Angriffe zur Kontoübernahme auf Unternehmen nehmen zu. Laut einer Studie von Abnormal Security waren 83 % der befragten Organisationen im vergangenen Jahr von mindestens einem Angriff zur Kontoübernahme betroffen, und 26 % berichteten von wöchentlichen Versuchen einer Kontoübernahme. Und im SMB Cybersecurity Report von Proton haben wir herausgefunden, dass jedes vierte kleine Unternehmen trotz seiner Cybersicherheitsmaßnahmen gehackt wurde.

Auch die finanziellen Auswirkungen können schwerwiegend sein. Untersuchungen von IBM zeigen, dass Datenlecks, bei denen Anbieter gefährdet und Konten übernommen wurden, durchschnittlich fast 5 Millionen USD kosten, wobei die Zeitspanne bis zur Eindämmung oft 250 Tage überschreitet.

Diese Kombination aus Häufigkeit und Auswirkungen erklärt, warum eine Kontoübernahme für Unternehmen so gefährlich ist: Angreifer können sich einfach mit legitimen Anmeldedaten anmelden und innerhalb der Organisation agieren, oft bevor jemand merkt, dass das Konto nicht mehr vertrauenswürdig ist.

Im Vereinigten Königreich zeigt der Bericht Cyber Security Breaches Survey 2025 der Regierung ebenfalls, dass Übernahmeversuche und gefährdete Konten Teil des breiteren Vorfallsbildes sind. Für Unternehmen macht dies die Kontoübernahme zu mehr als einem reinen Anmeldungsproblem. Es ist ein Risiko für die Identitätssicherheit, Betrug und die Geschäftskontinuität.

Was ist ein Angriff zur Kontoübernahme?

Wie sich die Kontoübernahme von herkömmlichen Angriffen unterscheidet

Die gängigsten Methoden zur Kontoübernahme

Warum Geschäftskonten wertvolle Ziele sind

Erkennungssignale, auf die Unternehmen achten sollten

Die geschäftlichen Auswirkungen einer Kontoübernahme

Dein praktischer Reaktionsplan bei Verdacht auf eine Kontoübernahme

Aufbau einer stärkeren Sicherheitskultur rund um den Kontozugriff

Wie Proton Pass for Business das Risiko einer Kontoübernahme verringert

Was ist ein Angriff zur Kontoübernahme?

Cyberkriminelle starten Angriffe zur Kontoübernahme, indem sie sich unbefugten Zugriff auf ein legitimes Konto verschaffen und dieses dann für böswillige Zwecke missbrauchen. In Geschäftsumgebungen bedeutet dies in der Regel, dass sie das Passwort eines Mitarbeiters erlangen, dessen Authentifizierungsfluss abfangen oder sich anderweitig gültigen Zugriff auf ein Geschäftskonto verschaffen.

Einmal im System, kann ein Angreifer interne Mitteilungen lesen, Kontoeinstellungen ändern, auf verbundene Apps zugreifen, vertrauliche Dateien exportieren oder sich in Unterhaltungen mit Kollegen, Anbietern oder Kunden als Mitarbeiter ausgeben. Da der Angreifer einen gültigen Zugriff erlangt hat, anstatt sich gewaltsam Zugang über ein erkennbar manipuliertes System zu verschaffen, sieht die Aktivität wie gewöhnlicher Geschäftsbetrieb aus.

Das ist es, was eine Gefährdung von Geschäftskonten so gefährlich macht. Ein Angreifer kann wie ein normaler Benutzer erscheinen, bis der Schaden bereits angerichtet ist.

Wie sich die Kontoübernahme von herkömmlichen Angriffen unterscheidet

Eine Kontoübernahme ist deshalb so störend, weil sie nicht so leicht zu erkennen ist wie die offensichtliche Art von Angriffen oder Datenlecks, die viele Teams erwarten.

Sicherheitsteams in Unternehmen suchen oft nach Malware(neues Fenster), ausgenutzten Schwachstellen, korrumpierten Systemen oder verdächtiger Code-Ausführung. Bei einer Kontoübernahme wurde jedoch unter Umständen kein System im herkömmlichen Sinne verletzt, da der Angreifer legitime Anmeldedaten und gewöhnliche Anmeldevorgänge verwendet hat.

Dieser Unterschied ist wichtig, da Teams nach dem Missbrauch von Anmeldedaten suchen müssen statt nach einem Eindringen in das Netzwerk-Perimeter. Wenn ein Angreifer sich über dieselbe Anmeldeseite wie alle anderen mit gültigen Anmeldedaten anmeldet, erscheint die Aktivität für sich allein genommen nicht verdächtig.

