Sofortmaßnahmen bei einem Phishing-Angriff

1. Erste Eindämmung („Containment“) & Sperrung

• Benutzerkonto deaktivieren / sperren (AccountEnabled = false)

• Passwort (und ggf. Kennwörter in AD, falls synchronisiert) sofort zurücksetzen, und zwar starkes, neues Passwort • Alle aktiven Sitzungen / Tokens / OAuth-Verbindungen / App-Passwörter widerrufen / entziehen • Multifaktor­authentifizierung (MFA) erzwingen / sicherstellen für alle Konten, insbesondere Admin-Konten • Mailfluss prüfen: ausgehende E-Mails blockieren / einschränken bis Restore • Prüfen, ob unautorisierte Weiterleitungen (Inbox-Regeln, automatische Weiterleitungen) eingerichtet wurden • Überprüfen von verbundener Apps, OAuth-Apps, Drittanbieter-Integrationen auf unautorisierte Zugriffe • Evtl. Connector-Konfigurationen prüfen / unautorisierte Veränderungen rückgängig machen (Inbound/Outbound Connectoren)

2. Forensik & Untersuchung

• Loganalyse: Prüfen von Audit-Logs, Anmeldungen, Browser-Agents, IP-Adressen, Zeitstempel • Ermitteln, wie der Angreifer eingedrungen ist (z. B. Phishing, Credential Stuffing, Session Hijack) • Erkennen von Persistenzmechanismen: z. B. eigene Administratorberechtigungen, Backdoor-Office-Add-ins, Drittanbieter-Apps • Überprüfen, ob weitere Konten kompromittiert wurden (z. B. via lateral movement) • Mailflow-Analyse: ausgehende Mails, Relay-Verhalten, verdächtige Trafficmuster • Connector-Veränderungen: neue Connectoren, modifizierte IPs, Domäneneinstellungen revertieren

• Untersuchung kompromittierter Anwendungen / Add-ins im Tenant

• Beweissicherung: Screenshots, Logs, Export von relevanten Daten • Dokumentation der Schritte (wer hat was, wann, wie)

3. Bereinigung / Wiederherstellung (Eradication & Recovery)

• Entfernen / Zurücksetzen aller unautorisierten Änderungen • Wiederherstellen von gelöschten Postfächern / Daten (sofern betroffen) • In schrittweiser Reihenfolge den normalen Mailfluss zurückführen • Neue, sichere Konfiguration: Richtlinien, Einschränkungen, Zugriffsrechte • Einstellung verstärkter Anti-Phishing-/ Anti-Spam-Sicherheitsstufen (z. B. Safe Links, Safe Attachments, Impersonation Protection)

• Überprüfung & Anpassen von DMARC, DKIM, SPF für E-Mail-Authentifizierung • Nutzer informieren / zurücksetzen: App-Passwörter, gekoppelte Geräte • Monitoring aktivieren: engmaschige Überwachung in den ersten Tagen • Penetrationstests / Simulationsangriffe, Phishing-Simulationen nach dem Wiederherstellen

4. Lessons Learned & Härtung (Post-Incident)

• Root-Cause Analyse: Wie konnte der Angriff gelingen? • Maßnahmenableitung: wo Lücken (z. B. Schulung, Konfiguration) bestehen • Sicherheitskonzept überarbeiten • Regelmäßige Phishing-Trainings und Awareness • Einführung / Verstärkung eines Incident Response-Prozesses • Red-Teaming / Pen-Tests / Schwachstellenmanagement • Review von Berechtigungen, least-privilege Prinzip etc.

Meldepflichten & Datenschutzbehörde

• Prüfung, ob ein personenbezogener Datenverstoß vorliegt (z. B. personenbezogene Daten wurden betroffen oder unbefugt zugänglich) gemäß DSGVO Art. 4 / Art. 33 • Falls ja: Anzeige an die zuständige Datenschutzaufsichtsbehörde „ohne unangemessene Verzögerung, möglichst binnen 72 Stunden nach Kenntnisnahme“ (Art. 33 DSGVO)

• In der Meldung:   – Beschreibung der Natur des Verstoßes   – Kategorien und Anzahl der betroffenen Personen und Datensätze   – Name und Kontakt der DPO (oder verantwortliche Ansprechperson)   – Wahrscheinliche Folgen für die Betroffenen   – Maßnahmen, die man ergriffen hat / plant zur Schadensbegrenzung   – Falls nicht alle Informationen zugleich vorliegen, darf Meldung in Phasen erfolgen (Art. 33 (4) DSGVO)

• Gegebenenfalls Information der betroffenen Personen (Art. 34 DSGVO), wenn hoher Risiko für ihre Rechte und Freiheiten besteht • Zusammenarbeit mit Aufsichtsbehörde, ggf. Audit, Prüfungsanfragen

Vertragspartner / Datenverarbeiter

• Wenn euer Kunde als Verantwortlicher agiert und ihr als Auftragsverarbeiter: ihr müsst den Vorfall ohne unangemessene Verzögerung dem Auftraggeber melden (Art. 33 (2) DSGVO) • Prüfung, ob Sub-Auftragsverarbeiter betroffen sind / mitbeteiligt • Anpassung von Verträgen / SLAs, falls Lücken in Verantwortung oder Reaktionsregelungen vorliegen

Interne Kommunikation / Wissensmanagement

• Information der Geschäftsführung / Leitungsebene • Incident Response Team einsetzen, Verantwortlichkeiten klar festlegen • Externe Kommunikation (z. B. Medien) koordinieren • Schulung aller betroffenen Mitarbeiter über die Phishing-Welle • Dokumentation aller Schritte, Entscheidungen, Zeitpunkte • ggf. juristische Beratung / Datenschutzanwalt hinzuziehen

Prävention & organisatorische Maßnahmen

• Etablierung eines Incident-Response-Plans, mit Rollen, Eskalationsstufen • Regelmäßige Schulungen / Awareness-Programme zu Phishing, Social Engineering • Simulierte Phishing-Tests • Richtlinien für Passwortsicherheit, MFA, Least-Privilege • Sicherheitsprozess für das Onboarding / Offboarding • Externe Penetrationstests und Schwachstellenmanagement • Review der Datenschutzdokumentation, ggf. Anpassung der Datenschutz-Folgenabschätzung