Angriffe zur Übernahme von Benutzerkonten stiegen im Jahr 2024 im Vergleich zum Vorjahr um 250 %. 99 % der Unternehmen waren Ziel von Angriffen und 62 % wurden erfolgreich angegriffen. Da Cyberkriminelle immer raffiniertere Methoden einsetzen - von KI-gestützten Deepfakes bis hin zu massiven Kampagnen zum Ausfüllen von Anmeldedaten - stehen Sicherheitsteams vor einer noch nie dagewesenen Herausforderung beim Schutz von Benutzerkonten in ihrer gesamten digitalen Infrastruktur.
Allein die finanziellen Auswirkungen erfordern sofortige Aufmerksamkeit. Der Betrug durch Kontoübernahme führte zu 2,77 Milliarden Dollar an Verlusten bei der Kompromittierung von Geschäfts-E-Mails, die dem FBI im Jahr 2024 gemeldet wurden, während Unternehmen mit behördlichen Geldstrafen von bis zu 110 Millionen Euro für unzureichende Maßnahmen zur Kontosicherheit zu kämpfen haben. Für Sicherheitsanalysten, SOC-Führungskräfte und CISOs ist das Verständnis und die Abwehr von Kontoübernahmen inzwischen von entscheidender Bedeutung.
Dieser umfassende Leitfaden untersucht die aktuelle Bedrohungslandschaft für Kontoübernahmen und schlüsselt Angriffsmethoden, Erkennungsstrategien und Präventionstechnologien auf. Sie erfahren, wie Sie wirksame Abwehrmaßnahmen sowohl gegen herkömmliche als auch gegen neue KI-gestützte Angriffe implementieren und gleichzeitig die Compliance-Anforderungen erfüllen und die Produktivität der Benutzer aufrechterhalten können.
Die Kontoübernahme ist eine Form des Identitätsdiebstahls, bei der sich Cyberkriminelle durch gestohlene Anmeldedaten, Session Hijacking oder Social Engineering unbefugten Zugriff auf Benutzerkonten verschaffen und diesen Zugriff dann nutzen, um Betrug zu begehen, Daten zu stehlen oder weitere Angriffe auf das Netzwerk eines Unternehmens zu starten. Im Gegensatz zum einfachen Diebstahl von Anmeldeinformationen umfasst die Übernahme von Benutzerkonten die vollständige Kompromittierung und Kontrolle legitimer Benutzerkonten, so dass Angreifer unerkannt operieren können, während sie als vertrauenswürdige Benutzer auftreten.
Die Unterscheidung zwischen Kontoübernahme und verwandten Bedrohungen ist für die Verteidigungsstrategien von Bedeutung. Während es beim Diebstahl von Zugangsdaten um die Beschaffung von Benutzernamen und Passwörtern geht, stellt die Kontoübernahme die erfolgreiche Ausnutzung dieser Zugangsdaten dar, um dauerhaften Zugang zu erhalten. Identitätsdiebstahl umfasst im weitesten Sinne den Missbrauch persönlicher Daten, während die Übernahme von Konten speziell auf Online-Konten abzielt, um diese sofort auszunutzen. Diese operative Kontrolle ermöglicht es Angreifern, Sicherheitskontrollen zu umgehen, auf sensible Systeme zuzugreifen und den Zugang auch nach dem Zurücksetzen des Passworts aufrechtzuerhalten.
Moderne Angriffe zur Übernahme von Konten haben sich weit über den einfachen Passwortdiebstahl hinaus entwickelt. Die Integration von künstlicher Intelligenz hat die Bedrohungslandschaft verändert: Die Zahl der Betrugsversuche durch gefälschte Konten ist innerhalb von drei Jahren um 2.137 % gestiegen und macht mittlerweile6,5 % aller Betrugsversuche aus. Diese KI-gestützten Angriffe können biometrische Authentifizierungen umgehen, Sprachverifikationssysteme manipulieren und synthetische Identitäten erstellen, die für herkömmliche Sicherheitskontrollen legitim erscheinen.
Künstliche Intelligenz hat ausgefeilte Angriffstechniken demokratisiert, die zuvor nur nationalstaatlichen Akteuren zur Verfügung standen. Die Deepfake-Technologie ermöglicht es Angreifern jetzt, sich in Videogesprächen als Führungskräfte auszugeben, wie der Vorfall beim Ingenieurbüro Arup zeigt, wo Kriminelle Sprach- und Videomanipulationen in Echtzeit einsetzten, um während einer einzigen Telefonkonferenz 25 Millionen Dollar zu stehlen. Die Zugänglichkeit dieser Tools bedeutet, dass jeder motivierte Angreifer KI-gestützte Kontoübernahmekampagnen starten kann.
Der Einbruch bei Discord/Zendesk im Oktober 2025 ist ein Beispiel für diese Entwicklung: Angreifer haben den Zugang von Drittanbietern kompromittiert, um über 70.000 von der Regierung ausgestellte IDs offenzulegen. Durch die Manipulation von OAuth-Tokens und die Umgehung von MFA durch KI-gestütztes Social Engineering demonstrierten die Kriminellen, wie traditionelle Sicherheitskontrollen gegen moderne Angriffsmethoden versagen. Unternehmen müssen sich jetzt gegen Bedrohungen wehren, die technische Ausnutzung mit überzeugenden synthetischen Medien kombinieren, um sowohl Menschen als auch Maschinen zu täuschen.
Die Reichweite von KI-gestützten Angriffen geht über Deepfakes hinaus. Algorithmen für maschinelles Lernen analysieren Millionen von Zugangsdaten, um Muster zu erkennen, Passwortvariationen zu automatisieren und das Nutzerverhalten vorherzusagen. Diese Fähigkeiten ermöglichen es Angreifern, gezielte Kampagnen in großem Umfang durchzuführen, deren Erfolgsquoten deutlich höher sind als bei herkömmlichen Brute-Force-Methoden. Da die Erkennung von und Reaktion auf Identitätsbedrohungen immer wichtiger wird, benötigen Sicherheitsteams fortschrittliche Analysen, um KI-gestützte Bedrohungen abzuwehren.
