Kalender-Angriffe: Wenn der Phishing-Link im Termin steht
Kalender-Phishing nutzt iCal-Einladungen (.ics) zur Auslieferung von Phishing-Links. Outlook und Google Calendar tragen Einladungen häufig auto-akzeptiert in den Kalender ein — die Pseudo-Legitimität macht den Angriff besonders effektiv. Diese Seite zeigt die Mechanik, dokumentierte Vorfälle und die Schutz-Schichten Auto-Accept-Deaktivierung + Gateway-iCal-Inspection.
Was sind Kalender-Angriffe?
Kalender-Angriffe sind Phishing-Versuche über iCal-Einladungen (.ics-Anhang). Outlook und Google Calendar tragen Einladungen häufig automatisch in den Kalender des Empfängers ein, bevor er aktiv zustimmt — die Pseudo-Legitimität verleitet zur Akzeptanz. Phishing-Links stehen in den iCal-Feldern LOCATION, DESCRIPTION oder ORGANIZER. Avanan, INKY und Cloud-Anbieter dokumentieren Calendar-Phishing-Kampagnen seit Jahren als wachsende Variante.
Im MITRE ATT&CK-Framework gehört Calendar-Phishing zur Technik T1566.001 (Spearphishing Attachment) mit iCal als Liefermechanismus. Die NIS2-Buchstaben sind lit. b (Vorfall-Bewältigung) und lit. g (Cyberhygiene + Schulung). Wolf-Agents prüft im Email Security Check die Authentifizierungs-Vorbedingung — eine Domain mit DMARC p=reject reduziert Marken-Imitations-Kampagnen mit iCal-Anhang. Für iCal-Inspection verweisen wir auf Microsoft Defender for Office 365 (M365 E5).
Kalender-Angriffe in einem Satz
Auto-Accept-Logik verleiht Phishing-Einladungen Pseudo-Legitimität: Der Termin steht im Kalender, der User denkt, er hätte zugestimmt. Verteidigung ist deshalb primär Konfiguration (Auto-Accept aus) plus Gateway-iCal-Inspection.
Wie funktioniert ein Calendar-Phishing-Angriff?
Der Angreifer erstellt eine iCal-Datei mit Phishing-URL in LOCATION, DESCRIPTION oder ORGANIZER. Die iCal wird per Email versendet, meist mit METHOD:REQUEST — der Empfänger-Calendar-Client trägt den Termin als „vorläufig“ in den Kalender ein, ohne aktive Akzeptanz. Der User sieht den Termin später in seinem Kalender, klickt auf den Link in LOCATION (häufig als „Online-Meeting-Link“ gerendert) und landet auf der Phishing-Page.
BEGIN:VCALENDAR
VERSION:2.0
PRODID:-//Phishing//Calendar 1.0//EN
METHOD:REQUEST
BEGIN:VEVENT
UID:phishing-event-12345@example.com
DTSTART:20260520T140000Z
DTEND:20260520T143000Z
SUMMARY:Dringend: Sicherheitsuepdate erforderlich
DESCRIPTION:Bitte besuchen Sie diesen Link zur Verifizierung:
https://login-microsoft-365.example/verify
LOCATION:https://login-microsoft-365.example/verify
ORGANIZER:CN=Microsoft Security:mailto:security@m365-update.com
ATTENDEE:CN=Empfaenger:mailto:user@firma.de
END:VEVENT
END:VCALENDARiCal mit Phishing-URL bauen
Angreifer erstellt .ics-Datei mit Phishing-URL in LOCATION oder DESCRIPTION. METHOD:REQUEST triggert Auto-Accept.
Email-Versand mit iCal-Anhang
Email mit überzeugendem Vorwand („Sicherheits-Schulung“, „Microsoft-Update-Meeting“, „Compliance-Briefing“).
