Skip to main content

_General

Created by Markus Funk, last modified on 14.Okt. 2025

Hier ist ein strukturierter Sofortmaßnahmen-Plan (technisch + organisatorisch), den ihr als IT-Dienstleister für euren betroffenen Kunden schnell durchziehen solltet, wenn ein Microsoft 365-Konto durch Phishing kompromittiert wurde.

Technische / operative Maßnahmen

Diese Schritte solltest du möglichst sofort einleiten — idealerweise parallel — um den Schaden zu begrenzen und das System wieder unter Kontrolle zu bringen.

Phase

Maßnahmen

Details / Hinweise

  1. Erste Eindämmung („Containment“) & Sperrung

  • Benutzerkonto deaktivieren / sperren (AccountEnabled = false)

  • Passwort (und ggf. Kennwörter in AD, falls synchronisiert) sofort zurücksetzen, und zwar starkes, neues Passwort • Alle aktiven Sitzungen / Tokens / OAuth-Verbindungen / App-Passwörter widerrufen / entziehen • Multifaktor­authentifizierung (MFA) erzwingen / sicherstellen für alle Konten, insbesondere Admin-Konten • Mailfluss prüfen: ausgehende E-Mails blockieren / einschränken bis Restore • Prüfen, ob unautorisierte Weiterleitungen (Inbox-Regeln, automatische Weiterleitungen) eingerichtet wurden • Überprüfen von verbundener Apps, OAuth-Apps, Drittanbieter-Integrationen auf unautorisierte Zugriffe • Evtl. Connector-Konfigurationen prüfen / unautorisierte Veränderungen rückgängig machen (Inbound/Outbound Connectoren)

  1. Forensik & Untersuchung

  • Loganalyse: Prüfen von Audit-Logs, Anmeldungen, Browser-Agents, IP-Adressen, Zeitstempel • Ermitteln, wie der Angreifer eingedrungen ist (z. B. Phishing, Credential Stuffing, Session Hijack) • Erkennen von Persistenzmechanismen: z. B. eigene Administratorberechtigungen, Backdoor-Office-Add-ins, Drittanbieter-Apps • Überprüfen, ob weitere Konten kompromittiert wurden (z. B. via lateral movement) • Mailflow-Analyse: ausgehende Mails, Relay-Verhalten, verdächtige Trafficmuster • Connector-Veränderungen: neue Connectoren, modifizierte IPs, Domäneneinstellungen revertieren

  • Untersuchung kompromittierter Anwendungen / Add-ins im Tenant

  • Beweissicherung: Screenshots, Logs, Export von relevanten Daten • Dokumentation der Schritte (wer hat was, wann, wie)

  1. Bereinigung / Wiederherstellung (Eradication & Recovery)

  • Entfernen / Zurücksetzen aller unautorisierten Änderungen • Wiederherstellen von gelöschten Postfächern / Daten (sofern betroffen) • In schrittweiser Reihenfolge den normalen Mailfluss zurückführen • Neue, sichere Konfiguration: Richtlinien, Einschränkungen, Zugriffsrechte • Einstellung verstärkter Anti-Phishing-/ Anti-Spam-Sicherheitsstufen (z. B. Safe Links, Safe Attachments, Impersonation Protection)

  • Überprüfung & Anpassen von DMARC, DKIM, SPF für E-Mail-Authentifizierung • Nutzer informieren / zurücksetzen: App-Passwörter, gekoppelte Geräte • Monitoring aktivieren: engmaschige Überwachung in den ersten Tagen • Penetrationstests / Simulationsangriffe, Phishing-Simulationen nach dem Wiederherstellen

  1. Lessons Learned & Härtung (Post-Incident)

  • Root-Cause Analyse: Wie konnte der Angriff gelingen? • Maßnahmenableitung: wo Lücken (z. B. Schulung, Konfiguration) bestehen • Sicherheitskonzept überarbeiten • Regelmäßige Phishing-Trainings und Awareness • Einführung / Verstärkung eines Incident Response-Prozesses • Red-Teaming / Pen-Tests / Schwachstellenmanagement • Review von Berechtigungen, least-privilege Prinzip etc.

Besonderes Augenmerk auf Microsoft 365 / Office 365 spezifische Punkte:

  • Verwende Microsofts offizielle Anleitung „Responding to a compromised email account“ als Basis.

