Identitätsdiebstahl und Account Takeover: Angriffe und Schutzmaßnahmen

Wie Angreifer Accounts übernehmen und Identitäten missbrauchen: Credential Stuffing, Passwort-Spraying, SIM-Swapping, MFA-Bypass-Techniken. Schutzmaßnahmen mit Microsoft Sentinel, Conditional Access und FIDO2 für Unternehmen.

Inhaltsverzeichnis (4 Abschnitte)

Kurzerklärung: Account Takeover (ATO) bezeichnet das unbefugte Übernehmen von Nutzerkonten durch Angreifer. Angriffsvektoren: Credential Stuffing (geleakte Passwörter), Brute Force, Phishing/MFA-Bypass, Session-Hijacking, Password-Reset-Schwachstellen und SIM-Swapping. ATO ist der Ausgangspunkt für Betrug, Datenleckagen und Privilege Escalation. Erkennung: Impossible Travel, Device-Fingerprinting-Anomalien, Velocity-Checks.

Account Takeover (ATO) ist der erste Schritt in den meisten erfolgreichen Cyberangriffen. Sobald ein Angreifer einen Account kontrolliert - besonders privilegierte Accounts - kann er sich lateral bewegen, Daten exfiltrieren und Ransomware deployen. Diese Angriffe zu verstehen ist der erste Schritt zur Prävention.

Account Takeover - Angriffsmethoden

Credential Stuffing

Der Ablauf: Angreifer kaufen Datenbreach-Listen (Milliarden von E-Mail/Passwort-Paaren), testen diese automatisiert gegen Login-Seiten und nutzen die weit verbreitete Passwort-Wiederverwendung aus. Werkzeuge dafür sind OpenBullet und SentryMBA als automatisierte Stuffing-Tools, Residential Proxies zum IP-Rotieren sowie CAPTCHA-Bypass-Services (2Captcha, Anti-Captcha).

Statistischer Kontext: 23 Milliarden Credential-Paare zirkulieren laut Have I Been Pwned (2024), und 85% der Nutzer verwenden Passwörter wieder (LastPass Survey 2023).

Erkennungsmerkmale: viele fehlgeschlagene Logins von einer oder vielen IPs, Logins aus ungewöhnlichen Geografien, ein erfolgreicher Login nach 1.000 fehlgeschlagenen Versuchen sowie auffällig schnelle Login-Versuche mit Bot-typischem Timing.

Password Spraying

Statt vieler Passwörter gegen einen Account testet Password Spraying ein einziges Passwort gegen alle Accounts - und umgeht so Account-Lockout-Schwellen (Standard: 5-10 Versuche vor Lockout). Der Angreifer wartet nach jeder Runde 30 Minuten, bevor er mit dem nächsten Passwort weitermacht.

Beliebte Spray-Passwörter sind Firmenname + Jahr ("AWARE7_2024!"), saisonale Passwörter ("Winter2024!", "Sommer2025#"), Keyboard-Pattern ("Qwerty123!", "Password1") und typische Default-Passwörter ("Welcome1", "Changeme1").

Die Gefährlichkeit liegt darin, dass Lockout-Schwellen nie erreicht werden, der Angriff monatelang unentdeckt bleibt und er besonders effektiv gegen Active-Directory-Umgebungen ist.

Erkennungsmerkmale: viele fehlgeschlagene Logins gegen verschiedene Accounts, aber wenige Versuche pro Account (unterhalb des Lockout-Thresholds), regelmäßige Zeitintervalle mit Bot-typischem Muster sowie "Account Lockout"-Ereignisse in den Azure AD Sign-In Logs.

SIM-Swapping

Der Ablauf: Der Angreifer sammelt OSINT über das Opfer (Name, Geburtsdatum, Adresse), ruft beim Mobilfunkanbieter an ("Mein Handy ist kaputt"), manipuliert den Kundendienst per Social Engineering zur SIM-Übertragung auf eine neue Karte. Alle SMS für die Nummer - inklusive SMS-OTPs - gehen nun an den Angreifer. Ein "Passwort vergessen" genügt zur vollständigen Account-Übernahme.