Angriffe zur Übernahme von Konten folgen einer vorhersehbaren Angriffskette, die mit der Erkundung und dem Erwerb von Anmeldeinformationen beginnt, über den Erstzugriff und die Ausweitung von Berechtigungen fortschreitet und schließlich in der Datenexfiltration oder dem Betrug gipfelt. Das Verständnis dieses Angriffsverlaufs ermöglicht es Sicherheitsteams, in jeder Phase gezielte Kontrollen zu implementieren und so Angriffe zu unterbrechen, bevor größerer Schaden entsteht.
Credential Stuffing ist nach wie vor der dominierende Angriffsvektor, der die 72 % der Benutzer ausnutzt , die ihre Passwörter auf mehreren Websites wiederverwenden. Angreifer automatisieren Anmeldeversuche unter Verwendung von Milliarden von Benutzername-Passwort-Kombinationen, die sie aus früheren Datenschutzverletzungen erhalten haben. Dabei werden Erfolgsquoten von 0,1 bis 2 % erzielt, die sich bei großen Nutzerbeständen in Tausenden von kompromittierten Konten niederschlagen. Das TeamFiltration-Tool, das in der Microsoft Entra ID-Kampagne eingesetzt wurde, automatisierte diesen Prozess und testete Anmeldedaten für 80.000 Unternehmenskonten mit einer Erfolgsquote von 12 %.
Phishing haben sich über einfache E-Mail-Betrügereien hinaus zu ausgefeilten phishing entwickelt, die mit personalisierten Inhalten auf bestimmte Personen abzielen. Die Angreifer recherchieren die Zielpersonen über soziale Medien, erstellen überzeugende Vorwände und setzen Websites zum Abfangen von Anmeldedaten ein, die legitime Anmeldeseiten nachahmen. Diese Kampagnen umgehen oft E-Mail-Filter, indem sie legitime Dienste wie Microsoft 365 oder Google Workspace nutzen, um bösartige Inhalte zu hosten, was die Entdeckung erheblich erschwert.
Beim Session Hijacking werden Schwachstellen in Webanwendungen ausgenutzt, um Sitzungs-Token zu stehlen oder zu manipulieren, so dass Angreifer Zugriff erhalten, ohne dass sie Anmeldedaten benötigen. Zu den modernen Techniken des Session Hijacking gehören cross-site scripting (XSS)-Angriffe, Man-in-the-Middle-Interception und Session Fixation. Sobald Angreifer gültige Sitzungs-Tokens erlangt haben, können sie den Zugang auch nach Passwortänderungen aufrechterhalten, wie jüngste Kampagnen gezeigt haben, bei denen gestohlene Cookies Sicherheitsrückstellungen überlebten.
Malware und Infostealer stellen eine groß angelegte Bedrohung für die Kontosicherheit dar. Diese Tools sammeln unbemerkt Anmeldedaten, Sitzungscookies und Authentifizierungstoken von infizierten Geräten und leiten die Daten automatisch an Command-and-Control-Server weiter. Die 2,1 Milliarden Zugangsdaten, die 2024 von Infostealern gestohlen wurden, sind der Treibstoff für fortlaufende Kampagnen zum Ausfüllen von Zugangsdaten und bilden einen sich selbst verstärkenden Kreislauf der Gefährdung.
Deepfakes und Stimmenklonen haben Social Engineering in großem Maßstab zur Waffe gemacht. Angreifer nutzen KI, um überzeugende Audio- und Video-Imitationen von Führungskräften, IT-Administratoren oder vertrauenswürdigen Kontakten zu erzeugen. Diese synthetischen Medien umgehen die menschliche Überprüfung und täuschen zunehmend automatisierte biometrische Systeme. Die Technologie ist inzwischen so zugänglich, dass Deepfake-as-a-Service-Angebote auf Dark-Web-Marktplätzen für nur 500 US-Dollar pro Kampagne erscheinen.
Bei der Erstellung synthetischer Identitäten werden echte und gefälschte Informationen kombiniert, um digitale Persönlichkeiten zu erstellen, die die KYC-Prüfungen (Know-Your-Customer) bestehen. Diese künstlichen Identitäten erstellen Kredithistorien, eröffnen Konten und bauen über Monate hinweg Vertrauen auf, bevor sie Angriffe ausführen. Finanzinstitute berichten, dass 20 % der neuen Kontoanträge Anzeichen von Betrug mit künstlichen Identitäten aufweisen, was jährliche Verluste in Höhe von 5 Milliarden US-Dollar bedeutet.
Der Snowflake-Vorfall, von dem mehr als 165 Unternehmen betroffen waren, zeigt, wie Kompromittierungen in der Lieferkette die Auswirkungen von Kontoübernahmen vervielfachen. Die Angreifer hatten es auf einen einzigen cloud abgesehen, um auf Kundenumgebungen zuzugreifen, und stahlen 560 Millionen Datensätze von Ticketmaster, Daten von 109 Millionen AT&T-Kunden und Informationen von 30 Millionen Santander-Konten. Der Angriff war erfolgreich, weil Unternehmen es versäumten, MFA auf Servicekonten durchzusetzen, in der Annahme, dass die Sicherheitskontrollen des Anbieters ausreichend seien.
Angriffe auf die Lieferkette nutzen die Vertrauensbeziehungen zwischen Unternehmen und ihren Technologiepartnern aus. Angreifer kompromittieren die Konten von Anbietern, um über legitime Kanäle auf Kundensysteme zuzugreifen, wobei sie die Schutzmaßnahmen am Netzwerkrand umgehen und als vertrauenswürdige Verbindungen erscheinen. Diese laterale Bewegung durch Partnernetzwerke macht die Entdeckung extrem schwierig, da die böswilligen Aktivitäten von erwarteten Quellen mit gültigen Anmeldeinformationen ausgehen.
Angriffe zur Übernahme von Konten können nach ihrem primären Angriffsvektor kategorisiert werden und erfordern jeweils spezifische Erkennungs- und Präventionsstrategien. Das Verständnis dieser Kategorien hilft Sicherheitsteams bei der Priorisierung von Abwehrmaßnahmen auf der Grundlage des Risikoprofils und der Angriffsfläche ihres Unternehmens.
Angriffe, die auf Zugangsdaten basieren, sind nach wie vor die häufigste Kategorie und umfassen Credential Stuffing, Password Spraying und Brute-Force-Versuche. Beim Credential Stuffing werden automatisierte Tools verwendet, um Paare aus Benutzernamen und Kennwörtern zu testen, die aus Datenverletzungen über mehrere Dienste hinweg stammen. Password-Spraying kehrt diesen Ansatz um, indem es gängige Passwörter bei vielen Konten ausprobiert, um das Auslösen von Sperrrichtlinien zu vermeiden. Brute-Force-Angriffe testen systematisch Passwortkombinationen für bestimmte hochwertige Konten. Diese Angriffe sind aufgrund von schwachen Passwörtern, der Wiederverwendung von Anmeldeinformationen und einer unzureichenden Ratenbegrenzung erfolgreich.
