Auf ein kompromittiertes E-Mail-Konto reagieren

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Zusammenfassung Erfahren Sie, wie Sie ein angegriffenes E-Mail-Konto in Microsoft 365 erkennen und darauf reagieren.

Was ist ein angegriffenes E-Mail-Konto in Microsoft 365?

Der Zugriff auf Microsoft 365-Postfächer, Daten und andere Dienste wird mithilfe von Anmeldeinformationen gesteuert, z. B. einem Benutzernamen und einem Kennwort oder einer PIN. Wenn es einer anderen Person gelingt, diese Anmeldeinformationen zu stehlen, gelten die Anmeldeinformationen als kompromittiert. Mit ihnen kann sich der Angreifer als der ursprüngliche Benutzer anmelden und unerlaubte Aktionen ausführen.

Mit den gestohlenen Anmeldeinformationen kann der Angreifer zudem auf das Microsoft 365-Postfach des Benutzers sowie auf SharePoint-Ordner oder -Dateien im OneDrive des Benutzers zugreifen. Angreifer senden häufig E-Mails im Namen des ursprünglichen Benutzers an Empfänger innerhalb und außerhalb der Organisation. Wenn der Angreifer Daten an externe Empfänger sendet, wird dies als Daten-Exfiltration bezeichnet.

Symptome eines angegriffenen Microsoft-E-Mail-Kontos

Benutzer stellen möglicherweise ungewöhnliche Aktivitäten in ihren Microsoft 365-Postfächern fest und melden diese. Hier sind einige häufige Symptome:

  • Verdächtige Aktivitäten, z. B. fehlende oder gelöschte E-Mails.
  • Andere Benutzer haben möglicherweise E-Mails von dem angegriffenen Konto erhalten, ohne dass die entsprechende E-Mail im Ordner Gesendete Elemente des Absenders vorhanden ist.
  • Das Vorhandensein von Posteingangsregeln, die nicht vom entsprechenden Benutzer oder Administrator erstellt wurden. Diese Regeln können automatisch E-Mails an unbekannte Adressen weiterleiten oder sie in die Ordner Notizen, Junk-E-Mail oder RSS-Abonnements verschieben.
  • Der Anzeigename des Benutzers wurde möglicherweise in der globalen Adressliste geändert.
  • Es können keine E-Mails aus dem Postfach des Benutzers gesendet werden.
  • Die Ordner „Gesendete Elemente“ oder „Gelöschte Elemente“ in Microsoft Outlook oder Outlook im Web (früher als Outlook Web App bezeichnet) enthalten Nachrichten, die häufig im Zusammenhang mit gehackten Kontos stehen, z. B. „Ich sitze in London fest, sende Geld.“
  • Ungewöhnliche Profiländerungen, z. B. wurden der Name, die Telefonnummer oder die Postleitzahl aktualisiert.
  • Ungewöhnliche Änderungen der Anmeldeinformationen, z. B. sind mehrere Kennwortänderungen erforderlich.
  • Eine E-Mail-Weiterleitung wurde kürzlich hinzugefügt.
  • Eine ungewöhnliche Signatur wurde kürzlich hinzugefügt, z. B. eine gefälschte Banksignatur oder eine Signatur für ein verschreibungspflichtiges Medikament.

Wenn ein Benutzer eines der oben genannten Symptome meldet, sollten Sie weitere Untersuchungen durchführen. Das Microsoft 365 Defender-Portal und das Azure-Portal bieten Tools, die Ihnen dabei helfen, die Aktivitäten eines Benutzerkontos zu untersuchen, von dem Sie vermuten, dass es kompromittiert sein könnte.

  • Einheitliche Überwachungsprotokolle im Microsoft 365 Defender-Portal: Überprüfen Sie alle Aktivitäten des verdächtigen Kontos, indem Sie die Ergebnisse nach dem Datumsbereich (unmittelbar vor dem Auftreten der verdächtigen Aktivität bis zum aktuellen Datum) filtern. Filtern Sie die Aktivitäten nicht während der Suche. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls im Compliance Center.

  • Azure AD-Anmeldeprotokolle und andere Risikoberichte im Azure AD-Portal: Überprüfen Sie die Werte in den folgenden Spalten:

    • IP-Adresse überprüfen
    • Anmeldeorte
    • Anmeldezeiten
    • Anmeldeerfolge oder -fehler

Sichern und Wiederherstellen der E-Mail-Funktion für ein vermutlich angegriffenes Microsoft 365-Konto und -Postfach

Selbst nachdem Sie wieder Zugriff auf Ihr Konto haben, hat der Angreifer möglicherweise versteckte Zugangsmöglichkeiten hinzugefügt, durch die er wieder die Kontrolle über das Konto übernehmen kann.

Sie müssen so schnell wie möglich alle folgenden Schritte ausführen, um wieder Zugriff auf Ihr Konto zu erhalten. So stellen Sie sicher, dass der Angreifer nicht wieder die Kontrolle über Ihr Konto übernimmt. Mit diesen Schritten können Sie alle versteckten Zugangsmöglichkeiten entfernen, die der Angreifer möglicherweise zu Ihrem Konto hinzugefügt hat. Nachdem Sie diese Schritte ausgeführt haben, empfehlen wir, dass Sie einen Virenscan durchführen, um sicherzustellen, dass Ihr Computer nicht kompromittiert ist.

