Kontoübernahme

Kontoübernahme (engl. Account Takeover, ATO) ist eine Form von Identitätsdiebstahl und Betrug (engl. Fraud), bei dem sich ein böswilliger Dritter erfolgreich die Anmeldedaten eines fremden Kontos beschafft und so auf selbiges zugreift. Ein solcher Cyberkrimineller kann sich dann als der richtige Benutzer ausgeben und die Kontodaten ändern, Phishing-E-Mails versenden sowie Finanz- und andere sensible Daten stehlen oder mithilfe von gestohlenen Informationen auf weitere Konten in Organisationen zugreifen.

Die Ausbreitung der digitalen Kommunikation macht zwar potenziell jeden Mitarbeiter für eine Kontoübernahme anfällig (laut einer aktuellen Untersuchung des US-amerikanischen Beratungsunternehmens Javelin waren allein 2017 5,1 Milliarden USD Verlust durch Kontoübernahmen zu verzeichnen). Allerdings besteht bei Abteilungen wie IT, Personalwesen sowie dem höheren Management eines Unternehmens ein größeres Risiko, denn sie haben direkten Zugriff auf sensible Daten, Finanzinformationen oder die Sicherheitsinfrastruktur.

Sehen Sie, welche Bedrohungen sich heute in Ihrem Posteingang verstecken.

Unser kostenloser Scan nach E-Mail-Bedrohungen hat mehr als 12.000
Unternehmen dabei geholfen, fortschrittliche E-Mail-Angriffe zu entdecken.

Digitale Kommunikation und Datenspeicherung nehmen unentwegt zu. Das gibt Cyberkriminellen immer vielfältigere Angriffspunkte, wenn sie versuchen, sich auf persönliche Daten von Benutzern Zugriff zu verschaffen. Hinzu kommt, dass Passwörter allzu oft wenig mit Bedacht auf Stärke gewählt werden – einer Erhebung von SplashData aus dem Jahr 2017 zufolge sind die häufigsten fünf verwendeten Passwörter eine Variante von „123456“ oder „Password“. So brauchen Cyberkriminelle keine hochsensiblen Informationen, um erfolgreich Zugriff auf ein Konto zu erlangen. Sie suchen einfach den leichtesten Zugangspunkt und bauen darüber die Kontoübernahme auf. Der Ausgangspunkt können dabei alle persönlichen Daten sein, die man beim Anmelden benutzt: E-Mail-Adresse, voller Name, Geburtsdatum, Wohnort – alle diese Informationen lassen sich mit minimalem Aufwand recherchieren.

Hat ein Hacker dann den Hauptkommunikationskanal eines Benutzers in seiner Gewalt, kann er sämtliche Einstellungen ändern, auf die ihm das Konto Zugriff verschafft wie Sicherheitsfragen, Passwörter, Verschlüsselungseinstellungen, Benutzernamen usw. Wenn der tatsächliche Benutzer eines übernommenen Kontos dann versucht das Problem zu beheben, kann er durch so eine komplette Aussperrung wiederum verdächtig wirken, da er die aktualisierten Informationen für das Konto nicht kennt.

Cyberkriminelle bedienen sich bei dem Versuch, unbefugt auf ein abgesichertes Konto zuzugreifen, einer Reihe von Techniken. Dazu gehören vor allem die Folgenden:

• Hacking: ATO-Angreifer verwenden mehrere Hackermethoden – die beliebteste ist der Brute-Force-Angriff, bei dem der Angreifer automatisierte Skripts entwickelt, die Passwortkombinationen durchgehen, in der Hoffnung die passenden Anmeldedaten zu generieren.
• Phishing und Spear Phishing: Hierbei bringen Cyberkriminelle Benutzer per E-Mail dazu, ihre persönlichen Daten zu verraten. Phishing-E-Mails können automatisiert werden und sind leichter zu erkennen. Spear-Phishing-E-Mails hingegen werden äußerst gezielt versendet und sind meist täuschend echt.
• Social Engineering: Bei dieser Methode recherchieren Angreifer in öffentlichen Datenbanken und den sozialen Medien nach Informationen wie Name, Standort, Telefonnummer oder Namen von Familienmitgliedern bzw. nach allem, was ihnen helfen kann, ein Passwort zu erraten.
• Botnets: Hacker setzen hier Bots ein, um Konten zu knacken. Diese Bots geben häufige Passwörter und Benutzernamen ein, sodass Angriffe schnell und in großem Rahmen erfolgen und eine maximale Anzahl an Konten übernommen werden – und das alles bleibt erst einmal weitgehend unbemerkt. Da Bots von mehreren Orten aus agieren, ist es schwieriger, Anmeldungen von böswilligen IP-Adressen zu identifizieren.
• Credential Stuffing: Bei dieser Methode testen Angreifer gestohlene oder durch Datenleaks offengelegte (oder auch im Darknet gekaufte) Anmeldedaten auf zahlreichen Websites. Dabei spekulieren sie darauf, auf Opfer zu treffen, die noch nicht bemerkt haben, dass ihre Anmeldedaten kompromittiert sind.

