Auf ein kompromittiertes E-Mail-Konto reagieren

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Umgebung integriert Microsoft Defender für Endpunkt, Microsoft Defender für Office, 365 Microsoft 365 Defender und mehr in das Microsoft 365 Security Center. Erfahren Sie, was es Neues gibt.

Gilt für

Zusammenfassung Erfahren Sie, wie Sie ein angegriffenes E-Mail-Konto in Microsoft 365 erkennen und darauf reagieren.

Was ist ein angegriffenes E-Mail-Konto in Microsoft 365?

Der Zugriff auf Microsoft 365-Postfächer, Daten und andere Dienste wird mithilfe von Anmeldeinformationen gesteuert, z. B. einem Benutzernamen und einem Kennwort oder einer PIN. Wenn es einer anderen Person gelingt, diese Anmeldeinformationen zu stehlen, gelten die Anmeldeinformationen als kompromittiert. Mit ihnen kann sich der Angreifer als der ursprüngliche Benutzer anmelden und unerlaubte Aktionen ausführen.

Mit den gestohlenen Anmeldeinformationen kann der Angreifer zudem auf das Microsoft 365-Postfach des Benutzers sowie auf SharePoint-Ordner oder -Dateien im OneDrive des Benutzers zugreifen. Angreifer senden häufig E-Mails im Namen des ursprünglichen Benutzers an Empfänger innerhalb und außerhalb der Organisation. Wenn der Angreifer Daten an externe Empfänger sendet, wird dies als Daten-Exfiltration bezeichnet.

Symptome eines angegriffenen Microsoft-E-Mail-Kontos

Benutzer stellen möglicherweise ungewöhnliche Aktivitäten in ihren Microsoft 365-Postfächern fest und melden diese. Hier sind einige häufige Symptome:

  • Verdächtige Aktivitäten, z. B. fehlende oder gelöschte E-Mails.
  • Andere Benutzer haben möglicherweise E-Mails von dem angegriffenen Konto erhalten, ohne dass die entsprechende E-Mail im Ordner Gesendete Elemente des Absenders vorhanden ist.
  • Das Vorhandensein von Posteingangsregeln, die nicht vom entsprechenden Benutzer oder Administrator erstellt wurden. Diese Regeln können automatisch E-Mails an unbekannte Adressen weiterleiten oder sie in die Ordner Notizen, Junk-E-Mail oder RSS-Abonnements verschieben.
  • Der Anzeigename des Benutzers wurde möglicherweise in der globalen Adressliste geändert.
  • Es können keine E-Mails aus dem Postfach des Benutzers gesendet werden.
  • Die Ordner „Gesendete Elemente“ oder „Gelöschte Elemente“ in Microsoft Outlook oder Outlook im Web (früher als Outlook Web App bezeichnet) enthalten Nachrichten, die häufig im Zusammenhang mit gehackten Kontos stehen, z. B. „Ich sitze in London fest, sende Geld.“
  • Ungewöhnliche Profiländerungen, z. B. wurden der Name, die Telefonnummer oder die Postleitzahl aktualisiert.
  • Ungewöhnliche Änderungen der Anmeldeinformationen, z. B. sind mehrere Kennwortänderungen erforderlich.
  • Eine E-Mail-Weiterleitung wurde kürzlich hinzugefügt.
  • Eine ungewöhnliche Signatur wurde kürzlich hinzugefügt, z. B. eine gefälschte Banksignatur oder eine Signatur für ein verschreibungspflichtiges Medikament.

Wenn ein Benutzer eines der oben genannten Symptome meldet, sollten Sie weitere Untersuchungen durchführen. Microsoft 365 Defender und das Azure-Portal bieten Tools, mit denen Sie die Aktivität eines Benutzerkontos untersuchen können, von dem Sie vermuten, dass es angegriffen wurde.

  • Einheitliche Überwachungsprotokolle im Microsoft 365 Defender-Portal: Überprüfen Sie alle Aktivitäten des verdächtigen Kontos, indem Sie die Ergebnisse nach dem Datumsbereich (unmittelbar vor dem Auftreten der verdächtigen Aktivität bis zum aktuellen Datum) filtern. Filtern Sie die Aktivitäten nicht während der Suche.