Die Entdeckung hängt dann weniger vom Aufspüren technischer Probleme ab, sondern vielmehr vom Bemerken ungewöhnlichen Verhaltens, wie seltsamen Anmeldemustern, unerwarteten Passwort-Rücksetzungen oder abnormalen Zugriffsanfragen.

Mit anderen Worten: Eine Kontoübernahme gelingt oft durch den Missbrauch des normalen Vertrauensmodells der Organisation.

Die häufigsten Methoden zur Kontoübernahme

Angreifer können mehrere bewährte Methoden nutzen, um sich Zugriff auf Geschäftskonten zu verschaffen. Einige sind opportunistisch, während andere hochgradig gezielt sind.

Credential Stuffing

Credential Stuffing passiert, wenn Angreifer Benutzernamen und Passwörter verwenden, die bei Datenlecks durchgesickert sind, und diese bei anderen Diensten testen. Das funktioniert, weil Menschen oft Passwörter sowohl für private als auch für geschäftliche Konten wiederverwenden.

Dies macht einzigartige Passwörter zu einer der besten Verteidigungen deiner Organisation gegen Kontoübernahmen. Das Data Breach Observatory von Proton zeigt, dass Namen und E-Mail-Adressen in fast 9 von 10 Datenlecks vorkommen, während Passwörter in 47 % der Vorfälle offengelegt werden. Wenn diese Anmeldedaten dienstübergreifend wiederverwendet werden, entsteht durch ein einziges Leak schnell ein Risiko für eine Kontoübernahme.

Phishing

Phishing bleibt einer der häufigsten Wege in Geschäftskonten. Es kann genutzt werden, um Passwörter, Sitzungstoken oder MFA-Genehmigungen zu stehlen, die alle direkt in eine Kontoübernahme münden können.

SIM-Swapping

SIM-Swapping passiert, wenn ein Angreifer einen Mobilfunkanbieter davon überzeugt, die Nummer eines Opfers auf eine SIM-Karte zu übertragen, die er kontrolliert. Wenn ein Unternehmen immer noch stark auf SMS-basierte Authentifizierung setzt, können Angreifer Anmeldecodes leicht abfangen.

Zum Schutz gegen SIM-Swapping sind Zwei-Faktor-Authentifizierungs-Methoden (2FA) viel sicherer und für Geschäftskonten mit höherem Risiko geeignet.

2FA-Ermüdung und Sitzungsdiebstahl

Selbst wenn 2FA aktiviert ist, können Angreifer versuchen, Benutzer mit wiederholten Genehmigungsaufforderungen mürbe zu machen oder Sitzungstoken durch Phishing und Malware zu stehlen. 2FA ist unerlässlich, reicht aber allein nicht aus.

Password Spraying

Password Spraying ist eine Art von Brute-Force-Angriff(neues Fenster), bei dem Angreifer eine Reihe häufig verwendeter Passwörter über viele Konten hinweg ausprobieren. Anstatt einen einzelnen Benutzer mit Hunderten von Versuchen zu bombardieren, testen sie schwache Standardwerte wie „Welcome123!“ oder vorhersehbare unternehmensbezogene Muster bei einer größeren Gruppe von Mitarbeitern.

Warum Geschäftskonten hochwertige Ziele sind

Geschäftskonten sind aufgrund der Daten und Gelder, die sie potenziell enthalten, attraktiv. Ein gefährdetes E-Mail-Konto kann Business-E-Mail-Kompromittierung ermöglichen: Zum Beispiel ist geschäftlicher Zahlungsbetrug ein Betrugsschema, bei dem Kriminelle eine E-Mail auf eine Organisation zuschneiden, sich als legitimer Kontakt ausgeben und versuchen, Zahlungen umzuleiten oder sensible Informationen zu erhalten.

Ein gefährdetes Administrator-Konto kann sogar noch schädlicher sein. Es kann Angreifern ermöglichen, Passwörter zurückzusetzen, auf zusätzliche Systeme zuzugreifen, Daten zu exportieren oder Sicherheitskontrollen zu schwächen. Sobald das passiert, kann eine einzige gefährdete Identität zu einem viel größeren Vorfall führen.