Bekannte Opfer: Twitter-CEO Jack Dorsey (2019) und zahlreiche Krypto-Investoren mit hunderten Millionen gestohlen.

SMS als MFA ist strukturell unsicher: SS7-Schwachstellen ermöglichen zusätzliche Abfangtechniken jenseits des SIM-Swaps. Prävention: SIM-Swap-PIN beim Anbieter aktivieren, Authenticator-App (Google Authenticator, Microsoft Authenticator) statt SMS-OTP, FIDO2-Hardware-Token (YubiKey) für höchste Sicherheit.

MFA-Bypass-Techniken

Vier MFA-Bypass-Techniken sind in der Praxis besonders relevant:

MFA Fatigue (Prompt Bombing): Der Angreifer kennt das Passwort und sendet massenhaft MFA-Push-Anfragen. Nach 50+ Notifications gibt das genervte Opfer irgendwann nach und drückt "Approve". Realer Fall: Uber (2022) mit kombiniertem MFA-Bombing und Social Engineering ("Hi, ich bin IT-Support, bitte bestätigen Sie die Anfrage").

Evilginx / Adversary-in-the-Middle (AiTM): Ein Reverse-Proxy positioniert sich zwischen Opfer und echtem Service. Das Opfer sieht die echte Login-Seite und durchläuft erfolgreich die MFA - der Proxy stiehlt den Session-Cookie danach. Dieser Cookie ermöglicht vollen Zugriff ohne erneute MFA. Gegenmaßnahme: Token Protection (Microsoft Conditional Access) bindet Sessions an das Gerät.

OAuth-Consent-Phishing: Eine gefälschte App beantragt OAuth-Permissions. Ein Klick auf "Erlauben" gibt der App Zugriff auf die Mailbox - kein Passwort, kein MFA-Prompt nötig. In Microsoft 365 können Admins riskante Apps blockieren.

Pass-the-Cookie / Token Theft: Stealer-Malware (Raccoon Stealer, Redline, Vidar) stiehlt Browser-Session-Cookies. Der Angreifer importiert den Cookie und ist ohne MFA eingeloggt.

Gegenmaßnahmen für alle MFA-Bypasses: phishing-resistente MFA (FIDO2/Passkeys - AiTM scheitert, weil FIDO2 domain-gebunden ist), Conditional Access (nur bekannte/konforme Geräte), Anomalie-Erkennung (UEBA, Microsoft Identity Protection) sowie Session-Token-Bindung an das Gerät (Token Protection).

Schutzmaßnahmen: Identitätsbasierte Defense in Depth

Passwort-Härtung

# Active Directory: Passwort-Richtlinie prüfen
Get-ADDefaultDomainPasswordPolicy

# Fine-Grained Password Policy für privilegierte Konten
New-ADFineGrainedPasswordPolicy -Name "Admin-Policy" `
    -Precedence 10 `
    -MinPasswordLength 16 `
    -PasswordHistoryCount 24 `
    -ComplexityEnabled $true `
    -LockoutThreshold 3 `
    -LockoutObservationWindow "00:30:00" `
    -LockoutDuration "01:00:00" `
    -MaxPasswordAge "30.00:00:00"

Add-ADFineGrainedPasswordPolicySubject "Admin-Policy" -Subjects "Domain Admins"

# HIBP-Integration: Passwörter gegen Breach-Listen prüfen
# Tool: DSInternals oder Specops Password Auditor
Import-Module DSInternals
Test-PasswordQuality -WeakPasswordsFile C:\wordlists\top1million.txt `
    -IncludeDisabledAccounts | Where-Object {$_.WeakPassword} |
    Select-Object SamAccountName, WeakPassword

Microsoft Conditional Access

Die fünf wichtigsten Conditional Access Policies:

Policy 1: MFA für alle - alle Nutzer außer Break-Glass-Accounts, alle Cloud-Apps, Grant: Require MFA.
Policy 2: Risikobasiertes MFA (Microsoft Identity Protection) - User Risk Medium: Passwortänderung erzwingen; Sign-in Risk Medium: MFA erzwingen; Sign-in Risk High: blockieren.
Policy 3: Geräte-Compliance - Grant: Require Hybrid Azure AD joined oder Compliant device. Nur verwaltete Geräte erhalten Zugriff.
Policy 4: Länder-Block - alle Logins aus Ländern außerhalb Deutschland/EU blockieren.
Policy 5: Privilegierte Konten - alle Admin-Accounts (Global Admin, Exchange Admin usw.) müssen phishing-resistente MFA (FIDO2 oder Certificate) verwenden; Zugriff nur von privilegierten Workstations (PAW).

FIDO2 / Passkeys - Phishing-resistente MFA

FIDO2 ist phishing-resistent, weil es domain-gebunden ist: Ein Angreifer kann die Login-URL nicht faken, AiTM-Angriffe (Evilginx) scheitern, weil eine gefälschte Domain keinen gültigen FIDO2-Login ermöglicht. SMS-OTP und TOTP sind phishbar - FIDO2 nicht.

FIDO2 in Microsoft 365: unter Azure AD → Authentication Methods → FIDO2 Security Keys aktivieren, erlaubte Keys konfigurieren (YubiKey usw.) und Nutzer registrieren ihre Keys unter aka.ms/mysecurityinfo.

Passkeys sind FIDO2 im Betriebssystem: Windows Hello (TPM-basiert, keine externe Hardware), Apple Face ID/Touch ID sowie Google Android Passkeys - alle FIDO2-kompatibel.

NIST SP 800-63B vergibt Level AAL3 (höchste Authentifizierungsstufe) ausschließlich für FIDO2. Das BSI empfiehlt FIDO2 für alle privilegierten Zugriffe.

Erkennung von Account Takeover

Azure AD / Microsoft Sentinel Detection

// KQL - Impossible Travel (Login aus zwei weit entfernten Orten)
SigninLogs
| where TimeGenerated > ago(24h)
| project TimeGenerated, UserPrincipalName, IPAddress, Location, RiskState
| summarize Locations=make_set(Location), IPs=make_set(IPAddress),
            LoginCount=count() by UserPrincipalName, bin(TimeGenerated, 1h)
| where array_length(Locations) > 1
// Weitere Filterung: Entfernung berechnen

// KQL - Password Spray Detection (viele User, wenige Versuche pro User)
SigninLogs
| where TimeGenerated > ago(1h)
| where ResultType == "50126"  // Falsches Passwort
| summarize AttemptedUsers=dcount(UserPrincipalName),
            FailureCount=count() by IPAddress
| where AttemptedUsers > 10 and FailureCount < 5 * AttemptedUsers
| sort by AttemptedUsers desc

// KQL - MFA Fatigue (viele MFA-Ablehnungen gefolgt von Zustimmung)
SigninLogs
| where TimeGenerated > ago(2h)
| where AuthenticationRequirement == "multiFactorAuthentication"
| summarize
    Denied=countif(Status.additionalDetails == "MFA denied; user declined the authentication"),
    Approved=countif(ResultType == "0")
    by UserPrincipalName, IPAddress
| where Denied > 5 and Approved > 0  // Viele Ablehnungen dann plötzlich Zustimmung

Nach einer Account-Kompromittierung

Sofortmaßnahmen (erste 30 Minuten):

Alle Sessions revoken: Azure AD → Benutzer → [User] → Alle Sitzungen widerrufen, oder per PowerShell: Revoke-AzureADUserAllRefreshToken -ObjectId <id>
Passwort zurücksetzen (von sicherem Gerät!), MFA-Methoden prüfen und zurücksetzen.
E-Mail-Weiterleitungsregeln prüfen - Angreifer legen regelmäßig Weiterleitungsregeln an (Get-InboxRule -Mailbox user@firma.de in Exchange).
Delegierungen prüfen: keine unbekannten Mailbox-Delegierungen oder OAuth-Berechtigungen.
Aktivitätsprüfung anhand der Office Activity Logs (mindestens 90 Tage Aufbewahrung): Welche Daten wurden gesendet, gelesen oder welche Aktionen durchgeführt?

