• Legitimer Missbrauch von Infrastruktur: Die Phishing-Technik, die die E-Mail-Authentifizierung umgeht

Legitimer Missbrauch von Infrastruktur: Die Phishing-Technik, die die E-Mail-Authentifizierung umgeht

von

Zuletzt aktualisiert:
8 Lesezeit: 8 Minuten
Legitimer Missbrauch von Infrastruktur: Die Phishing-Technik, die die E-Mail-Authentifizierung umgeht

Wichtigste Erkenntnisse

  • Der Missbrauch legitimer Infrastruktur ist eine Phishing-Technik, bei der Angreifer bösartige E-Mails über vertrauenswürdige Cloud-Plattformen zum Versenden von E-Mails leiten, um von deren einwandfreier Absenderreputation zu profitieren.
  • Da die verwendete Infrastruktur technisch zulässig ist, bestehen diese ausgeklügelten Phishing-Kampagnen routinemäßig die SPF-, DKIM- und DMARC-Prüfungen ohne Probleme.
  • Herkömmliche sichere E-Mail-Gateways übersehen diese Bedrohungen, da sie die IP-Adressen großer Cloud-Anbieter nicht blockieren können, ohne dass es dabei zu katastrophal hohen Fehlalarmraten beim legitimen Datenverkehr kommt.
  • Angreifer treiben diese Art von Angriffen voran, indem sie gestohlene API-Schlüssel für Cloud-Plattformen in Cyberkriminalitätsforen bereits ab 15 US-Dollar erwerben.
  • Zwar verhindert die Durchsetzung von DMARC diese Angriffe nicht gänzlich, doch dient die kontinuierliche DMARC-Überwachung als Frühwarnsystem, indem sie unerwartete Anomalien beim ausgehenden E-Mail-Aufkommen aufzeigt.

Stellen Sie sich Folgendes vor: Eine Phishing-E-Mail landet direkt im Posteingang eines Unternehmens. Das Sicherheitsgateway scannt sie und gibt ihr ein glänzendes Urteil. Sender Policy Framework (SPF): bestanden. DomainKeys Identified Mail (DKIM): bestanden. Domain-based Message Authentication, Reporting, and Conformance (DMARC): bestanden. Die E-Mail ist äußerst bösartig, hat jedoch jede einzelne Verteidigungsschicht mühelos umgangen. Warum? Weil sie über eine seriöse Cloud-Infrastruktur versendet wurde, der Ihre E-Mail-Sicherheitstools bereits blind vertrauen.

Diese Strategie wird als Infrastrukturmissbrauch oder – im Zusammenhang mit E-Mail-Phishing – als „Living off the Land“ bezeichnet. Anstatt dubiose, kurzlebige Domains einzurichten, leiten Angreifer ihre Kampagnen über etablierte, seriöse Cloud-Plattformen für den E-Mail-Versand weiter.

Dies ist ein massiver Trend. Der Cloudflare-Bedrohungsbericht 2026 hebt Cloud-E-Mail-Plattformen als häufig ausgenutzte Angriffsvektoren für raffinierte Phishing-Angriffe und die Verbreitung von Malware hervor und stellt fest, dass staatlich gestützte Akteure diese Technik aktiv in ihre Strategien integrieren. Sicherheitsforscher bei Kaspersky verzeichneten zudem ab Januar 2026 einen anhaltenden, starken Anstieg von Phishing-Angriffen, die über große Cloud-Infrastrukturen versendet wurden.

Was versteht man unter legitimem Missbrauch von Infrastruktur?

Der Missbrauch legitimer Infrastrukturen bezeichnet die Praxis, Phishing-Kampagnen über etablierte, seriöse Cloud-Plattformen für den E-Mail-Versand zu leiten, anstatt auf eigens dafür eingerichtete Angreiferinfrastrukturen zurückzugreifen. In der Welt der Endpunktsicherheit bedeutet „Living off the Land“, dass Hacker native, vertrauenswürdige Systemtools wie PowerShell nutzen, um Angriffe auszuführen, anstatt offensichtliche Malware zu installieren. Dies erschwert die Erkennung erheblich, da das Tool selbst eigentlich dort hingehört. Der Missbrauch legitimer Infrastrukturen wendet genau dieselbe Logik auf den E-Mail-Versand an.