Bei sitzungsbasierten Angriffen werden Sitzungskennungen manipuliert oder gestohlen, um unbefugten Zugriff ohne Anmeldeinformationen zu erhalten. Beim Session-Hijacking werden aktive Sitzungen durch Netzwerk-Sniffing oder cross-site scripting abgefangen. Sitzungsfixierung zwingt Benutzer dazu, sich mit vom Angreifer kontrollierten Sitzungs-IDs zu authentifizieren. Sitzungswiederholungsangriffe verwenden erbeutete Authentifizierungstoken, um sich als legitime Benutzer auszugeben. Diese Techniken umgehen die passwortbasierte Sicherheit vollständig und erfordern Token-basierte Schutzmaßnahmen und eine sichere Sitzungsverwaltung.
Infrastrukturangriffe zielen auf die zugrunde liegenden Systeme und Protokolle ab, die die Authentifizierung unterstützen. Man-in-the-Middle-Angriffe fangen die Kommunikation zwischen Benutzern und Diensten ab, um Anmeldeinformationen oder Sitzungs-Tokens zu stehlen. Durch DNS-Hijacking werden Benutzer auf von Angreifern kontrollierte Websites umgeleitet, um Anmeldeinformationen zu sammeln. BGP-Hijacking leitet den Internetverkehr um, um Authentifizierungsdaten abzufangen. Diese Angriffe lassen sich nur durch Überwachung auf Netzwerkebene und verschlüsselte Kommunikation erkennen und verhindern.
Social-Engineering-Varianten nutzen eher die menschliche Psychologie als technische Schwachstellen aus. Beim Phishing werden Benutzer mit Hilfe von betrügerischen E-Mails auf Websites zum Abfangen von Anmeldeinformationen geleitet. Vishing ( phishing) verwendet Telefonanrufe, um Authentifizierungscodes oder Kennwörter zu erlangen. Smishing ( phishing) liefert bösartige Links per Textnachricht. Bei der Kompromittierung von Geschäfts-E-Mails wird Social Engineering mit der Übernahme von Konten kombiniert, um betrügerische Überweisungen zu veranlassen. Diese Angriffe sind erfolgreich, indem sie Dringlichkeit erzeugen, sich als Autorität ausgeben oder Vertrauensbeziehungen ausnutzen.
Das Aufkommen von KI-gestützten Angriffen hat neue Kategorien geschaffen, die die traditionellen Grenzen verwischen. Deepfake-verstärktes Social Engineering kombiniert mehrere Techniken und nutzt synthetische Medien, um den Diebstahl von Anmeldeinformationen oder das Hijacking von Sitzungen zu unterstützen. Bei der automatisierten Erkundung wird maschinelles Lernen eingesetzt, um anfällige Konten zu identifizieren und erfolgreiche Angriffsvektoren vorherzusagen. Diese hybriden Angriffe erfordern eine ebenso ausgefeilte Abwehr, die Verhaltensanalysen, Bedrohungsdaten und KI-gestützte Erkennung kombiniert.
Reale Vorfälle von Kontoübernahmen zeigen deutliche Unterschiede in der Anfälligkeit zwischen den einzelnen Branchen: Im Bildungswesen liegt die Erfolgsquote bei 88 %, bei den Finanzdienstleistungen dagegen bei 47 %. Diese Unterschiede spiegeln den unterschiedlichen Reifegrad der Sicherheit, die Ressourcenzuweisung und die Schulung der Benutzer in den verschiedenen Branchen wider.
Die Anfälligkeit des Bildungssektors ergibt sich aus den unterschiedlichen Nutzergruppen, den begrenzten Sicherheitsbudgets und den umfangreichen Anforderungen an die Zusammenarbeit. Universitäten verwalten Tausende von Studentenkonten mit hoher Fluktuation, Lehrkräfte, die akademische Freiheit über Sicherheitsbeschränkungen stellen, und Forschungsdaten, die für staatliche Akteure attraktiv sind. Die verteilte Natur der akademischen IT-Infrastruktur, bei der die Abteilungen oft ihre eigenen Systeme verwalten, führt zu uneinheitlichen Sicherheitskontrollen, die Angreifer durch gezielte Kampagnen ausnutzen.
Obwohl Finanzdienstleister ständig Angriffen ausgesetzt sind, verfügen sie über stärkere Abwehrmechanismen, die sich aus der Einhaltung gesetzlicher Vorschriften, größeren Sicherheitsbudgets und ausgereiften Betrugserkennungssystemen ergeben. Banken setzen Transaktionsüberwachung, Verhaltensanalyse und Echtzeit-Betrugsbewertung ein, die anomale Kontoaktivitäten innerhalb von Sekunden erkennen. Kriminelle passen sich jedoch an, indem sie kleinere Finanzinstitute, Kreditgenossenschaften und Fintech-Startups mit weniger ausgefeilten Schutzmechanismen ins Visier nehmen.
Organisationen des Gesundheitswesens stehen vor der besonderen Herausforderung, den Zugang zur Patientenversorgung mit den Sicherheitsanforderungen in Einklang zu bringen. Medizinisches Personal benötigt schnellen Zugriff auf Patientendaten über mehrere Systeme hinweg, wodurch der Druck entsteht, die Authentifizierung zu vereinfachen. Die 78-prozentige Rate der Kontoübernahmen in diesem Sektor, die zu ransomware zeigt, wie eine anfängliche Kompromittierung zu unternehmensweiten Vorfällen eskaliert. Durch die Kompromittierung von Patientenportalen werden sensible Gesundheitsinformationen, Versicherungsdaten und Sozialversicherungsnummern preisgegeben, die für Identitätsdiebstahl wertvoll sind.
