Projekt Hibiskus

StartBedrohungenIdentitätsdiebstahl

Bedrohungsszenario

Identitätsdiebstahl & Account Takeover

Wachsende Bedrohung Kontoübernahmen bleiben oft wochenlang unentdeckt
Was ist Account Takeover?
Beim Account Takeover (ATO) übernehmen Angreifer mit gestohlenen oder erratenen Zugangsdaten fremde Konten – oft unbemerkt über Wochen hinweg. Sie lesen E-Mails mit, manipulieren Transaktionen oder nutzen das kompromittierte Konto als Ausgangspunkt für weitere Angriffe. Ausgangspunkt sind meist Datenlecks, Phishing oder Password Reuse.

Wie kommen Angreifer an Zugangsdaten?

Credential Stuffing

Aus Datenlecks stammen Milliarden Benutzername-Passwort-Kombinationen, die öffentlich verfügbar sind. Angreifer testen diese automatisiert auf hunderten Diensten – wer dasselbe Passwort mehrfach verwendet, ist besonders gefährdet.

Brute Force und Password Spraying

Bei Brute Force werden systematisch alle möglichen Passwörter ausprobiert. Password Spraying dreht den Ansatz um: Ein häufiges Passwort (z.B. „Sommer2024!") wird gegen viele Konten getestet – und umgeht so Account-Sperrungen nach Fehlversuchen.

Phishing und gestohlene Sessions

Phishing-Seiten ernten Zugangsdaten direkt. Modernes Adversary-in-the-Middle-Phishing (z.B. mit Evilginx) stiehlt sogar MFA-geschützte Sessions in Echtzeit.

Infostealer-Malware

Schadprogramme wie Redline Stealer oder Raccoon extrahieren gespeicherte Browser-Passwörter, Session-Cookies und Zugangsdaten aus dem System – und verkaufen diese auf Darknet-Marktplätzen.

Anzeichen einer Kontoübernahme

Unbekannte Anmeldungen

Logins aus ungewöhnlichen Ländern, zu ungewöhnlichen Zeiten oder von unbekannten Geräten in den Anmelde-Logs.

Veränderte Einstellungen

Weiterleitungsregeln in E-Mail-Postfächern, geänderte Kontaktdaten oder neue autorisierte Apps ohne Wissen des Nutzers.

Unerklärliche Aktivitäten

Gesendete E-Mails, die der Nutzer nie verfasst hat, oder Transaktionen, die niemand veranlasst hat.

Passwort funktioniert nicht mehr

Angreifer ändern das Passwort nach der Übernahme, um den eigentlichen Kontoinhaber auszusperren.

Schutzmaßnahmen

Technisch

  • Multi-Faktor-Authentifizierung (MFA) für alle Konten aktivieren – macht gestohlene Passwörter allein wertlos
  • Passwortmanager einsetzen: Einzigartige, starke Passwörter für jeden Dienst verhindern Credential Stuffing
  • Anmelde-Alerts einrichten: Benachrichtigung bei Login von neuem Gerät oder Ort
  • Regelmäßig prüfen, welche Anwendungen Zugriff auf Unternehmenskonten haben (OAuth-Apps), und nicht mehr benötigte entfernen
  • SIEM oder Login-Monitoring einrichten, das verdächtige Anmeldemuster erkennt

Organisatorisch

  • Unternehmens-E-Mail-Adressen regelmäßig auf haveibeenpwned.com prüfen
  • Prozess definieren: Was passiert bei Verdacht auf Kontoübernahme? (Sofortiges Passwort-Reset, alle Sessions abmelden)
  • Offboarding-Prozess: Ausscheidende Mitarbeiter verlieren sofort alle Zugänge
  • Sensibilisierung: Passwörter niemals mehrfach verwenden und niemals per E-Mail weitergeben

Was tun bei einer Kontoübernahme?

Sofortmaßnahmen
Sofort handeln – jede Minute gibt dem Angreifer mehr Zeit, Schaden anzurichten oder sich tiefer im System zu verankern.
  1. Alle aktiven Sessions des Kontos sofort abmelden (meist unter „Sicherheitseinstellungen")
  2. Passwort von einem sicheren Gerät aus ändern
  3. MFA prüfen und neu einrichten (Angreifer könnten eigene MFA-Methoden hinzugefügt haben)
  4. Kontoaktivität der letzten Wochen rückwirkend prüfen
  5. IT und Vorgesetzte informieren
  6. Bei Datenpanne: DSGVO-Meldepflicht (72 Stunden) prüfen

Checkliste: Account-Sicherheit

Weiterführende Ressourcen
Have I Been Pwned: haveibeenpwned.com
BSI-Empfehlungen zu sicherer Authentifizierung: bsi.bund.de
CISA Guidance on Account Takeover: cisa.gov