Anstatt eine Typosquatting-Domain zu kaufen oder einen eigenen böswilligen E-Mail-Server einzurichten, kapern Betrüger etablierte Cloud-Plattformen für Transaktions-E-Mails oder mieten dort Speicherplatz. Plattformen wie Amazon SES, SendGrid und Mailjet sind häufig das Ziel von Angriffen – nicht, weil ihre interne Sicherheit mangelhaft ist, sondern weil ihre makellose Absenderreputation für Angreifer von unschätzbarem Wert ist.

Angreifer verschaffen sich in der Regel auf zwei Arten Zugang:

  • Diebstahl von Anmeldedaten und API-Schlüsseln: Angreifer stehlen oder kaufen legitime API-Schlüssel und Anmeldedaten für bestehende Cloud-E-Mail-Konten. Laut Abnormal AI werden diese regelmäßig in Cyberkriminalitätsforen bereits ab 15 US-Dollar gehandelt.
  • Kompromittierte Absenderdomänen: Angreifer kompromittieren eine bestehende Unternehmensdomäne, für die bereits ein Cloud-E-Mail-Dienstanbieter (ESP) als autorisierter Absender konfiguriert ist und die direkt von der über Jahre hinweg aufgebauten Absenderreputation profitiert.

Was-ist-legitimer-Infrastrukturmissbrauch-

Warum die E-Mail-Authentifizierung das nicht verhindert

Die Authentifizierungslücke

Protokolle wie SPF, DKIM und DMARC wurden entwickelt, um eine grundlegende Frage zu beantworten: Stammt diese E-Mail von einem autorisierten Absender dieser Domain? Wenn ein Angreifer ein legitimes Cloud-Konto kapert oder die autorisierte ESP-Konfiguration einer Domain ausnutzt, lautet die technische Antwort eindeutig „Ja“.

Die E-Mail besteht die SPF-Prüfung, da die IP-Adresse des Cloud-Anbieters ausdrücklich im SPF-Eintrag der Domain aufgeführt ist. Sie besteht die DKIM-Prüfung, da die Plattform die Nachricht mit dem richtigen kryptografischen Schlüssel der Domain signiert. Schließlich wird auch die DMARC-Prüfung bestanden, da beide Protokolle perfekt miteinander übereinstimmen.

Dies ist kein Fehler und auch kein Mangel von DMARC. Die Protokolle funktionieren genau so, wie sie konzipiert wurden. Das Problem besteht darin, dass die Überprüfung, ob ein Absender autorisiert ist, etwas völlig anderes ist als die Überprüfung, ob das Konto noch unter der Kontrolle des tatsächlichen Domain-Inhabers steht.

Warum das Blockieren anhand der IP-Reputation scheitert

Herkömmliche Sicherheitswerkzeuge stützen sich stark auf IP-Reputationswerte. Wenn eine IP-Adresse Spam versendet, wird sie blockiert. Gegen den Missbrauch von Infrastruktur versagt dieser Ansatz jedoch völlig.

Die Absender-IP-Adressen gehören zu großen Cloud-Anbietern, die täglich Milliarden legitimer Unternehmens-E-Mails verarbeiten. Würde ein Secure Email Gateway (SEG) diese IP-Bereiche blockieren, um eine Phishing-Kampagne zu unterbinden, würde dies zu katastrophalen Fehlalarmquoten führen und wichtige geschäftliche E-Mails bei Tausenden von Unternehmen blockieren, die in keiner Verbindung zu dieser Kampagne stehen. Der Angreifer tarnt sich in einer riesigen, vertrauenswürdigen Masse.

Warum sichere E-Mail-Gateways das nicht leisten

Die meisten SEGs bewerten eingehende E-Mails anhand des Alters der Domain, bekannter bösartiger Links und Signaturen in Anhängen. Bei diesen Angriffen ist die Absenderdomain unbedenklich, die Reputation einwandfrei und der Authentifizierungswert liegt bei perfekten 100 %.

Darüber hinaus machen Angreifer Link-Scanner unwirksam, indem sie „Open-Redirect“-Phishing-Techniken nutzen, die in den E-Mail-Diensten selbst integriert sind. Sie verwenden die plattforminternen URLs zur Klickverfolgung, die von E-Mail-Gateways generell auf die Whitelist gesetzt werden. Das Gateway scannt den als äußerst vertrauenswürdig eingestuften Tracking-Link und lässt die Nachricht durch; das bösartige Ziel wird erst durch eine Weiterleitung in genau dem Moment ausgelöst, in dem der Nutzer auf den Link klickt.