Die finanziellen Auswirkungen gehen weit über die unmittelbaren Verluste hinaus. Die Kompromittierung von Geschäfts-E-Mails durch die Übernahme von Konten führte im Jahr 2024 zu einem gemeldeten Schaden in Höhe von 2,77 Milliarden US-Dollar beim Internet Crime Complaint Center des FBI. Die tatsächliche Gesamtsumme liegt wahrscheinlich bei über 5 Milliarden Dollar, wenn man die nicht gemeldeten Vorfälle, die Rufschädigung und die Wiederherstellungskosten mit einbezieht. Die durchschnittlichen Verluste pro Vorfall beliefen sich im Finanzdienstleistungssektor auf 125.000 Dollar, gegenüber 75.000 Dollar im Vorjahr.
Die geografischen Unterschiede beim Risiko der Kontoübernahme spiegeln die unterschiedlichen rechtlichen Rahmenbedingungen, das Ökosystem der Cyberkriminellen und den Grad des Sicherheitsbewusstseins wider. Pennsylvania weist mit 16,62 % die höchste Betrugs-Transaktionsrate auf, während Staaten mit strengeren Verbraucherschutzgesetzen niedrigere Raten melden. Die internationalen Unterschiede sind sogar noch ausgeprägter: Unternehmen in Regionen, in denen es an der Durchsetzung von Cyberkriminalität mangelt, verzeichnen dreimal so hohe Angriffsraten wie der weltweite Durchschnitt.
Jüngste, öffentlichkeitswirksame Vorfälle zeigen, dass sich die Angriffsmuster weiterentwickeln. Die Microsoft Entra ID-Kampagne im Januar 2025 zielte auf 80.000 Unternehmenskonten in mehr als 500 Unternehmen ab und blieb durchschnittlich 47 Tage lang bestehen, bevor sie entdeckt wurde. Die Angreifer nutzten die kompromittierten Konten für Seitwärtsbewegungen, Datenexfiltration und die Einrichtung von Hintertüren für zukünftige Zugriffe. Die Kampagne zielte insbesondere auf die Bereiche Gesundheitswesen (40 %), Finanzdienstleistungen (35 %) und Technologie (25 %) ab.
Die Kampagne für PayPal-Geschäftskonten zeigt, wie Angreifer Plattformintegrationen ausnutzen. Die Kriminellen missbrauchten die OAuth-Konfigurationen von Microsoft 365, um die Anmeldedaten von 100.000 anvisierten Konten abzugreifen und erreichten eine Kompromittierungsrate von 8 %. Die betrügerischen Transaktionen in Höhe von 12 Millionen US-Dollar wurden innerhalb von 72 Stunden durchgeführt, was die Geschwindigkeit moderner Angriffe verdeutlicht. Die Erkennung erfolgte durch Verhaltensanalysen, die ungewöhnliche API-Muster identifizierten, und nicht durch traditionelle Sicherheitskontrollen.
Kleine und mittelständische Unternehmen sind unverhältnismäßig stark von Kontoübernahmen betroffen. 67 % von ihnen haben kein spezielles Sicherheitspersonal und 89 % verwenden nur einfache oder gar keine MFA. Diese Unternehmen entdecken Kompromisse oft erst, nachdem betrügerische Transaktionen stattgefunden haben, und übersehen somit wichtige Frühwarnzeichen. Das durchschnittliche KMU verliert 35.000 US-Dollar pro Vorfall einer Kontoübernahme, wobei 34 % innerhalb von sechs Monaten nach einem signifikanten Verstoß zur Schließung gezwungen sind.
Ein wirksamer Schutz vor Kontoübernahmen erfordert mehrschichtige Sicherheitskontrollen, die jede Stufe der Angriffskette abdecken und gleichzeitig die Benutzerfreundlichkeit für legitime Benutzer aufrechterhalten. Moderne Bedrohungserkennung kombiniert Verhaltensanalyse, Threat Intelligence und maschinelles Lernen, um verdächtige Muster zu erkennen, die auf eine Kompromittierung oder laufende Angriffe hinweisen.
Die Verhaltensanalyse erstellt Basismuster für einzelne Benutzer und erkennt Abweichungen, die auf eine Kontoübernahme hindeuten. Diese Systeme überwachen Anmeldeorte, Geräte-Fingerabdrücke, Zugriffsmuster und Transaktionsverhalten, um Risikowerte in Echtzeit zu berechnen. Wenn Benutzer plötzlich von neuen geografischen Standorten aus auf Systeme zugreifen, ungewöhnliche Datenmengen herunterladen oder Aktionen durchführen, die nicht ihrer normalen Routine entsprechen, markieren automatische Systeme diese Anomalien zur Untersuchung. Fortgeschrittene Plattformen beinhalten eine Peer-Group-Analyse, die das individuelle Verhalten mit dem ähnlicher Benutzer vergleicht, um Fehlalarme zu reduzieren.
Die Implementierung einer phishing Multi-Faktor-Authentifizierung ist unerlässlich geworden, da herkömmliche MFA bei 50 % der erfolgreichen Angriffe versagt. Die Standards FIDO2 und WebAuthn bieten eine kryptografische Authentifizierung, die nicht gefälscht, wiedergegeben oder durch Social Engineering umgangen werden kann. Passkeys machen Passwörter komplett überflüssig und verwenden gerätegebundene Anmeldedaten, die sowohl phishing als auch Credential Stuffing widerstehen. Unternehmen, die diese Technologien einsetzen, berichten von einer 94-prozentigen Verringerung der Vorfälle von Kontoübernahmen im Vergleich zur reinen Passwortauthentifizierung.
Die Prinzipien der Zero trust wandeln den Schutz vor Kontoübernahmen von einer perimeterbasierten zu einer kontinuierlichen Überprüfung um. Anstatt den Benutzern nach der ersten Authentifizierung zu vertrauen, überprüfen zero trust jede Zugriffsanfrage auf der Grundlage von Benutzeridentität, Gerätezustand, Standort und Empfindlichkeit der angeforderten Ressource. Dieser Ansatz schränkt die seitliche Bewegung nach der ersten Kompromittierung ein und reduziert den Radius erfolgreicher Kontoübernahmen.
Ratenbegrenzung und Geoblocking bieten grundlegenden Schutz vor automatisierten Angriffen. Richtig konfigurierte Ratenbegrenzungen verhindern Credential Stuffing, indem sie die Anmeldeversuche pro Konto und pro IP-Adresse beschränken. Geoblocking schränkt den Zugriff aus Hochrisikoländern oder -regionen ein, in denen das Unternehmen keine rechtmäßigen Benutzer hat. Diese Kontrollen müssen jedoch sorgfältig eingestellt werden, um zu vermeiden, dass legitime Benutzer blockiert werden, insbesondere in Unternehmen mit globalen Aktivitäten oder Mitarbeitern an entfernten Standorten.
