Ein Benutzer meldet, dass er auf einen Link in einer verdächtigen E-Mail geklickt und sein Passwort auf der Seite eingegeben hat. Was ist Ihre ERSTE Maßnahme?
Kurzantwort
Gehen Sie davon aus, dass das Passwort bereits kompromittiert ist: Erzwingen Sie ein Zurücksetzen UND machen Sie die aktiven Sitzungen und Token des Kontos ungültig, denn ein Reset allein vertreibt keinen Angreifer, der bereits eine aktive Sitzung oder ein Refresh-Token besitzt. Jagen Sie dann anomale Anmeldungen, MFA-Aufforderungen, Postfachregeln und OAuth-Berechtigungen aus dem Expositionsfenster. Die E-Mail zu löschen oder dem Benutzer zu sagen, er solle sein Passwort „beim nächsten Mal“ ändern, lässt das Konto weit offen. Ein Virenscan adressiert Malware auf dem Endgerät, nicht gestohlene Anmeldedaten in der Cloud.
Wenn ein Benutzer zugibt, sein Passwort auf einer Phishing-Seite eingegeben zu haben, behandeln Sie die Anmeldedaten als bereits in den Händen des Angreifers. Die Frage prüft, ob Sie verstehen, dass moderne Kontoübernahmen selten durch eine bloße Passwortänderung gestoppt werden — und dass die Geschwindigkeit der Eindämmung wichtiger ist als das Aufräumen des Postfachs.
Warum Reset plus Sitzungswiderruf die Antwort ist
Ein Zurücksetzen schließt eine Tür, aber Angreifer, die Anmeldedaten gephisht haben, authentifizieren sich oft sofort und erhalten ein Sitzungs-Cookie oder ein OAuth-Refresh-Token. Diese Token überleben die Passwortänderung. Sie müssen daher beides tun: das Passwort zurücksetzen und die aktiven Sitzungen/Token widerrufen (überall abmelden, Token-Widerruf, erzwungene Neuanmeldung). Erst dann jagen Sie — prüfen Sie die Anmeldeprotokolle (unmögliche Reise, neue IPs), suchen Sie nach kürzlich erstellten Weiterleitungsregeln, OAuth-App-Zustimmungen und während des Angreiferfensters hinzugefügten MFA-Registrierungen.
Warum die anderen Optionen gefährlich sind
- Die E-Mail löschen und weitermachen — das adressiert den Köder, nicht den Einbruch. Die Anmeldedaten sind bereits weg; das Aufräumen des Postfachs ändert nichts am Zugang des Angreifers.
- „Ändern Sie es bei der nächsten Anmeldung“ — jede Stunde Verzögerung ist geschenkte Verweildauer. Der Angreifer kann Wiederherstellungseinstellungen ändern, E-Mails exfiltrieren oder weiterspringen, bevor sich der Benutzer das nächste Mal anmeldet.
- Einen vollständigen AV-Scan ausführen und warten — der Virenscanner jagt Malware auf dem Laptop. Dieser Vorfall betrifft gestohlene Cloud-Anmeldedaten, nicht zwingend eine Infektion. Das Warten auf den Scan verbrennt das kritische Eindämmungsfenster, während das Konto ausnutzbar bleibt.
Was der Interviewer prüft
Er will sehen, dass Sie Endgeräte-Kompromittierung von Identitäts-Kompromittierung trennen und die richtige Kontrolle wählen. Der starke Kandidat nennt die Doppelmaßnahme (Reset und Sitzungs-/Token-Invalidierung) und wechselt dann zur Eingrenzung: Was hat der Angreifer berührt und hat er Persistenz über MFA oder Postfachregeln eingerichtet? Dieses Urteil — zuerst die Identität eindämmen, dann untersuchen — ist der Kern der Reaktion auf Anmeldedaten-Phishing.
Wahrscheinliche Anschlussfragen
- Ein Angreifer hat während der Sitzung sein eigenes MFA-Gerät registriert. Wie würde Ihr Reset-Workflow das erkennen?
- Welche Protokolle würden Sie abrufen, um einzugrenzen, was der Angreifer mit den gestohlenen Anmeldedaten getan hat?
- Wie verändern Sitzungstoken und OAuth-Refresh-Token Ihre Eindämmung über ein Passwort-Reset hinaus?