In anderen Varianten umgehen Betrüger die URL-Prüfung gänzlich, indem sie „Business Email Compromise“-Köder (BEC) ohne Links versenden. Sie fügen harmlose PDF-Dateien mit Pauschalzahlungsdaten bei oder fügen gefälschte E-Mail-Konversationen über Rechnungsänderungen ein und setzen dabei auf Social Engineering, das in eine authentifizierte E-Mail eingebettet ist.

Wie legitimer Missbrauch von Infrastruktur in der Praxis aussieht

In der Praxis setzen diese Kampagnen auf äußerst dringliche und vertrauenserweckende Köder. Zu den gängigen Vorgehensweisen zählen gefälschte Benachrichtigungen über elektronische Signaturen, die sich als Plattformen wie DocuSign ausgeben, dringende Sicherheitswarnungen für Konten sowie Rechnungsbetrug, der auf Buchhaltungsabteilungen abzielt.

Der Nährboden für diese Angriffe liegt direkt in der mangelhaften Verwaltung von Anmeldedaten. Hacker sammeln routinemäßig API-Schlüssel aus ungeschützten AWS Identity and Access Management (IAM)-Konfigurationen in öffentlichen GitHub-Repositorys oder aus versehentlich committeten .env-Dateien.

Wenn alles zusammenpasst, sind die Ergebnisse verblüffend. Ein von IRONSCALES im April 2026 dokumentierter Vorfall aus der Praxis zeigte eine Phishing-E-Mail, die einen perfekten Microsoft-Composite-Authentifizierungswert von 100 von 100 Punkten erzielte. Sie gab sich als ein weit verbreitetes Projektmanagement-Tool aus und durchlief die SPF-, DKIM- und DMARC-Prüfungen einwandfrei, da sie über die legitime Cloud-ESP-Konfiguration einer kompromittierten Domain versendet wurde.

Eingehende Nachricht: Authentifizierungsergebnisse

Authentifizierungsprüfung / KennzahlStatus / PunktestandErgebnis: Urteil
SPF (Sender Policy Framework)PASSAutorisiert
DKIM (DomainKeys Identified Mail)PASSAutorisiert
DMARC (Domain-basierte Nachrichtenauthentifizierung)PASSAbgestimmt & autorisiert
Microsoft-Gesamtbewertung der Authentifizierung100 / 100Perfekte Vertrauensbewertung

Kernbefund: Authentifiziert, aber nicht legitim. (Basierend auf einem von IRONSCALES dokumentierten Vorfall, April 2026).

Was wirklich hilft: Eine realistische Verteidigung

Um es ganz offen zu sagen: Kein einzelnes Tool kann diese Art von Angriffen vollständig verhindern. Wer behauptet, dass DMARC allein den Missbrauch von Infrastruktur automatisch verhindern kann, verspricht zu viel. Ein mehrschichtiger, realistischer Ansatz senkt Ihr Risiko jedoch erheblich.

1. DMARC-Überwachung: Ihr Frühwarnsystem

Zwar durchläuft eine authentifizierte Phishing-E-Mail die Validierung, doch bieten die DMARC-Gesamtberichte (RUA) einen umfassenden Einblick in Ihr ausgehendes Ökosystem. Sollte ein Angreifer Ihre API-Schlüssel stehlen und damit beginnen, Spam über eine Cloud-Plattform unter Verwendung Ihrer Domain zu versenden, wird dieser massive Anstieg des Volumens sofort in Ihren Berichten sichtbar.

Durch die regelmäßige Überprüfung der DMARC-Berichte (RUA) können Sie eine unbefugte Nutzung Ihrer Infrastruktur frühzeitig erkennen, noch bevor ein weitreichender Reputationsschaden entsteht. Für Teams, die eine automatisierte Erkennung wünschen, bietet der PowerDMARC DMARC Analyzer eine kontinuierliche Überwachung und Anomalie-Warnungen in Echtzeit, um unerwartete Absenderquellen sofort nach ihrem Auftreten zu kennzeichnen.