Attack Signal Intelligence stellt die nächste Evolutionsstufe bei der Erkennung von Kontoübernahmen dar, indem schwache Signale über mehrere Erkennungssysteme hinweg korreliert werden, um raffinierte Angriffe zu identifizieren. Durch die Analyse von Mustern im Netzwerkverkehr, im Verhalten von endpoint und in Identitätssystemen erkennen diese Plattformen Versuche der Kontoübernahme, die sich einzelnen Sicherheitskontrollen entziehen. Der Ansatz erweist sich als besonders effektiv bei langsamen, methodischen Angriffen, die darauf ausgelegt sind, das Auslösen herkömmlicher Schwellenwerte zu vermeiden.
Passkeys und FIDO2-Authentifizierung machen Passwörter überflüssig und ersetzen sie durch kryptografische Schlüsselpaare, die nicht gefälscht oder durch malware gestohlen werden können. Benutzer authentifizieren sich mit biometrischen Daten oder Geräte-PINs, wobei das Authentifizierungsgeheimnis das Gerät nie verlässt. Große Plattformen wie Apple, Google und Microsoft unterstützen jetzt Passkeys und ermöglichen die passwortlose Authentifizierung auf Milliarden von Geräten.
Es gibt jedoch weiterhin Probleme bei der Implementierung. Die Sicherheitslücke CVE-2024-9956, die mehrere FIDO2-Implementierungen betrifft, zeigt, dass selbst fortschrittliche Authentifizierungsmethoden ordnungsgemäß implementiert werden müssen. Unternehmen müssen Implementierungen sorgfältig validieren, Fallback-Authentifizierungsmethoden beibehalten und Benutzer in neuen Authentifizierungsparadigmen schulen. Der Erfolg erfordert eine schrittweise Einführung, umfangreiche Tests und eine klare Kommunikation der Sicherheitsvorteile.
Modelle für maschinelles Lernen, die auf Millionen von Kontoübernahmeversuchen trainiert wurden, können subtile Muster erkennen, die für regelbasierte Systeme unsichtbar sind. Diese Modelle analysieren Hunderte von Merkmalen wie Tippmuster, Mausbewegungen, Navigationspfade und Sitzungsmerkmale, um die Wahrscheinlichkeit einer Kompromittierung zu berechnen. Unüberwachtes Lernen identifiziert bisher unbekannte Angriffsmuster, während überwachte Modelle die Erkennung bekannter Bedrohungen optimieren.
Netzwerkerkennungs- und -reaktionsplattformen wenden KI auf die Analyse des Netzwerkverkehrs an, um Indikatoren für die Übernahme von Konten zu identifizieren, wie z. B. ungewöhnliche Datenübertragungen, verdächtige Authentifizierungsmuster und Versuche von Seitenbewegungen. Durch die Korrelation von Netzwerkverhalten und Identitätsereignissen bieten diese Systeme einen umfassenden Einblick in die Kompromittierung von Konten in hybriden Umgebungen.
Zu den Herausforderungen bei der Integration gehören die Qualität der Modelltrainingsdaten, das Management von Fehlalarmen und KI-Angriffe, die darauf abzielen, die Erkennung zu umgehen. Unternehmen müssen Modelle kontinuierlich mit aktuellen Angriffsdaten neu trainieren, die Erkennungsgenauigkeit validieren und menschliche Aufsicht für risikoreiche Entscheidungen implementieren. Die effektivsten Implementierungen kombinieren mehrere KI-Modelle mit herkömmlichen Sicherheitskontrollen und schaffen so eine umfassende Verteidigung gegen sich entwickelnde Bedrohungen.
Wenn ein Konto übernommen wird, entscheidet eine schnelle Reaktion auf den Vorfall über den Unterschied zwischen kleineren Vorfällen und größeren Verstößen. Die 72-stündige GDPR-Meldepflicht schafft rechtliche Dringlichkeit, während Angreifer in der Regel innerhalb von Stunden nach der ersten Kompromittierung eine Persistenz aufbauen und mit der Datenexfiltration beginnen.
Eine sofortige Eindämmung erfordert die Deaktivierung der kompromittierten Konten, den Entzug aktiver Sitzungen und das Zurücksetzen der Authentifizierungsdaten. Ein verfrühtes Handeln kann jedoch Angreifer alarmieren und destruktives Verhalten auslösen. Sicherheitsteams müssen zunächst den Umfang der Kompromittierung verstehen, alle betroffenen Konten identifizieren und forensische Beweise sichern. Dieser Spagat zwischen Schnelligkeit und Gründlichkeit ist selbst für erfahrene Vorfallspezialisten eine Herausforderung.
Arbeitsabläufe zur Wiederherstellung von Konten müssen die Identität legitimer Benutzer überprüfen, ohne sich auf potenziell gefährdete Authentifizierungsmethoden zu verlassen. Unternehmen implementieren eine Out-of-Band-Verifizierung über zuvor registrierte Telefonnummern, eine persönliche Identitätsüberprüfung für hochwertige Konten oder die Genehmigung des Vorgesetzten für Mitarbeiterkonten. Die Wiederherstellungsprozesse müssen sich auch mit anhaltenden Kompromittierungen befassen, bei denen Angreifer mehrere Hintertüren eingerichtet oder die Einstellungen für die Kontowiederherstellung verändert haben.
Die Beweissicherung ermöglicht die Analyse nach einem Vorfall, die Zusammenarbeit mit den Strafverfolgungsbehörden und die Einhaltung von Vorschriften. Sicherheitsteams müssen Authentifizierungsprotokolle, Sitzungsdaten, Netzwerkverkehr und Systemänderungen erfassen, bevor sie überschrieben werden. Die Dokumentation der Beweiskette erweist sich als entscheidend für mögliche Gerichtsverfahren oder Versicherungsansprüche. In vielen Unternehmen werden die Protokolle nicht ausreichend aufbewahrt, so dass die Lücken erst bei der Reaktion auf einen Vorfall entdeckt werden.
