Gehaltsdiebstahl durch „Payroll Pirates“: : Microsoft warnt vor neuen Angriffen auf HR-Plattformen
Eine neue Angriffswelle bedroht Cloud-basierte Personalplattformen: Die Gruppe „Storm-2657“ nutzt geschickte Phishing-Methoden, um Mitarbeiterkonten zu übernehmen und Gehaltszahlungen auf eigene Konten umzuleiten. Microsoft spricht von einer ernsthaften Gefahr für Unternehmen und Hochschulen – derzeit vornehmlich in den Vereinigten Staaten.
Microsofts Sicherheitsanalysten schlagen Alarm: Eine Gruppe mit dem internen Code-Namen Storm-2657 führt gezielte Angriffe auf Cloud-basierte Personalplattformen wie Workday durch. Ziel ist es, Mitarbeiterkonten zu übernehmen, Bankverbindungen zu ändern und Gehaltszahlungen auf Konten der Angreifer umzuleiten. Die Kampagne trägt den bezeichnenden Namen „Payroll Pirates“ – Gehaltspiraten.
Betroffen sind vor allem Organisationen in den Vereinigten Staaten, darunter mehrere Universitäten. Doch Microsoft warnt ausdrücklich, dass jede Personal- oder Gehaltsplattform mit gespeicherten Bankdaten potenziell gefährdet sei – unabhängig vom Anbieter, der Branche oder der Region.
Kein Softwarefehler, sondern menschliche Schwachstellen
Besonders brisant: Die Angriffe basieren nicht auf Sicherheitslücken in den Cloud-Diensten selbst. Stattdessen setzen die Täter auf soziale Manipulation. Sie verschicken täuschend echte Phishing-E-Mails, die Mitarbeitende dazu bringen sollen, ihre Zugangsdaten und Mehrfaktor-Authentifizierungscodes preiszugeben.
Über einen sogenannten „Adversary-in-the-Middle“-Angriff (AitM) fangen die Angreifer die Anmeldedaten ab und verschaffen sich so Zugriff auf Exchange-Online-Konten. Von dort aus übernehmen sie über Single-Sign-On-Verbindungen (SSO) auch den Zugriff auf Personalplattformen wie Workday.
Einmal im System, ändern die Täter unauffällig die Bankverbindungen, sodass die nächsten Gehaltszahlungen direkt auf ihre eigenen Konten fließen. Um die Spur zu verwischen, richten sie automatische Posteingangsregeln ein, die Warn- oder Änderungsbenachrichtigungen löschen, bevor sie den rechtmäßigen Nutzer erreichen.
Dauerhafter Zugriff durch manipulierte Mehrfaktor-Authentifizierung
Um den Zugriff langfristig zu sichern, registrieren die Angreifer eigene Telefonnummern als MFA-Geräte. Damit können sie selbst nach Passwortänderungen oder Alarmen weiterhin auf die Konten zugreifen. Die kompromittierten E-Mail-Konten dienen anschließend als Ausgangspunkt für weitere Phishing-Angriffe – sowohl innerhalb der betroffenen Institution als auch in Richtung anderer Hochschulen und Unternehmen.
Microsoft dokumentierte zwischen März und Juni 2025 elf kompromittierte Konten an drei Universitäten, die genutzt wurden, um rund sechstausend weitere E-Mail-Konten an fünfundzwanzig Universitäten mit betrügerischen Nachrichten zu attackieren. Typische Lockmittel: fingierte Mitteilungen über angebliche Krankheitsfälle oder Fehlverhalten auf dem Campus, die Neugier oder Angst auslösen sollen.
Warum der Angriff so erfolgreich ist
Die „Payroll Pirates“ kombinieren mehrere klassische Angriffsstrategien zu einer ausgefeilten Betrugskette. Sie nutzen:
- realistische E-Mail-Texte und gefälschte Anmeldeportale,
- ungeschützte Konten ohne robuste Mehrfaktor-Authentifizierung,
- und institutionelle Trägheit bei der Überprüfung von Kontoänderungen.
Gerade in großen Organisationen mit dezentralen HR-Systemen und vielen Einzelkonten fällt eine manipulierte Bankverbindung selten sofort auf. So bleibt den Tätern oft genug Zeit, bevor der Betrug entdeckt wird.
Droht die Gefahr auch in Deutschland?
Auch wenn Microsofts Bericht derzeit vor allem Vorfälle in den Vereinigten Staaten beschreibt, besteht kein Grund zur Entwarnung für europäische oder deutsche Organisationen. Die Angriffsmethode von Storm-2657 lässt sich leicht auf andere Regionen übertragen, weil sie auf allgemeinen Schwachstellen menschlicher und organisatorischer Natur beruht – nicht auf einer bestimmten Software oder Infrastruktur.
Viele Unternehmen, öffentliche Einrichtungen und Hochschulen in Deutschland setzen ebenfalls auf Software-as-a-Service-Lösungen für Personal- und Gehaltsmanagement, darunter Workday, SAP SuccessFactors oder Personio. Diese Systeme sind über das Internet zugänglich, oft mit Single-Sign-On-Funktionen und in manchen Fällen noch ohne vollständig phishing-resistente Authentifizierung.
Gerade in großen Organisationen mit verteilten Benutzerstrukturen, mehreren HR-Verantwortlichen und teilweise unzureichend kontrollierten Änderungsprozessen kann ein einziger kompromittierter Zugang ausreichen, um schwerwiegenden finanziellen Schaden zu verursachen. Zudem sind europäische Angreifergruppen längst in der Lage, Social-Engineering-Kampagnen in lokaler Sprache zu gestalten – was die Täuschungsgefahr noch erhöht.
Die Lehre aus den Angriffen in den Vereinigten Staaten ist daher klar: Europäische Unternehmen sollten nicht abwarten, bis ähnliche Fälle hier auftreten. Stattdessen gilt es, jetzt zu handeln:
- Einführung phishing-resistenter Authentifizierungsmechanismen wie FIDO2 oder passwortloser Login-Verfahren,
- konsequente Überwachung von Kontoänderungen und Zahlungszielen in HR-Systemen,
- Schulung aller Mitarbeitenden im Erkennen gefälschter HR-Kommunikation,
- regelmäßige Sicherheitsaudits von SaaS-Zugängen und Identitätsmanagement-Systemen.
Nur wenn technologische und organisatorische Sicherheitsmaßnahmen Hand in Hand gehen, lässt sich verhindern, dass auch hierzulande digitale Gehaltspiraten auf Beutezug gehen.