An dem Tag, an dem alles begann, saß ich ganz gewöhnlich an meinem Schreibtisch. Ich war gerade dabei, eine Auswertung zu offenen Sicherheitsmaßnahmen zu prüfen, als in meinem Posteingang eine weitergeleitete E-Mail auftauchte. Absender: Ein Kollege aus dem Hochbauamt. Betreffzeile: „Schon wieder Spam? Bitte prüfen.“

Solche Mails bekommen wir ständig. Mehrmals täglich schickt jemand aus der Verwaltung einen vermeintlichen Spam-Verdacht weiter. Meistens ist es tatsächlich schlicht Werbung, plumpe Phishing-Versuche oder offensichtlicher Unsinn. Normalerweise überfliege ich diese Meldungen kurz, klassifiziere sie, blockiere gegebenenfalls die Absenderadresse und hake das Thema ab. Routinearbeit.

Ich öffnete die E-Mail und sah mir den ursprünglichen Inhalt an. Optisch wirkte sie zunächst wie ein typischer Phishing-Versuch: vermeintlich von einem bekannten Dienstleistungsunternehmen – nennen wir es „Dienstleister Alpha“ –, mit dem wir tatsächlich zusammenarbeiten, sachlich formuliert, mit einem Hinweis auf „dringend zu prüfende Vertragsunterlagen“ und einer angeblichen Frist bis zum Tagesende. Nichts, was mich auf den ersten Blick wirklich überrascht hätte.

Dann las ich den Kommentar meines Kollegen aus dem Hochbauamt: „Komische Mail. Sieht nach Spam aus, aber die Projektnummer stimmt. Bitte mal draufschauen.“ 

Das war der Moment, in dem ich hellhörig wurde.
 

Ich schaute mir die Mail genauer an. Die erwähnte Projektnummer schien tatsächlich zu einem realen Vorgang zu passen, an dem der Kollege aus dem Hochbauamt beteiligt war. Die Anrede stimmte, die interne Bezeichnung des Projekts war korrekt, sogar der Name des zuständigen Sachbearbeiters wurde im Text erwähnt. Das wirkte plötzlich nicht mehr wie zufälliger Spam, der in hunderte Postfächer geschossen wird. Hier hatte offenbar jemand sehr gezielt formuliert.

Der entscheidende Satz im Mailtext lautete sinngemäß: „Bitte klicken Sie auf den folgenden Link, um die aktualisierten Vertragsunterlagen für das Projekt [Projektnummer] einzusehen.“  
Ich fragte mich, ob unser Kollege aus dem Hochbauamt auf diesen Link geklickt hatte. Eine Abfrage über unser internes Endpoint-Security Tool verneinte dies. Das ist erstmal gut, dennoch wollte ich auf Nummer Sicher gehen und den Kollegen einmal anrufen.

Er ging relativ schnell ans Telefon und klang etwas genervt, wie jemand, der im Arbeitsalltag oft von unnötigen Mails ausgebremst wird. Ich stellte ihm direkt die wichtigste Frage: „Haben Sie auf den Link in der E-Mail geklickt oder sich irgendwo angemeldet?“ Er verneinte sofort. Er habe die Mail gelesen, sie sei ihm komisch vorgekommen, weil sie zwar inhaltlich zu seinem Projekt passe, aber irgendwie „unnatürlich gedrängt“ wirkte. Deshalb habe er sie nicht geöffnet, den Link nicht angeklickt, sondern sie direkt an uns zur Prüfung weitergeleitet. Ich war ehrlich erleichtert. Keine Eingabe von Zugangsdaten, kein Aufruf einer potenziell infizierten Seite – zumindest nicht von seinem Arbeitsplatz aus.

Trotzdem hatte ich genug gesehen, um zu wissen, dass das hier kein normaler Spam war. Nach unserem Incident-Response-Plan gilt in solchen Fällen: Wenn eine E-Mail gezielt echte Projektdaten nutzt und sich als ein bekannter Partner ausgibt, ist der Vorfall mindestens prüfungswürdig. Also begann ich mit einer genaueren Analyse der E-Mail, soweit das mit unseren Mitteln möglich ist – ohne SIEM, ohne zentrale Security-Plattform, dafür mit klassischen Werkzeugen und gründlicher Handarbeit.

