Sicherheitsvorfall am Mittwochabend – schnelles Handeln verhindert Schlimmeres
An einem Mittwoch
gegen 19 Uhr klingelte das Telefon unserer Rufbereitschaft für Vertragskunden.
Der Geschäftsführer eines mittelständischen Unternehmens aus Norddeutschland meldete einen verdächtigen Vorfall: Am Vortag hatte er eine E-Mail eines langjährigen Geschäftspartners geöffnet. Die Nachricht enthielt einen Link zu einem Microsoft SharePoint-Dokument.
Beim Öffnen des Links erschien eine vermeintlich legitime Anmeldemaske von Microsoft 365. Nach Eingabe der Zugangsdaten stellte sich jedoch heraus: Das dahinterliegende Dokument war leer.
Der Verdacht erhärtete sich schnell. Zufällig saß unser Kunde zu diesem Zeitpunkt gemeinsam mit genau jenem Geschäftspartner zusammen – dieser wusste nichts von der E-Mail und hatte sie auch nicht versendet. Ein klassischer Fall von kompromittierten Zugangsdaten, wie wir ihn in den vergangenen Monaten zunehmend beobachten.
Schnelle Reaktion nach bewährtem Playbook
Unsere Reaktion erfolgte umgehend nach dem passenden Playbook für diese Art von Sicherheitsvorfällen. Jetzt zählte Geschwindigkeit:
- Deaktivierung des betroffenen Benutzerkontos
- Vergabe eines neuen, sicheren Kennworts
- Abmeldung aller aktiven Sitzungen und Trennung aller Verbindungen zu Microsoft Entra ID
Parallel startete unsere hausinterne Forensik:
Gab es verdächtige Aktivitäten? Wurden Daten abgegriffen? Gab es Zugriffe auf die On-Premises-Infrastruktur?
Die Analyse lieferte schnell ein klares Ergebnis: Erfolgreiche Anmeldeversuche über den kompromittierten Benutzeraccount aus den USA – kurz nach dem Vorfall – bestätigten den bösartigen Missbrauch der Zugangsdaten.
Erweiterte Schutzmaßnahmen nach Freigabe durch den Kunden
Da unser Kunde bislang keine durchgehende Überwachung durch unser Security Operations Center (SOC) wünschte, folgte zunächst eine transparente und ausführliche Darstellung der Situation, der Risiken sowie unserer empfohlenen Maßnahmen.
Nach dem „Go“ des Kunden aktivierten wir unser erweitertes Sicherheits-Playbook:
- Aktivierung umfassender Telemetrie und zentraler Datensammlung
- Anbindung aller lokalen Systeme sowie Entra-ID-Ressourcen an unser SOC und Managed Detection & Response Team
- 24/7-Überwachung und sofortige Reaktion auf verdächtige Aktivitäten – von Arbeitsplatzrechnern bis zu Microsoft 365
Dank durchgängiger Telemetrie über alle Systeme bleibt keine Bewegung potenzieller Angreifer unentdeckt.
Nachhaltige Härtung der IT-Sicherheitsarchitektur
Zusätzlich führten unsere Sicherheitsexperten ein umfassendes Review der Entra-ID-Sicherheitskonfiguration durch. In enger Abstimmung mit dem Kunden wurden unter anderem folgende Maßnahmen umgesetzt:
- Integration der PCs und Terminalserver als Hybrid-Joined Devices
- Schließung von Lücken bei der Zwei-Faktor-Authentifizierung
- Sperrung unsicherer Legacy-Protokolle
- Einschränkung von Zugriffen über nicht genutzte oder unbekannte Geräteplattformen
Fazit: Richtig reagiert – Schaden verhindert
Alles richtig gemacht: Durch die sofortige Information nach Erkennen einer möglichen Sicherheitsverletzung konnten wir umgehend reagieren und Schlimmeres verhindern.
Das vertrauensvolle Zusammenspiel zwischen unseren Kunden, uns als Dienstleister und unserem erfahrenen Team von IT-Sicherheitsexperten bildet eine verlässliche Schutzbarriere gegen moderne Cyberangriffe.
Danke für euer Vertrauen.