Kalendereinladungen geniessen Vertrauen. Genau das macht sie zur idealen Zielscheibe von Phishing.
Warum Kalender-Invites plötzlich ein Security-Thema sind
Kalender gehören zu den meistgenutzten Business-Tools. Ein Termin kommt rein, landet im Kalender, blockiert Zeit, erinnert automatisch und wirkt dadurch «legitim». Genau dieses implizite Vertrauen nutzen Angreifer aus.
Die Folge: Phishing verlagert sich dorthin, wo Sicherheitskontrollen oft weniger strikt greifen als bei E-Mails. Folgend erfahren Sie, wie solche Angriffe funktionieren und welche Schutzmassnahmen ergriffen werden können.
So nutzen Angreifer bösartige Kalendereinladungen
Kalender-Einladungen sind technisch nicht einfach «nur Text». Sie enthalten strukturierte Event-Daten (z. B. iCalendar/ICS), Links, Konferenz-Details, Orte, Anhänge und sie werden von Clients und Mobile Apps teilweise automatisch verarbeitet.
1) Umgehen von E-Mail-Filtern
Viele E-Mail-Security-Systeme priorisieren die Analyse des E-Mail-Body und klassischer URL-/Attachment-Indikatoren. Kalendereinladungen oder ICS-Inhalte werden dagegen je nach Setup weniger tief geprüft. Typische Angreifer-Mechanismen:
- Link-Platzierung im Event (Beschreibung, Standort, Meeting-URL)
- Täuschend echte Konferenzdaten (z. B. «Teams Meeting» / «Google Meet»), die auf Fake-Login-Seiten führen
- Anhänge oder Follow-up-Nachrichten, die im Kontext «Meeting» weniger verdächtig wirken
2) Persistenz: Der Angriff bleibt im Kalender, selbst wenn die Mail weg ist
Ein Kernproblem: Wird die ursprüngliche Nachricht gelöscht, kann der Kalendereintrag dennoch bestehen bleiben. Damit bleibt der Angriffsvektor bis zum Event-Zeitpunkt oder darüber hinaus präsent. Warum ist das gefährlich?
- Mitarbeitende klicken erst später auf Links («Jetzt Meeting beitreten»).
- Der Eintrag wirkt «alt» und damit vertrauenswürdiger.
- Die Security-Response startet oft zu spät, weil der Trigger nicht mehr im Postfach sichtbar ist.
Welche Sicherheitslücken dadurch entstehen
Unbemerkte bösartige Events
Kalender sind voll. Ein einzelner Termin fällt kaum auf, besonders wenn er sinnvoll klingt («Quartalsreview», «Payroll Update», «Sicherheitstraining»). Das erhöht die Chance, dass der Event:
- akzeptiert wird
- im Kalender bleibt,
- und später unkritisch angeklickt wird.
Grössere Angriffsfläche durch Integrationen (inkl. KI)
Kalender hängen heute an einem ganzen Ökosystem:
- E-Mail und Chat- Konferenzsysteme
- Mobile Benachrichtigungen
- CRM-/Projekttools
- teils auch KI-gestützte Assistenten, die Inhalte zusammenfassen oder verarbeiten
Je mehr Systeme automatisch mitlesen oder verarbeiten, desto mehr Möglichkeiten entstehen für Datenabfluss, Session-Hijacking oder Credential Theft. TechRadar beschreibt z. B. eine Gemini-bezogene Schwachstelle im Zusammenspiel mit Kalender-Invites und Datenabfluss-Szenarien.
Praktische Schritte für Administratoren
1) Kalender-Einstellungen so konfigurieren, dass Einladungen nicht automatisch verarbeitet werden
Ein einfacher und schneller Schritt zum Hardening Ihrer Umgebung ist das Deaktivieren der automatischen Verarbeitung von Kalendereinladungen. Das führt dazu, dass Einladungen im Postfach bleiben, bis ein User sie manuell annimmt. User lesen so die Einladung aktiv durch. Zieht die IT später die E-Mail zentral zurück, muss sie keine Kalender bereinigen, wenn der Termin noch nicht angenommen wurde.
