Reagieren auf ein kompromittiertes E-Mail-Konto

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Anmeldeinformationen steuern den Zugriff auf Microsoft 365-Postfächer, -Daten und andere Dienste. Wenn jemand diese Anmeldeinformationen stiehlt, gilt das zugeordnete Konto als kompromittiert.

Nachdem ein Angreifer die Anmeldeinformationen gestohlen und Zugriff auf das Konto erlangt hat, kann er auf das zugeordnete Microsoft 365-Postfach, sharePoint-Ordner oder Dateien auf dem OneDrive des Benutzers zugreifen. Angreifer verwenden häufig das kompromittierte Postfach, um E-Mails als ursprünglicher Benutzer an Empfänger innerhalb und außerhalb des organization zu senden. Angreifer, die E-Mails verwenden, um Daten an externe Empfänger zu senden, werden als Datenexfiltration bezeichnet.

In diesem Artikel werden die Symptome einer Kontokompromittierung und die Wiedererlangung der Kontrolle über das kompromittierte Konto erläutert.

Symptome eines kompromittierten Microsoft-E-Mail-Kontos

Benutzer stellen möglicherweise ungewöhnliche Aktivitäten in ihren Microsoft 365-Postfächern fest und melden diese. Zum Beispiel:

  • Verdächtige Aktivitäten, z. B. fehlende oder gelöschte E-Mails.
  • Benutzer, die E-Mails vom kompromittierten Konto ohne die entsprechende E-Mail im Ordner "Gesendete Elemente " des Absenders erhalten.
  • Verdächtige Posteingangsregeln. Diese Regeln können E-Mails automatisch an unbekannte Adressen weiterleiten oder Nachrichten in die Ordner Notizen, Junk-Email oder RSS-Abonnements verschieben.
  • Der Anzeigename des Benutzers wird in der globalen Adressliste geändert.
  • Es können keine E-Mails aus dem Postfach des Benutzers gesendet werden.
  • Die Ordner "Gesendete Elemente" oder "Gelöschte Elemente" in Microsoft Outlook oder Outlook im Web (früher als Outlook Web App bezeichnet) enthalten typische Nachrichten für kompromittierte Konten (z. B. "Ich bin in London hängen geblieben, sende Geld")."
  • Ungewöhnliche Profiländerungen. Beispielsweise Aktualisierungen von Namen, Telefonnummern oder Postleitzahlen.
  • Mehrere und häufige Kennwortänderungen.
  • Kürzlich wurde die externe E-Mail-Weiterleitung hinzugefügt.
  • Ungewöhnliche E-Mail-Nachrichtensignaturen. Zum Beispiel eine gefälschte Banksignatur oder eine verschreibungspflichtige Arzneimittelsignatur.

Sie müssen sofort untersuchen, ob ein Benutzer diese oder andere ungewöhnliche Symptome meldet. Das Microsoft Defender-Portal und die Azure-Portal bieten die folgenden Tools, mit denen Sie verdächtige Aktivitäten in einem Benutzerkonto untersuchen können:

  • Einheitliche Überwachungsprotokolle im Microsoft Defender-Portal: Filtern Sie die Protokolle nach Aktivitäten anhand eines Datumsbereichs, der unmittelbar vor dem heutigen Auftreten der verdächtigen Aktivität beginnt. Filtern Sie während der Suche nicht nach bestimmten Aktivitäten. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls.

  • Microsoft Entra Anmeldeprotokolle und andere Risikoberichte im Microsoft Entra Admin Center: Überprüfen Sie die Werte in diesen Spalten:

    • IP-Adresse überprüfen
    • Anmeldeorte
    • Anmeldezeiten
    • Anmeldeerfolge oder -fehler

Wichtig

Mit der folgenden Schaltfläche können Sie verdächtige Kontoaktivitäten testen und identifizieren. Sie können diese Informationen verwenden, um ein kompromittiertes Konto wiederherzustellen.

Sichern und Wiederherstellen der E-Mail-Funktion in einem kompromittierten Microsoft 365-Konto und -Postfach

Auch nachdem der Benutzer wieder Zugriff auf sein Konto hat, kann der Angreifer Hintertüreinträge verlassen, die die Kontrolle über das Konto wiedererlangen können.

