Reagieren auf ein kompromittiertes E-Mail-Konto

• Gilt für::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Der Zugriff auf Microsoft 365-Postfächer, -Daten und andere Dienste wird durch Anmeldeinformationen (z. B. ein Benutzername und ein Kennwort oder eine PIN) gesteuert. Wenn eine andere Person als der beabsichtigte Benutzer diese Anmeldeinformationen stiehlt, gilt das zugeordnete Konto als kompromittiert.

Nachdem ein Angreifer die Anmeldeinformationen gestohlen und Zugriff auf das Konto erlangt hat, kann er auf das zugeordnete Microsoft 365-Postfach, sharePoint-Ordner oder Dateien auf dem OneDrive des Benutzers zugreifen. Angreifer verwenden häufig das kompromittierte Postfach, um E-Mails als ursprünglicher Benutzer an Empfänger innerhalb und außerhalb des organization zu senden. Angreifer, die E-Mails verwenden, um Daten an externe Empfänger zu senden, werden als Datenexfiltration bezeichnet.

In diesem Artikel werden die Symptome einer Kontokompromittierung und die Wiedererlangung der Kontrolle über das kompromittierte Konto erläutert.

Symptome eines kompromittierten Microsoft-E-Mail-Kontos

Benutzer stellen möglicherweise ungewöhnliche Aktivitäten in ihren Microsoft 365-Postfächern fest und melden diese. Zum Beispiel:

• Verdächtige Aktivitäten, z. B. fehlende oder gelöschte E-Mails.
• Benutzer, die E-Mails vom kompromittierten Konto ohne die entsprechende E-Mail im Ordner "Gesendete Elemente " des Absenders erhalten.
• Posteingangsregeln, die nicht vom Benutzer oder administratoren erstellt wurden. Diese Regeln können E-Mails automatisch an unbekannte Adressen weiterleiten oder Nachrichten in die Ordner Notizen, Junk-Email oder RSS-Abonnements verschieben.
• Der Anzeigename des Benutzers wird in der globalen Adressliste geändert.
• Es können keine E-Mails aus dem Postfach des Benutzers gesendet werden.
• Die Ordner "Gesendete Elemente" oder "Gelöschte Elemente" in Microsoft Outlook oder Outlook im Web (früher als Outlook Web App bezeichnet) enthalten typische Nachrichten für kompromittierte Konten (z. B. "Ich bin in London hängen geblieben, sende Geld")."
• Ungewöhnliche Profiländerungen. Beispielsweise wird der Name, die Telefonnummer oder die Postleitzahl aktualisiert.
• Mehrere und häufige Kennwortänderungen.
• Eine E-Mail-Weiterleitung wurde kürzlich hinzugefügt.
• Ungewöhnliche Signaturen wurden kürzlich hinzugefügt. Zum Beispiel eine gefälschte Banksignatur oder eine verschreibungspflichtige Arzneimittelsignatur.

Wenn ein Benutzer diese Symptome oder andere ungewöhnliche Symptome meldet, sollten Sie dies untersuchen. Das Microsoft Defender-Portal und die Azure-Portal bieten die folgenden Tools, mit denen Sie verdächtige Aktivitäten in einem Benutzerkonto untersuchen können.

• Einheitliche Überwachungsprotokolle im Microsoft Defender-Portal: Filtern Sie die Protokolle nach Aktivitäten anhand eines Datumsbereichs, der unmittelbar vor dem heutigen Auftreten der verdächtigen Aktivität beginnt. Filtern Sie während der Suche nicht nach bestimmten Aktivitäten. Weitere Informationen finden Sie unter Search des Überwachungsprotokolls.

• Microsoft Entra Anmeldeprotokolle und andere Risikoberichte im Microsoft Entra Admin Center: Überprüfen Sie die Werte in diesen Spalten:

  • IP-Adresse überprüfen
  • Anmeldeorte
  • Anmeldezeiten
  • Anmeldeerfolge oder -fehler

Wichtig

Mit der folgenden Schaltfläche können Sie verdächtige Kontoaktivitäten testen und identifizieren. Sie können diese Informationen verwenden, um ein kompromittiertes Konto wiederherzustellen.

Ausführen von Tests: Kompromittierte Konten

Sichern und Wiederherstellen der E-Mail-Funktion in einem kompromittierten Microsoft 365-Konto und -Postfach

Auch nachdem der Benutzer wieder Zugriff auf sein Konto erlangt hat, hat der Angreifer möglicherweise Hintertüreinträge verlassen, die es dem Angreifer ermöglichen, die Kontrolle über das Konto fortzusetzen.

