O365-Konto geknackt – Was tun?

Sicherheitsvorfall: Was jetzt?

Wenn ein Microsoft-365-Geschäftskonto kompromittiert wurde, zählt jede Minute. Ziel ist es, den Schaden zu begrenzen, den Zugriff des Angreifers zu unterbrechen, einen Datenabfluss zu verhindern oder zu minimieren und Spuren des Angriffs nachzuvollziehen. Hier sind die wichtigsten Schritte, die IT-Verantwortliche sofort einleiten sollten.

Doch zunächst einen Schritt zurück: Wie kommt es zur Kompromittierung?

Ein O365-Konto kann kompromittiert werden, wenn ein Angreifer über Phishing an die Zugangsdaten eines Nutzers kommt, etwa durch gefälschte Anmeldeseiten oder täuschend echte E-Mails. Sobald der Angreifer die Zugangsdaten besitzt, kann er sich im Namen des Opfers authentifizieren und auf Dienste wie Outlook, SharePoint oder Teams zugreifen (Identitätsdiebstahl). Besonders hoch ist das Risiko erfolgreicher Phishing-Angriffe, wenn keine Multi-Faktor-Authentifizierung (MFA) aktiviert ist.

Maßnahmen zur Bewältigung

Folgende Maßnahmen sollten ergriffen werden bei einer Kompromittierung eines Microsoft 365- / Office 365-Kontos:

1. Konto sofort isolieren

• Benutzerkonto im Azure AD oder Microsoft 365 Admin Center deaktivieren
• Alle aktiven Sitzungen beenden und Zugriffstokens widerrufen

2. Passwort ändern & Mehr-Faktor-Authentifizierung (MFA) absichern

• Passwort zurücksetzen
• Alle Zugangsmethoden (z. B. Authenticator-App, Telefonnummern) überprüfen und ggf. MFA-Methoden zurücksetzen und neu konfigurieren
• IP-Adressen der Angreifer sperren:
  Über die Funktion Conditional Access in Microsoft 365 kannst du gezielt verdächtige IP-Adressen – zum Beispiel von Angreifern – oder ganze Regionen blockieren, indem du Regeln definierst, die nur vertrauenswürdige Zugriffe erlauben

3. Postfach und Regeln überprüfen

• Verdächtige Regeln oder Weiterleitungen entfernen

4. Log-Analyse & Angriffsvektor identifizieren

• Azure AD Sign-in Logs auswerten: Überprüfe Ort, Uhrzeit, verwendetes Gerät und IP-Adresse der Anmeldungen, um unbefugte Zugriffe zu erkennen
• Microsoft 365 Defender Portal nutzen: Das zentrale Sicherheitsportal zeigt verdächtige Aktivitäten wie Phishing-Mails, riskante Anmeldungen oder ungewöhnliches Nutzerverhalten – und hilft dabei, Angriffe zu analysieren, betroffene Konten zu isolieren und schnell zu reagieren
• Prüfung, ob ggf. weitere Konten betroffen sind

5. Endgerät prüfen

• Geräte des Benutzers auf Malware prüfen
• Gegebenenfalls temporär isolieren

6. Angreiferkommunikation stoppen

• Versand von Phishing-Mails prüfen und Empfänger – wenn möglich – informieren
• Freigaben (z. B. SharePoint, OneDrive, Teams) prüfen und betroffene Empfänger informieren
• Analyse der Betroffenheit weiterer Benutzer
• Threat Explorer verwenden, um Nachrichten rückwirkend zurückzurufen
• Prüfen ob neue Apps aus der O365-Umgebung hinzugefügt wurden, die auf Unternehmensdaten zugreifen
• Ggf. Kunden, Interessenten und Geschäftspartner informieren

7. Dokumentation & Eskalation

• Vorfall dokumentieren
• Geschäftsleitung informieren
• Datenschutzbeauftragten und den Informationssicherheitsbeauftragten einbeziehen
• Ggf. Krisenstab bilden (z. B. Geschäftsleitung, Pressestelle, IT-Leitung, Datenschutz, Informationssicherheit)
• Prüfen, ob eine Meldung nach DSGVO notwendig ist (in Abstimmung mit dem Datenschutzbeauftragten), beachte: ggf. Meldefrist von nur 72 Stunden
• Anzeige bei der Zentral- und Ansprechstelle Cybercrime (ZAC) des jeweiligen Bundeslandes
• Ggf. Cyberschutzversicherung informieren
• Ggf. Microsoft Support oder externe Forensik einschalten.

8. Nachbereitung & Prävention

• Benutzer schulen (z. B. zu Phishing, MFA, sicheren Passwörter, Passkeys)
• Sicherheitsrichtlinien überprüfen und O365-Umgebung härten (Conditional Access, MFA, Safe Links/Attachments etc.)

Fazit

Ein kompromittiertes M365-Konto kann schwerwiegende Folgen haben. Schnelles, überlegtes Handeln, klare Prozesse und gute Vorbereitung entscheiden über den Ausgang.

Tipp: Halten Sie ein Incident-Response-Playbook mit Skripten und Ansprechpartnern bereit. Sollten Sie hierbei Unterstützung benötigen, wenden Sie sich gern an uns, das comdatis-Team unterstützt Sie.

Sie sind kein IT-Verantwortlicher, aber vermuten einen Angriff?

Warnzeichen – Wann sollten Sie reagieren?

• Sie können sich nicht mehr in Ihr Konto einloggen
• Sie sehen unbekannte E-Mails im Ordner „Gesendet“ oder „Gelöscht“
• Kollegen oder Geschäftspartner erhalten verdächtige E-Mails von Ihnen
• Sie erhalten MFA-Abfragen oder Login-Bestätigungen, die Sie nicht selbst ausgelöst haben
• Es erscheinen neue Regeln oder Weiterleitungen in Ihrem Outlook-Postfach
• Ihr Konto wurde durch Microsoft gesperrt oder Sie erhalten Warnhinweise per E-Mail
• Ihr Passwort wurde geändert

Was sollten Sie tun?

1. Senden Sie keine weiteren E-Mails über das betroffene Konto.
2. Melden Sie den Vorfall sofort telefonisch oder persönlich an die IT-Abteilung. Bleiben Sie für Rückfragen erreichbar.
3. Antworten Sie nicht auf verdächtige E-Mails.
4. Trennen Sie das Gerät ggf. vom Netzwerk (LAN-Kabel ziehen, WLAN ausschalten).

Was Sie nicht tun sollten:

• Keine eigenständige Kommunikation mit externen Geschäftspartnern. Stimmen Sie sich mit der Geschäftsleitung ab
• Ändern Sie Ihr Passwort nicht eigenständig über das betroffene Gerät – nur auf Anweisung der IT
• Keine eigenen Reparaturversuche unternehmen
• Keine verdächtigen Mails löschen oder weiterleiten (Beweissicherung)
• Keine Kommunikation mit dem Angreifer (z. B. bei Lösegeldforderungen)

Hinweis zum Datenschutz

Bitte beachten Sie: Bei einem möglichen Zugriff auf Ihr Konto können auch personenbezogene Daten betroffen sein. Informieren Sie daher unverzüglich die IT-Abteilung oder einen Experten, damit die Datenschutzbeauftragten ggf. einbezogen werden können

Hinweis: Das Beitragsbild wurde mit KI generiert.