Führen Sie alle folgenden Schritte aus, um die Kontrolle über das Konto wiederzuerlangen. Gehen Sie die Schritte durch, sobald Sie ein Problem vermuten, und stellen Sie so schnell wie möglich sicher, dass der Angreifer die Kontrolle über das Konto nicht wiedererlangt. Mit diesen Schritten können Sie auch alle Hintertüreinträge entfernen, die der Angreifer dem Konto hinzugefügt hat. Nachdem Sie diese Schritte ausgeführt haben, empfehlen wir Ihnen, eine Virenüberprüfung durchzuführen, um sicherzustellen, dass der Clientcomputer nicht kompromittiert ist.

Schritt 1: Zurücksetzen des Kennworts des Benutzers

Folgen Sie den Verfahren unter Zurücksetzen eines Geschäftskennworts für eine andere Person.

Wichtig

  • Senden Sie das neue Kennwort nicht per E-Mail an den Benutzer, da der Angreifer zu diesem Zeitpunkt noch Zugriff auf das Postfach hat.

  • Achten Sie darauf, ein sicheres Kennwort zu verwenden: Groß- und Kleinbuchstaben, mindestens eine Zahl und mindestens ein Sonderzeichen.

  • Selbst wenn die Kennwortverlaufsanforderung dies zulässt, dürfen Sie keines der letzten fünf Kennwörter wiederverwenden. Verwenden Sie ein eindeutiges Kennwort, das der Angreifer nicht erraten kann.

  • Wenn die Identität des Benutzers mit Microsoft 365 verbunden ist, müssen Sie das Kontokennwort in der lokalen Umgebung ändern und dann den Administrator über die Kompromittierung benachrichtigen.

  • Sorgen Sie dafür, dass App-Kennwörter aktualisiert werden. App-Kennwörter werden nicht automatisch widerrufen, wenn Sie das Kennwort zurücksetzen. Der Benutzer sollte vorhandene App-Kennwörter löschen und neue erstellen. Anweisungen finden Sie unter Verwalten von App-Kennwörtern für die zweistufige Überprüfung.

  • Es wird dringend empfohlen, die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) für das Konto zu aktivieren. MFA ist eine gute Möglichkeit, um Kontokompromittierungen zu verhindern, und ist für Konten mit Administratorrechten sehr wichtig. Anweisungen finden Sie unter Einrichten der mehrstufigen Authentifizierung.

Schritt 2: Entfernen verdächtiger E-Mail-Weiterleitungsadressen

  1. Wechseln Sie im Microsoft 365 Admin Center unter https://admin.microsoft.comzu Benutzer>Aktive Benutzer. Oder verwenden Sie https://admin.microsoft.com/Adminportal/Home#/users, um direkt zur Seite Aktive Benutzer zu wechseln.

  2. Suchen Sie auf der Seite Aktive Benutzer nach dem Benutzerkonto, und wählen Sie es aus, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken.

  3. Wählen Sie im daraufhin geöffneten Details-Flyout die Registerkarte E-Mail aus.

  4. Auf der Registerkarte E-Mail gibt der Wert Angewendet im Abschnitt Email Weiterleitung an, dass die E-Mail-Weiterleitung für das Konto konfiguriert ist. Führen Sie die folgenden Schritte aus, um sie zu entfernen:

    • Wählen Sie E-Mail-Weiterleitung verwalten aus.
    • Deaktivieren Sie im geöffneten Flyout E-Mail-Weiterleitung verwalten das Kontrollkästchen Alle an dieses Postfach gesendeten E-Mails weiterleiten , und wählen Sie dann Änderungen speichern aus.

Schritt 3: Deaktivieren verdächtiger Posteingangsregeln

  1. Melden Sie sich beim Postfach des Benutzers mithilfe von Outlook im Web an.

  2. Wählen Sie Einstellungen (Zahnradsymbol) aus, geben Sie "Regeln" in das Feld Sucheinstellungen ein, und wählen Sie dann Posteingangsregeln in den Ergebnissen aus.

  3. Überprüfen Sie im daraufhin geöffneten Flyout Regeln die vorhandenen Regeln, und deaktivieren oder löschen Sie verdächtige Regeln.

Schritt 4: Aufheben der Blockierung des E-Mail-Versands durch den Benutzer

Wenn das Konto zum Senden von Spam oder einer großen Anzahl von E-Mails verwendet wurde, ist es wahrscheinlich, dass das Postfach für das Senden von E-Mails blockiert ist.