  • Administratorüberwachungsprotokolle im EAC: In Exchange Online können Sie im Exchange Admin Center (EAC) Einträge im Administratorüberwachungsprotokoll durchsuchen und anzeigen. Im Administratorüberwachungsprotokoll werden bestimmte Aktionen aufgezeichnet, die basierend auf den jeweiligen Exchange Online PowerShell-Cmdlets von Administratoren und Benutzern mit Administratorrechten ausgeführt werden. In Einträgen im Administratorüberwachungsprotokoll finden Sie Informationen dazu, welches Cmdlet ausgeführt wurde, welche Parameter verwendet wurden, wer das Cmdlet ausgeführt hat und welche Objekte betroffen sind.

  • Azure AD-Anmeldeprotokolle und andere Risikoberichte im Azure AD-Portal: Überprüfen Sie die Werte in den folgenden Spalten:

    • IP-Adresse überprüfen
    • Anmeldeorte
    • Anmeldezeiten
    • Anmeldeerfolge oder -fehler

Sichern und Wiederherstellen der E-Mail-Funktion für ein vermutlich angegriffenes Microsoft 365-Konto und -Postfach

Selbst nachdem Sie wieder Zugriff auf Ihr Konto haben, hat der Angreifer möglicherweise versteckte Zugangsmöglichkeiten hinzugefügt, durch die er wieder die Kontrolle über das Konto übernehmen kann.

Sie müssen so schnell wie möglich alle folgenden Schritte ausführen, um wieder Zugriff auf Ihr Konto zu erhalten. So stellen Sie sicher, dass der Angreifer nicht wieder die Kontrolle über Ihr Konto übernimmt. Mit diesen Schritten können Sie alle versteckten Zugangsmöglichkeiten entfernen, die der Angreifer möglicherweise zu Ihrem Konto hinzugefügt hat. Nachdem Sie diese Schritte ausgeführt haben, empfehlen wir, dass Sie einen Virenscan durchführen, um sicherzustellen, dass Ihr Computer nicht kompromittiert ist.

Schritt 1: Setzen Sie das Benutzerkennwort zurück.

Folgen Sie den Verfahren unter Zurücksetzen eines Geschäftskennworts für eine andere Person.

Wichtig

  • Senden Sie das neue Kennwort nicht per E-Mail an den vorgesehenen Benutzer, da der Angreifer weiterhin Zugriff auf das Postfach hat.

  • Stellen Sie sicher, dass das Kennwort sicher ist und dass es Groß- und Kleinbuchstaben, mindestens eine Zahl und mindestens ein Sonderzeichen enthält.

  • Verwenden Sie nicht eines Ihrer letzten fünf Kennwörter wieder. Obwohl die Kennwortverlaufsanforderung die Verwendung eines aktuelleren Kennworts zulässt, sollten Sie eines auswählen, das der Angreifer nicht erraten kann.

  • Wenn Ihre lokale Identität mit Microsoft 365 verbunden ist, müssen Sie das Kennwort lokal ändern und dann Ihren Administrator über den Angriff benachrichtigen.

  • Sorgen Sie dafür, dass App-Kennwörter aktualisiert werden. App-Kennwörter werden nicht automatisch widerrufen, wenn ein Benutzerkontokennwort zurückgesetzt wird. Der Benutzer sollte vorhandene App-Kennwörter löschen und neue erstellen. Anweisungen hierzu finden Sie unter Erstellen und Löschen von App-Kennwörtern über die Seite "Zusätzliche Sicherheitsüberprüfung".

  • Es wird dringend empfohlen, dass Sie die mehrstufige Authentifizierung (MFA) aktivieren, um Angriffe zu verhindern, insbesondere für Konten mit Administratorrechten. Weitere Informationen zu MFA finden Sie unter Einrichten der mehrstufigen Authentifizierung.

Schritt 2: Entfernen Sie verdächtige E-Mail-Weiterleitungsadressen.

  1. Öffnen Sie das Microsoft 365 Admin Center unter https://admin.microsoft.com.

