kiffajoe 12 Geschrieben 14. Februar 2022 Melden Teilen Geschrieben 14. Februar 2022 Hallo Zusammen, unseren Exchange Server hat es mit dem Hafnium Nachfolger erwischt. Nacharbeiten sind abgeschlossen - System neu aufgesetzt, Firewall / VPN vorgeschaltet, alle Passwörter 2x geändert und natürlich ab jetzt immer brav aktuell gepatcht. Jetzt stellt sich für mich aber eine Frage: Der Angriff fand am 16.12.2021 statt. Es wurde ja von Originalnachrichten der Mailverlauf genommen und dazwischen einfach irgendein Mist eingefügt und nochmals die Mail versendet. Stand heute (14.02.2022) laufen immer noch Mails von z. B. mir selbst im Spamfilter (der vor unseren Exchange geschaltet ist ein) da steht dann folgendes: From: "Alle Mitarbeiter" <esperanza97@zunsrs.com> Die Mail bleibt vorbildlich im Spamfilter hängen und ich müsste Sie manuell anfordern. Der Mailverlauf ist aus dem November 2021. Jetzt rufen mich natürlich Partner / externe Firmen an und sagen das Sie teilweise solche Mails auch von mir bekommen - dort gehen die aber bis ins Postfach durch - aber diese Mails sehen auch so aus wie obiges Beispiel - ich stehe als Absendername drin, aber die E-Mail ist eine Andere. Also deutlich erkennbar eine Fake-Mail. Nun meine konkrete Frage: Hat einer von Euch ein ähnliches Problem? Wie geht Ihr da vor? Dagegen kann man ja eigentlich nichts machen, oder? Was kann man hier den Kunden/Partnern kommunizieren? Viele Grüße Christian Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 14. Februar 2022 Melden Teilen Geschrieben 14. Februar 2022 vor einer Stunde schrieb kiffajoe: Was kann man hier den Kunden/Partnern kommunizieren? Wenn in euren Mail-Verläufen personenbezogene Daten enthalten sind (die Daten der eigenen Mitarbeiter eingeschlossen), müsst ihr das der zuständigen Datenschutzbehörde melden. Zitieren Link zu diesem Kommentar
kiffajoe 12 Geschrieben 14. Februar 2022 Autor Melden Teilen Geschrieben 14. Februar 2022 klar, du hast recht - das hatte ich vergessen zu schreiben: Wir haben bei der zuständigen Datenschutzbehörden den Fall angezeigt. Aber für mich stellt sich eher die Frage: Wie informiere ich die Partner / Kunden, die jetzt die Fake-Mails erhalten? Oder sagt man denen "einfach ignorieren / löschen"? Viele Grüße Christian Zitieren Link zu diesem Kommentar
Lian 2.422 Geschrieben 14. Februar 2022 Melden Teilen Geschrieben 14. Februar 2022 Damit die Form gewahrt bleibt: Bitte Regel Nr. 8 beachten. Insbesondere: "Keine Rechtsberatung, keine Fragen zum Thema Recht, Datenschutz" etc.. Wir dürfen schlichtweg keine Rechtsberatung leisten. Daher der Hinweis an der Stelle, dass jeglicher Rat als persönliche Meinungsäußerung zu sehen ist. Zitieren Link zu diesem Kommentar
kiffajoe 12 Geschrieben 14. Februar 2022 Autor Melden Teilen Geschrieben 14. Februar 2022 alles klar, danke für die Info! 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 14. Februar 2022 Melden Teilen Geschrieben 14. Februar 2022 vor 42 Minuten schrieb kiffajoe: Aber für mich stellt sich eher die Frage: Wie informiere ich die Partner / Kunden, die jetzt die Fake-Mails erhalten? Oder sagt man denen "einfach ignorieren / löschen"? Auch hier bewährt sich vermutlich offene Kommunikation. Indem ihr aktiv auf eure Partner/Kunden zugeht und zumindest die anschreibt, mit denen ihr regelmässig zu tun habt. Dann kann man mitteilen, dass es einen Security Incident gab, der zu folgendem Verhalten führt und damit wäre dann zumindest erstmal die Chance eurer Kommunikationspartner auf Reaktion gegeben. Bye Norbert 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 14. Februar 2022 Melden Teilen Geschrieben 14. Februar 2022 Ich hatte einen ähnlichen Fall bei einem (Neu) Kunden. Wir haben uns dann zusammen mit der GL und der IT entschlossen, eine ganz neue Maildomain einzurichten und alle Partner von der neuen Maildomain aus angeschrieben, die alte Domain auf die Blacklist zu setzten Harter Schritt war aber erfolgreich. Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 14. Februar 2022 Melden Teilen Geschrieben 14. Februar 2022 Hätte aber im vorliegenden Fall nur bedingt geholfen, da die Absender ja nicht aus der alten Domain stammen. Würden sie das tun, müsste die Zustellung ja schon am SPF scheitern. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 14. Februar 2022 Melden Teilen Geschrieben 14. Februar 2022 Genau. Abgesehen davon, kann das in dem Sinne auch echt schmerzhaft werden, wenn der Kunde seit x Jahren nur die eine Domain nutzt (und nicht nur aus 5 Leuten besteht). ;) Zitieren Link zu diesem Kommentar
kiffajoe 12 Geschrieben 15. Februar 2022 Autor Melden Teilen Geschrieben 15. Februar 2022 vor 14 Stunden schrieb NorbertFe: Auch hier bewährt sich vermutlich offene Kommunikation. Indem ihr aktiv auf eure Partner/Kunden zugeht und zumindest die anschreibt, mit denen ihr regelmässig zu tun habt. Dann kann man mitteilen, dass es einen Security Incident gab, der zu folgendem Verhalten führt und damit wäre dann zumindest erstmal die Chance eurer Kommunikationspartner auf Reaktion gegeben. Bye Norbert Ja, ich denke auch ich werde jetzt nochmal ein Schreiben aufsetzen das die GF unterschreibt und dann geht das mal per Rundbrief an die Top100 Partner / Kunden. Danke Euch für die Hilfe!! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.