Auto-Accept in Outlook/Calendar
Termin wird vorläufig in den Kalender eingetragen. User sieht den Eintrag — denkt, er hätte zugestimmt.
Klick auf LOCATION-Link
User klickt auf „Online-Meeting-Link“ zum Termin — landet auf Phishing-Page für Credential-Harvesting.
Kalender-iCal-Auto-Accept-Mechanismus — 4-Schritt-Timeline + Konfigurations-Vergleich
Multimodale Timeline: t0 Angreifer sendet iCal mit METHOD:REQUEST → t1 Outlook/Google Calendar Auto-Accept-Logik trägt Termin als vorläufig ein → t2 Empfänger öffnet Kalender, sieht Termin (Pseudo-Legitimität wirkt) → t3 Empfänger klickt LOCATION-Link → Phishing-Page. iCal-Felder: METHOD:REQUEST + LOCATION + SUMMARY + DESCRIPTION. Vor/Nach Auto-Accept-Block: rot (gefährlich) vs grün (sicher). M365-Konfiguration: Einstellungen → Kalender → Einladungen erst nach Antwort anzeigen. 4 Angriffs-Varianten: Calendar-Hijack / Bogus-Meeting / Recurring-Persistence / Reverse-Calendar-Reading.
Calendar-Phishing-Trends
Avanan und INKY haben Calendar-Phishing seit etwa 2019 als eigene Kategorie etabliert. Cloud-Anbieter (Microsoft, Google) bestätigen den Trend in ihren Security-Reports. Die Auto-Accept-Konfiguration ist seit Jahren bekannt — viele Organisationen haben sie aber nicht angepasst.
Avanan Calendar-Phishing-Analysen
Avanan (heute Teil von Check Point) hat Calendar-Phishing als eigene Kampagnen-Kategorie etabliert und mehrere Welle-Analysen veröffentlicht. Quelle: Avanan Blog.
INKY Threat Reports
INKY dokumentiert Calendar-Phishing-Kampagnen mit Microsoft-365- und Banking-Imitationen. Die Reports zeigen typische iCal-Patterns und Versand-Volumen.
Cloud-Provider-Updates
Microsoft und Google haben mehrfach Updates zur Auto-Accept-Logik veröffentlicht. Microsoft 365-Admins können Auto-Accept zentral per Policy steuern.
M365 Group Policy — Auto-Accept zentral deaktivieren
Microsoft 365 erlaubt seit 2024 die zentrale Deaktivierung der Auto-Accept-Logik per Set-CalendarProcessing-PowerShell-Cmdlet (Parameter -AddNewRequestsTentatively $false) oder per Set-MailboxFolderPermission auf den Calendar-Folder. Damit lässt sich die Pseudo-Legitimität als Compliance-Maßnahme nach NIS2 Art. 21 Abs. 2 lit. g vollständig ausschalten. Für Google Workspace führt Admin → Apps → Google Workspace → Calendar → Sharing-Settings das gleiche Pattern. Quelle: Microsoft Learn — Set-CalendarProcessing.
Wie erkenne ich Calendar-Phishing?
Calendar-Phishing-Erkennung ist primär iCal-Inspektion. Mail-Gateways können iCal-Anhänge dekodieren und Felder gegen URL-Reputation prüfen. Endpunkt-EDR erkennt Browser-Start nach iCal-Klick. Awareness-Training: Termine aus unbekannten Quellen prüfen, bevor man auf LOCATION-Links klickt.
iCal-Indikatoren
METHOD:REQUESTmit unbekanntem ORGANIZER- LOCATION mit HTTPS-URL (kein physischer Ort)
- DESCRIPTION mit URL und Dringlichkeit
- Look-Alike-Domain in ORGANIZER-Email
- UID mit zufälliger Struktur
Inhalt-Indikatoren
- Termin ohne erkennbare Verbindung zum User
- „Compliance-Schulung“ oder „Sicherheits-Briefing“
- Termin außerhalb üblicher Arbeitszeiten
- Termin von „IT-Helpdesk“ oder „Microsoft Security“
- Dringlichkeit: „Pflicht-Termin“, „Nicht-Teilnahme-Sanktionen“
Wolf-Agents-USP für Calendar
Wolf-Agents prüft die Authentifizierungs-Vorbedingung — eine Domain mit DMARC p=reject reduziert Marken-Imitations-Kampagnen mit iCal-Anhang. Das Monitoring alarmiert bei DMARC-Drift, der eine neue Vektor-Lücke öffnen könnte.