2. DMARC-Durchsetzung: Schützen Sie den ausgehenden Datenverkehr Ihrer Domain

Wenn Sie Ihre DMARC-Richtlinie auf „p=reject“ einstellen, wird sichergestellt, dass Nachrichten sofort blockiert werden, falls ein Angreifer versucht, Ihre Domain über nicht autorisierte Kanäle außerhalb Ihrer genehmigten Cloud-Infrastruktur zu fälschen. Darüber hinaus macht eine konsequente Durchsetzung Ihre Domain zu einem wesentlich schwereren Ziel. Betrüger, die nach einfachen Möglichkeiten zum Missbrauch der Infrastruktur suchen, bevorzugen leichtere Ziele, die mit einer schwachen „p=none“-Richtlinie betrieben werden.

3. Sicherheit der ESP-Anmeldeinformationen: Schließen Sie den Einstiegspunkt

Die direkteste Strategie zur Verhinderung von Phishing-Angriffen auf Anmeldedaten besteht darin, die Schlüssel Ihrer Versandinfrastruktur zu schützen.

  • Führen Sie für alle ESP-Administratorkonten die Multi-Faktor-Authentifizierung (MFA) ein.
  • Verwenden Sie API-Schlüssel mit eng gefasstem Geltungsbereich, die auf die unbedingt erforderlichen Berechtigungen beschränkt sind.
  • Wechseln Sie die API-Schlüssel für die Produktion regelmäßig aus.
  • Führen Sie automatisierte Code-Scans durch, um sicherzustellen, dass vertrauliche Daten niemals in öffentliche Repositorys übertragen werden.
  • Überprüfen Sie Ihre ESP-Nutzungs-Dashboards wöchentlich auf ungewöhnliche Volumenspitzen oder unbekannte Absenderkonfigurationen.

4. Verhaltensbasierte E-Mail-Sicherheit

Da herkömmliche Gateways im Vergleich zu einer vertrauenswürdigen Infrastruktur versagen, benötigen Sie eine integrierte Cloud-E-Mail-Sicherheitsschicht (ICES). KI-gestützte Tools zur verhaltensbasierten Sicherheit analysieren den Kontext und nicht nur die Reputation. Sie berücksichtigen den Kommunikationsverlauf, typische Versandvolumina und Sprachmuster. Wenn ein vollständig authentifiziertes Konto plötzlich eine ungewöhnliche Rechnungsanfrage an einen ungewöhnlichen Empfänger sendet, können verhaltensbasierte Tools diese markieren und unter Quarantäne stellen.

5. Gezielte Schulungen zur Sensibilisierung der Nutzer

Wenn eine Phishing-E-Mail alle technischen Prüfungen besteht, kommt es auf die menschliche Abwehr an. Die Mitarbeiter müssen geschult werden, um zu erkennen, dass eine E-Mail mit perfektem Branding, einer einwandfreien Absenderadresse und ohne technische Warnungen dennoch eine Falle sein kann, wenn das zugrunde liegende Konto gehackt wurde.

Bringen Sie Ihrem Team bei, plötzliche Zahlungsanweisungen oder Kontoänderungen stets eigenständig über einen zweiten, unabhängigen Kommunikationskanal (z. B. einen kurzen Telefonanruf) zu überprüfen. Außerdem sollten die Mitarbeiter die endgültigen Zielseiten im Browser genau prüfen, bevor sie ihre Zugangsdaten eingeben – unabhängig davon, wie sicher der ursprüngliche E-Mail-Link gewirkt hat.

Nicht zuletzt können die Mitarbeiter ganz einfach einen Phishing-E-Mail-Checker nutzen, um sofort eine Bedrohungsanalyse zu erhalten. Dazu müssen sie lediglich den vollständigen E-Mail-Text einschließlich der Kopfzeilen einfügen, um Authentifizierungsdaten, Absendersignale, verdächtige Links, Dringlichkeitsmuster und vieles mehr zu überprüfen.

Phishing-E-Mail-Prüfer

Abschließende Worte

Das Bedrohungsmodell für Unternehmen hat sich grundlegend verändert. Modernes, ausgeklügeltes Phishing stützt sich nicht mehr auf schlecht formatierte E-Mails, die von zufälligen, verdächtigen Domains versendet werden. Durch den Missbrauch legitimer Infrastruktur nutzen Angreifer aktiv die Cloud-Dienste, die wir täglich nutzen und denen wir vertrauen, und machen sich dabei die Lücke zwischen Absenderautorisierung und tatsächlicher Identitätskontrolle zunutze.