Um die Blockierung eines Postfachs für das Senden von E-Mails aufzuheben, befolgen Sie die Schritte unter Entfernen blockierter Benutzer von der Seite Eingeschränkte Entitäten.

Schritt 5 (optional): Sperren Sie die Anmeldung beim Benutzerkonto.

Wichtig

Sie können die Anmeldung des Kontos so lange blockieren, bis Sie der Meinung sind, dass es sicher ist, den Zugriff wieder zu aktivieren.

  1. Führen Sie die folgenden Schritte im Microsoft 365 Admin Center unter aushttps://admin.microsoft.com:

    1. Wechseln Sie zu Benutzer>Aktive Benutzer. Oder verwenden Sie https://admin.microsoft.com/Adminportal/Home#/users, um direkt zur Seite Aktive Benutzer zu wechseln.
    2. Suchen Sie auf der Seite Aktive Benutzer das Benutzerkonto aus der Liste, und wählen Sie es aus, indem Sie einen der folgenden Schritte ausführen:
      • Wählen Sie den Benutzer aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben dem Namen befindet. Wählen Sie im daraufhin geöffneten Details-Flyout Anmeldung blockieren am oberen Rand des Flyouts aus.
      • Wählen Sie den Benutzer aus, indem Sie das Kontrollkästchen neben dem Namen aktivieren. Wählen Sie Weitere Aktionen>Anmelde-status bearbeiten aus.
    3. Lesen Sie im daraufhin geöffneten Flyout Anmeldung blockieren die Informationen, wählen Sie Die Anmeldung für diesen Benutzer blockieren aus, wählen Sie Änderungen speichern und dann oben im Flyout Schließen aus.
  2. Führen Sie die folgenden Schritte im Exchange Admin Center (EAC) unter aus https://admin.exchange.microsoft.com:

    1. Wechseln Sie zu Empfänger>Postfächer. Oder verwenden Sie https://admin.exchange.microsoft.com/#/mailboxes, um direkt zur Seite Postfächer zu wechseln.

    2. Suchen Sie auf der Seite Postfächer verwalten den Benutzer in der Liste, und wählen Sie diesen aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das runde Kontrollkästchen ist, das neben dem Namen angezeigt wird.

    3. Führen Sie im daraufhin geöffneten Details-Flyout die folgenden Schritte aus:

      1. Vergewissern Sie sich, dass die Registerkarte Allgemein ausgewählt ist, und wählen Sie dann im Abschnitt Email Apps & mobile Geräte die Option Einstellungen für E-Mail-Apps verwalten aus.
      2. Deaktivieren Sie im flyout Einstellungen für E-Mail-Apps verwalten , das geöffnet wird, alle verfügbaren Einstellungen, indem Sie die Umschaltfläche in Deaktiviert ändern:
        • Outlook Desktop (MAPI)
        • Exchange-Webdienste
        • Mobil (Exchange ActiveSync)
        • IMAP
        • POP3
        • Outlook im Web

      Wenn Sie im Flyout Einstellungen für E-Mail-Apps verwalten fertig sind, wählen Sie Speichern und dann oben im Flyout Schließen aus.

Schritt 6 Optional: Entfernen des mutmaßlichen kompromittierten Kontos aus allen Administratorrollen

Hinweis

Sie können die Mitgliedschaft des Benutzers in Administratorrollen wiederherstellen, nachdem das Konto gesichert wurde.

  1. Führen Sie im Microsoft 365 Admin Center unter https://admin.microsoft.com die folgenden Schritte aus:

    1. Wechseln Sie zu Benutzer>Aktive Benutzer. Oder verwenden Sie https://admin.microsoft.com/Adminportal/Home#/users, um direkt zur Seite Aktive Benutzer zu wechseln.

    2. Suchen Sie auf der Seite Aktive Benutzer das Benutzerkonto aus der Liste, und wählen Sie es aus, indem Sie einen der folgenden Schritte ausführen:

      • Wählen Sie den Benutzer aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben dem Namen befindet. Vergewissern Sie sich im daraufhin geöffneten Details-Flyout, dass die Registerkarte Konto ausgewählt ist, und wählen Sie dann im Abschnitt Rollen die Option Rollen verwalten aus.
      • Wählen Sie den Benutzer aus, indem Sie das Kontrollkästchen neben dem Namen aktivieren. Wählen Sie Weitere Aktionen>Rollen verwalten aus.
    3. Führen Sie im daraufhin geöffneten Flyout Verwalten von Administratorrollen die folgenden Schritte aus:

      • Notieren Sie alle Informationen, die Sie später wiederherstellen möchten.
      • Entfernen Sie die Administratorrollenmitgliedschaft, indem Sie Benutzer (kein Admin Center-Zugriff) auswählen.

