Cyberangriffe sind längst keine Seltenheit mehr – und sie treffen nicht nur grosse Unternehmen. Vor Kurzem durften wir einen solchen Vorfall bei einem unserer Kunden begleiten. In diesem Blogbeitrag möchte ich zeigen, wie ein kompromittiertes Mailkonto erkannt wurde, welche Schritte wir unternommen haben und welche Lehren sich daraus ziehen lassen.
Der Vorfall begann damit, dass uns einer unserer Geschäftskunden kontaktierte:
Von seiner geschäftlichen Mailadresse seien plötzlich diverse E-Mails versendet worden, die nicht von ihm stammten. Ein klassisches Anzeichen für ein kompromittiertes Mailkonto.
Unsere Experten aus dem Support reagierten sofort und sperrten die Anmeldung zum Konto, um weiteren Schaden zu verhindern. Im Anschluss wurde ich für die weitere Analyse und Bereinigung hinzugezogen.
Mit unserer internen Checkliste für kompromittierte Mailkonten führten wir eine systematische Untersuchung durch. Dazu gehörten u.a.:
Die Überprüfung der Anmeldeprotokolle
Kontrolle aller Zugriffe auf die Konten
Analyse des Postfachs auf automatische Regeln (z. B. Weiterleitungen an unbekannte Adressen)
Aufgrund der Analyse stellte sich heraus, dass der Angreifer über ein VPN den Anschein erweckt hatte, der Benutzer befinde sich in Deutschland. Da dieses Land in unserer Conditional-Access-Konfiguration als "sicherer Standort" aufgeführt war, konnte sich der Angreifer trotz aktivierter Multi-Faktor-Authentifizierung einloggen. Ein eingerichteter Sicherheitsmechanismus, der den Angreifer eigentlich hätte stoppen sollen, wurde somit elegant umgangen.
Um die möglichen Auswirkungen einzugrenzen, erstellten wir rasch eine Liste aller Mailempfänger, die Nachrichten vom kompromittierten Konto erhalten hatten. Diese umfassende Liste stellten wir unserem Kunden selbstverständlich zur Verfügung, damit er eine informative E-Mail an alle betroffenen Empfänger senden und über die aktuelle Situation informieren konnte.
Klare und offene Kommunikation ist in solchen Situationen entscheidend – sei es der Austausch zwischen dem Betroffenen und seinen Kundinnen und Kunden oder der Austausch zwischen dem Betroffenen und uns als IT-Provider.
Angreifer nutzen kompromittierte Accounts häufig, um zusätzliche Dienste zu missbrauchen. Darum war es selbstverständlich, dass wir auch noch weitere Dienste überprüfen, so auch:
Power Automate
Microsoft Forms
Angemeldete Geräte
Zwei-Faktor-Registrierungen
Bei dieser Überprüfung entdeckten wir sogar von Angreifern erstellte Microsoft Forms-Umfragen, die wir sofort gelöscht haben. Zusätzlich haben wir das Konto auf allen Geräten abgemeldet und alle verdächtigen Geräte aus dem MFA-Portal entfernt.
Glücklicherweise ergab unsere Analyse, dass keine Zugriffe auf SharePoint oder andere Dienste erfolgt waren.
Da keine Anzeichen für eine tiefere Kompromittierung vorlagen, entschieden wir uns gegen das Löschen und Neuerstellen des Kontos. Stattdessen setzten wir gemeinsam mit dem Kunden:
ein neues sicheres Passwort, und
führten eine komplette Neuregistrierung der Multi-Faktor-Authentifizierung durch.
Während der gesamten Analyse war der Account vorsorglich blockiert, doch bereits nach 12 Stunden konnte der Kunde wieder vollständig arbeiten – ganz ohne Datenverlust.
Auch Standorte, die als „sicher“ gelten, können missbraucht werden – besonders durch VPNs.
Conditional Access muss laufend überprüft und angepasst werden.
Unsere interne Checkliste hat geholfen, systematisch vorzugehen und nichts zu übersehen.
Nur so lässt sich verhindern, dass weitere Personen auf Phishing-Mails reagieren.
Da der Angriff innerhalb einer Stunde entdeckt wurde, konnte grösserer Schaden verhindert werden.
Cyberangriffe werden immer raffinierter. In diesem Fall konnten wir durch eine Kombination aus schneller Reaktion, klaren Prozessen und gründlicher Analyse das Konto des Kunden in kurzer Zeit wiederherstellen.
Solche Ereignisse sind ein eindrucksvoller Reminder daran, wie wichtig es ist, technische Schutzmassnahmen ständig zu überprüfen – und dass auch „sichere“ Einstellungen Hintertüren bieten können.
Kristian Kraljevic hat seine Ausbildung als Informatiker Fachrichtung Support 2012 abgeschlossen und danach die Rekrutenschule inklusive Unteroffiziersschule absolviert. Nach mehreren Jahren im IT‑Support wechselte er 2019 zur Föllmi ICT AG, wo er als Support Engineer startete und heute als System Engineer und Projektleiter tätig ist. Seine Schwerpunkte liegen in Servermigrationen und Telefonieinstallationen (VPBX).
Privat ist er Vater, begeisterter 3D‑Druck‑Fan und liebt DIY‑Projekte.
Stellen Sie mit wenigen Klicks Ihre IT-Lösung zusammen.
Jetzt konfigurieren!Um unsere Website für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.