Wie schütze ich mich vor Calendar-Phishing?
Calendar-Phishing-Schutz ist Konfiguration + Inspektion. Auto-Accept-Deaktivierung in Outlook und Google Calendar ist die direkteste Maßnahme. Mail-Gateway-iCal-Inspection (Microsoft Defender for Office 365, Avanan, INKY) prüft iCal-Felder gegen URL-Reputation. Awareness-Training adressiert die menschliche Vorbedingung. Die Email-Authentifizierungs-Trias bleibt als Vorbedingung relevant.
Auto-Accept deaktivieren
Outlook 365: Einstellungen → Kalender → Auto-Add aus. Google Calendar: „Only show invitations to which I have responded“. Per Group Policy zentral durchsetzbar.
Mail-Gateway iCal-Inspection
Microsoft Defender for Office 365, Proofpoint TAP, Avanan, INKY haben iCal-Inspektion. URLs in LOCATION/DESCRIPTION werden gegen Threat-Intel geprüft.
URL-Defense (Safe Links)
Wenn der User auf einen Link im Kalender klickt: Safe Links wickelt URL um. Klick-Zeit-Prüfung blockt Phishing-Pages.
DMARC p=reject
Verhindert Marken-Imitations-Kampagnen mit iCal-Anhang aus Ihrer eigenen Domain. Reduziert Angriffsoberfläche.
FIDO2-MFA
Bei erfolgreichem Klick: Hardware-MFA macht gestohlene Credentials wertlos. NIS2 Art. 21 Abs. 2 lit. j.
Awareness-Training
Konkrete Regel: „Unbekannte Termine im Kalender prüfen, NIE direkt Links anklicken. Bei Verdacht: IT-Helpdesk.“
Was tun bei einem Calendar-Phishing-Erfolg?
Bei erfolgreicher Credential-Eingabe nach Calendar-Phishing: Konto-Reset wie bei klassischem Phishing. Forensik: Welche Mailbox-Regeln wurden gesetzt? Wurden OAuth-Apps angelegt? Lateralbewegungs-Check. NIS2-Meldepflicht bei erheblichem Vorfall.
- Konto-Reset — Passwort, Sessions, MFA-Geräte, OAuth-Apps.
- iCal-Anhang sichern — Original-.ics-Datei, IoCs (URLs in LOCATION/DESCRIPTION) dokumentieren.
- Aggregat-Kampagne? — Mail-Gateway-Logs: weitere Empfänger mit dieser iCal?
- Mailbox-Forensik — neue Mailbox-Regeln? Forwarding-Setup?
- Calendar-Forensik — wurde der Kalender als Beobachtungs-Hebel missbraucht?
- NIS2 + DSGVO Meldepflichten — bei erheblichem Vorfall oder Datenpanne.
Calendar-Phishing-Schutz nach NIS2
Calendar-Phishing fällt unter NIS2 Art. 21 Abs. 2 lit. b (Vorfall-Bewältigung) und lit. g (Cyberhygiene + Schulung). Die Konfiguration der Auto-Accept-Logik ist eine direkte technische Maßnahme im Sinne von Cyberhygiene. DSGVO Art. 33/34 bei Datenpannen aus erfolgreichem Calendar-Phishing.
NIS2 lit. b + g
lit. b: Incident-Response für Phishing-Erfolge. lit. g: Awareness-Training, Auto-Accept-Härtung.
