Von gekaperten E-Mail-Konten geht eine große Gefahr aus. Es drohen Schäden, die einem Unternehmen schwer zusetzen können. In diesem Beitrag erläutern wir, wie gehackte E-Mail-Konten zu erkennen sind und wie im Ernstfall am besten dagegen vorgegangen wird.
Risiken eines gehackten E-Mail-Kontos
Sollt es Cyberkriminellen gelingen, sich Zugang zu E-Mail-Konten zu verschaffen, gehen damit gleich mehrere Risiken einher.
- Zugriff auf Daten
Die Angreifer können die im E-Mail-Konto befindlichen Informationen auslesen und beispielsweise Einblicke in die Organisationsstruktur erhalten. Solche Daten bilden eine solide Grundlage für Social Engineering Angriffe. - Direkte Kommunikation
Es besteht die Gefahr, dass gefälschte Nachrichten an Dritte oder auch an Kollegen gesendet werden. Als Folge kann ein CEO Fraud drohen, in dessen Rahmen die Angreifer z.B. Geldtransfers veranlassen. - Einschleusen von Malware
Da Kollegen und Geschäftspartner für eine vertrauenswürdige Quelle gehalten werden, besteht ein erhöhtes Risiko, dass Schadsoftware versendet und diese von den Empfängern ausgeführt wird. - Login bei anderen Systemen
Angreifer können sich Zugang zu anderen Diensten verschaffen, indem sie z.B. neue Zugangsdaten anfordern und diese abfangen.
Woran ist ein gehackter E-Mail-Account zu erkennen?
Mehrere Anzeichen können auf ein gekapertes E-Mail-Konto hinweisen.
- Kein Login möglich
Wenn sich keine E-Mails mehr abrufen oder senden lassen, besteht die Möglichkeit, dass der Angreifer die Zugangsdaten zum Konto geändert hat. - Systembenachrichtigung über Änderungen
Das System teilt automatisch mit, dass Änderungen vorgenommen wurden oder ein Verdachtsfall besteht (z.B. wegen Anmeldungen über unbekannte Geräte). - Benachrichtigung von außerhalb
Kunden antworten auf Mails, die vom Kontoinhaber nicht verwendet wurden oder sie weisen auf ungewöhnlichen Schriftverkehr hin. - Unbekannte E-Mail-Aktivitäten
Im Postausgang oder auch dem Papierkorb sind E-Mails zu finden, die zwar dem Kontoinhaber zugeordnet werden, jedoch nicht von ihm verfasst wurden. - Hinweis aus dem Dark Web Monitoring
Moderne Security Tools ermöglichen eine permanente Überwachung des Dark Webs. Sollten dort Daten von E-Mail-Konten auftauchen, ist dies ein klares Warnsignal.
Was tun im Ernstfall
Sollten Hacker tatsächlich zugeschlagen und sich Zugriff auf eines oder mehrere E-Mail-Postfächer verschafft haben, ist strukturiertes Handeln gefragt.
1. Schadensausmaß feststellen
Im ersten Schritt sollte geprüft werden, ob nur eines oder gleich mehrere Postfächer betroffen sind und ob die Angreifer bereits Schaden angerichtet haben.
2. Kontrolle zurückerlangen
Anschließend gilt es die Kontrolle zurückzuerlangen. Sollte noch Zugriff bestehen, ist dieser zumindest neu abzusichern, z.B. durch die Vergabe neuer Passwörter. Wer keine Kontrolle mehr hat, sollte umso schneller handeln und in Kontakt mit dem zuständigen Ansprechpartner treten. Dies kann z.B. die interne IT-Abteilung sein, vielleicht muss aber auch ein externer Partner (z.B. Hosting-Anbieter oder Systemhaus) kontaktiert werden.
3. Ursache ermitteln
Nachdem Schadensbegrenzung betrieben und die sichere E-Mail-Kommunikation wiederhergestellt wurde, ist unbedingt zu ermitteln, wie es zur erfolgreichen Übernahme durch die Hacker kommen konnte. Dieses Wissen ist entscheidend, damit eine gezielte Absicherung vorgenommen werden kann und sich solch ein Vorfall nicht wiederholt.
4. Anmeldedaten bei anderen Services absichern
Häufig dienen E-Mail-Adressen zur Anmeldung oder auch Kontoabsicherung bei verschiedensten Webservices. Angreifer könnten ihre Chance genutzt und sich Zugang zu solchen Diensten verschafft haben. Umso wichtiger ist es zu prüfen, ob dort ungewollte Logins vorliegen und ob es ggf. notwendig ist, Zugangsdaten zu ändern.
5. Stakeholder informieren
Je nach Sachlage kann die Notwendigkeit bestehen, Kollegen oder auch externer Partner über den Vorfall zu informieren. Solch eine Kommunikation kann wichtig sein, damit diese nicht auf Aufforderungen der Cyberkriminellen reagieren und z.B. Informationen preisgeben oder gar Gelder transferieren.
Fazit
Die Übernahme eines E-Mail-Postfachs durch Cyberkriminelle kann eine enorme Tragweite haben und zu einem Schaden von großem Ausmaß führen. Deshalb ist es bereits im Verdachtsfall empfehlenswert, die Situation zu beleuchten und zu bewerten. Nur so können zeitnah Maßnahmen ergriffen werden, um die Entstehung eines Schadens abzuwenden oder wenigstens das Schadensausmaß einzudämmen.