Selbst gewöhnliche Mitarbeiterkonten können mit Folgendem verbunden sein:

  • E-Mails und Kalender.
  • CRM- und Kundensupport-Tools.
  • HR- und Lohnabrechnungssysteme.
  • Cloud-Speicher.
  • Interne Chat- und Zusammenarbeitsplattformen.
  • Geteilte Anmeldedaten und Passwort-Tresore.
  • Entwickler- oder Infrastruktur-Tools.

Die Kaperung von Unternehmenskonten geht über bloßen Betrug hinaus. Es handelt sich um ein Problem der Zugriffskontrolle, das Folgen für die gesamte Organisation haben kann.

Erkennungssignale, auf die Unternehmen achten sollten

Da die Übernahme eines Kontos oft mit gültigen Anmeldedaten beginnt, hängt die Erkennung davon ab, ob ungewöhnliches Verhalten bemerkt wird.

  • Ungewöhnliche Anmeldezeiten oder Standorte: Eine Anmeldung aus einem unbekannten Land, einer unbekannten Region oder zu einer ungewöhnlichen Zeit kann verdächtig sein, insbesondere wenn darauf Konfigurationsänderungen folgen.
  • Unerwartete Anfragen zum Zurücksetzen des Passworts: Wenn Mitarbeiter E-Mails zum Zurücksetzen erhalten, die sie nicht angefordert haben, könnten dies frühe Anzeichen für einen versuchten Kontodiebstahl sein.
  • Unbekannte Geräte oder Browser: Eine Anmeldung von einem noch nie gesehenen Gerät ist eine Überprüfung wert, insbesondere wenn sie mit ungewöhnlichen App-Zugriffen oder geteilten Inhalten einhergeht.
  • 2FA-Abfragen, die nicht vom Kontoinhaber initiiert wurden: Unerwartete 2FA-Bestätigungen können signalisieren, dass bereits jemand ein Passwort für das Konto besitzt und versucht, die zweite Sicherheitsebene zu durchbrechen.
  • Änderungen am Postfach oder an Weiterleitungsregeln: Angreifer, die E-Mail-Konten gefährden, erstellen oft Regeln, um Nachrichten auszublenden, E-Mails weiterzuleiten oder sich den Zugriff zu sichern.
  • Ungewöhnliche Aktivitäten in sensiblen Tools: Wenn ein Benutzer plötzlich auf Finanzsysteme, Administrator-Dashboards, Exporte oder geteilte Geheimnisse zugreift, was nicht zu seinen normalen Aufgaben passt, kann dies auf eine Gefährdung hindeuten.
  • Verdächtige Änderungen in Tresoren oder geteilten Anmeldedaten: Wenn Passwörter geändert, erneut geteilt oder auf ungewöhnliche Weise darauf zugegriffen wird, kann dies ein Zeichen für Kontomissbrauch anstelle einer normalen Zusammenarbeit sein.

Die wirtschaftlichen Auswirkungen einer Kontoübernahme

Der Grund, warum Betrug durch Kontoübernahme so schwerwiegend ist, liegt darin, dass eine einzige gefährdete Identität plötzlich verschiedene Arten von Schaden anrichten kann. Es besteht ein unmittelbares Betrugsrisiko. Ein Angreifer kann sich als Führungskraft, Mitarbeiter oder Lieferant ausgeben, um Zahlungsänderungen oder vertrauliche Informationen anzufordern.

Es besteht auch ein Datenrisiko. Ein gefährdetes Konto kann Verträge, Kundendaten, interne Dateien oder sensible Kommunikation offenlegen.

Hinzu kommt das betriebliche Risiko. Teams müssen unter Umständen Konten sperren, Anmeldedaten rotieren, den Zugriff widerrufen, Protokolle prüfen, Kommunikationen verifizieren und nach lateralen Bewegungen suchen.

Wenn der Angreifer privilegierte Systeme erreicht, kann der Vorfall weit über ein einziges gefährdetes Konto hinaus eskalieren. Er könnte in der Lage sein, Ransomware bereitzustellen, den Zugriff auf kritische Systeme aufrechtzuerhalten oder eine umfassendere Gefährdung der gesamten Umgebung zu aktivieren.

Ab diesem Punkt geht es nicht mehr nur darum, die Identität eines Benutzers zu sichern. Es kann den Betrieb stören, die Wiederherstellung verzögern und die Fähigkeit der Organisation beeinträchtigen, normal zu funktionieren. Deshalb muss eine Kontoübernahme in der Business-Continuity-Planung berücksichtigt werden.

