Viele Unternehmen investieren massiv in den Schutz vor Malware.
Das Problem: Malware ist 2025 oft nur das Endstadium eines Angriffs – nicht das eigentliche Ziel.
Der Fokus moderner Cyberangriffe liegt woanders:
bei der Übernahme von Benutzerkonten.
Account Takeover ist leise, effizient und hochprofitabel – und genau deshalb das bevorzugte Mittel professioneller Angreifer.
1. Warum Angreifer heute keine Malware mehr brauchen
Klassische Angriffsketten sahen lange so aus:
E-Mail → Anhang → Schadsoftware → Schaden
Diese Logik ist überholt.
Heute reicht oft:
E-Mail → Login-Seite → Zugangsdaten → vollständiger Zugriff
Warum?
- keine auffälligen Dateien
- kein klassischer Schadcode
- legitime Infrastruktur
- kaum technische Spuren
➡ Der Angriff bleibt lange unentdeckt.
2. Credential Phishing dominiert die Bedrohungslage
Der Großteil aktueller Phishing-Kampagnen zielt nicht auf Systeme, sondern auf Zugangsdaten.
Typische Ziele:
- Microsoft 365
- Cloud-Dienste
- VPN-Zugänge
- interne Applikationen
Ein kompromittiertes Konto bedeutet:
- Zugriff auf interne Kommunikation
- Versand weiterer Phishing-Mails im Unternehmenskontext
- Ausweitung des Angriffs ohne externe Infrastruktur
- Umgehung vieler Sicherheitskontrollen
➡ Ein einziger erfolgreicher Klick reicht.
3. MFA ist kein Garant für Sicherheit
Multi-Faktor-Authentifizierung ist wichtig – aber kein Allheilmittel.
Moderne Angriffe umgehen MFA durch:
- MFA-Fatigue („Anfrage bestätigen“)
- Session-Hijacking
- Token-Diebstahl über präparierte Login-Seiten
- Echtzeit-Weiterleitung von Zugangsdaten
Das Ergebnis:
Der Login ist technisch legitim – obwohl er von Angreifern ausgelöst wurde.
➡ Sicherheitsmechanismen greifen, aber zu spät.
4. Der eigentliche Schaden entsteht nach dem Login
Account Takeover ist kein einzelnes Ereignis, sondern der Startpunkt.
Häufige Folgen:
- interner Phishing-Versand im Namen realer Mitarbeitender
- Zugriff auf sensible Dokumente
- Veränderung von Zahlungsinformationen
- Vorbereitung von Ransomware-Angriffen
- unbemerkter Datenabfluss über Wochen oder Monate
➡ Der initiale Vorfall bleibt oft unsichtbar.
5. Warum technische Schutzmaßnahmen allein nicht ausreichen
Viele dieser Angriffe:
- nutzen legitime URLs
- kommen ohne Malware aus
- erfolgen über reale Benutzerkonten
Für Sicherheitssysteme ist das schwer zu unterscheiden von normalem Verhalten.
➡ Der kritische Moment ist die Entscheidung des Nutzers, nicht der technische Exploit.
6. Was Unternehmen konkret tun müssen
Wirksamer Schutz vor Account Takeover erfordert mehrere Ebenen:
6.1 Mitarbeitende gezielt sensibilisieren
Nicht allgemein, sondern realistisch:
- gefälschte Login-Seiten
- Cloud-Phishing
- MFA-Missbrauch
- Dringlichkeits- und Autoritätsmuster
6.2 Besonders exponierte Personen schützen
Führungskräfte, HR, Finance, IT-Admins sind überdurchschnittlich betroffen.
➡ Diese Gruppen müssen intensiver trainiert und überwacht werden.
6.3 Klare Reaktionsprozesse etablieren
- verdächtige Login-Hinweise ernst nehmen
- schnelle Konto-Sperrung ermöglichen
- keine Schuldzuweisungen, sondern schnelle Eskalation
Fazit: Account Takeover ist der moderne Generalschlüssel
Cyberkriminelle wollen keine Systeme beschädigen.
Sie wollen Zugänge.
Ein kompromittiertes Konto bietet:
- Vertrauen
- Reichweite
- Tarnung
- Zeit
Unternehmen, die ihren Fokus weiterhin primär auf Malware legen, bekämpfen nicht die Ursache, sondern nur die Symptome.
Der wirksamste Schutz entsteht dort, wo technische Erkennung, klare Prozesse und sensibilisierte Mitarbeitende zusammenwirken.