Führen Sie alle folgenden Schritte aus, um die Kontrolle über das Konto wiederzuerlangen. Führen Sie die Schritte aus, sobald Sie ein Problem vermuten, und stellen Sie so schnell wie möglich sicher, dass der Angreifer die Kontrolle über das Konto nicht wieder aufnehmen kann. Mit diesen Schritten können Sie auch alle Hintertüreinträge entfernen, die der Angreifer dem Konto hinzugefügt haben könnte. Nachdem Sie diese Schritte ausgeführt haben, empfehlen wir Ihnen, eine Virenüberprüfung durchzuführen, um sicherzustellen, dass der Clientcomputer nicht kompromittiert ist.

Schritt 1: Zurücksetzen des Kennworts des Benutzers

Folgen Sie den Verfahren unter Zurücksetzen eines Geschäftskennworts für eine andere Person.

Wichtig

• Senden Sie das neue Kennwort nicht per E-Mail an den Benutzer, da der Angreifer zu diesem Zeitpunkt noch Zugriff auf das Postfach hat.

• Achten Sie darauf, ein sicheres Kennwort zu verwenden: Groß- und Kleinbuchstaben, mindestens eine Zahl und mindestens ein Sonderzeichen.

• Selbst wenn die Kennwortverlaufsanforderung dies zulässt, dürfen Sie keines der letzten fünf Kennwörter wiederverwenden. Verwenden Sie ein eindeutiges Kennwort, das der Angreifer nicht erraten kann.

• Wenn die lokale Identität mit Microsoft 365 verbunden ist, müssen Sie das Lokale Kontokennwort ändern und dann den Administrator über die Kompromittierung benachrichtigen.

• Sorgen Sie dafür, dass App-Kennwörter aktualisiert werden. App-Kennwörter werden nicht automatisch widerrufen, wenn Sie das Kennwort zurücksetzen. Der Benutzer sollte vorhandene App-Kennwörter löschen und neue erstellen. Anweisungen finden Sie unter Verwalten von App-Kennwörtern für die zweistufige Überprüfung.

• Es wird dringend empfohlen, die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) für das Konto zu aktivieren. MFA ist eine gute Möglichkeit, um Kontokompromittierungen zu verhindern, und ist für Konten mit Administratorrechten sehr wichtig. Anweisungen finden Sie unter Einrichten der mehrstufigen Authentifizierung.

Schritt 2: Entfernen verdächtiger E-Mail-Weiterleitungsadressen

1. Wechseln Sie im Microsoft 365 Admin Center unter https://admin.microsoft.comzu Benutzer>Aktive Benutzer. Oder verwenden Sie https://admin.microsoft.com/Adminportal/Home#/users, um direkt zur Seite Aktive Benutzer zu wechseln.

2. Suchen Sie auf der Seite Aktive Benutzer nach dem Benutzerkonto, und wählen Sie es aus, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken.

3. Wählen Sie im daraufhin geöffneten Details-Flyout die Registerkarte E-Mail aus.

4. Der Wert Angewendet im Abschnitt Email Weiterleitung gibt an, dass die E-Mail-Weiterleitung für das Konto konfiguriert ist.

   Wählen Sie E-Mail-Weiterleitung verwalten aus, deaktivieren Sie im geöffneten Flyout E-Mail-Weiterleitung verwalten das Kontrollkästchen Alle an dieses Postfach gesendeten E-Mails weiterleiten, und wählen Sie dann Änderungen speichern aus.

Schritt 3: Deaktivieren verdächtiger Posteingangsregeln

1. Melden Sie sich beim Postfach des Benutzers mithilfe von Outlook im Web an.

2. Wählen Sie Einstellungen (Zahnradsymbol) aus, geben Sie "Regeln" in das Feld Search ein, und wählen Sie dann Posteingangsregeln aus den Ergebnissen aus.

3. Überprüfen Sie auf der Registerkarte Regeln des geöffneten Flyouts die vorhandenen Regeln, und deaktivieren oder löschen Sie verdächtige Regeln.

Schritt 4: Aufheben der Blockierung des E-Mail-Versands durch den Benutzer

Wenn das Konto zum Senden von Spam oder einer großen Anzahl von E-Mails verwendet wurde, ist es wahrscheinlich, dass das Postfach für das Senden von E-Mails blockiert wurde.

Um die Blockierung eines Postfachs für das Senden von E-Mails aufzuheben, befolgen Sie die Schritte unter Entfernen blockierter Benutzer von der Seite Eingeschränkte Entitäten.

Schritt 5 (optional): Sperren Sie die Anmeldung beim Benutzerkonto.