Dein praktischer Reaktionsplan für eine vermutete Kontoübernahme

Selbst wenn starke Präventivmaßnahmen vorhanden sind, müssen Unternehmen bereit sein, schnell zu reagieren, wenn eine Kontoübernahme vermutet wird. Eine schnelle, strukturierte Reaktion kann helfen, den Vorfall einzudämmen, bevor er sich auf andere Systeme oder Arbeitsabläufe ausbreitet.

  1. Der erste Schritt besteht darin, das Risiko einzudämmen, indem das betroffene Konto vorübergehend deaktiviert wird, aktive Sitzungen widerrufen und Anmeldedaten zurückgesetzt werden. Teams sollten dann die letzten Anmeldeaktivitäten und alle verdächtigen Änderungen prüfen, die mit dem Konto verknüpft sind. Wenn das Konto über weitreichende Berechtigungen oder Zugriff auf sensible Tools verfügt, sollte die Reaktion noch schneller erfolgen.
  2. Von dort aus sollte sich der Fokus auf den Umfang verlagern. Unternehmen müssen verstehen, worauf der Angreifer zugegriffen, was er geändert oder verwendet hat, während er im Konto war – einschließlich E-Mail-Regeln, verbundener Apps, geteilter Anmeldedaten und Anzeichen für laterale Bewegungen.
  3. Es ist auch wichtig, jegliche damit verbundene Offenlegung einzudämmen. Eine gefährdete Identität kann Finanzprozesse, die Kommunikation mit Lieferanten, interne Tools oder Kundendaten beeinträchtigen, daher sollte die Reaktion nicht beim Konto selbst aufhören.
  4. Sobald das unmittelbare Risiko unter Kontrolle ist, sollte der Vorfall genutzt werden, um Schwachstellen zu beheben – sei es durch die Verbesserung der Hygiene bei den Anmeldedaten, die Verschärfung der 2FA-Erzwingung oder eine bessere Erkennung durch Aktivitätsprotokolle und Workflows zur Überwachung der Identität. Diese Tools helfen dabei, verdächtige Anmeldemuster wie ungewöhnliche Standorte, wiederholte fehlgeschlagene Versuche, Zugriffe zu unüblichen Zeiten oder unerwartete Kontoänderungen aufzudecken, damit Sicherheitsteams früher eingreifen können.

Aufbau einer stärkeren Sicherheitskultur beim Zugriff auf Konten

Kontoübernahmen florieren, wenn das Zugreifen als Bequemlichkeitsthema statt als Sicherheitsdisziplin behandelt wird.

Eine stärkere Sicherheitskultur bedeutet, dass Mitarbeitende verstehen, dass Anmeldedaten nicht nur persönliche Logins sind. Sie sind der Schlüssel zum Zugreifen auf Geschäftssysteme, das Vertrauen der Kunden und die betriebliche Kontinuität. Es bedeutet auch, dass Organisationen den sicheren Pfad zum einfachen Pfad machen, indem sie Teams die richtigen Tools, klare Richtlinien und zentralisierten Support bieten.

Hier setzen Passwort-Manager für Unternehmen, Passkeys, Dark Web-Überwachung, stärkere 2FA-Praktiken und sicheres Offboarding an. Diese Kontrollmechanismen helfen dabei, die Wiederverwendung von Anmeldedaten zu reduzieren, die Kontohygiene zu verbessern und den Schaden zu begrenzen, den ein einzelnes gefährdetes Konto anrichten kann.

Die Erkennung gehört zur breiteren Überwachungsebene, aber Passwort-Manager können diese dennoch unterstützen, indem sie Protokolle und Berichte erstellen, die in Untersuchungs- und Warnsysteme einfließen. Zusammen machen diese Kontrollen eine Kontoübernahme schwieriger in der Ausführung und leichter einzudämmen.

Wie Proton Pass for Business das Risiko einer Kontoübernahme verringert

Viele Vorfälle von Kontoübernahmen beginnen mit exponierten, schwachen oder wiederverwendeten Anmeldedaten und eskalieren dann, weil Mitarbeitende keine einheitliche Methode haben, um starke Passwörter zu generieren, sie sicher zu speichern, 2FA zuverlässig zu nutzen oder frühe Anzeichen einer Exponierung zu erkennen. Proton Pass for Business verringert dieses Risiko, indem es die Anwendung stärkerer Kontopraktiken in Teams erleichtert, anstatt sie nur zu empfehlen.

Stärkere Passworthygiene in großem Maßstab

Ein sicherer Passwort-Manager unterstützt die Generierung starker Passwörter, automatisches Ausfüllen, sichere Speicherung und sicheres Teilen. Dies hilft Teams dabei, von wiederverwendeten Passwörtern, Browser-Wildwuchs und informeller Handhabung von Anmeldedaten wegzukommen.