DSGVO Art. 32/33
Art. 32: technische Maßnahmen. Art. 33: 72h-Meldung bei Datenpannen aus erfolgreichem Calendar-Phishing.
BSI Grundschutz
Grundschutz-Bausteine zu Email-Client-Konfiguration. Auto-Accept-Härtung gehört zu „APP.5.3 Allgemeiner E-Mail-Client“.
Der Wolf-Agents Email Security Check sichert die Authentifizierungs-Vorbedingung. Für iCal-Inspektion empfehlen wir Microsoft Defender for Office 365 oder Anbieter wie Avanan und INKY.
Wie steht Ihre Domain bei Kalender-Angriffe?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.
Häufig gestellte Fragen
Was sind Kalender-Angriffe?
Kalender-Angriffe sind Phishing-Versuche, die als iCal-Einladung (.ics) verschickt werden. Outlook und Google Calendar tragen Einladungen häufig automatisch in den Kalender ein — bevor der Empfänger entscheidet. Der Empfänger sieht die Einladung in seinem Kalender und denkt, er hätte zugestimmt. Die Phishing-Links stehen in den Feldern LOCATION, DESCRIPTION oder ORGANIZER. MITRE ATT&CK ordnet die Variante unter T1566.001 ein.
Wie funktioniert die Auto-Accept-Logik in Outlook?
Outlook (klassisch und in der Microsoft 365 Cloud) zeigt iCal-Einladungen als „vorläufige Termine“ im Kalender, auch wenn der Empfänger noch nicht aktiv zugestimmt hat. Diese Pre-Population ist als Komfort-Funktion gedacht — der User sieht den Termin in seinem Kalender und nimmt ihn unterbewusst als legitimiert wahr. Angreifer nutzen diese Pseudo-Legitimität.
Welche Felder einer iCal werden für Phishing missbraucht?
Drei Felder sind zentral: LOCATION (häufig als klickbarer Link in den Kalender-Apps gerendert), DESCRIPTION (kann Phishing-URL enthalten, die der Empfänger beim Lesen anklickt), ORGANIZER (gespoofte Email mit „Microsoft Security“ oder „IT-Helpdesk“). Manche Implementierungen rendern auch URL-Felder als anklickbare Links.
Hilft DMARC mit p=reject gegen Kalender-Phishing?
Nur indirekt. iCal-Einladungen kommen als Anhang in einer Email — die Email selbst durchläuft DMARC-Prüfung. Wenn der Angreifer Ihre Domain im Header-From spoofen will, stoppt DMARC. Bei Look-Alike-Domains oder Display-Name-Spoofing greift DMARC nicht. Die spezifische Schutz-Schicht ist die Calendar-App-Konfiguration: Auto-Accept deaktivieren, Mail-Gateway mit iCal-Inspection.
Wie deaktiviere ich Auto-Accept in Outlook?
Outlook 365 Web: Einstellungen → Kalender → Ereignisse und Einladungen → „Einladungen werden im Kalender erst angezeigt, wenn ich antworte“. Outlook Desktop: Datei → Optionen → Kalender → Automatische Verarbeitung → „Eingehende Besprechungsanfragen automatisch in den Kalender einfügen“ deaktivieren. Bei Google Calendar: Settings → Event settings → „Automatically add invitations“ auf „No, only show invitations to which I have responded“ setzen.
Was leistet Wolf-Agents gegen Kalender-Phishing?
Calendar-spezifische Detection ist Gateway-Job. Wolf-Agents prüft die Authentifizierungs-Vorbedingung — eine Domain mit DMARC p=reject reduziert Marken-Imitations-Kampagnen mit iCal-Anhang. Das Monitoring (alle 6 Stunden) alarmiert bei DMARC-Drift. Für iCal-Inspection verweisen wir auf Microsoft Defender for Office 365, Avanan oder INKY.