Ich öffnete die erweiterten Kopfzeilen der E-Mail, die sogenannten Header. In ihnen stehen technische Informationen darüber, über welche Server die E-Mail gelaufen ist, welche Absenderadresse verwendet wurde und ob bestimmte Sicherheitsprüfungen erfolgreich waren. Schon dort gab es erste Hinweise, dass etwas nicht stimmte. Die E-Mail sah zwar so aus, als käme sie von einer Adresse unseres Dienstleisters „Dienstleister Alpha“, aber die tatsächlich verwendeten Mailserver passten nicht zu den Servern, die wir aus früheren echten Nachrichten kannten. Auch die Authentifizierungsmerkmale wie SPF und DKIM wirkten merkwürdig – nicht völlig offensichtlich falsch, aber nicht so, wie sie bei legitimen Mails dieses Dienstleisters üblicherweise aussehen.

Der eigentliche Kern war aber: Der Inhalt war zu spezifisch, um zufällig zu sein. In der Vergangenheit hatten wir Phishing-Mails gesehen, die unseren Dienstleister nachahmten, aber mit generischen Formulierungen und unsinnigen Details. Diese Mail dagegen kannte konkrete Projektdaten. Das ließ nur zwei ernsthafte Möglichkeiten zu: Entweder waren Daten aus unserer Verwaltung entwendet worden, oder jemand hatte Zugriff auf die Kommunikation bei „Dienstleister Alpha“ gehabt.

Bevor ich diesen Verdacht weiterverfolgte, musste ich sicherstellen, dass bei uns niemand sonst auf die E-Mail hereingefallen war. Ich ließ mir vom Mail-System eine Übersicht geben, an welche Postfächer diese Nachricht zugestellt worden war. Es waren mehrere Kolleginnen und Kollegen, hauptsächlich im Bereich Bau und Vergabe, die tatsächlich mit „Dienstleister Alpha“ zusammenarbeiten. Ich prüfte bei einigen stichprobenartig, ob sie die E-Mail geöffnet hatten, und bat sie, mir kurz zu melden, falls sie den Link angeklickt hätten. Die Rückmeldungen waren eindeutig: Die meisten hatten die E-Mail nur kurz gesehen und ignoriert oder direkt gelöscht, einige hatten sie als Spam empfunden, aber niemand hatte sich auf irgendeiner Seite angemeldet oder Daten eingegeben. Das war eine entscheidende Entlastung. Der unmittelbare Schaden in unserer Umgebung war minimal. Ich bat die Kolleginnen und Kollegen, mir einige unkritische E-Mails des Dienstleisters zukommen zu lassen, damit ich diese mit der Phishing-Mail vergleichen konnte.

Damit war der akute Druck zwar etwas raus, aber die entscheidende Frage blieb: Wie kommt eine offensichtlich gefälschte E-Mail an interne Projektdaten, die nicht allgemein bekannt sind? Ich verglich testweise einige Textpassagen der Phishing-Mail mit den echten E-Mails von „Dienstleister Alpha“. Dabei stellte ich fest, dass bestimmte Formulierungen nahezu wortgleich übernommen wurden – teilweise inklusive typischer Grußformeln und interner Bezeichnungen, die wir so nur in realer Kommunikation gesehen hatten. Für mich war das ein starkes Indiz dafür, dass jemand Zugriff auf E-Mails oder Dokumente von „Dienstleister Alpha“ gehabt haben musste.

Unsere eigenen Systeme zeigten in den relevanten Zeiträumen keine Auffälligkeiten: keine ungewöhnlichen Logins, keine Hinweise auf Datenabflüsse aus unserem Mailsystem, keine verdächtigen Aktivitäten in den Bereichen, in denen die Projekte verwaltet wurden. Damit verschob sich der Verdacht immer weiter weg von unserer eigenen Infrastruktur hin zur Seite des Dienstleisters.