Kommunikationsstrategien schaffen ein Gleichgewicht zwischen Transparenz und operativer Sicherheit. Betroffene Nutzer benötigen klare Anweisungen zur Sicherung ihrer Konten, zur Überwachung auf Betrug und zur Erkennung von Folgeangriffen. Eine verfrühte oder übertriebene Offenlegung kann jedoch Panik auslösen, Nachahmungsangriffe auslösen oder Angreifern Informationen liefern. Unternehmen entwickeln abgestufte Kommunikationspläne, die sich an verschiedene Stakeholder-Gruppen mit angemessenem Detailgrad richten.
Um aus Vorfällen zu lernen, sind gründliche Überprüfungen nach dem Vorfall erforderlich, bei denen die Grundursachen, Kontrollmängel und Verbesserungsmöglichkeiten ermittelt werden. Das Bußgeld von Meta in Höhe von 110 Millionen Euro im Januar 2025 resultierte aus einer unzureichenden Reaktion auf wiederholte Kontoübernahmen und zeigt, dass die Regulierungsbehörden kontinuierliche Verbesserungen erwarten. Unternehmen müssen die gewonnenen Erkenntnisse dokumentieren, die Sicherheitskontrollen aktualisieren und Verbesserungen durch Übungen testen.
Die Wiederherstellung geht über die technische Behebung hinaus, um die Auswirkungen auf das Geschäft, das Kundenvertrauen und die gesetzlichen Anforderungen zu berücksichtigen. Finanzdienstleistungsunternehmen berichten von durchschnittlichen Wiederherstellungskosten in Höhe von 4,88 Millionen US-Dollar pro erheblichem Vorfall einer Kontoübernahme, einschließlich forensischer Untersuchungen, Rechtskosten, behördlicher Bußgelder und Kundenentschädigungen. Der Reputationsschaden übersteigt oft die direkten Kosten: 62 % der Verbraucher gaben an, dass sie den Anbieter wechseln würden, nachdem sie von einer Kontoübernahme betroffen waren.
Der gesetzliche Rahmen schreibt zunehmend spezifische Kontrollen und Reaktionsverfahren für die Übernahme von Konten vor. Bei systematischem Versagen drohen Strafen bis zu 110 Millionen Euro. Unternehmen müssen die Abwehr von Kontoübernahmen auf mehrere sich überschneidende Compliance-Anforderungen abstimmen und gleichzeitig eine kontinuierliche Verbesserung nachweisen.
Artikel 33 der Datenschutz-Grundverordnung schreibt vor, dass eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden muss, wenn die Übernahme eines Kontos ein Risiko für die Rechte des Einzelnen darstellt. Die Verordnung definiert "Kenntnis" als den Zeitpunkt, an dem ein Mitarbeiter hinreichende Gewissheit über eine Datenschutzverletzung hat, wodurch Druck für eine schnelle Untersuchung und Entscheidungsfindung entsteht. Unternehmen müssen Untersuchungszeitpläne, Entscheidungsgründe und Risikobewertungen dokumentieren, selbst wenn sie feststellen, dass eine Benachrichtigung nicht erforderlich ist.
PCI DSS 4.0, der seit dem 31. März 2024 verpflichtend ist, führt strenge Authentifizierungsanforderungen ein, darunter phishing MFA für den Administratorzugang. Das Rahmenwerk erfordert automatische Audit-Protokollüberprüfungen mit Anomalieerkennung, benutzerdefinierte Skriptüberwachung, um Skimming-Angriffe zu verhindern, und erhöhte Passwortkomplexität für alle Konten, die keine MFA verwenden. Die Strafen für die Nichteinhaltung der Vorschriften wurden bis 2024 um 200 % erhöht, wobei akquirierende Banken bei wiederholten Verstößen Händlerverträge kündigen können.
Bei SOC 2 Typ II-Audits werden die Kontrollen zur Kontoübernahme in den Bereichen logischer Zugriff, Änderungsmanagement und Reaktion auf Vorfälle bewertet. Die Prüfer untersuchen nicht nur das Design der Kontrollen, sondern auch die betriebliche Effektivität im Laufe der Zeit und verlangen Nachweise für eine konsequente Durchsetzung, regelmäßige Tests und die rechtzeitige Behebung festgestellter Lücken. Der Schwerpunkt des Rahmenwerks auf der kontinuierlichen Überwachung steht im Einklang mit modernen Strategien zur Abwehr von Account-Takeover.
MITRE ATT&CK bietet eine standardisierte Taxonomie für die Zuordnung von Account-Takeover-Techniken zu defensiven Kontrollen. T1078 (Valid Accounts) beschreibt die Verwendung legitimer Anmeldeinformationen für den nicht autorisierten Zugriff, während T1110 (Brute Force) Passwortangriffe abdeckt. T1586 (Compromise Accounts) befasst sich mit der Manipulation von Konten während der Entwicklung von Ressourcen. Diese gemeinsame Sprache ermöglicht den Austausch von Bedrohungsdaten, die Analyse von Kontrolllücken und den Vergleich von Anbieterfähigkeiten.
Branchenspezifische Vorschriften stellen zusätzliche Anforderungen. Finanzdienstleister müssen sich an die Authentifizierungsrichtlinien der FFIEC halten, Versicherungsunternehmen an die NAIC-Modellgesetze und Organisationen im Gesundheitswesen an die HIPAA-Zugriffskontrollen. Diese sich überschneidenden Anforderungen schaffen komplexe Compliance-Landschaften, die integrierte Kontrollrahmen erfordern.
Neue Vorschriften spiegeln die sich entwickelnden Bedrohungen durch Kontoübernahmen wider. Das vorgeschlagene Bundesdatenschutzgesetz schränkt den Zugang von Datenmaklern aus gegnerischen Ländern ein und begrenzt die Sammlung von Informationen für gezielte Angriffe. Die Änderung des EU-Gesetzes über digitale Dienste schreibt die biometrische Authentifizierung für Hochrisikokonten bis Juli 2025 vor. Unternehmen müssen die Entwicklungen bei den Vorschriften verfolgen und proaktiv statt reaktiv Kontrollen einführen.
Der moderne Schutz vor Kontoübernahmen geht über die traditionelle Perimetersicherheit hinaus und umfasst kontinuierliche Überprüfung, Verhaltensanalyse und KI-gestützte Bedrohungserkennung. Bei diesen Ansätzen wird erkannt, dass entschlossene Angreifer irgendwann gültige Anmeldedaten erhalten werden, sodass die Überwachung und Reaktion nach der Authentifizierung entscheidend ist.