Schritt 1: Setzen Sie das Benutzerkennwort zurück.

Folgen Sie den Verfahren unter Zurücksetzen eines Geschäftskennworts für eine andere Person.

Wichtig

  • Senden Sie das neue Kennwort nicht per E-Mail an den vorgesehenen Benutzer, da der Angreifer weiterhin Zugriff auf das Postfach hat.

  • Stellen Sie sicher, dass das Kennwort sicher ist und dass es Groß- und Kleinbuchstaben, mindestens eine Zahl und mindestens ein Sonderzeichen enthält.

  • Verwenden Sie nicht eines Ihrer letzten fünf Kennwörter wieder. Obwohl die Kennwortverlaufsanforderung die Verwendung eines aktuelleren Kennworts zulässt, sollten Sie eines auswählen, das der Angreifer nicht erraten kann.

  • Wenn Ihre lokale Identität mit Microsoft 365 verbunden ist, müssen Sie das Kennwort lokal ändern und dann Ihren Administrator über den Angriff benachrichtigen.

  • Sorgen Sie dafür, dass App-Kennwörter aktualisiert werden. App-Kennwörter werden nicht automatisch widerrufen, wenn ein Benutzerkontokennwort zurückgesetzt wird. Der Benutzer sollte vorhandene App-Kennwörter löschen und neue erstellen. Anweisungen hierzu finden Sie unter Erstellen und Löschen von App-Kennwörtern über die Seite "Zusätzliche Sicherheitsüberprüfung".

  • Es wird dringend empfohlen, dass Sie die mehrstufige Authentifizierung (MFA) aktivieren, um Angriffe zu verhindern, insbesondere für Konten mit Administratorrechten. Weitere Informationen zu MFA finden Sie unter Einrichten der mehrstufigen Authentifizierung.

Schritt 2: Entfernen Sie verdächtige E-Mail-Weiterleitungsadressen.

  1. Wechseln Sie im Microsoft 365 Admin Center unter https://admin.microsoft.comzu Benutzer>Aktive Benutzer. Um direkt zur Seite Aktive Benutzer zu wechseln, verwenden Sie https://admin.microsoft.com/Adminportal/Home#/users.

  2. Suchen Sie auf der Seite Aktive Benutzer das betreffende Benutzerkonto, und wählen Sie den Benutzer (Zeile) aus, ohne das Kontrollkästchen zu aktivieren.

  3. Wählen Sie auf der daraufhin angezeigten Detail-Flyoutseite die Registerkarte E-Mail aus.

  4. Wenn der Wert im Abschnitt E-Mail-WeiterleitungAngewendet lautet, klicken Sie auf E-Mail-Weiterleitung verwalten. Deaktivieren Sie auf der angezeigten E-Mail-Weiterleitung-Flyoutseite Alle an dieses Postfach gesendeten E-Mails weiterleiten, und klicken Sie dann auf Änderungen speichern.

Schritt 3: Entfernen Sie verdächtige Posteingangsregeln.

  1. Melden Sie sich beim Postfach des Benutzers mithilfe von Outlook im Web an.

  2. Klicken Sie auf das Zahnradsymbol, und klicken Sie auf E-Mail.

  3. Klicken Sie auf Posteingangs- und Aufräumregeln, und überprüfen Sie die Regeln.

  4. Deaktivieren oder löschen Sie verdächtige Regeln.

Schritt 4: Sorgen Sie dafür, dass der Benutzer wieder E-Mails senden kann.

Wenn das vermutlich angegriffene Postfach unerlaubt zum Senden von Spam-E-Mails verwendet wurde, ist es wahrscheinlich, dass das Senden von E-Mails aus dem Postfach gesperrt wurde.

Um die Sperre aufzuheben, führen Sie die Schritte unter Entfernen von Benutzern, Domänen oder IP-Adressen aus einer Sperrliste nach dem Senden von Spamnachrichten durch.

Schritt 5 (optional): Sperren Sie die Anmeldung beim Benutzerkonto.

Wichtig

Sie können die Anmeldung bei dem vermutlich angegriffenen Konto sperren, bis Sie glauben, dass es sicher ist, den Zugriff wieder zu erlauben.

  1. Wechseln Sie im Microsoft 365 Admin Center unter https://admin.microsoft.comzu Benutzer>Aktive Benutzer. Um direkt zur Seite Aktive Benutzer zu wechseln, verwenden Sie https://admin.microsoft.com/Adminportal/Home#/users.

  2. Suchen Sie auf der Seite Aktive Benutzer nach dem Benutzerkonto, und wählen Sie es aus, klicken Sie auf Das Symbol Mehr, und wählen Sie dann Anmeldestatus bearbeiten aus.

  3. Wählen Sie im daraufhin angezeigten Bereich Anmeldung blockieren die Option Anmeldung für diesen Benutzer blockieren aus, und klicken Sie auf Änderungen speichern.