Nach unserem Incident-Response-Plan gehört es in so einer Situation zu unseren Aufgaben, den möglichen Sicherheitsvorfall beim externen Partner anzusprechen. Das ist immer heikel: Niemand hört gerne von außen, dass im eigenen Haus vermutlich etwas nicht stimmt. Trotzdem ist es zwingend notwendig – schon allein, weil andere Kundinnen und Kunden ansonsten weiter gefährdet wären, ohne es zu wissen.

Ich formulierte gemeinsam mit einer Kollegin eine sachliche, technische Nachricht an die IT-Ansprechperson bei „Dienstleister Alpha“. Darin schilderten wir nüchtern den Ablauf: Wir hatten eine verdächtige E-Mail im Namen des Unternehmens erhalten, die konkrete Projektdaten und Ansprechpartner aus einer laufenden Zusammenarbeit enthielt. Wir stellten dar, dass die E-Mail nicht über deren üblichen Mailserver zugestellt wurde und dass die technischen Prüfsummen nicht zu den bekannten Mustern passten. Wir wiesen darauf hin, dass unsere internen Logs keine Anzeichen eines Einbruchs auf unserer Seite ergaben. Zwischen den Zeilen stand deutlich: „Wir vermuten, dass bei Ihnen etwas kompromittiert sein könnte.“

Die erste Antwort war zunächst wenig überraschend vorsichtig. Man dankte uns für den Hinweis, versicherte, dass bisher keine Störungen festgestellt worden seien, die Systeme stabil liefen und die Firewalls auf einem aktuellen Stand seien. Das klang aus technischer Sicht nicht falsch, aber es beantwortete nicht die eigentliche Frage: Ob jemand unterhalb dieser Oberfläche vielleicht bereits länger still mitlesen konnte.

Ich ließ nicht locker und schickte ergänzend weitere Details: exakte Zeitstempel der empfangenen E-Mail, Ausschnitte aus den Headern, eine Gegenüberstellung der echten Mailserver von „Dienstleister Alpha“ und des Servers, über den die Phishing-Mail tatsächlich gelaufen war. Ich betonte nochmals, dass die in der Phishing-Mail enthaltenen Informationen, so wie sie formuliert waren, sehr stark darauf hindeuten, dass jemand Zugriff auf deren Kommunikation hatte. Man merkte, dass der Ton in den Antworten zunehmend ernster wurde. Aus einem freundlichen Standardtext wurde eine konkrete Ankündigung, dass man den Vorfall intern gründlich prüfen werde.

Während „Dienstleister Alpha“ prüfte, verstärkten wir bei uns einige Schutzmaßnahmen. Wir überprüften alle aktuell genutzten Zugänge zu deren Systemen, reduzierten Rechte dort, wo es möglich und sinnvoll war, und sensibilisierten die betroffenen Bereiche nochmals ausdrücklich für derartige Mails. Dabei betonte ich auch intern, wie wichtig es war, dass der Kollege aus dem Hochbauamt die E-Mail nicht einfach gelöscht, sondern zur Prüfung weitergeleitet hatte – und dass er eben nicht auf den Link geklickt hatte. Allein diese Kombination aus Aufmerksamkeit und Zurückhaltung hatte verhindert, dass aus dem Vorfall bei uns etwas Größeres wurde.

Einige Tage später erhielt ich einen Anruf vom IT-Verantwortlichen von „Dienstleister Alpha“. Man hörte seiner Stimme an, dass die Lage sich verändert hatte. Er bedankte sich zunächst ausdrücklich für unsere Hartnäckigkeit und dafür, dass wir ihnen so konkrete technische Hinweise geliefert hatten. Dann berichtete er, was ihre interne Untersuchung ergeben hatte. Im Rahmen eines außerplanmäßigen Sicherheits-Audits, das auch aufgrund unserer Hinweise gestartet worden war, hatte ihr Team Unregelmäßigkeiten auf einem ihrer Mailserver festgestellt. Es gab Anzeichen dafür, dass ein technischer Account mit erweiterten Rechten missbraucht worden war. Außerdem waren an manchen Stellen in den Protokollen Lücken und Unstimmigkeiten aufgefallen, die nicht zu einem normalen Systembetrieb passten.