Wichtig

Sie können die Anmeldung des Kontos so lange blockieren, bis Sie der Meinung sind, dass es sicher ist, den Zugriff wieder zu aktivieren.

1. Führen Sie die folgenden Schritte im Microsoft 365 Admin Center unter aushttps://admin.microsoft.com:

   1. Wechseln Sie zu Benutzer>Aktive Benutzer. Oder verwenden Sie https://admin.microsoft.com/Adminportal/Home#/users, um direkt zur Seite Aktive Benutzer zu wechseln.
   2. Suchen Sie auf der Seite Aktive Benutzer das Benutzerkonto aus der Liste, und wählen Sie es aus, indem Sie einen der folgenden Schritte ausführen:
      • Wählen Sie den Benutzer aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben dem Namen befindet. Wählen Sie im daraufhin geöffneten Details-Flyout Anmeldung blockieren am oberen Rand des Flyouts aus.
      • Wählen Sie den Benutzer aus, indem Sie das Kontrollkästchen neben dem Namen aktivieren. Wählen Sie Weitere Aktionen>Anmelde-status bearbeiten aus.
   3. Lesen Sie im daraufhin geöffneten Flyout Anmeldung blockieren die Informationen, wählen Sie Die Anmeldung für diesen Benutzer blockieren aus, wählen Sie Änderungen speichern und dann oben im Flyout Schließen aus.

2. Führen Sie die folgenden Schritte im Exchange Admin Center (EAC) unter aus https://admin.exchange.microsoft.com:

   1. Wechseln Sie zu Empfänger>Postfächer. Oder verwenden Sie https://admin.exchange.microsoft.com/#/mailboxes, um direkt zur Seite Postfächer zu wechseln.
   2. Suchen Sie auf der Seite Postfächer den Benutzer aus der Liste, indem Sie einen der folgenden Schritte ausführen:
      • Wählen Sie den Benutzer aus, indem Sie an einer anderen Stelle in der Zeile als dem runden Kontrollkästchen klicken, das neben dem Namen angezeigt wird.
      • Wählen Sie den Benutzer aus, indem Sie das runde Kontrollkästchen aktivieren, das neben dem Namen angezeigt wird, und dann die Aktion Bearbeiten auswählen, die auf der Seite angezeigt wird.
   3. Führen Sie im daraufhin geöffneten Details-Flyout die folgenden Schritte aus:

      1. Vergewissern Sie sich, dass die Registerkarte Allgemein ausgewählt ist, und wählen Sie dann im Abschnitt Email Apps & mobile Geräte die Option Einstellungen für E-Mail-Apps verwalten aus.

      2. Deaktivieren Sie im flyout Einstellungen für E-Mail-Apps verwalten , das geöffnet wird, alle verfügbaren Einstellungen, indem Sie die Umschaltfläche in Deaktiviert ändern:

         • Outlook Desktop (MAPI)
         • Exchange-Webdienste
         • Mobil (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook im Web

         Wenn Sie im Flyout Einstellungen für E-Mail-Apps verwalten fertig sind, wählen Sie Speichern und dann oben im Flyout Schließen aus.

Schritt 6 (optional): Entfernen Sie das vermutlich angegriffen Konto aus allen Administratorrollengruppen.

Hinweis

Sie können die Mitgliedschaft des Benutzers in administrativen Rollengruppen wiederherstellen, nachdem das Konto gesichert wurde.

1. Führen Sie im Microsoft 365 Admin Center unter https://admin.microsoft.com die folgenden Schritte aus:

   1. Wechseln Sie zu Benutzer>Aktive Benutzer. Oder verwenden Sie https://admin.microsoft.com/Adminportal/Home#/users, um direkt zur Seite Aktive Benutzer zu wechseln.

   2. Suchen Sie auf der Seite Aktive Benutzer das Benutzerkonto aus der Liste, und wählen Sie es aus, indem Sie einen der folgenden Schritte ausführen:

      • Wählen Sie den Benutzer aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben dem Namen befindet. Vergewissern Sie sich im daraufhin geöffneten Details-Flyout, dass die Registerkarte Konto ausgewählt ist, und wählen Sie dann im Abschnitt Rollen die Option Rollen verwalten aus.
      • Wählen Sie den Benutzer aus, indem Sie das Kontrollkästchen neben dem Namen aktivieren. Wählen Sie Weitere Aktionen>Rollen verwalten aus.