KI-gestützte Plattformen zur Erkennung von Bedrohungen verarbeiten täglich Milliarden von Ereignissen und erkennen subtile Muster, die auf die Gefährdung von Konten hinweisen. Modelle für maschinelles Lernen analysieren Authentifizierungsereignisse, Benutzerverhalten und Netzwerkverkehr, um Risikowerte in Echtzeit zu berechnen. Im Gegensatz zu regelbasierten Systemen, die eine überwältigende Anzahl von Fehlalarmen erzeugen, lernen KI-Plattformen normale Verhaltensmuster und erkennen sinnvolle Abweichungen. Diese Systeme erkennen Kontoübernahmeversuche, die sich über Wochen oder Monate erstrecken, und korrelieren schwache Signale, die für menschliche Analysten unsichtbar sind.
Identity Threat Detection and Response (ITDR) hat sich zu einer eigenen Sicherheitskategorie entwickelt, die sich mit den besonderen Herausforderungen identitätsbasierter Angriffe befasst. ITDR-Plattformen bieten eine kontinuierliche Überwachung von Identitätssystemen und erkennen Privilegieneskalation, laterale Bewegungen und Persistenztechniken. Da sie sich speziell auf Identitätsbedrohungen und nicht auf allgemeine Sicherheitsereignisse konzentrieren, erreichen diese Plattformen eine höhere Erkennungsgenauigkeit bei niedrigeren False-Positive-Raten.
Extended Detection and Response (XDR)-Plattformen integrieren Signale von Endgeräten, Netzwerken, Clouds und Identitätssystemen in einheitliche Erkennungsworkflows. Dieser ganzheitliche Ansatz identifiziert Account-Takeover-Angriffe, die mehrere Angriffsflächen umfassen, von anfänglichen phishing über die Kompromittierung von endpoint bis hin zum Missbrauch von cloud . XDR-Plattformen automatisieren Untersuchungs- und Reaktionsworkflows und verkürzen die durchschnittliche Zeit bis zur Erkennung von Tagen auf Minuten.
Die Attack Signal Intelligence geht über die traditionelle indikatorbasierte Erkennung hinaus und analysiert Verhaltensmuster von Angreifern. Anstatt nach spezifischen malware oder IP-Adressen zu suchen, identifiziert dieser Ansatz Taktiken, Techniken und Verfahren, die mit Kontoübernahmekampagnen übereinstimmen. Die Methodik erweist sich als besonders effektiv bei zero-day und neuartigen Techniken, die sich der signaturbasierten Erkennung entziehen.
Künftige Authentifizierungstechnologien versprechen die vollständige Abschaffung von Passwörtern bei gleichzeitiger Verbesserung von Sicherheit und Benutzerfreundlichkeit. Quantenresistente Kryptografie schützt vor zukünftigen Bedrohungen der aktuellen Verschlüsselungsstandards durch Quantencomputer. Kontinuierliche Authentifizierung nutzt verhaltensbiometrische Daten, um Benutzer während der gesamten Sitzung und nicht nur bei der Anmeldung zu verifizieren. Dezentralisierte Identitätssysteme geben den Nutzern die Kontrolle über ihre digitalen Identitäten und verhindern gleichzeitig den massenhaften Diebstahl von Zugangsdaten.
Der Ansatz von Vectra AI zur Abwehr von Kontoübernahmen basiert auf Attack Signal Intelligence, die echte Bedrohungen unter Millionen täglicher Sicherheitsereignisse identifiziert und priorisiert. Anstatt bei jeder Anomalie Alarm zu schlagen, korreliert die Plattform schwache Signale in hybriden Umgebungen, um tatsächliche Angriffe mit hoher Zuverlässigkeit zu erkennen.
Die Vectra Detect-Plattform wendet überwachtes und unüberwachtes maschinelles Lernen auf den Netzwerkverkehr an und erfasst Verhaltensweisen von Angreifern, die auf eine Kontokompromittierung hindeuten. Da sich die Plattform auf die Angriffsprogression und nicht auf einzelne Indikatoren konzentriert, identifiziert sie Kontoübernahmeversuche unabhängig von den verwendeten Tools oder Techniken. Dieser verhaltensorientierte Ansatz erweist sich als widerstandsfähig gegenüber Umgehungstechniken und zero-day .
Die Integration mit der breiteren SOC-Plattform ermöglicht es Sicherheitsteams, Warnungen zu Kontoübernahmen mit vollständigem Kontext zu untersuchen, Reaktionsworkflows zu automatisieren und in der gesamten Umgebung nach ähnlichen Mustern zu suchen. Der Schwerpunkt der Plattform liegt auf der Verringerung der Alarmmüdigkeit bei gleichzeitiger Aufdeckung kritischer Bedrohungen, so dass sich die Sicherheitsteams auf echte Account-Takeover-Versuche konzentrieren können, anstatt falschen Positivmeldungen nachzujagen.
Die Übernahme von Konten ist eine der größten Herausforderungen für die Cybersicherheit. Die Angriffe nehmen jährlich um 250 % zu und entwickeln sich zu KI-gestützten Techniken, mit denen herkömmliche Abwehrmaßnahmen umgangen werden können. Der Übergang vom einfachen Passwortdiebstahl zu ausgeklügelten Kampagnen, die Deepfakes, synthetische Identitäten und die Kompromittierung der Lieferkette nutzen, erfordert ebenso fortschrittliche Verteidigungsstrategien.
Unternehmen können sich beim Schutz von Benutzerkonten nicht mehr nur auf Passwörter und einfache MFA verlassen. Die 50-prozentige MFA-Umgehungsrate bei erfolgreichen Angriffen zeigt, dass die fortschrittliche Sicherheit von gestern heute das Mindestmaß ist. Die Implementierung von phishing Authentifizierung, Verhaltensanalyse und kontinuierlicher Überprüfung ist für jede Organisation, die es mit der Sicherheit ihrer Konten ernst meint, unerlässlich geworden.
Der Weg in die Zukunft erfordert die Einführung moderner Sicherheitsarchitekturen, die von einer Kompromittierung ausgehen und sich auf eine schnelle Erkennung und Reaktion konzentrieren. Zero trust , Attack Signal Intelligence und KI-gestützte Plattformen zur Erkennung von Bedrohungen bieten die nötige Transparenz und Automatisierung, um sich gegen aktuelle und neuartige Techniken zur Kontoübernahme zu schützen. Angesichts strengerer gesetzlicher Vorschriften und höherer Strafen müssen Unternehmen den Schutz vor Kontoübernahmen nicht als technische Herausforderung, sondern als geschäftliche Notwendigkeit betrachten.
