Seven Consulting

Praxisartikel

Microsoft 365 Konto kompromittiert: Was jetzt zählt.

Wenn ein Konto übernommen wurde, braucht es schnelle Sofortmaßnahmen, saubere Analyse und nachhaltige Härtung. Dieser Leitfaden zeigt die wichtigsten Schritte für Unternehmen.

Notfall besprechen Cybersecurity Notfall

Cybersecurity Praxis · München

Warum kompromittierte Konten so kritisch sind

Ein kompromittiertes Microsoft-365-Konto ist mehr als ein Passwortproblem. Angreifer können E-Mails lesen, Weiterleitungsregeln setzen, interne Kommunikation missbrauchen, MFA-Methoden verändern oder weitere Benutzer täuschen. Besonders gefährlich ist, dass ein Angriff oft zunächst wie normale Benutzeraktivität aussieht.

Seven Consulting unterstützt Unternehmen in München und remote deutschlandweit bei der Erstbewertung solcher Vorfälle, bei der Absicherung betroffener Konten und bei der nachhaltigen Härtung von Microsoft 365, Entra ID, Exchange Online und Microsoft Defender.

Die ersten Schritte im Notfall

  • Betroffenes Konto sofort sperren oder Kennwort zurücksetzen.
  • MFA-Methoden prüfen und unbekannte Methoden entfernen.
  • Aktive Sitzungen widerrufen und verdächtige Geräte prüfen.
  • Mailbox-Regeln, Weiterleitungen und Delegierungen kontrollieren.
  • Anmeldeprotokolle in Entra ID und relevante Defender-Signale prüfen.
  • Interne Empfänger warnen, falls Phishing-Mails vom Konto versendet wurden.

Was nach der ersten Stabilisierung wichtig ist

Nach den Sofortmaßnahmen sollte geklärt werden, wie der Zugriff entstanden ist: Phishing, schwache Passwörter, fehlende MFA, unsichere Legacy-Protokolle oder ein infiziertes Endgerät. Erst dann lässt sich verhindern, dass derselbe Vorfall erneut passiert.

Typische Härtungsmaßnahmen sind Conditional Access, verpflichtende MFA, Deaktivierung unsicherer Authentifizierung, Defender for Office 365, DMARC/SPF/DKIM, Endpoint-Schutz, klare Admin-Rollen und ein regelmäßiger Review von Berechtigungen.

Wann externe Unterstützung sinnvoll ist

Wenn unklar ist, ob Daten abgeflossen sind, ob weitere Konten betroffen sind oder ob Angreifer sich dauerhaft Zugriff verschafft haben, lohnt sich ein strukturierter Blick von außen. Wichtig ist eine ruhige, nachvollziehbare Vorgehensweise: sichern, prüfen, dokumentieren, härten.

Kontakt aufnehmen, wenn ein Microsoft-365-Konto kompromittiert wurde oder Sie Ihre Umgebung präventiv prüfen lassen möchten.