  2. Gehen Sie zu Benutzer > Aktive Benutzer. Suchen Sie das fragliche Benutzerkonto, und wählen Sie den Benutzer (Zeile) aus, ohne das Kontrollkästchen zu aktivieren.

  3. Wählen Sie auf der daraufhin angezeigten Detail-Flyoutseite die Registerkarte E-Mail aus.

  4. Wenn der Wert im Abschnitt E-Mail-Weiterleitung Angewendet lautet, klicken Sie auf E-Mail-Weiterleitung verwalten. Deaktivieren Sie auf der angezeigten E-Mail-Weiterleitung-Flyoutseite Alle an dieses Postfach gesendeten E-Mails weiterleiten, und klicken Sie dann auf Änderungen speichern.

Schritt 3: Entfernen Sie verdächtige Posteingangsregeln.

  1. Melden Sie sich beim Postfach des Benutzers mithilfe von Outlook im Web an.

  2. Klicken Sie auf das Zahnradsymbol, und klicken Sie auf E-Mail.

  3. Klicken Sie auf Posteingangs- und Aufräumregeln, und überprüfen Sie die Regeln.

  4. Deaktivieren oder löschen Sie verdächtige Regeln.

Schritt 4: Sorgen Sie dafür, dass der Benutzer wieder E-Mails senden kann.

Wenn das vermutlich angegriffene Postfach unerlaubt zum Senden von Spam-E-Mails verwendet wurde, ist es wahrscheinlich, dass das Senden von E-Mails aus dem Postfach gesperrt wurde.

Um die Sperre aufzuheben, führen Sie die Schritte unter Entfernen von Benutzern, Domänen oder IP-Adressen aus einer Sperrliste nach dem Senden von Spamnachrichten durch.

Schritt 5 (optional): Sperren Sie die Anmeldung beim Benutzerkonto.

Wichtig

Sie können die Anmeldung bei dem vermutlich angegriffenen Konto sperren, bis Sie glauben, dass es sicher ist, den Zugriff wieder zu erlauben.

  1. Öffnen Sie das Microsoft 365 Admin Center unter https://admin.microsoft.com, und navigieren Sie zu Benutzer > Aktive Benutzer.

  2. Suchen Sie das Benutzerkonto, wählen Sie es aus, klicken Sie auf Symbol „Mehr“., und wählen Sie dann Anmeldestatus bearbeiten aus.

  3. Wählen Sie im daraufhin angezeigten Bereich Anmeldung blockieren die Option Anmeldung für diesen Benutzer blockieren aus, und klicken Sie auf Änderungen speichern.

  4. Öffnen Sie das Exchange Admin Center (EAC) unter https://admin.exchange.microsoft.com, und navigieren Sie zu Empfänger > Postfächer.

  5. Suchen Sie den Benutzer und wählen Sie ihn aus. Führen Sie im geöffneten Flyout für Postfachdetails die folgenden Schritte aus:

    • Blockieren Sie im Abschnitt E-Mail-Apps alle verfügbaren Einstellungen, indem Sie die Umschaltfläche nach rechts auf Deaktivieren verschieben:
      • Outlook im Web
      • Outlook Desktop (MAPI)
      • Exchange-Webdienste
      • Mobil (Exchange ActiveSync)
      • IMAP
      • POP3

    Klicken Sie abschließend auf Speichern und dann auf Schließen.

Schritt 6 (optional): Entfernen Sie das vermutlich angegriffen Konto aus allen Administratorrollengruppen.

Hinweis

Die Mitgliedschaft bei der Administratorrollengruppe kann wiederhergestellt werden, nachdem das Konto gesichert wurde.