   3. Führen Sie im daraufhin geöffneten Flyout Verwalten von Administratorrollen die folgenden Schritte aus:

      • Notieren Sie alle Informationen, die Sie später wiederherstellen möchten.
      • Entfernen Sie die Administratorrollenmitgliedschaft, indem Sie Benutzer (kein Admin Center-Zugriff) auswählen.

      Wenn Sie im Flyout Verwalten von Administratorrollen fertig sind, wählen Sie Änderungen speichern aus.

2. Führen Sie im Microsoft Defender-Portal unter https://security.microsoft.comdie folgenden Schritte aus:

   1. Wechseln Sie zu Berechtigungen>Email & Rollen für> die ZusammenarbeitRollen. Oder verwenden Sie https://security.microsoft.com/emailandcollabpermissions, um direkt zur Seite Berechtigungen zu wechseln.
   2. Wählen Sie auf der Seite Berechtigungen eine Rollengruppe aus der Liste aus.
   3. Suchen Sie im Abschnitt Mitglieder des daraufhin geöffneten Details-Flyouts nach dem Benutzerkonto. Führen Sie die folgenden Schritte aus, wenn die Rollengruppe das Benutzerkonto enthält:
      1. Wählen Sie im Abschnitt Mitglieder die Option Bearbeiten aus.
      2. Wählen Sie auf der Registerkarte Mitglieder auswählen des flyouts, das geöffnet wird, die Option Bearbeiten aus.
      3. Wählen Sie im flyout Mitglieder auswählen , das geöffnet wird, die Option Entfernen aus.
      4. Wählen Sie im daraufhin angezeigten Abschnitt Mitglieder das Benutzerkonto aus, indem Sie das Kontrollkästchen neben dem Namen aktivieren, entfernen und dann Fertig auswählen.
      5. Wählen Sie im Flyout Bearbeiten Mitglieder auswählen die Option Speichern aus.
      6. Wählen Sie im Flyout der Rollengruppendetails die Option Schließen aus.
   4. Wiederholen Sie die vorherigen Schritte für jede Rollengruppe in der Liste.

3. Führen Sie im Exchange Admin Center unter https://admin.exchange.microsoft.com/ die folgenden Schritte aus:

   1. Wechseln Sie zu Rollen>Admin Rollen. Oder um direkt zur Seite Admin Rollen zu wechseln, verwenden Sie https://admin.exchange.microsoft.com/#/adminRoles.

   2. Wählen Sie auf der Seite Admin Rollen eine Rollengruppe aus der Liste aus, indem Sie an einer anderen Stelle in der Zeile als dem runden Kontrollkästchen klicken, das neben dem Namen angezeigt wird.

   3. Wählen Sie im daraufhin geöffneten Details-Flyout die Registerkarte Zugewiesen aus, und suchen Sie dann nach dem Benutzerkonto. Führen Sie die folgenden Schritte aus, wenn die Rollengruppe das Benutzerkonto enthält:

      1. Wählen Sie das Benutzerkonto aus.
      2. Wählen Sie die daraufhin angezeigte Aktion Löschen aus, wählen Sie im Warndialogfeld ja, entfernen und dann oben im Flyout Schließen aus.

   4. Wiederholen Sie die vorherigen Schritte für jede Rollengruppe in der Liste.

Schritt 7 (optional): Zusätzliche Vorsichtsmaßnahmen

1. Überprüfen Sie den Inhalt des Ordners Gesendete Elemente des Kontos in Outlook oder Outlook im Web.

   Möglicherweise müssen Sie die Personen in Ihrer Kontaktliste darüber informieren, dass Ihr Konto kompromittiert wurde. Beispielsweise könnte der Angreifer Nachrichten gesendet haben, die Ihre Kontakte um Geld bitten, oder der Angreifer könnte einen Virus gesendet haben, um seine Computer zu kapern.

2. Die Konten für alle anderen Dienste, die dieses Konto als alternatives E-Mail-Konto verwenden, wurden möglicherweise ebenfalls kompromittiert. Nachdem Sie die Schritte in diesem Artikel für das Konto in diesem Microsoft 365 organization ausgeführt haben, führen Sie diese Schritte für Ihre anderen Konten aus.

3. Überprüfen Sie die Kontaktinformationen (z. B. Telefonnummern und Adressen) des Kontos.

Siehe auch

• Erkennen und Korrigieren von Outlook-Regeln und benutzerdefinierten Formularen für Einschleusungsangriffe in Microsoft 365
• Erkennen und Beheben unzulässiger Zustimmungserteilungen
• Internet Crime Complaint Center
• Securities and Exchange Commission – Phishing-Betrug
• Um Spam direkt an Microsoft und Ihren Admin zu melden, verwenden Sie das Report Message-Add-In