Der primäre Zweck bei den meisten Kontoübernahmeangriffen ist der Zugriff auf sensible Daten und Finanzinformationen. Deshalb müssen Abteilungen wie IT, Personalwesen und die Unternehmensführung sich der Risiken bewusst sein, die mit ihren Aufgaben einhergehen.

Die IT-Abteilung ist für die technische Infrastruktur zuständig, dazu gehört auch die Sicherheit und die Datenmanagement – ein kompromittiertes IT-Konto kann zu einem kompromittierten Netzwerk oder einem folgenschweren Datendiebstahl führen. Die Personalabteilung hat Zugang zu sensiblen Mitarbeiterdaten sowie verschiedenen Finanzdaten und ist zuständig für die Gehaltsabrechnungen. Hier finden Cyberkriminelle extrem wertvolle Informationen. Führungskräfte haben Zugriff auf und Kontrolle über wesentliche Bereiche einer Organisation – unerlaubte Zugriffe auf ihre Konten können zu Finanzbetrug oder Datendiebstahl führen.

Eine Kontoübernahme selbst nützt Cyberkriminellen zunächst einmal wenig. Der Schaden entsteht, nachdem sie sich Zugang verschafft haben:

• Phishing-Kampagnen: Einige Angreifer versuchen, über das gehackte E-Mail-Konto Phishing-Kampagnen zu starten, die unentdeckt bleiben sollen.
• Verkauf von Anmeldedaten: Es gibt auch Angreifer, die Anmeldedaten von anderen Mitarbeitern stehlen und diese auf dem Schwarzmarkt verkaufen.
• Weitere Kontoübernahme: Andere nutzen ein übernommenes Konto, um Informationen zu anderen Personen zu sammeln und dann personalisierte Angriffe zu starten.
• Business Email Compromise: Ganz ausgeklügelte Angreifer stehlen die Anmeldedaten von wichtigen Mitarbeitern, mit denen sie dann einen Angriff von dessen echter E-Mail-Adresse aus starten. Ziel dabei können betrügerische Transaktionen oder Geldtransfers sein.
• Rufschädigung: Angriffe zur Kontoübernahme können auch auf die Endbenutzer einer Organisation abzielen und damit den Unternehmensruf hinsichtlich Sicherheit und Datenschutz schädigen.

Es gibt eine Reihe von Sicherheitsmaßnahmen, die Sie vor einer Kontoübernahme schützen:

• Sicherheitsfragen: Hier müssen Benutzer nach erfolgreicher Passwortangabe einige festgelegte Fragen beantworten. Diese Maßnahme stellt zwar eine sehr grundlegende Form erhöhter Sicherheit dar, schützt aber mit einer höheren Wahrscheinlichkeit vor böswilligen Anmeldeversuchen.
• Zwei-Faktor-Authentifizierung (2FA): Durch Verknüpfen einer Telefonnummer oder einer alternativen E-Mail-Adresse mit einem Konto lässt sich der Zugriff durch unerkannte Geräte bzw. IP-Adressen eingrenzen – sogar wenn diese über das richtige Passwort verfügen.
• IP-Blocklisting: Mehrere eingehende Anmeldeversuche von einer einzigen IP sind ein gutes Zeichen, dass jemand über einen Brute-Force-Angriff Passwörter zu erraten versucht oder mithilfe von gestohlenen Anmeldedaten Zugang zu Konten erlangen möchte. Wer eine solide IP-Blockliste pflegt, kann solche Angriffe verringern.
• Begrenzung für die Anzahl von Anmeldeversuchen: Wenn die Anzahl der Anmeldeversuche bei sicheren Konten begrenzt ist, können Cyberkriminelle ein Konto nicht mit Anmeldeversuchen bombardieren, um das richtige Passwort zu ermitteln. Diese Maßnahme ist besonders gegen Bot-Spamming wirksam, was von verschiedenen IP-Adressen ausgehen kann.
• Geräteverfolgung: Die Nachverfolgung von Geräten und das Anzeigen des Anmeldestandortes können dabei helfen, verdächtige Aktivitäten aufzudecken. Eine Anmeldung, die immer wieder 200 Kilometer vom Aufenthaltsort eines Benutzers erfolgt, kann der IT automatisch signalisieren, dass ein Konto eingefroren werden sollte.
• Schulung von Mitarbeitern: Mitarbeiter bilden bei Angriffen zur Kontoübernahme oftmals die letzte Verteidigungslinie – sie zu schulen, damit sie Anzeichen und Symptome eines kompromittierten Kontos erkennen, ist daher unerlässlich. So gibt es Schulungs-Tools, die ihnen aktuelle Beispiele von Kontoübernahmen oder Phishing-E-Mails zeigen, die ihnen beim Schutz ihrer Online-Identität helfen und sie für Social-Engineering-Tricks wappnen.
• Sandboxing: Wenn Konten kompromittiert wurden, müssen unbedingt Maßnahmen eingerichtet sein, mit denen weitere Schäden verhindert werden. Durch das Sandboxing eines verdächtigen Kontos können alle verbundenen Aktivitäten verfolgt und gestoppt werden, wenn sie tatsächlich böswillig sind.
• WAF-Konfiguration: Mit einer Web Application Firewall (WAF), bei der gezielt Richtlinien zur Identifizierung von gestohlenen Anmeldedaten, von Brute-Force-Angriffen und von Botnet-Aktivitäten konfiguriert sind, lassen sich Versuche einer Kontoübernahme erkennen und verhindern.
• KI-Erkennung: Traditionelle WAFs sind nicht immer in der Lage, ausgefeiltere Kontoübernahmeangriffe zu erkennen – statische Richtlinien lassen sich austricksen und halten dann böswillige Anmeldeversuche für legitim. Hier kommen nun jüngste Entwicklungen in der KI-Technologie zum Einsatz, die komplexe Angriffe zur Kontoübernahme identifizieren und den Traffic von Webseiten und Webanwendungen auf verdächtige Aktivitäten überwachen.

Jedes Unternehmen, das für Mitarbeitern oder Kunden per Anmeldedaten geschützte Konten bereitstellt, ist Angriffen zur Kontoübernahme ausgesetzt. Die Angreifer unterscheiden dabei nicht zwischen Größe, Branche oder Standort von Unternehmen. Traditionell werden größere Organisationen Opfer solcher Angriffe, aber durch die Omnipräsenz von digitalen Informationen und die Einfachheit, mit der illegale Sicherheitstechnologien verteilt werden können, wird das klassische „Sicherheitsnetz“ von kleinen Unternehmen zu einer Fiktion. Mehr noch, gerade weil kleinere Unternehmen zuweilen weniger auf ungewöhnliche Aktivitäten bei der Anmeldung, Kontoerstellung oder beim Zurücksetzen von Passwörtern achten, können sie zu einem attraktiveren Ziel als größere Konzerne werden. So ist es also an allen Organisationen, proaktiv zu agieren, um folgenschwere Kontoübernahmen zu verhindern.

Zugehörige Begriffe

• Business Email Compromise (BEC)
• Phishing
• Spear Phishing
• Malware
• Cyber-Sicherheit

Weiterführende Ressourcen

• Barracuda Campus: Umgang mit einer Kontoübernahme
• Threat Spotlight: Kontoübernahme
• Solution Brief: Office 365-Kontoübernahme
• White Paper: Umfassender E-Mail-Schutz
• 13 Arten von E-Mail-Bedrohungen, über die man aktuell Bescheid wissen sollte
• Spear Phishing: Die häufigsten Bedrohungen und Trends. E-Mail Account Takeover und Abwehr von lateralen Phishing-Angriffen.

Wie Barracuda Sie unterstützen kann

• Barracuda Impersonation Protection ist eine leistungsstarke KI-Engine, welche die spezifischen Kommunikationsmuster von Unternehmen lernt, um Angriffe in Echtzeit zu erkennen und zu blockieren. Der Schutz vor Account Takeover verhindert und mindert den Schaden durch Kontoübernahme, indem der E-Mail-Verkehr überwacht wird und kompromittierte Konten schnell identifiziert werden.

• Das Barracuda Security Awareness Training bietet hochmoderne Schulungen und Simulationen, um die Anfälligkeit von Mitarbeitern für Phishing-E-Mails und Social-Engineering-Angriffe zu messen, die zu einem Account Takeover führen könnten. Die Lösung identifiziert menschliche Risikofaktoren und kann Ihr Unternehmen auf diese Weise darauf vorbereiten, gezielte Angriffe von kompromittierten Konten zu erkennen und abzuwehren.

Haben Sie Fragen oder möchten Sie mehr Informationen zum Thema Kontoübernahme erhalten? Dann nehmen Sie gleich Kontakt mit uns auf.