Kollegen erhalten merkwürdige E-Mails, angeblich von Ihnen verschickt. Im Postfach tauchen gesendete Nachrichten auf, an die Sie sich nicht erinnern. Die Anmeldung von einem unbekannten Ort wird gemeldet: Ein kompromittiertes Microsoft-365-Konto ist einer der häufigsten Cybervorfälle im Geschäftsalltag, und die ersten Minuten entscheiden, wie weit sich der Zugriff des Angreifers noch ausbreitet.
Sofortmaßnahmen in der richtigen Reihenfolge
- Passwort sofort ändern, von einem nachweislich sauberen Gerät aus, nicht von dem möglicherweise betroffenen.
- Alle aktiven Sitzungen beenden. Microsoft 365 bietet die Möglichkeit, sämtliche angemeldeten Sitzungen zentral zu widerrufen, das trennt den Angreifer sofort, unabhängig vom neuen Passwort.
- Mehrstufige Authentifizierung (MFA) aktivieren oder erzwingen, falls noch nicht geschehen. War MFA bereits aktiv, prüfen Sie, ob eine zusätzliche, unbekannte Authentifizierungsmethode hinterlegt wurde.
- Weiterleitungsregeln kontrollieren. Ein beliebter Trick ist eine unauffällige Regel, die eingehende E-Mails automatisch an eine externe Adresse weiterleitet, oft verbunden mit dem Löschen des Originals.
- Anmeldeprotokoll prüfen. Microsoft 365 zeigt die letzten Anmeldungen inklusive Standort und Gerät, das hilft einzuschätzen, wie lange der Zugriff bereits bestand.
Warum ein gehacktes Konto mehr als ein Passwortproblem ist
Ein Angreifer mit Zugriff auf ein Microsoft-365-Konto sieht in der Regel nicht nur E-Mails, sondern je nach Berechtigung auch OneDrive-Dateien, Teams-Chats und Kalendereinträge. Bei Konten mit administrativen Rechten kann der Schaden noch weiter reichen, bis hin zum Zugriff auf andere Nutzerkonten im selben Tenant.
Typische Anzeichen eines kompromittierten Kontos
- Gesendete E-Mails, an die Sie sich nicht erinnern, oft an viele Kontakte gleichzeitig.
- Ungewöhnliche Anmeldezeiten oder Anmeldungen aus anderen Ländern.
- Kollegen oder Kunden berichten von merkwürdigen Nachrichten in Ihrem Namen.
- Neue, unbekannte Regeln oder App-Berechtigungen im Konto.
Nach der Sofortmaßnahme: Was noch zu klären bleibt
Ist der akute Zugriff des Angreifers unterbunden, ist die Arbeit meist noch nicht zu Ende. Es lohnt sich, in Ruhe nachzuvollziehen, wie der Angreifer überhaupt an die Zugangsdaten gelangt ist, etwa über eine Phishing-E-Mail, ein wiederverwendetes Passwort aus einem anderen Datenleck, oder eine unsichere Verbindung. Ohne diese Nachbetrachtung bleibt das Risiko einer Wiederholung hoch, selbst wenn das aktuelle Konto wieder sicher ist.
Sinnvoll ist außerdem, betroffene Kontakte aktiv zu informieren, wenn in Ihrem Namen verdächtige E-Mails verschickt wurden, statt darauf zu hoffen, dass niemand darauf reagiert. Ein kurzer, offener Hinweis wirkt vertrauensbildender als ein Vorfall, der stillschweigend unter den Teppich gekehrt wird.
Wie IT-Notruf-Saar unterstützt
IT-Notruf-Saar unterstützt bei der Ersteinschätzung eines kompromittierten Kontos, beim Absichern der Sitzungen und Regeln, und im Rahmen des Compliance-Pakets bei der Frage, ob eine Meldung an die Aufsichtsbehörde erforderlich ist.
Verdacht auf ein gehacktes Konto?
Rückmeldung innerhalb einer Stunde, an Werktagen.