Kontext: ein Kunde, eine E-Mail, eine Sicherheitslücke
d-side solutions verwaltet die IT-Infrastruktur eines KMU in der Westschweiz, das im Vertrieb tätig ist. In diesem Rahmen verwalten wir insbesondere deren Domainnamen, Hosting und E-Mail-Konfiguration. An einem Herbstmorgen 2025 kontaktiert uns der Kunde besorgt: Ein Lieferant hat eine E-Mail erhalten, die scheinbar von seiner Adresse stammte und ihn aufforderte, eine Bestellung zu stornieren und CHF 7'000 auf eine unbekannte italienische IBAN zurückzuerstatten.
🚨 Erste Warnung
Ein Dienstleister erhält eine E-Mail mit der Aufforderung, eine Bestellung zu stornieren und eine Rückerstattung auf ein ausländisches Bankkonto zu leisten. Die E-Mail ist visuell identisch mit denen, die normalerweise von unserem Kunden gesendet werden.
Zunächst denken wir an klassisches Spoofing — ein Absender, der die E-Mail-Adresse fälscht, ohne tatsächlichen Zugriff auf das Postfach. Aber die Realität erweist sich als weitaus gravierender.
Anatomie des Angriffs
Nach der Untersuchung stellen wir fest, dass es sich nicht um Spoofing handelt, sondern um einen aktiven Man-in-the-Middle-Angriff (MITM) auf die E-Mail. Der Angreifer sendet keine gefälschten E-Mails — er fängt die echten ab, modifiziert sie und leitet sie weiter. Die Antworten der Empfänger werden ebenfalls umgeleitet.
Angriffsvektor: versteckte Weiterleitungsregeln
Die Analyse des Webmail-Kontos zeigt, dass zwei automatische Weiterleitungsregeln ohne Wissen des Kunden erstellt worden waren. Alle eingehenden E-Mails wurden stillschweigend an zwei externe Gmail-Adressen weitergeleitet.
Entdeckung der Trojaner
Parallel dazu lassen wir die Arbeitsplätze des Kunden mit mehreren Antivirenlösungen analysieren. Mehrere Trojaner werden identifiziert, die vermutlich für den Diebstahl der Webmail-Zugangsdaten verantwortlich sind, trotz eines aktiven kommerziellen Antivirenprogramms.
Zeitablauf der Reaktion auf den Vorfall
Tag 0 — Erkennung
Warnung des betrogenen Lieferanten
Ein Dienstleister kontaktiert den Kunden, nachdem er eine verdächtige E-Mail mit einer IBAN-Rückerstattungsanfrage erhalten hat. d-side solutions wird sofort kontaktiert.
Tag 0 — Eindämmung
Sofortige Passwortänderung
Das Passwort wird geändert. Wir stellen jedoch fest, dass E-Mails weiterhin abgefangen werden — die Weiterleitungsregeln sind passwortunabhängig.
Tag +1 — Untersuchung
Entdeckung der Weiterleitungsregeln
Analyse des Webmail-Kontos Horde 5.2.x. Identifizierung und sofortige Löschung der bösartigen Regeln.
Tag +2 — Arbeitsplatzanalyse
Multi-Tool Antivirus-Scan
Vollständige Analyse mit Bitdefender + Malwarebytes auf allen Windows-Arbeitsplätzen. Entdeckung und Bereinigung mehrerer Trojaner.
Folgewochen — Härtung
Vollständige Absicherung der Infrastruktur
Migration auf aktuelles Webmail, 2FA-Aktivierung, SPF/DKIM/DMARC-Überprüfung, Kundenschulung, obligatorische telefonische Überprüfung bei jeder IBAN-Änderung.
Technische Analyse: warum es funktioniert hat
💡 Kernaussage
SPF, DKIM und DMARC schützen gegen externes Spoofing. Sie schützen nicht gegen einen Angreifer, der über gestohlene Zugangsdaten legitimen Zugriff auf das E-Mail-Konto hat. Genau das ist hier passiert.
Der Kunde nutzte ein Webmail Horde Version 5.2.x, eine veraltete Version mit bekannten Schwachstellen. Der Angreifer hat die Zugangsdaten vermutlich über die Trojaner auf den Rechnern erlangt.
🚨 Kritische Lektion
Ein Passwortwechsel reicht nach einer Kompromittierung nicht aus. Man muss alle Filter-, Weiterleitungs- und automatische Übertragungsregeln des E-Mail-Kontos überprüfen und löschen.
Umgesetzte Behebungsmassnahmen
- ✓Löschung der bösartigen Regeln
- ✓Passwort-Rotation für alle E-Mail- und Applikationskonten
- ✓Bereinigung der infizierten Arbeitsplätze
- ✓2FA-Aktivierung für alle kritischen Dienste
- ✓Migration auf ein sicheres Webmail
- ✓Anzeige beim BACS (Bundesamt für Cybersicherheit)
- ✓Out-of-Band-Verfahren — jede Änderung von Bankdaten muss telefonisch bestätigt werden
Wie man diese Art von Angriff verhindert
Verwenden Sie ein aktuelles Webmail, aktivieren Sie SPF, DKIM, DMARC und 2FA, prüfen Sie regelmässig die Weiterleitungsregeln Ihrer E-Mail-Konten, und führen Sie regelmässige vollständige Antivirus-Scans durch. Auf organisatorischer Ebene: Etablieren Sie ein Out-of-Band-Verfahren für Änderungen von Bankdaten und schulen Sie Ihre Mitarbeitenden.
Schweizer Rechtsrahmen: Ihre Rechtsmittel
In der Schweiz fallen solche Angriffe unter mehrere Artikel des Strafgesetzbuches:
⚖ Schweizerisches Strafgesetzbuch (StGB)
Art. 143bis StGB — Unbefugtes Eindringen in ein Datenverarbeitungssystem: bis zu 3 Jahre.
Art. 143 StGB — Unbefugte Datenbeschaffung: bis zu 5 Jahre.
Art. 179novies StGB — Unbefugtes Beschaffen von Personendaten: bis zu 1 Jahr.
Zusammenfassung
Ein Man-in-the-Middle-Angriff auf die E-Mail ist nicht nur grossen Unternehmen vorbehalten. Schweizer KMU sind bevorzugte Ziele, gerade weil sie etablierte Vertrauensbeziehungen zu ihren Partnern, bedeutende Transaktionsbeträge und manchmal weniger gewartete Systeme haben.
Über den direkten finanziellen Schaden hinaus — der in diesem Fall begrenzt blieb — liegt die eigentliche Gefahr im Reputationsverlust. Wenn Ihre Geschäftspartner betrügerische E-Mails erhalten, die scheinbar von Ihrer Adresse stammen, steht das über Jahre aufgebaute Vertrauen auf dem Spiel. Diese Glaubwürdigkeit wiederherzustellen dauert weitaus länger als die Bereinigung eines E-Mail-Kontos.
Wenn Sie vermuten, dass Ihre geschäftliche E-Mail kompromittiert sein könnte, oder Ihre E-Mail-Sicherheit auditieren lassen möchten, kontaktieren Sie uns.
Luc Demierre
Gründer & IT-Berater — d-side solutions Sàrl, Fribourg
Spezialisiert auf IT-Architektur, Systemsicherheit und E-Commerce-Integration für Schweizer KMU. Gründer von d-side solutions Sàrl seit 2022.