Sicherheitsteams sollten vorrangig die FIDO2-Authentifizierung für hochwertige Konten implementieren, Verhaltensanalysen einsetzen, um anormale Aktivitäten zu erkennen, und Verfahren zur Reaktion auf Vorfälle einrichten, die den gesetzlichen Anforderungen an die 72-Stunden-Meldung entsprechen. Regelmäßige Tests durch Tabletop-Übungen und kontinuierliche Verbesserungen auf der Grundlage von Bedrohungsdaten werden Unternehmen in die Lage versetzen, sich gegen die nächste Entwicklung von Kontoübernahmeangriffen zu verteidigen.
Bei der Kontoübernahme geht es darum, unbefugte Kontrolle über ein kompromittiertes Konto zu erlangen und es aktiv für böswillige Zwecke zu nutzen, während der Diebstahl von Anmeldedaten lediglich die Erlangung von Anmeldedaten bedeutet, ohne sie unbedingt zu nutzen. Der Diebstahl von Anmeldedaten wird zu einer Kontoübernahme, wenn sich Angreifer erfolgreich authentifizieren und als legitimer Benutzer agieren. Die Unterscheidung ist für die Reaktion auf einen Vorfall von Bedeutung: Der Diebstahl von Anmeldedaten erfordert das Zurücksetzen von Passwörtern, während die Übernahme eines Kontos eine umfassende Untersuchung der Angreiferaktivitäten, des Datenzugriffs und potenzieller Persistenzmechanismen erfordert.
Passkeys und die FIDO2-Authentifizierung verringern das Risiko der Kontoübernahme erheblich, da keine gefälschten Anmeldedaten mehr verwendet werden können. CVE-2024-9956 hat gezeigt, dass selbst ordnungsgemäß implementierte Passkey-Systeme Schwachstellen zur Umgehung der Authentifizierung aufweisen können, die eine sorgfältige Konfiguration und regelmäßige Sicherheitsupdates erfordern. Auch wenn die passwortlose Authentifizierung das Ausfüllen von Anmeldeinformationen und passwortbasierte Angriffe verhindert, müssen sich Unternehmen immer noch gegen Session-Hijacking, Social Engineering mit dem Ziel der Kontowiederherstellung und die Kompromittierung der Lieferkette schützen.
Jüngste Vorfälle wie die Microsoft Entra ID-Kampagne zeigen, dass Angreifer im Durchschnitt 21 bis 47 Tage lang Zugriff auf Konten haben, bevor sie entdeckt werden, wobei einige Kampagnen monatelang andauern. Raffinierte Angreifer richten mehrere Hintertüren ein, erstellen neue Konten und ändern die Sicherheitseinstellungen, um auch nach der Entdeckung der ersten Kompromittierung weiter bestehen zu können. Die Verweildauer variiert je nach Branche: Bei Finanzdienstleistungen wird eine Kompromittierung in der Regel innerhalb von 11 Tagen entdeckt, während im Bildungs- und Gesundheitswesen durchschnittlich 31 Tage vergehen.
Sichern Sie sofort Beweise, indem Sie die aktuellen Sitzungsdaten und Protokolle erfassen, bevor Sie Maßnahmen zur Eindämmung ergreifen. Setzen Sie dann die Anmeldedaten zurück, widerrufen Sie alle aktiven Sitzungen, einschließlich API-Tokens und OAuth-Autorisierungen, aktivieren Sie MFA, falls nicht bereits aktiv, und überprüfen Sie die Protokolle der Kontoaktivitäten auf nicht autorisierte Aktionen. Prüfen Sie auf Persistenzmechanismen wie geänderte Wiederherstellungs-E-Mails, neue autorisierte Geräte oder OAuth-Anwendungen. Dokumentieren Sie alle Ergebnisse für eine mögliche Berichterstattung an die Behörden und die Strafverfolgungsbehörden.
Ja - 1 von 3 Angriffen zur Übernahme von Konten erfolgt mittlerweile über KI-generierte Deepfakes oder synthetische Daten, was einem Anstieg von 210 % im Vergleich zum Vorjahr entspricht. Der Onfido Identity Fraud Report dokumentierte 3,8 Millionen Deepfake-Versuche im Jahr 2024, während synthetischer Identitätsbetrug Verluste in Höhe von 5 Milliarden US-Dollar verursachte. KI-Tools sind mittlerweile auf Dark-Web-Marktplätzen für nur 500 US-Dollar erhältlich, wodurch ausgefeilte Angriffsmöglichkeiten, die zuvor nur gut ausgestatteten Bedrohungsakteuren vorbehalten waren, demokratisiert werden.
Implementieren Sie phishing MFA mit FIDO2 oder Passkeys, setzen Sie Verhaltensanalysen ein, um anomale Kontoaktivitäten zu erkennen, setzen Sie zero trust mit kontinuierlicher Überprüfung durch und führen Sie eine umfassende Protokollierung mit Echtzeitüberwachung durch. Regelmäßige Schulungen zum Sicherheitsbewusstsein helfen Anwendern, Social-Engineering-Versuche zu erkennen, während technische Kontrollen wie Ratenbegrenzung und Geoblocking automatisierte Angriffe verhindern. Unternehmen sollten außerdem eine Verwaltung der privilegierten Zugriffe, regelmäßige Zugriffsüberprüfungen und Verfahren zur Reaktion auf Vorfälle einführen, die in Tabletop-Übungen getestet werden.
Das Bildungswesen weist mit 88 % die höchste Rate an Kontoübernahmen auf, gefolgt von der Elektronikindustrie (88 %) und der Luft- und Raumfahrtindustrie (86 %). Finanzdienstleister sind mit einer Angriffsrate von 47 % besser geschützt, obwohl sie stark betroffen sind. Unternehmen des Gesundheitswesens sind zu 78 % von Kontoübernahmen betroffen, die zu ransomware führen, während Einzelhandel und E-Commerce ständig mit automatisierten Angriffen zum Ausfüllen von Zugangsdaten konfrontiert sind. Die branchenspezifischen Risiken spiegeln den unterschiedlichen Reifegrad der Sicherheit, Compliance-Anforderungen und Angriffsmotive wider.