Dies ist unerlässlich, um Kontoübernahmen zu verhindern, da Angreifer oft auf die Wiederverwendung von Passwörtern und vorhersehbare Anmeldungsgewohnheiten setzen, um eine exponierte Anmeldedate in den Zugriff auf mehrere Dienste zu verwandeln. Proton Pass unterstützt auch Passkeys, die die Abhängigkeit von Passwörtern für unterstützte Dienste verringern und einen Phishing-resistenten Login-Schutz bieten. Es bietet außerdem einen integrierten 2FA-Authenticator und das automatische Ausfüllen von TOTP-Codes, was es einfacher macht, stärkere Anmeldungsgewohnheiten konsequent zu nutzen.

Bessere Sichtbarkeit von exponierten und riskanten Anmeldedaten

Proton Pass enthält den Pass Monitor, der Einblicke in die Passwortsicherheit, Dark Web-Überwachung-Warnungen für kompromittierte E-Mails und Sichtbarkeit für inaktive 2FA bietet. In der Praxis hilft dies Organisationen dabei, schwache, wiederverwendete oder bereits exponierte Anmeldedaten zu identifizieren, bevor sie für Credential Stuffing oder anschließende Übernahmeversuche missbraucht werden.

Ein Business-Passwort-Manager ist ideal zur Prävention von Kontoübernahmen. Er hilft Teammitgliedern dabei, Anmeldedaten sicher zu speichern und zu verwalten, und unterstützt Teams dabei, diejenigen zu identifizieren, die am ehesten ein Folgerisiko darstellen.

Benutzerfreundlicheres 2FA im Arbeitsalltag

2FA trägt dazu bei, dass ein gestohlenes Passwort allein weniger nützlich ist, aber die Akzeptanz scheitert oft, wenn es als unpraktisch oder fragmentiert empfunden wird. Proton Pass hilft hier, indem es einen integrierten 2FA-Authenticator und das automatische Ausfüllen von OTP-Codes unterstützt, wodurch stärkere Anmeldungsgewohnheiten bei unterstützten Konten einfacher konsequent genutzt werden können. Das ersetzt keine umfassenderen Identitätskontrollen, schließt aber eine der praktischen Lücken, die Angreifer oft ausnutzen.

Administrator-Kontrolle und Sicherheitssignale zur Unterstützung von Untersuchungen

Proton Pass trägt durch Berichte, Protokolle und Aktivitätsinformationen auch zu einer nützlichen Sichtbarkeit für Administratoren und die Sicherheit bei. Dies hilft Organisationen dabei, Aktivitäten im Zusammenhang mit Anmeldedaten zu überprüfen, interne Untersuchungen zu unterstützen und relevante Signale bei Bedarf in umfassendere Sicherheits-Workflows einzuspeisen.

Wie Proton Sentinel Proton Pass for Business ergänzt

Proton Sentinel ist ein fortschrittliches Kontoschutzprogramm, das in berechtigten Proton-Abonnements verfügbar ist. Es schafft eine stärkere Schutzschicht für Proton-Konten selbst, einschließlich strengerer Abfragen bei verdächtigen Anmeldeversuchen, größerer Sichtbarkeit von Anmeldungen und Kontoänderungen sowie einer 24/7-Eskalation verdächtiger Termine an Sicherheitsanalysten.

Das macht es relevant für den Schutz des Zugreifens auf das Proton-Konto und damit auch für die sensiblen Daten, die in Proton-Diensten gespeichert sind. Es sollte jedoch nicht so dargestellt werden, als ob es verdächtige Anmeldungen im gesamten SaaS-Stack eines Unternehmens erkennt.

Proton Pass for Business hilft, das Risiko von Kontoübernahmen zu verringern, indem es die Passworthygiene verbessert, die Nutzung von MFA erleichtert, exponierte oder schwache Anmeldedaten früher erkennt und Teams eine bessere Kontrolle darüber gibt, wie Anmeldedaten in der Organisation verwaltet werden. Proton Pass for Business stärkt die Praktiken für Anmeldedaten, die Angreifer am häufigsten ausnutzen, während Proton Sentinel eine zusätzliche Schutzschicht für das Proton-Konto selbst hinzufügen kann.

Bereit loszulegen? Schütze deine Geschäftskonten vor Übernahmen mit Proton Pass – probiere es kostenlos aus oder sprich mit unserem Vertriebsteam.