Microsoft hat überraschend und mit ungewöhnlich kurzem Vorlauf eine erhebliche Änderung im Umgang mit Konzepten für das Teilen von Daten mit externen Geschäftspartnern/Gästen in den Produkten Teams, OneDrive for Business und SharePoint Online (SPO) angekündigt. Diese befindet sich bereits in der aktiven Umsetzung und Rollout in allen weltweiten M365 Tenants.
Bislang war es recht einfach, Ordner oder Dokumente in den genannten Tools mit externen Gästen zu teilen, wenn die Richtlinien in der Organisation dies zuließen. Über einen Rechtsklick konnte eine Datei nicht nur innerhalb des Tenants geteilt werden, sondern auch mit einer externen Mailadresse. Für den sicheren Zugriff wurde dann eine Mail mit einem Einmalpassword an diesen Gast geschickt.
https://learn.microsoft.com/en-us/entra/external-id/one-time-passcode
Diese gewohnte Methode zum Teilen von Dateien über die O365 Onlineplattform außerhalb der eigenen Mitarbeitenden unterliegt jetzt einem abgewandelten Technologiekonzept. Im Extremfall kann es auch zunächst erst einmal überhaupt nicht funktionieren - insbesondere bei Tenants, deren Basiseinstellungen nach europäischen Datenschutzkonzepten einer gewissen Basishärtung unterworfen wurden. Dies gilt in beiden Fällen selbst für bereits in der Vergangenheit autorisierte Zusammenarbeitsszenarien.
Konkret wurde die Methode der Email-basierten Einmalcodebereitstellung an Personen außerhalb der eigenen Organisationsstruktur abgelöst durch eine Zwangsumrüstung auf Entra ID B2B-Gästekontenrollout.
Aus Managementsicht handelt es sich daher nicht nur um eine technische Produktänderung, sondern um ein Risiko für Zusammenarbeit, Informationssicherheit, Datenschutz und Betriebsstabilität.
Microsoft kommuniziert diese Änderungen und Timelines wie folgt:
· SPO OTP authentication will retire beginning July 2026.
· The option to disable Entra B2B integration will be removed.
Impact on external users
· External users who already have an Entra B2B guest account in your directory:
· No change in behavior.
· External users without a B2B guest account:
· Specific people links shared after changes rolled out to your tenant:
o A guest account will be automatically created via the Entra B2B Invitation Manager.
o Authentication will use Entra B2B (email OTP available if enabled).
· Specific people links shared before changes rolled out to your tenant:
o SPO OTP authentication continues until July 2026.
o After July 2026, these users will receive access denied until a matching B2B guest account exists.
Details zur Funktionsänderung
· https://mc.merill.net/message/MC1243549
· (https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1243549
nur nach Anmeldung mit entsprechenden Rechten im MS Admin Center zur Verwaltung des Tenants)
Betroffene Produkte
· Microsoft SharePoint Online
· Microsoft OneDrive for Business
· Microsoft Teams
Was passiert, wenn wir nichts tun?
| Risiko | Beschreibung | Priorität |
| Produktivitätsverlust | Externe Zusammenarbeit kann kurzfristig blockiert werden. | Hoch |
| Unkontrollierte Gastkonten | Automatisierte Gastanlage ohne Governance kann Transparenz und Kontrolle reduzieren. | Hoch |
| Conditional-Access-Lücken | Bestehende Sicherheitsregeln berücksichtigen neue Gastzugriffe ggf. nicht ausreichend. | Hoch |
| Audit- und Datenschutzfragen | Freigaben, Genehmigungen und Verantwortlichkeiten müssen nachvollziehbar sein. | Mittel bis hoch |
Was ist zu tun?
Neben grundsätzlichen Aspekten zur Konfiguration und ggf. Freischaltung bzw. Aufrechterhaltung der Funktionalität wirft das neue Konzept auch Fragen zur Gästeverwaltung und zu Auswirkungen auf vorhandene Conditional Access Regelwerke auf. Selbst wenn in Ihrem Tenant aufgrund von “unglücklichen Defaulteinstellungen” keine direkte praktische Einschränkung auffällt, besteht dann ein gewisses Risiko von ungewollten neuen Lücken in Ihrem Zugriffs- und Sicherheitskonzept. Im offensichtlicheren Fall berichten Ihnen Ihre Mitarbeitenden, dass die Dateifreigaben an Externe mit Fehlermeldungen fehlschlagen und/oder Sharing-Betriebsabläufe mit Externen aus dem Nichts heraus auf einmal nicht mehr funktionieren.
Mit ausschließlichem Einsatz von Bordmitteln in Entra ID lässt sich nach unserer Meinung keine akzeptable Konfiguration erzielen.
Obwohl es sich nicht um ein “traditionelles CVE-Ereignis” handelt, sind die Konsequenzen der Funktionsänderung und dem Umgang mit vorhandenen Sicherheitskonzepten, welche diesen Anwendungsfall naturgemäß vorab nicht berücksichtigen konnten, weitreichend und bedeutsam.
Die gute Nachricht: Wir als braincon sind von dieser Maßnahme natürlich ebenfalls betroffen.
