E-Mail Security Teil 6 – Praxisfälle & Runbooks – drei kompakte Playbooks aus dem Alltag

Runbooks machen den Unterschied zwischen “man reagiert irgendwie” und “man handelt zügig, reproduzierbar und nachweisbar”. An drei typischen Fällen zeigen wir, wie der Managed-Betrieb wirkt – von der Erkennung über die Kommunikation bis zu den Nacharbeiten. Fachbegriffe tauchen dort auf, wo sie gebraucht werden; wichtiger ist der klare Ablauf.

Fall 1: „Fake-Rechnung“ an die Buchhaltung

Ausgangslage

Eine vermeintliche Rechnung erreicht Finance – inhaltlich plausibel, zeitlich passend (Monatsende), häufig mit Zahlungs- oder Login-Bezug. Anhänge oder Links zielen auf Datendiebstahl oder Zahlungen an falsche Konten.

Ziel

Schadmail stoppen, bereits zugestellte Nachrichten geordnet zurückziehen, betroffene Personen schnell informieren und ähnliche Versuche künftig früher erkennen.

Ablauf (Runbook)

1. Erkennung & Einstufung – verdächtige Merkmale (Absenderabweichung, untypische Domain, Formulierungen), Bezug zu Zahlungen/Login.
2. Eindämmung – Quarantäne; wenn bereits zugestellt: gezieltes Zurückholen (Clawback) auf Thread-/Absenderbasis, eng geschnitten und protokolliert.
3. Kommunikation – Kurzinfo an Finance („Rechnung X nicht öffnen, ggf. bereits geklickt melden“), Rückkanal benennen.
4. Nacharbeiten – Regel-Tuning (z. B. Bannerhinweis für Zahlungsbezug schärfen), bekannte Betrugsdomains markieren, Ausnahmen prüfen/entfernen.
5. Dokumentation – Ticket, getroffene Maßnahmen, Lessons Learned.

Nutzen

Risiko wird schnell aus dem Posteingang genommen, Finance weiß, was zu tun ist, und die Erkennungsqualität steigt nachhaltig.

Messpunkte (KPIs)

Clawback-Zeit (Minuten), Wiederholrate des Musters, False-Positive-Auswirkung (gering gehalten?), Anzahl betroffener Postfächer.

Fall 2: VIP-Impersonation (GF/CFO)

Ausgangslage

Angreifer geben sich als Geschäftsführung oder Bereichsleitung aus („Bitte kurzfristig freigeben…“). Oft außerhalb üblicher Zeiten, mit höflichem Druck und unpräzisen Anweisungen.

Ziel

Impersonation früh stoppen, besonders gefährdete Rollenpostfächer schützen, Freigabewege klarziehen.

Ablauf (Runbook)

1. Erkennung & Kontext – Display-Name-Missbrauch, neue/ungewöhnliche Absender, Timing (später Abend).
2. Eindämmung – Quarantäne, Clawback für zugestellte Mails, Ausnahmen temporär sperren.
3. Schutzschärfung – VIP-/Rollenpostfächer mit strengerem Profil (z. B. strengere Bewertung bei externen Absendern mit Führungsnamen), Directory-Harvesting-Signale prüfen.
4. Kommunikation – kurze Info an Assistenz/Backoffice mit Beispielen; Zweitkanal-Bestätigung für sensible Freigaben erinnern.
5. Nacharbeiten – Bannertexte für „dringende Zahlungs-/Freigabeaufforderung“ anpassen, bekannte Muster/Absender listen, Review-Termin.

Nutzen

Weniger Durchrutscher bei exponierten Personen, klare Handlungswege bei echten E-Mails mit Eile.

Messpunkte (KPIs)

Incident-Dauer, Anzahl betroffener VIP-Postfächer, Häufigkeit desselben Musters, benötigte Ausnahmen (idealerweise: keine).

Fall 3: Kompromittierter SaaS-Absender

Ausgangslage

Ein Dritt-System (z. B. Kampagnen-Tool, Ticketsystem) versendet in Ihrem Namen und wurde fehlkonfiguriert oder kompromittiert. Folge: Bounces, Beschwerden, Reputation leidet – legitime Mails geraten ins Hintertreffen.

Ziel

Schadversand sofort stoppen, Legitimität technisch belegen, Reputation stabilisieren und die SaaS-Einbindung sauber neu aufsetzen.

Ablauf (Runbook)

1. Stop – Versand vom betroffenen Absender kurzfristig unterbinden (Provider/SaaS kontaktieren, Schlüssel drehen, Versandkanal drosseln).
2. Technische Hygiene – DKIM neu signieren/rotieren, SPF entschlacken, DMARC-Alignment sicherstellen (Header-From, DKIM, SPF konsistent).
3. Reputation – Volumen glätten, getrennte Subdomain für Marketing vs. Transaktion einführen, Bounce-Muster je Ziel-Provider beobachten.
4. Kommunikation – Fachbereich informiert (Status/Fahrplan), ggf. Hinweis an betroffene Empfängergruppen.
5. Nacharbeiten – Lessons Learned, Onboarding-Checkliste für künftige SaaS-Sender, regelmäßige Review-Slots.

Nutzen

Schneller Reputations-Reset, Zustellbarkeit für wichtige Nachrichten bleibt planbar, Einbindung externer Versender wird robuster.

Messpunkte (KPIs)

Bounces/Complaints im Zeitverlauf, Recovery-Zeit bis zur Normalisierung, Anteil sauber authentifizierter Mails (SPF/DKIM/DMARC).

So greifen die Playbooks ins Tagesgeschäft

• Ziel: definierte Schritte, klare Rollen, dokumentierte Entscheidungen – statt Ad-hoc-Aktionen.
• Ablauf: Erkennung → Eindämmung → Kommunikation → Nacharbeiten → Dokumentation.
• Nutzen: weniger Stress, geringere Geschäftsrisiken, bessere Nachweisführung.

Nächster Teil

Teil 6  zeigt, wie Mitarbeitende ohne Reibungsverluste eingebunden werden: verständliche Bannertexte, ein schlanker Melde-Button und kurze Rückmeldungen, die wirklich etwas lernen lassen.