Am vorvergangenen Mittwoch (am 30.10.2024) kam es bei uns zu einem Cyberincident. Diesen Sicherheitsvorfall haben wir in der Zwischenzeit aufgeklärt. Die Ergebnisse möchten wir gerne mit Ihnen teilen.
Die gute Nachricht vorweg:
Es sind keine Daten abhandengekommen, gelöscht, verschlüsselt oder verändert worden. Der Zugriff beschränkte sich auf das E-Mail-Postfach einer Person im Browser. Auf andere Applikationen oder unser Kanzleimanagement wurde nicht zugegriffen. Wir hatten sicherlich ein wenig Glück – waren aber auch sehr gut vorbereitet!
Was ist passiert?
Zu einem unbekannten Zeitpunkt haben unbekannte Täter auf eine unbekannte Art und Weise den Account einer Mitarbeitenden trotz Mehrfaktorauthentifizierung kompromittiert. Am Mittwoch, dem 30.10.2024, kam es in der Folge zu einem einmaligen, missbräuchlichen Zugriff auf den betroffenen Account und das zugehörige E-Mail-Postfach über den Browser (Outlook Web Access/OWA) mit einer Dauer von etwa 45 Minuten.
In dieser Zeit hat der Täter (oder ein für den Täter handelnder Bot) zunächst (vermutlich automatisiert) eine Regel angelegt, um alle eingehenden Nachrichten in den Ordner „gelöschte Objekte“ umzuleiten. Um 13:20 Uhr und 13:21 Uhr wurden insgesamt 263 Personen aus dem betroffenen E-Mail-Postfach mit einer Phishing-Mail angeschrieben. Anschließend wurden die versendeten Phishing-Mails vollständig aus dem E-Mail-Postfach gelöscht.
Nach den ersten Hinweisen auf den Zugriff haben wir den betroffenen Account vollständig deaktiviert und das Passwort zurückgesetzt. Das geschah innerhalb von 15 Minuten nach Kenntnis von dem möglichen Zugriff eines Dritten auf den Account. Ebenso wurden vorsorglich alle Accounts anderer Mitarbeitender deaktiviert, die auf die versendeten Phishing-Mails geklickt haben. Missbräuchliche Zugriffe auf diese anderen Accounts gab es nicht.
Nach Ermittlung einer Liste aller Adressaten wurden alle Empfänger der Phishing-Mail von uns gegen 16:00h über den Zugriff und die versendeten Phishing-Mails informiert. Zuvor haben wir bereits mit individuellen Nachrichten Empfänger informiert, die auf die Phishing-Mail mit einer Rückfrage reagiert hatten.
Die parallele Analyse durch unseren IT-Dienstleister hat sodann den zuvor vermuteten, erfolgreichen, missbräuchlichen Zugriff auf den Account bestätigt.
Ebenso hat die in der Folge fortgeführte Analyse bestätigt, dass
- kein individueller Schadcode auf Endgeräte oder Server geladen worden ist,
- zu keinem Zeitpunkt – dank der klaren Trennung zwischen administrativen und benutzenden Accounts bei uns – ein administrativer Zugang auf unsere IT-Infrastruktur bestanden hat, und
- keine Daten abhandengekommen, gelöscht, verschlüsselt oder verändert worden sind.
Ebenso wurde ermittelt, dass außerhalb des Zugriffs auf das E-Mail-Postfach im Browser auf keine andere Applikation missbräuchlich zugegriffen worden ist.
Was haben wir (außerdem) gemacht?
Neben den bereits beschriebenen Maßnahmen, insbesondere der Schaffung von Transparenz Ihnen gegenüber, der sofortigen Beendigung des Angriffs nach dessen Erkennung und der anschließenden Aufklärung des Angriffs, haben wir selbstverständlich eine Vielzahl weiterer technischer Maßnahmen ergriffen, darunter:
- Für alle Accounts wurden vorsorglich die Passwörter, die Mehrfaktorauthentifizierung sowie die hierfür zugelassenen Endgeräte und Applikationen vollständig zurückgesetzt und neu initiiert.
- Sowohl für die Mehrfaktorauthentifizierung als auch für die Prüfung der empfangenen und gesendeten Mails durch unsere Endpoint Security wurden die Regeln weiter verschärft sowie zusätzliche, automatisierte Sicherheitshinweise für alle Mitarbeitenden eingerichtet.
Worauf können Sie achten?
Wer Zweifel an der Richtigkeit oder Sicherheit einer E-Mail oder eines Links hat, sollte beim Absender nachfragen – dies aber zwingend auf einem anderen Kanal als auf dem Kanal, über den die Nachricht mit der fragwürdigen E-Mail oder dem fragwürdigen Link gekommen ist. Insbesondere bei Microsoft 365 sollte bedacht werden, dass alle Applikationen am Ende bei einem Account landen; es nützt also nichts, bei Zweifeln an einer E-Mail den Absender via Teams zu kontaktieren. Es sollte stets auf einen gänzlich anderen Kommunikationsweg ausgewichen werden, z.B. einen verschlüsselten Messenger eines anderen Anbieters (Threema, Signal etwa) oder das Telefon.
Es gibt noch Fragen?
Sollten Sie weitere Fragen zu diesem Sicherheitsvorfall oder Hinweise haben, wie wir unsere digitale Sicherheit noch weiter erhöhen können, freuen wir uns sehr über einen Anruf oder eine Nachricht.
Für die verständnisvolle und unterstützende Reaktion nach dem Vorfall bedanken wir uns herzlich. Es hat unser gesamtes Team beeindruckt, dass keinerlei Vorwürfe oder anderweitige negative Rückmeldungen erfolgt sind, sondern im Gegenteil die Antworten bis hin zu unmittelbaren Unterstützungsangeboten reichten. Das ist nicht selbstverständlich und bestätigt uns im transparenten Umgang mit dem Sicherheitsvorfall, woran wir auch zukünftig festhalten werden. Denn leider stellt sich nicht die Frage, ob man zum Opfer derartiger Angriffe wird, sondern nur wann es geschieht.