DSGVO-Prüfung: Wurden personenbezogene Daten exfiltriert? Falls ja, greift die 72-Stunden-Meldepflicht an die Aufsichtsbehörde nach DSGVO Art. 33.

Methode	Sicherheit	Komfort	Phishing-resistent
SMS-OTP	Niedrig (SIM-Swap)	Hoch	Nein
TOTP (Authenticator-App)	Mittel	Mittel	Nein
Push-Benachrichtigung	Mittel	Hoch	Nein (MFA Fatigue)
FIDO2 / Passkey	Sehr hoch	Hoch	Ja
Hardware-Token (YubiKey)	Sehr hoch	Mittel	Ja

Microsoft Entra ID (ehemals Azure AD)

Marktanteil: ~50% Enterprise (durch M365-Dominanz)
Stärken:
- M365-native Integration (Teams, SharePoint, Exchange)
- Conditional Access: granulare Zugriffsregeln
- Privileged Identity Management (PIM): Just-in-Time Admin
- Microsoft Authenticator: phishing-resistente MFA
- SSPR (Self Service Password Reset) mit Multi-Method-Auth
Kosten:
- Azure AD Free: Basis-SSO (inkl. M365)
- Entra ID P1: €6/User/Monat (Conditional Access, SSO für alle Apps)
- Entra ID P2: €9/User/Monat (PIM, Identity Protection)

Okta

Marktanteil: Führend außerhalb Microsoft-Ökosystem
Stärken:
- Universal Directory: beliebige Benutzerquellen konsolidieren
- App-Integration: 7.000+ vorkonfigurierte App-Verbindungen
- Adaptive MFA: Risiko-basierte Auth-Entscheidungen
- Workflows: No-Code Identity-Automation
- Lifecycle Management (IGA-Funktionalität)
Kosten: Workforce Identity: ab $2/User/Monat (SSO) bis $15+ (Advanced)
Bekanntes Problem: Okta selbst wurde 2022/2023 kompromittiert!

Sofort: 2FA für alle Mitarbeitenden aktivieren (mindestens TOTP)
Priorität 1: FIDO2-Schlüssel für privilegierte Konten (Domain Admins, IT-Admins, Geschäftsführung)
SMS-2FA: Nur wenn kein anderes Verfahren möglich, dann als temporäre Lösung
Backup-Codes sicher aufbewahren (nicht im selben System wie die Credentials)
Recovery-Prozess definieren: Was passiert wenn Mitarbeitender 2FA-Gerät verliert?

Quellen & Referenzen

[1] NIST Special Publication 800-63B Digital Identity Guidelines - NIST
[2] ENISA Threat Landscape: Identity Theft - ENISA

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Jan Hörnemann

Chief Operating Officer · Prokurist

E-Mail

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

11 Publikationen

Understanding Regional Filter Lists: Efficacy and Impact (2025)
Privacy from 5 PM to 6 AM: Tracking and Transparency Mechanisms in the HbbTV Ecosystem (2025)
A Platform for Physiological and Behavioral Security (2025)
Different Seas, Different Phishes - Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
Sharing is Caring: Towards Analyzing Attack Surfaces on Shared Hosting Providers (2024)
On the Similarity of Web Measurements Under Different Experimental Setups (2023)
People, Processes, Technology - The Cybersecurity Triad (2023)
Social Media Scraper im Einsatz (2021)
Digital Risk Management (DRM) (2020)
New Work - Die Herausforderungen eines modernen ISMS (2024)

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

Vollständiges Profil ansehen