  1. Öffnen Sie das Microsoft 365 Admin Center unter https://admin.microsoft.com mit einem globalen Administratorkonto, und führen Sie die folgenden Schritte aus:

    1. Wechseln Sie zu Benutzer > Aktive Benutzer.
    2. Suchen Sie das Benutzerkonto, wählen Sie es aus, klicken Sie auf Symbol „Mehr“., und wählen Sie dann Rollen verwalten aus.
    3. Entfernen Sie alle Administratorrollen, die dem Konto zugewiesen sind. Klicken Sie nach Abschluss des Vorgangs auf Änderungen speichern.
  2. Öffnen Sie das Microsoft 365 Defender-Portal unter https://security.microsoft.com, und führen Sie die folgenden Schritte aus:

    1. Wechseln Sie zu Berechtigungen und Rollen > Rollen für E-Mail und Zusammenarbeit > Rollen.
    2. Wählen Sie auf der Seite Berechtigungen die einzelnen Rollengruppen in der Liste aus, und suchen Sie im der daraufhin angezeigten Flyout mit den Details im Abschnitt Mitglieder nach dem Benutzerkonto. Führen Sie die folgenden Schritte aus, wenn die Rollengruppe das Benutzerkonto enthält:
      1. Klicken Sie im Abschnitt Mitglieder auf Bearbeiten.

      2. Klicken Sie im der daraufhin angezeigten Flyout Mitglieder auswählen bearbeiten auf Bearbeiten.

      3. Klicken Sie im daraufhin angezeigten Flyout Mitglieder auswählen auf Entfernen.

      4. Wählen Sie im nun angezeigten Flyout das Benutzerkonto aus, und klicken Sie dann auf Entfernen.

        Klicken Sie abschließend auf Fertig, Speichern und dann Schließen.

  3. Öffnen Sie das EAC unter https://admin.exchange.microsoft.com, und führen Sie die folgenden Schritte aus:

    1. Wählen Sie Rollen > Administratorrollen aus.
    2. Wählen Sie auf der Seite Administratorrollen die einzelnen Rollengruppen und im Detailbereich die Registerkarte Zugewiesen aus, um die Benutzerkonten zu überprüfen. Führen Sie die folgenden Schritte aus, wenn die Rollengruppe das Benutzerkonto enthält:
      1. Wählen Sie das Benutzerkonto aus.

      2. Klicken Sie auf das Symbol „Löschen“.

        Klicken Sie nach Abschluss des Vorgangs auf Speichern.

Schritt 7 (optional): Zusätzliche Vorsichtsmaßnahmen

  1. Stellen Sie sicher, dass Sie die gesendeten Elemente überprüfen. Möglicherweise müssen Sie Personen in Ihrer Kontaktliste informieren, dass Ihr Konto manipuliert wurde. Angreifer können sie um Geld gebeten haben, z. B. unter dem Vorwand, dass Sie in einem anderen Land in einer Notsituation sind und Geld benötigen, oder der Angreifer hat ihnen möglicherweise einen Virus gesendet, um auch ihren Computer anzugreifen.

  2. Alle anderen Dienste, die dieses Exchange-Konto als alternatives E-Mail-Konto verwendet haben, wurden möglicherweise auch manipuliert. Führen Sie diese Schritte zunächst für Ihr Microsoft 365-Abonnement aus, und danach für Ihre anderen Konten.

  3. Stellen Sie sicher, dass Ihre Kontaktinformationen, z. B. Telefonnummern und Adressen, richtig sind.

Sichern von Microsoft 365 wie ein Profi für Internetsicherheit

Ihr Microsoft 365-Abonnement bietet eine Reihe von leistungsfähigen Funktionen für Sicherheit, die Sie zum Schutz Ihrer Daten und Ihrer Benutzer verwenden können. Verwenden Sie die Microsoft 365-Sicherheits-Roadmap: Top-Prioritäten für die ersten 30 Tage, 90 Tage und darüber hinaus zum Implementieren von empfohlenen Microsoft-Best-Practices für den Schutz Ihres Microsoft 365-Mandanten.

  • Aufgaben, die in den ersten 30 Tagen ausgeführt werden sollten. Diese sind unmittelbar gültig und haben nur geringe Auswirkungen für die Benutzer.
  • Aufgaben, die innerhalb von 90 Tagen ausgeführt werden sollten. Diese erfordern etwas mehr Zeit für Planung und Implementierung, stärken die Sicherheit Ihres Unternehmens jedoch erheblich.
  • Nach 90 Tagen. Diese Verbesserungen werden in den ersten 90 Tagen Ihrer Arbeit umgesetzt.

Siehe auch