      Wenn Sie im Flyout Verwalten von Administratorrollen fertig sind, wählen Sie Änderungen speichern aus.

  2. Führen Sie im Microsoft Defender-Portal unter https://security.microsoft.comdie folgenden Schritte aus:

    1. Wechseln Sie zu Berechtigungen>Email & Rollen für> die ZusammenarbeitRollen. Oder verwenden Sie https://security.microsoft.com/emailandcollabpermissions, um direkt zur Seite Berechtigungen zu wechseln.

    2. Wählen Sie auf der Seite Berechtigungen eine Rollengruppe aus der Liste aus, indem Sie das Kontrollkästchen neben dem Namen (z. B. Organisationsverwaltung) aktivieren und dann Aktion bearbeiten auswählen, die angezeigt wird.

    3. Überprüfen Sie auf der geöffneten Seite Mitglieder der Rollengruppe bearbeiten die Liste der Mitglieder. Wenn die Rollengruppe das Benutzerkonto enthält, entfernen Sie den Benutzer, indem Sie das Kontrollkästchen neben dem Namen aktivieren und dann Mitglieder entfernen auswählen.

      Wenn Sie auf der Seite Mitglieder der Rollengruppe bearbeiten fertig sind, wählen Sie Weiter aus.

    4. Überprüfen Sie auf der Seite Rollengruppe überprüfen und fertig stellen die Informationen, und wählen Sie dann Speichern aus.

    5. Wiederholen Sie die vorherigen Schritte für jede Rollengruppe in der Liste.

  3. Führen Sie im Exchange Admin Center unter https://admin.exchange.microsoft.com/ die folgenden Schritte aus:

    1. Wechseln Sie zu Rollen>Admin Rollen. Oder um direkt zur Seite Admin Rollen zu wechseln, verwenden Sie https://admin.exchange.microsoft.com/#/adminRoles.

    2. Wählen Sie auf der Seite Admin Rollen eine Rollengruppe aus der Liste aus, indem Sie an einer anderen Stelle in der Zeile als dem runden Kontrollkästchen klicken, das neben dem Namen angezeigt wird.

    3. Wählen Sie im daraufhin geöffneten Details-Flyout die Registerkarte Zugewiesen aus, und suchen Sie dann nach dem Benutzerkonto. Führen Sie die folgenden Schritte aus, wenn die Rollengruppe das Benutzerkonto enthält:

      1. Wählen Sie das Benutzerkonto aus, indem Sie das runde Kontrollkästchen aktivieren, das neben dem Namen angezeigt wird.
      2. Wählen Sie die daraufhin angezeigte Aktion Löschen aus, wählen Sie im Warndialogfeld ja, entfernen und dann oben im Flyout Schließen aus.
    4. Wiederholen Sie die vorherigen Schritte für jede Rollengruppe in der Liste.

Schritt 7 (optional): Zusätzliche Vorsichtsmaßnahmen

  1. Überprüfen Sie den Inhalt des Ordners Gesendete Elemente des Kontos in Outlook oder Outlook im Web.

    Möglicherweise müssen Sie die Kontakte des Benutzers darüber informieren, dass das Konto kompromittiert wurde. Beispielsweise könnte der Angreifer Nachrichten gesendet haben, die Kontakte um Geld bitten, oder der Angreifer könnte einen Virus gesendet haben, um seine Computer zu kapern.

  2. Andere Dienste, die dieses Konto als alternative E-Mail-Adresse verwenden, können ebenfalls kompromittiert werden. Nachdem Sie die Schritte in diesem Artikel für das Konto in diesem Microsoft 365 organization ausgeführt haben, führen Sie die entsprechenden Schritte in den anderen Diensten aus.

  3. Überprüfen Sie die Kontaktinformationen (z. B. Telefonnummern und Adressen) des Kontos.

Siehe auch