Konto-Übernahme statt Passwortklau: Wie Angreifer sich einfach anmelden

„Die Angreifer brechen nicht ein, sie loggen sich ein." Dieser Satz beschreibt eine der wichtigsten Entwicklungen der IT-Sicherheit. Statt aufwendig Systeme zu hacken oder Schadsoftware einzuschleusen, verschaffen sich Kriminelle heute oft schlicht gültige Zugangsdaten und melden sich damit ganz regulär an. Eine solche Konto-Übernahme ist für klassische Schutzmechanismen kaum von einer legitimen Anmeldung zu unterscheiden, und genau das macht sie so gefährlich.

Wie kommen Angreifer an gültige Zugänge?

Es gibt mehrere gängige Wege, und sie haben gemeinsam, dass kein einziges System „geknackt" werden muss:

• Phishing: Gefälschte E-Mails oder Seiten verleiten Nutzer dazu, ihre Zugangsdaten preiszugeben. Moderne Varianten umgehen sogar die Mehr-Faktor-Anmeldung.
• Datenlecks: Aus früheren Sicherheitsvorfällen bei anderen Diensten kursieren Millionen von Zugangsdaten. Wer dasselbe Passwort mehrfach nutzt, ist hier besonders gefährdet.
• Handel mit Zugängen: Es existiert ein regelrechter Markt, auf dem erbeutete Firmenzugänge gekauft und verkauft werden.

Warum die Übernahme so schwer zu erkennen ist

Meldet sich jemand mit korrektem Benutzernamen und Passwort an, sieht das System zunächst eine ganz normale Anmeldung. Es gibt keine Schadsoftware, die ein Virenscanner finden könnte, keinen klassischen „Einbruch". Die Angreifer bewegen sich anschließend mit den Rechten des übernommenen Kontos durch Postfächer, Dateien und Anwendungen, lesen mit, leiten Zahlungen um oder bereiten weitere Angriffe vor, oft über längere Zeit unbemerkt.

Woran man eine Übernahme dennoch erkennt

Auffällig wird eine Konto-Übernahme meist nicht am „Was", sondern am „Wie": ungewöhnliche Anmeldeorte oder -zeiten, Anmeldungen von unbekannten Geräten, plötzlich eingerichtete Weiterleitungsregeln im Postfach oder ungewöhnliche Massenzugriffe auf Dateien. Solche Muster lassen sich erkennen, wenn die Anmelde- und Aktivitätsprotokolle überwacht und ausgewertet werden.

Wie sich KMU schützen

Der Schutz setzt vor allem daran an, gestohlene Zugangsdaten wertlos zu machen und Auffälligkeiten früh zu bemerken:

• Mehr-Faktor-Anmeldung (MFA): Die wichtigste Einzelmaßnahme. Ein gestohlenes Passwort allein reicht dann nicht mehr aus. Wichtig sind dabei möglichst phishing-resistente Verfahren.
• Bedingter Zugriff: Anmeldungen lassen sich an Bedingungen knüpfen, etwa bekannte Geräte oder Regionen, und ungewöhnliche Versuche blockieren.
• Keine Mehrfach-Passwörter: Ein Passwort-Manager sorgt dafür, dass jeder Dienst ein eigenes, starkes Passwort hat.
• Überwachung: Auffällige Anmeldungen und Postfachregeln sollten überwacht werden, damit eine Übernahme schnell auffällt.
• Schnelle Reaktion: Im Verdachtsfall müssen Sitzungen widerrufen und Passwörter zurückgesetzt werden.

Häufige Fragen

Schützt MFA nicht vollständig vor Konto-Übernahme?

MFA ist die wirksamste Einzelmaßnahme und sollte überall aktiv sein. Sie ist aber kein hundertprozentiger Schutz: Bestimmte Phishing-Methoden können auch die Mehr-Faktor-Anmeldung aushebeln. Deshalb braucht es zusätzlich Überwachung und bedingten Zugriff.

Wie merke ich, dass ein Konto übernommen wurde?

Typische Anzeichen sind unbekannte Anmeldungen, neue Postfach-Weiterleitungen, geänderte Sicherheitseinstellungen oder Beschwerden von Kontakten über seltsame Nachrichten. Eine laufende Überwachung der Anmeldeprotokolle erkennt solche Muster früher als der Mensch.

Was ist der erste Schritt nach einem Verdacht?

Das Passwort ändern, alle aktiven Anmeldesitzungen widerrufen, die Mehr-Faktor-Einstellungen prüfen und die Anmeldeaktivitäten kontrollieren lassen. Anschließend sollte untersucht werden, ob Regeln oder Berechtigungen manipuliert wurden.

So unterstützt Sie die High5Manufaktur GmbH

Die High5Manufaktur GmbH härtet Microsoft-365-Konten gezielt gegen Übernahmen ab: mit konsequenter Mehr-Faktor-Anmeldung, bedingtem Zugriff, einem Passwort-Manager für das ganze Team und der Überwachung verdächtiger Anmeldungen. Im kostenlosen Erstgespräch prüfen wir, wie gut Ihre Konten gegen diese moderne Angriffsform geschützt sind. Mehr zu unserer IT-Sicherheit und unseren Microsoft-365-Diensten finden Sie auf den jeweiligen Seiten.