Daher haben wir haben unsere Prozesse und Werkzeuge angepasst, neu verprobt und haben daraus ein mehrstufiges Lösungskonzept für Sie erarbeitet, welches wir Ihnen gerne anbieten möchten:
Bei den beschriebenen Maßnahmen handelt es sich natürlich um zeitintensive Vorgänge, die trotz der Dringlichkeit ausreichend Planungsvorlauf benötigen. Wenden Sie sich bitte an Ihre Vertriebsansprechpartner (alternativ via vertrieb@braincon.de) bei uns im Haus, um ein entsprechendes Maßnahmenpaket zu vereinbaren. Aufgrund der technischen Komplexität können unsere Experten keine AdHoc-Hilfestellung anbieten, damit wir anschließende Funktionsprobleme ausschließen können.
Microsoft hat überraschend und mit ungewöhnlich kurzem Vorlauf eine erhebliche Änderung im Umgang mit Konzepten für das Teilen von Daten mit externen Geschäftspartnern/Gästen in den Produkten Teams, OneDrive for Business und SharePoint Online (SPO) angekündigt. Diese befindet sich bereits in der aktiven Umsetzung und Rollout in allen weltweiten M365 Tenants. Bislang war es recht einfach, […]
Aktuell werden viele Angriffe auf Microsoft Konten gemeldet. Diese Angriffe laufen teilweise unterstützt durch künstliche Intelligenz und werden unter anderem über eine Phishing-as-a-Service Plattform durchgeführt: “Kali365”. Die resultierenden Angriffsemails sind von hoher Qualität und teilweise auch in deutscher Sprache verfasst. Details zur Gefährdung Betroffene Produkte Alle O365 Online-Services, die von Microsoft bereitgestellt werden, unter anderem: […]
Wir möchten Sie darüber informieren, dass es aufgrund der am Sonntag, den 26.10.2025 bevorstehenden Umstellung auf die Winterzeit (von 03:00 auf 02:00 Uhr) zu Problemen beim Einsatz von Citrix Provisioning Services (PVS) kommen kann. Wenn bei Ihnen Citrix PVS/MCS nicht im Einsatz ist, ist diese E-Mail für Sie nicht relevant. Wir empfehlen dringend, geplante Server […]
Wir möchten Sie dafür sensibilisieren und darüber informieren, dass Microsoft jeweils im September und im Oktober eine Deadline für länger angekündigte Härtungsmaßnahmen nunmehr alternativlos umsetzt. Bei untauglichen Ausgangsvoraussetzungen Ihrer Umgebung wird es dann zu Funktionseinschränkungen kommen, die in der “ersten Welle” auch nicht immer zweifelsfrei eine Zuordnung auf die Ursache ermöglichen, wenn die Zusammenhänge/Abhängigkeiten nicht […]
Wir möchten Sie darüber informieren, dass bezüglich der Schwachstellen (CVE-2025-7775, CVE-2025-7776, CVE-2025-8424) in Citrix NetScaler ADC auch Informationen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht wurden: Quelle: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-271252-1032.pdf?__blob=publicationFile&v=4 Citrix NetScaler ADC und NetScaler Gateway: Angriffe auf ungeschützte Instanzen - bsi.bund.de Am 26. August 2025 veröffentlichte Citrix ein Security Bulletin zu drei neu entdeckten […]
Citrix hat Details zu Schwachstellen (CVE-2025-7775, CVE-2025-7776 and CVE-2025-8424) in Citrix NetScaler veröffentlicht und Fixes bereitgestellt, welche die betroffene Lücke schließen.Der Hersteller empfiehlt dringend, die entsprechende Firmware zu installieren und kommentiert folgendermaßen: CVE ID Description Pre-requisites CWE CVSS CVE-2025-7775 Memory overflow vulnerability leading to Remote Code Execution and/or Denial of Service NetScaler must […]
Sehr geehrte Geschäftspartner der braincon GmbH, Citrix hat Details zu Schwachstellen (CVE-2025-5349 und CVE-2025-5777) in Citrix NetScaler veröffentlicht und Fixes bereitgestellt, welche die betroffene Lücke schließen.Der Hersteller empfiehlt dringend, die entsprechende Firmware zu installieren und kommentiert folgendermaßen: CVE ID Description Pre-requisites CWE CVSS CVE-2025-5349 Improper access control on the NetScaler Management Interface Access […]
CITRIX hat heute umfassende Informationen über Schwachstellen in diversen Produkten veröffentlicht. Im folgenden haben wir uns erlaubt, diese für Sie übersichtlich darzustellen, mit Verlinkung auf die Herstellerinformation und Downloads, absteigend sortiert nach dem CVSS v4.0 Base Score. Produkt CVE CWE CVSS Pre-Requisites Description Link Download Citrix Application Delivery Management(NetScaler, Console,etc) CVE-2024-6235 CWE-287: Improper Authentication 9,4 […]
CITRIX hat Details zu einer sehr schwerwiegenden Schwachstelle (CVE-2023-6548 und CVE-2023-6549) in CITRIX NetScaler veröffentlicht, mit einer Bewertung von 8,2 (von 10) auf der CVSS-Skala.Es wurden Fixes bereitgestellt, welche die betroffene Lücke schließen. Der Hersteller empfiehlt dringend, die entsprechende Firmware zu installieren und kommentiert folgendermaßen: „NetScaler ADC and NetScaler Gateway contain the vulnerabilities described below.“ […]
CITRIX hat Details zu einer sehr schwerwiegenden Schwachstelle (2023-4966) in CITRIX NetScaler veröffentlicht mit einer Bewertung von 9.4 (von 10) auf der CVSS-Skala.
Es wurden Fixes bereitgestellt, welche die betroffene Lücke schließen. Der Hersteller empfiehlt dringend, die entsprechende Firmware zu installieren.