Ihre Verteidigungsstrategie muss sich an diese Realität anpassen. Zwar können Authentifizierungsprotokolle allein das Problem nicht lösen, doch eine strenge Überwachung Ihrer Umgebung verändert die Lage grundlegend.

Sichern Sie Ihr E-Mail-Ökosystem noch heute: Möchten Sie genau wissen, wer E-Mails im Namen Ihrer Marke versendet? Übernehmen Sie die Kontrolle über Ihre Sicherheitsgrenzen und erhalten Sie mit dem PowerDMARC DMARC Analyzer Echtzeit-Benachrichtigungen bei unerwartetem Versandverhalten.

Häufig gestellte Fragen

Wenn eine E-Mail die SPF-, DKIM- und DMARC-Prüfung besteht, warum lässt mein Sicherheitsgateway sie dann trotzdem durch?

Denn Sicherheitsgateways sind darauf trainiert, genau diesen Protokollen zu vertrauen. Wenn eine E-Mail alle drei Kriterien perfekt erfüllt, geht das Gateway davon aus, dass es sich um eine legitime, autorisierte Kommunikation des Domain-Inhabers handelt. Gateways prüfen, ob die Infrastruktur zum Versenden der E-Mail berechtigt ist, nicht aber, wer hinter der Tastatur sitzt und sie verfasst.

Bedeutet das, dass DMARC nicht funktioniert oder nutzlos ist?

Ganz und gar nicht. DMARC erfüllt genau den Zweck, für den wir es entwickelt haben: Es verhindert, dass beliebige Kriminelle Ihren Domainnamen aus dem Nichts fälschen. Es kann jedoch nicht erkennen, ob ein Angreifer einen gestohlenen API-Schlüssel erworben oder Ihr tatsächliches Cloud-Konto gekapert hat. Stellen Sie sich DMARC wie ein Hightech-Sicherheitsschloss vor: Es funktioniert einwandfrei – es sei denn, der Einbrecher stiehlt Ihre tatsächlichen Hausschlüssel.

Warum können wir die IP-Adressen, von denen diese Phishing-E-Mails versendet werden, nicht einfach sperren?

Denn diese IP-Adressen gehören zu großen, seriösen Diensten wie Amazon SES oder SendGrid. Millionen von ganz normalen, unbedenklichen geschäftlichen E-Mails (wie Quittungen, Flugbestätigungen und Passwort-Zurücksetzungen) werden jeden Tag über genau diese IP-Adressen versendet. Wenn Sie den IP-Bereich blockieren, blockieren Sie neben dem unerwünschten Datenverkehr auch den legitimen.

Wie kommen Hacker an diese Zugangsdaten für Cloud-E-Mail-Plattformen?

Meistens sind einfache menschliche Fehler die Ursache. Entwickler lassen API-Schlüssel manchmal versehentlich in öffentlichen GitHub-Repositorys offen liegen oder committen Dateien wie .env, die unverschlüsselte Anmeldedaten enthalten. In anderen Fällen kaufen Angreifer einfach durchgesickerte, gültige Anmeldedaten in Cybercrime-Foren für einen Spottpreis, oft schon ab 15 Dollar.

Können Schulungen zur Sensibilisierung der Nutzer tatsächlich helfen, wenn die technischen Filter versagen?

Ja, aber man muss die Art und Weise ändern, wie man die Mitarbeiter schult. Bei herkömmlichen Schulungen werden die Nutzer dazu angehalten, nach „Warnsignalen“ wie verdächtig aussehenden E-Mail-Adressen oder fehlerhaften Authentifizierungsdaten Ausschau zu halten. Beim Missbrauch der Infrastruktur gibt es diese Warnsignale jedoch nicht. Die Schulungen müssen sich daher auf Verhaltensmerkmale konzentrieren, beispielsweise darauf, zum Telefon zu greifen, um plötzliche, außerhalb der üblichen Kanäle eingehende Geldanfragen oder sensible Kontoaktualisierungen zu überprüfen – ganz gleich, wie seriös die E-Mail auch aussehen mag.