Appearance
Runbook: E-Mail / Microsoft 365 / Hornet Security
Dieses Runbook beschreibt die Wiederherstellungsschritte für die E-Mail-Infrastruktur und Microsoft 365-Plattform der CERTANIA Holding GmbH.
1. Zweck und Geltungsbereich
Dieses Runbook gilt für den Ausfall oder die Beeinträchtigung von Microsoft 365 (Exchange Online, SharePoint, Teams, OneDrive) und/oder Hornet Security (E-Mail-Schutz, E-Mail-Archivierung). Es deckt folgende Szenarien ab:
- Totalausfall Microsoft 365 (anbieter- oder mieter-seitig)
- Kompromittierung des M365-Tenants (z. B. durch Angreifer)
- Ausfall von Hornet Security E-Mail-Schutz
- Notwendigkeit der E-Mail-Wiederherstellung aus Archiv
2. Verantwortliche Rolle(n)
| Rolle | Person |
|---|---|
| Primäre Ausführung | IT-Leitung (Alexander Schedler) |
| Eskalation | Disaster Recovery Manager (Tina Turner) |
| Externe Unterstützung | Digiphant GmbH / Microsoft Support / Hornet Security Support |
3. Voraussetzungen und benötigte Zugänge
Folgende Zugänge müssen vor Ausführung dieses Runbooks verfügbar sein:
- Microsoft 365 Global Admin Account (Break-Glass-Account, außerhalb von SSO)
- Hornet Security Admin-Portal:
https://cp.hornetsecurity.com - Microsoft Admin Center:
https://admin.microsoft.com - Microsoft Entra Admin Center:
https://entra.microsoft.com - Microsoft 365 Status-Seite:
https://status.office365.com - Hornet Security Status-Seite:
https://live.hornet-status.com - Mobiltelefon (für MFA-Authentifizierung)
- Fido Key für Break-Glass-Account (physisch gesichert)
4. Schritt-für-Schritt Wiederherstellungsanleitung
Szenario A: Ausfall Microsoft 365 (Anbieter-seitig)
- Status prüfen:
https://status.office365.comaufrufen und aktiven Vorfall identifizieren - Microsoft Admin Center aufrufen (
https://admin.microsoft.com) → Service Health prüfen - Falls bestätigter Microsoft-Ausfall: Mitarbeitende informieren (Notfall-Kommunikationsweg gemäß Dok. 06)
- Notbetrieb aktivieren gemäß Dokument 08 – Notbetrieb
- Microsoft Support kontaktieren: Digiphant GmbH
- Regelmäßige Status-Updates an DRM (alle 60 Minuten)
- Bei Wiederherstellung durch Microsoft: Funktionstest aller M365-Dienste durchführen
Szenario B: Kompromittierter M365-Tenant
- Sofortmaßnahme: Break-Glass-Account aktivieren
- Alle verdächtigen Admin-Sessions beenden: Entra Admin Center → Users → betroffener Account → Revoke Sessions
- Passwörter aller Admin-Accounts zurücksetzen
- MFA / Conditional Access Policy prüfen
- Audit-Log prüfen: Microsoft Purview Compliance Center → Audit → Zeitraum definieren
- Verdächtige OAuth-Apps entfernen: Entra Admin Center → Enterprise Applications
- Hornet Security: E-Mail-Archiv auf verdächtige Aktivitäten prüfen
- Cyber-Versicherung Coalition informieren (C-52RZ-008560-CYBER-2025)
- Bei Datenschutzverletzung: DSGVO Art. 33 Meldepflicht prüfen (72h-Frist)
Szenario C: Ausfall Hornet Security E-Mail-Schutz
- Hornet Security Admin-Portal aufrufen: https://cp.hornetsecurity.com
- Status prüfen und Support kontaktieren: https://live.hornet-status.com
- Falls MX-Records auf Hornet zeigen und nicht erreichbar: Temporären MX-Failover auf direkte Exchange Online-Zustellung prüfen
- Hinweis: E-Mail-Schutz (Spam/Malware-Filter) ist in dieser Zeit eingeschränkt – Mitarbeitende sensibilisieren
- Hornet-Archiv-Zugriff prüfen: https://cp.hornetsecurity.com
5. Erfolgskriterien und Validierungsprüfungen
Die Wiederherstellung gilt als erfolgreich, wenn:
- [ ] E-Mail-Empfang und -Versand funktioniert (Test-E-Mail senden und empfangen)
- [ ] Microsoft Teams erreichbar und funktionsfähig
- [ ] SharePoint und OneDrive erreichbar
- [ ] Hornet Security E-Mail-Schutz aktiv (keine offenen Alerts im Admin-Portal)
- [ ] Alle Admin-Accounts mit MFA gesichert
- [ ] Keine aktiven Sicherheitsvorfälle im Entra Audit-Log
6. Fallback bei gescheiterter Wiederherstellung
Falls die Wiederherstellung von Microsoft 365 nicht innerhalb des RTO möglich ist:
- Notbetrieb aktivieren: Kommunikation über Mobiltelefon, private E-Mail-Konten, ggf. temporäre Exchange-Instanz
- Externer IT-Dienstleister hinzuziehen: Digiphant GmbH
- Geschäftsführung über verlängerten Ausfall informieren
7. Geschätzte Wiederherstellungszeit (RTO)
| Szenario | Geschätzter RTO |
|---|---|
| Anbieter-seitiger M365-Ausfall | Abhängig von Microsoft (nicht beeinflussbar) |
| Kompromittierter Tenant – Erstmaßnahmen | 2–4 Stunden |
| Hornet Security Ausfall | 1–2 Stunden |
Ziel-RTO gemäß BIA: 2 Stunden für E-Mail, 4 Stunden für M365 gesamt
Änderungshistorie
| Version | Datum | Autor | Änderung |
|---|---|---|---|
| 0.1 | 2026-02-24 | Alexander Schedler | Initiale Erstellung |
Dokumentensteuerung
| Feld | Wert |
|---|---|
| Dokumentenname | 07_01_Runbook-Email-M365-Hornet.md |
| Version | 0.1 |
| Status | Entwurf |
| Erstellt von | Alexander Schedler |
| Freigegeben von | – |
| Datum | 2026-02-24 |
| Nächste Überprüfung | 2027-02-24 |