Microsoft 365 bietet aktuell keine globale Einstellung für dieses Verhalten. Sie muss per Mailbox gesetzt werden und kann vom Mailboxbesitzer überschrieben werden. Folgend das Powershellkommando:
Get-Mailbox -ResultSize Unlimited | ForEach-Object {
Set-CalendarProcessing $_.Identity -AutomateProcessing None
}
2) MFA konsequent durchsetzen
MFA ist kein «Nice-to-have». Wenn ein Kalender-Link auf eine Login-Seite führt, ist MFA oft der letzte Schutz. Empfehlung:
- MFA für alle Konten
- besonders streng für Admin- und VIP-Accounts
- Phishing-resistente Methoden bevorzugen (wo möglich)
3) Kalender-Berechtigungen und Einladungsrechte regelmässig auditieren
Prüfen Sie regelmässig, ob die Einstellungen wie gewünscht gesetzt sind und halten Sie fest, welche User / Gruppen als Ausnahme gelten. Weiter können mit Monitoring und Alarmen, bspw. bei ungewöhnlichen Wellen von Einladungen, frühzeitig Massnahmen ergriffen werden. Stellen Sie sicher, dass den Usern ein Reporting-Workflow für Auffälligkeiten bekannt ist.
Praktische Schritte für Mitarbeitende (klar, wiederholbar, trainierbar)
Technik allein reicht nicht. Kalender-Phishing trifft den Faktor Mensch sehr direkt. Schulen Sie entsprechend Ihre Mitarbeitenden.
1) Kalendereinladungen kritisch prüfen
Achten Sie besonders auf:
- unerwartete Einladungen ohne Kontext
- «dringende» oder emotional formulierte Event-Titel
- Links in Beschreibung/Ort («Join now», «View document», «Security update»)
- Anhänge, die nicht angekündigt wurden
2) Absender verifizieren
Wenn etwas komisch wirkt: nicht über die Antwortfunktion der Einladung rückfragen.
Besser:
Besser:
- via bekanntem Kanal (Telefon, Teams/Slack, interne Mailadresse aus dem Adressbuch)
- oder über die Assistenz/Projektleitung verifizieren
3) Verdächtige Termine melden und entfernen
Gute Prozesse senken das Risiko massiv:
- Termin an IT/Security melden (Screenshot + Absender + enthaltene Links)
- Event aus dem Kalender löschen (und wenn möglich «Spam melden»)
- Kolleginnen und Kollegen warnen, falls es eine Kampagne sein könnte
Awareness, die wirklich wirkt: Kalender-Phishing in Trainings aufnehmen
Viele Awareness-Programme fokussieren auf klassische E-Mails. Ergänzen Sie deshalb realistische Kalender-Szenarien:
- Einladungen mit Fake-Meeting-Links
- «Rechnung/Payroll»-Events mit Attachment
- Follow-up-Updates («Meeting agenda updated») mit Linktausch
Kurzfazit
Kalender-Invite-Phishing ist so gefährlich, weil es noch weitgehend unbekannt ist und Gegenmassnahmen nur langsam von den grossen Herstellern implementiert werden. Es umgeht teils E-Mail-Filter, bleibt persistent im Kalender und nutzt die hohe Vertraulichkeit von Meetings aus. Mit klaren Admin-Defaults (keine automatische Verarbeitung), MFA und einer gezielten User-Sensibilisierung reduzieren Sie das Risiko deutlich.
Physische Awareness?
Besuchen Sie unseren Awareness-Shop und werfen Sie einen Blick auf unsere erste Kollektion. Ob für Ihre Kampagne, Ihre Champions oder einfach zur Sichtbarmachung im Alltag. Unser Merch unterstützt Sie dabei, Awareness lebendig zu machen.
