Schließen
Bild:

Unsplash / Aleks Marinkovic

Themenschwerpunkt

Kali365 und die Folgen: Warum ein gekapertes Microsoft-365-Konto ein Datenschutzfall ist

Wenn das FBI eine eigene öffentliche Warnung zu einem Angriffswerkzeug herausgibt, lohnt sich ein genauer Blick.

In der Mitteilung PSA I-052126-PSA vom 21. Mai 2026 geht es um Kali365 - eine Plattform, mit der Angreifer Microsoft-365-Konten übernehmen, ohne ein Passwort zu stehlen und ohne dass die Multi-Faktor-Authentifizierung (MFA) Alarm schlägt.

Über die technische Seite dieses Angriffs informiert unsere Schwestergesellschaft CS Speicherwerk in einem eigenen Beitrag. Wir möchten hier den Blickwinkel wählen, der in der ersten Aufregung oft zu kurz kommt: Ein erfolgreicher Angriff dieser Art ist in aller Regel kein reines IT-Problem, sondern ein Datenschutz- und Compliance-Fall mit konkreten Fristen und Pflichten.

Worum es bei Kali365 geht – in aller Kürze

Kali365 ist eine sogenannte Phishing-as-a-Service-Plattform: ein kriminelles Abo-Modell, das seit April 2026 über Telegram vertrieben wird und auch wenig versierten Tätern fertige, KI-generierte Phishing-Kampagnen in die Hand gibt. Der Angriff missbraucht einen legitimen Microsoft-Anmeldeweg (den OAuth-Device-Code-Flow): Das Opfer gibt auf einer echten Microsoft-Seite einen Code ein und autorisiert dabei unbemerkt ein Gerät der Angreifer. Diese erhalten daraufhin ein gültiges Zugriffs-Token – und damit oft über Wochen Zugang zu Outlook, Teams und OneDrive, ganz ohne erneute MFA-Abfrage.

Für die Bewertung ist entscheidend: Die Angreifer lesen mit, was im Postfach und in den Dateien liegt. Und das sind in fast jedem Unternehmen personenbezogene Daten.

Vom IT-Vorfall zur meldepflichtigen Datenpanne

Ein kompromittiertes Postfach oder OneDrive-Konto erfüllt regelmäßig den Tatbestand einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO – allein schon, weil Unbefugte Kenntnis von personenbezogenen Daten erlangt haben (Vertraulichkeitsverletzung). Daraus folgen je nach Risikolage insbesondere:

  • Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): grundsätzlich unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden, sofern ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.
  • Benachrichtigung der Betroffenen (Art. 34 DSGVO): bei voraussichtlich hohem Risiko, etwa wenn sensible Daten oder Kontaktdaten in größerem Umfang offengelegt wurden.
  • Dokumentationspflicht (Art. 33 Abs. 5 DSGVO): Jede Verletzung ist zu dokumentieren – einschließlich der Fälle, in denen man sich gegen eine Meldung entscheidet. Diese interne Dokumentation prüfen Aufsichtsbehörden im Zweifel zuerst.

Die 72-Stunden-Frist ist in der Praxis der eigentliche Stresstest. Sie beginnt zu laufen, sobald der Verantwortliche hinreichende Kenntnis von dem Vorfall hat – und nicht erst, wenn alle Details geklärt sind. Wer hier ohne eingespielten Prozess agiert, verliert wertvolle Zeit.

Verantwortung und Haftung liegen bei der Leitung

Datenschutz ist Chefsache – und das ist nicht nur eine Floskel. Aus Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) und Art. 32 DSGVO (technische und organisatorische Maßnahmen) ergibt sich, dass die Geschäftsleitung den Nachweis angemessener Schutzmaßnahmen erbringen können muss. Kommt es zum Vorfall, ist die entscheidende Frage selten „Wie konnte das passieren?", sondern „Welche Maßnahmen waren vorab getroffen und dokumentiert?".

Ein erfolgreicher Kali365-Angriff stellt damit zwei Dinge auf den Prüfstand: die getroffenen Sicherheitsmaßnahmen und die Frage, ob die Organisation auf den Ernstfall vorbereitet war.

Was Unternehmen jetzt veranlassen sollten

Technische Härtung (etwa das Sperren des Device-Code-Flows oder phishing-resistente MFA) ist die eine Hälfte. Die andere Hälfte ist organisatorisch und juristisch:

  1. Notfall- und Meldeprozess etablieren. Legen Sie vorab fest, wer einen Verdacht meldet, wer bewertet, wer entscheidet und wer fristgerecht an die Aufsichtsbehörde meldet. Ein Incident-Response-Plan mit klaren Rollen ist im Ernstfall mehr wert als jede nachträgliche Erklärung.
  2. Verzeichnis und TOMs aktuell halten. Verarbeitungsverzeichnis (Art. 30) und das Konzept der technischen und organisatorischen Maßnahmen (Art. 32) sollten den tatsächlichen Einsatz von Microsoft 365 abbilden – inklusive der getroffenen Härtungsmaßnahmen.
  3. Auftragsverarbeitung prüfen. Klären Sie die vertragliche Lage mit Microsoft und weiteren Dienstleistern (Art. 28) sowie die Verantwortlichkeiten bei einem Cloud-Vorfall.
  4. Mitarbeitende schulen. Der Angriff lebt davon, dass Menschen einen Code eingeben, weil eine E-Mail es verlangt. Regelmäßige, praxisnahe Sensibilisierung ist hier eine der wirksamsten und zugleich nachweisbaren Schutzmaßnahmen.
  5. Risiko bewerten und dokumentieren. Halten Sie fest, welche Datenkategorien betroffen sein könnten und welches Risiko daraus folgt. Diese Bewertung ist die Grundlage jeder fundierten Melde-Entscheidung.

 

Wo wir Sie unterstützen

CS Infowerk steht für die Schnittstelle, an der Technologie, Recht und Organisation zusammentreffen. Wir begleiten Unternehmen bei genau den Fragen, die ein Vorfall wie Kali365 aufwirft: vom belastbaren Melde- und Notfallprozess über die Aktualisierung von Verarbeitungsverzeichnis und TOMs bis hin zu praxisnahen Datenschutz- und Awareness-Schulungen. Gemeinsam mit unserer technischen Schwestergesellschaft CS Speicherwerk decken wir dabei beide Seiten ab – die organisatorisch-rechtliche und die technische.

Sie möchten wissen, ob Ihr Unternehmen auf einen solchen Vorfall vorbereitet wäre? Sprechen Sie uns an. Wir prüfen mit Ihnen Prozesse, Pflichten und Dokumentation – am besten, bevor der Ernstfall eintritt.

Telefon +49 621 30 75 26 - 10
E-Mail info@cs-infowerk.com

CS Infowerk GmbH
Fritz-Salm-Straße 1
68167 Mannheim

T: +49 621 307526 - 0
F: +49 621 307526 - 99

E: info@cs-infowerk.com
W: www.cs-infowerk.com

Datenschutz Impressum
Telefon +49 621 307 526 0 E-Mail info@cs-infowerk.com Aktuelle Themen Unser Blog

© 2026 CS Infowerk GmbH. Alle Rechte vorbehalten.