  4. Wechseln Sie im Exchange Admin Center (EAC) unter https://admin.exchange.microsoft.comzu Empfänger Postfächer>. Um direkt zur Seite Postfächer zu gelangen, verwenden Sie https://admin.exchange.microsoft.com/#/mailboxes.

  5. Suchen Sie auf der Seite Postfächer den Benutzer und wählen Sie ihn aus. Das Flyout mit den Postfachdetails wird geöffnet. Führen Sie dort die folgenden Schritte aus:

    • Wählen Sie im Abschnitt E-Mail-Apps die Option Einstellungen für E-Mail-Apps verwalten aus. Blockieren Sie im angezeigten Flyout Einstellungen für E-Mail-Apps verwalten alle verfügbaren Einstellungen, indem Sie den Schalter auf die rechte Seite Deaktivieren verschieben.
      • Outlook im Web
      • Outlook Desktop (MAPI)
      • Exchange-Webdienste
      • Mobil (Exchange ActiveSync)
      • IMAP
      • POP3

    Klicken Sie abschließend auf Speichern und dann auf Schließen.

Schritt 6 (optional): Entfernen Sie das vermutlich angegriffen Konto aus allen Administratorrollengruppen.

Hinweis

Die Mitgliedschaft bei der Administratorrollengruppe kann wiederhergestellt werden, nachdem das Konto gesichert wurde.

  1. Führen Sie im Microsoft 365 Admin Center unter https://admin.microsoft.com die folgenden Schritte aus:

    1. Wechseln Sie zu Benutzer>Aktive Benutzer. Um direkt zur Seite Aktive Benutzer zu wechseln, verwenden Sie https://admin.microsoft.com/Adminportal/Home#/users.
    2. Suchen Sie auf der Seite Aktive Benutzer nach dem Benutzerkonto, und wählen Sie es aus, klicken Sie auf Das Symbol , und wählen Sie dann Rollen verwalten aus.
    3. Entfernen Sie alle Administratorrollen, die dem Konto zugewiesen sind. Klicken Sie nach Abschluss des Vorgangs auf Änderungen speichern.
  2. führen Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.com die folgenden Schritte aus:

    1. Wechseln Sie zu Berechtigungen & Rollen>Email Rollen für die & ZusammenarbeitRollen.> Über https://security.microsoft.com/emailandcollabpermissions können Sie direkt zur Seite Berechtigungen wechseln.
    2. Wählen Sie auf der Seite Berechtigungen die einzelnen Rollengruppen in der Liste aus, und suchen Sie im der daraufhin angezeigten Flyout mit den Details im Abschnitt Mitglieder nach dem Benutzerkonto. Führen Sie die folgenden Schritte aus, wenn die Rollengruppe das Benutzerkonto enthält:
      1. Klicken Sie im Abschnitt Mitglieder auf Bearbeiten.

      2. Klicken Sie im der daraufhin angezeigten Flyout Mitglieder auswählen bearbeiten auf Bearbeiten.

      3. Klicken Sie im daraufhin angezeigten Flyout Mitglieder auswählen auf Entfernen.

      4. Wählen Sie im nun angezeigten Flyout das Benutzerkonto aus, und klicken Sie dann auf Entfernen.

        Klicken Sie abschließend auf Fertig, Speichern und dannSchließen.

  3. Führen Sie im Exchange Admin Center unter https://admin.exchange.microsoft.com/ die folgenden Schritte aus:

    1. Wählen Sie Rollen>Admin Rollen aus. Um direkt zur Seite Administratorrollen zu wechseln, verwenden Sie https://admin.exchange.microsoft.com/#/adminRoles.
    2. Wählen Sie auf der Seite Administratorrollen die einzelnen Rollengruppen und im Detailbereich die Registerkarte Zugewiesen aus, um die Benutzerkonten zu überprüfen. Führen Sie die folgenden Schritte aus, wenn die Rollengruppe das Benutzerkonto enthält:
      1. Wählen Sie das Benutzerkonto aus.

      2. Klicken Sie auf das Symbol Löschen.

        Klicken Sie nach Abschluss des Vorgangs auf Speichern.

Schritt 7 (optional): Zusätzliche Vorsichtsmaßnahmen

  1. Stellen Sie sicher, dass Sie die gesendeten Elemente überprüfen. Möglicherweise müssen Sie Personen in Ihrer Kontaktliste informieren, dass Ihr Konto manipuliert wurde. Angreifer können sie um Geld gebeten haben, z. B. unter dem Vorwand, dass Sie in einem anderen Land in einer Notsituation sind und Geld benötigen, oder der Angreifer hat ihnen möglicherweise einen Virus gesendet, um auch ihren Computer anzugreifen.

  2. Alle anderen Dienste, die dieses Exchange-Konto als alternatives E-Mail-Konto verwendet haben, wurden möglicherweise auch manipuliert. Führen Sie diese Schritte zunächst für Ihr Microsoft 365-Abonnement aus, und danach für Ihre anderen Konten.

  3. Stellen Sie sicher, dass Ihre Kontaktinformationen, z. B. Telefonnummern und Adressen, richtig sind.

Siehe auch