Eine kompromittierte Mail-Adresse ist heute eines der häufigsten Einfallstore in Unternehmen. Anders als bei Ransomware fällt der Schaden nicht sofort auf – er entsteht still im Hintergrund, oft über Wochen. Wir wollen anhand eines anonymisierten Falls aus unserer Praxis zeigen, wie so etwas abläuft und worauf Sie achten sollten.

Der Anruf am Donnerstagnachmittag

Ein Kunde meldet sich, weil ein Geschäftspartner einen seltsamen Anruf bekommen hat: Eine angeblich von ihm verschickte Rechnung sei an eine andere IBAN überwiesen worden. Der Kunde ist verwirrt – er hat die Rechnung gar nicht verschickt.

In den nächsten zwei Stunden finden wir heraus:

  • Das Postfach der Buchhaltung wurde vor drei Wochen kompromittiert
  • Der Angreifer hat eine versteckte Weiterleitungsregel angelegt, die jede eingehende Rechnung an eine externe Adresse weiterleitete
  • Bei einer dieser Rechnungen wurde die IBAN getauscht und die manipulierte PDF-Version an den Kunden geschickt
  • Die Originalmail wurde durch eine Inbox-Regel automatisch in einen versteckten Ordner verschoben, damit der eigentliche Empfänger nichts merkte
  • Der Schaden: ein fünfstelliger Eurobetrag, der wahrscheinlich nicht zurückzubekommen ist

Wie kommt der Angreifer überhaupt rein?

In diesem Fall war es eine Phishing-Mail, die zwei Wochen vorher kam. Die Mitarbeiterin hat ihre Zugangsdaten auf einer perfekt nachgebauten Login-Seite eingegeben. Standard-Phishing, hat aber gereicht: Microsoft 365 ohne Multi-Faktor-Authentifizierung.

In anderen Fällen, die wir gesehen haben:

  • Schwache Passwörter, die in alten Datenleaks auftauchten (Credential-Stuffing)
  • Über Jahre nicht geändert, nirgends MFA aktiv
  • Mitarbeiter, die das gleiche Passwort für Mail und private Dienste nutzten

Die typischen Spuren eines übernommenen Postfachs

Wenn Sie folgende Anzeichen sehen, sollten Sie sofort handeln:

  • Login-Versuche aus dem Ausland, besonders aus Ländern, mit denen Sie keine Geschäftsbeziehung haben
  • Versteckte Weiterleitungsregeln zu externen Adressen (oft info+abc@gmail.com oder ähnlich)
  • Inbox-Regeln, die bestimmte Mails sofort in den Papierkorb oder versteckte Ordner verschieben
  • OAuth-Verbindungen zu unbekannten Apps, die Vollzugriff auf das Postfach haben
  • Mails im Gesendet-Ordner, die der Mitarbeiter nicht geschrieben hat (oft direkt danach gelöscht)
  • Geschäftspartner, die sich über seltsame Mails beschweren

Was man sofort tun sollte

1. Passwort ändern – aber nicht erst, sondern als erster Schritt 2. Alle aktiven Sessions trennen (in M365: "Sign out everywhere") 3. Mail-Regeln prüfen und alle nicht selbst angelegten löschen 4. OAuth-Apps prüfen und alles entfernen, was Sie nicht kennen 5. MFA aktivieren – ohne wenn und aber 6. Audit-Log auswerten: Wer hat sich wann von wo eingeloggt? Was wurde gelesen, gelöscht, weitergeleitet? 7. Geschäftspartner informieren, falls in den letzten Wochen Rechnungen versendet wurden – die sollten ihre Überweisungen prüfen

Was man später tun sollte

Wenn die akute Phase vorbei ist:

  • MFA für alle Postfächer verpflichtend machen, nicht nur für die Buchhaltung
  • Conditional Access Policies in M365: Login aus dem Ausland blockieren oder zumindest warnen
  • Anti-Phishing-Schulungen für Mitarbeiter (das Geld ist gut investiert)
  • DMARC mit p=reject, damit niemand in Ihrem Namen versenden kann
  • Externe Mail-Markierung: in Outlook eine sichtbare Warnung für Mails von außerhalb der Organisation
  • Regelmäßige Audits der Mail-Regeln – mindestens vierteljährlich

Das Bittere zum Schluss

In den meisten Fällen, die wir sehen, gilt: MFA hätte den Vorfall verhindert. Es ist die einfachste, billigste und wirksamste Maßnahme gegen kompromittierte Postfächer. Trotzdem ist sie in vielen mittelständischen Unternehmen noch nicht durchgängig aktiviert – meist weil "die Mitarbeiter sich beschweren" oder "wir das mal später machen".

Unser Rat: Heute. Nicht morgen.

Wenn Sie Unterstützung brauchen – ob bei der akuten Aufarbeitung eines Vorfalls oder bei der Vorsorge: rufen Sie uns einfach an.