfehlungen sind besonders relevant für Teams, die Azure-, Dynamics 365- und Power Platform-Workloads im großen Maßstab betreiben, wo inkonsistente Architekturen und offengelegte Secrets Angreifern seitliche Bewegungen erleichtern können.