Nach weiteren Analysen stellte sich heraus, dass der E-Mail-Server von „Dienstleister Alpha“ kompromittiert worden war – und zwar nicht erst seit dem Vortag. Offenbar hatten Angreifer über einen gewissen Zeitraum Zugriff auf Teile der ein- und ausgehenden Kommunikation gehabt. Sie konnten also echte Betreffzeilen, echte Projektnummern, reale Ansprechpartner und Formulierungen aus der laufenden Zusammenarbeit einsehen und daraus täuschend echte Phishing-Mails zusammensetzen. Die Nachricht, die bei uns im Hochbauamt gelandet war, war also kein isolierter Einfall, sondern Teil einer größeren Kampagne, bei der mehrere Kunden des Dienstleisters ins Visier genommen worden waren.

Für uns war damit klar: Unser Incident-Response-Plan hatte gegriffen, obwohl wir kein großes, automatisiertes Sicherheitsüberwachungssystem im Hintergrund laufen haben. Die wichtigsten Bausteine waren am Ende menschliche Aufmerksamkeit, klare Meldewege und eine strukturierte Vorgehensweise bei der Analyse. Wir dokumentierten den gesamten Vorfall ausführlich: Vom Eingang der Meldung aus dem Hochbauamt über unsere Analyseschritte und die Kommunikation mit „Dienstleister Alpha“ bis hin zu den Erkenntnissen aus deren forensischer Untersuchung. Da bei uns weder Zugangsdaten eingegeben noch Systeme kompromittiert wurden, blieb der direkte Schaden in unserer Verwaltung sehr gering.

Trotzdem hat mich dieser Vorfall geprägt. Jedes Mal, wenn ich heute eine weitergeleitete „Spam-Verdachtsmail“ öffne, denke ich daran, wie unscheinbar damals alles begonnen hatte. Eine einzige Mail, die auf den ersten Blick aussah wie hunderte andere, hat am Ende dazu geführt, dass ein ernstzunehmender Angriff auf ein externes Unternehmen aufgedeckt wurde. Ohne die Aufmerksamkeit eines Mitarbeiters im Hochbauamt wäre das vielleicht viel später oder gar nicht aufgefallen. Und ohne unsere Bereitschaft, den Verdacht konsequent zu verfolgen, wäre „Dienstleister Alpha“ möglicherweise noch länger kompromittiert gewesen.

Ich erzähle diese Geschichte inzwischen regelmäßig – natürlich anonymisiert, ohne echte Namen oder konkrete Unternehmensbezeichnungen. Ich betone dabei immer zwei Dinge: Erstens, dass es gut und wichtig ist, vermeintliche Spam-Mails lieber einmal mehr weiterzuleiten als einmal zu wenig. Und zweitens, dass IT-Sicherheit nicht nur aus Firewalls, Updates und Technik besteht, sondern ganz wesentlich aus Menschen, die aufmerksam bleiben, nachfragen, wenn ihnen etwas komisch vorkommt, und sich nicht scheuen, Vorfälle zu melden. In diesem Fall war genau das der Unterschied zwischen „nur Spam“ und einem aufgedeckten Lieferkettenangriff.

Fachlich eingeordnet: Der hier beschriebene Vorfall entspricht einem gezielten Phishing-Angriff (Spear Phishing), bei welchem Informationen aus einem kompromittierten Dienstleisterumfeld genutzt wurden, um vertrauenswürdige E-Mails nachzuahmen. Solche Angriffe werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig in den „Lageberichten zur IT-Sicherheit in Deutschland“ thematisiert, insbesondere im Kontext von Supply-Chain-Angriffen. Informationen zu Phishing und seiner Erkennung stellt das BSI ausführlich auf seinen Seiten zur Verfügung.