  • Nutze Automatisierte Untersuchung & Reaktion (Automated Investigation and Response, AIR) in Microsoft Defender, falls vorhanden.

  • Stelle sicher, dass Anti-Phishing / Sicherheitsrichtlinien richtig getunt sind (z. B. Erhöhung der Schwelle, Aktivierung von Impersonation Protection)

  • Prüfe insbesondere Connectoren (Inbound/Outbound), denn Angreifer nutzen diese oft, um E-Mail-Relays zu etablieren.

Organisatorische Maßnahmen / Datenschutz / Compliance

Parallel zur Technik musst du auch rechtlich und organisatorisch sauber handeln, um regulatorische Vorgaben (z. B. DSGVO) nicht zu verletzen.

Bereich

Maßnahmen / Schritte

Hinweise

Meldepflichten & Datenschutzbehörde

  • Prüfung, ob ein personenbezogener Datenverstoß vorliegt (z. B. personenbezogene Daten wurden betroffen oder unbefugt zugänglich) gemäß DSGVO Art. 4 / Art. 33 • Falls ja: Anzeige an die zuständige Datenschutzaufsichtsbehörde „ohne unangemessene Verzögerung, möglichst binnen 72 Stunden nach Kenntnisnahme“ (Art. 33 DSGVO)

  • In der Meldung:   – Beschreibung der Natur des Verstoßes   – Kategorien und Anzahl der betroffenen Personen und Datensätze   – Name und Kontakt der DPO (oder verantwortliche Ansprechperson)   – Wahrscheinliche Folgen für die Betroffenen   – Maßnahmen, die man ergriffen hat / plant zur Schadensbegrenzung   – Falls nicht alle Informationen zugleich vorliegen, darf Meldung in Phasen erfolgen (Art. 33 (4) DSGVO)

  • Gegebenenfalls Information der betroffenen Personen (Art. 34 DSGVO), wenn hoher Risiko für ihre Rechte und Freiheiten besteht • Zusammenarbeit mit Aufsichtsbehörde, ggf. Audit, Prüfungsanfragen

Vertragspartner / Datenverarbeiter

  • Wenn euer Kunde als Verantwortlicher agiert und ihr als Auftragsverarbeiter: ihr müsst den Vorfall ohne unangemessene Verzögerung dem Auftraggeber melden (Art. 33 (2) DSGVO) • Prüfung, ob Sub-Auftragsverarbeiter betroffen sind / mitbeteiligt • Anpassung von Verträgen / SLAs, falls Lücken in Verantwortung oder Reaktionsregelungen vorliegen

Interne Kommunikation / Wissensmanagement

  • Information der Geschäftsführung / Leitungsebene • Incident Response Team einsetzen, Verantwortlichkeiten klar festlegen • Externe Kommunikation (z. B. Medien) koordinieren • Schulung aller betroffenen Mitarbeiter über die Phishing-Welle • Dokumentation aller Schritte, Entscheidungen, Zeitpunkte • ggf. juristische Beratung / Datenschutzanwalt hinzuziehen

Prävention & organisatorische Maßnahmen

  • Etablierung eines Incident-Response-Plans, mit Rollen, Eskalationsstufen • Regelmäßige Schulungen / Awareness-Programme zu Phishing, Social Engineering • Simulierte Phishing-Tests • Richtlinien für Passwortsicherheit, MFA, Least-Privilege • Sicherheitsprozess für das Onboarding / Offboarding • Externe Penetrationstests und Schwachstellenmanagement • Review der Datenschutzdokumentation, ggf. Anpassung der Datenschutz-Folgenabschätzung

Zeitliche Priorisierung & Parallelität

Da Zeit des Angriffs zählt, sollten die Maßnahmen parallel ablaufen:

  1. Sofort (innerhalb Stunden): Konto sperren / Passwort zurücksetzen / MFA aktivieren / Weiterleitungen deaktivieren

  2. Innerhalb 24 Stunden: Loganalyse starten, Forensik, Connector-Prüfung, Rücksetzen unautorisierter Änderungen

  3. Innerhalb 72 Stunden: Entscheidung über Meldepflicht, ggf. Meldung an Datenschutzbehörde und Betroffene

  4. Nach Stabilisierung: Deep-Dive Root Cause, Lessons Learned, Sicherheitsverbesserungen

No comments to display

Back to top