Zum Inhalt springen
cyber-security.eu
DEEN

Account Compromise

Ein kompromittierter Account ist heute eine der häufigsten Vorfallsformen. Diese Seite erklärt typische Ursachen, frühe Anzeichen und sinnvolle Erstmaßnahmen.

Für wen ist diese Seite relevant?

IT-Administratoren, Helpdesk, SOC-Analysten, Incident-Verantwortliche und Mitarbeitende, die einen Verdacht ernst nehmen.

Was bedeutet Account Compromise?

Account Compromise bedeutet, dass ein fremder Zugriff auf ein Konto erlangt wurde - meist durch Phishing, schwache Passwörter, fehlende MFA oder gestohlene Tokens.

Typische Ursachen

Phishing mit erbeutetem Passwort.

Schwache oder mehrfach genutzte Passwörter.

Token-Diebstahl nach erfolgreichem Login, bei dem MFA nicht mehr greift.

Fehlende oder schwache MFA.

Schadsoftware auf dem Endgerät.

Anzeichen

Ungewöhnliche Logins aus untypischen Ländern, Geräten oder zu untypischen Zeiten.

Neue Mailregeln, insbesondere Weiterleitungen oder Markieren als gelesen.

Neu registrierte Geräte oder MFA-Methoden.

Ungewöhnliche Mailaktivität, etwa Massenmails oder Antworten in alten Threads.

Unerwartete Zustimmungen zu Drittanwendungen (Consent Phishing).

Erstmaßnahmen

Sitzungen widerrufen, damit gestohlene Tokens ungültig werden.

Passwort ändern und MFA-Methoden überprüfen.

Mailregeln und delegierte Zugriffe kontrollieren.

Logs prüfen, idealerweise im SIEM oder in den Audit-Logs.

Drittanwendungen prüfen und nicht benötigte Berechtigungen entziehen.

Eskalation an Incident Response, wenn Hinweise auf weitere Aktivität bestehen.

Checkliste

  • Sitzungen widerrufen
  • Passwort ändern, MFA-Methoden prüfen
  • Mailregeln und Delegationen kontrollieren
  • Audit-Logs auf ungewöhnliche Logins prüfen
  • App-Berechtigungen prüfen
  • Endgerät bewerten und ggf. isolieren
  • Bei Hinweisen auf weitere Kompromittierung eskalieren

Häufige Fragen

+Hilft Passwort-Reset allein?

Nein. Ohne Widerruf bestehender Sitzungen können gestohlene Tokens weiter funktionieren.

+Wann ist Incident Response gefragt?

Sobald Hinweise auf mehr als einen einzelnen Account, Datenabfluss oder weitergehende Aktivität bestehen, siehe [Incident Response](/de/incident-response).

Verwandte Themen

Multi-Faktor-Authentifizierung

MFA reduziert das Risiko kompromittierter Konten deutlich. Diese Seite erklärt verständlich, welche Verfahren wirklich tragen, wo Schwächen liegen und wie eine Einführung in der Praxis sinnvoll priorisiert wird.

Identity Security

Identitäten sind heute ein zentrales Angriffsziel. Wer Konten, Rollen und Berechtigungen sauber im Griff hat, reduziert das Risiko vieler Vorfälle deutlich.

Microsoft 365 Security

Microsoft 365 ist für viele Organisationen das zentrale Arbeits- und Identitätsökosystem. Diese Seite ordnet die wichtigsten Sicherheitsbausteine ein, ohne Schritt-für-Schritt-Admin-Anleitungen.

Phishing

Phishing ist nach wie vor einer der häufigsten Einstiegswege. Moderne Angriffe wirken professionell, nutzen vertraute Marken und passen sich an. Technische Filter, Awareness und ein einfacher Meldeweg gehören zusammen.

Business Email Compromise

Business Email Compromise zielt auf Geld- oder Datenflüsse über manipulierte Geschäftsmails - oft mit kompromittierten Postfächern oder täuschend echter Korrespondenz. Diese Seite ordnet Szenarien und Maßnahmen ein.

Incident Response

Ein Sicherheitsvorfall verlangt einen klaren Prozess, geübte Rollen und vorbereitete Kommunikation. Wer im Ernstfall improvisiert, verliert Zeit und macht Fehler. Diese Seite zeigt die Phasen, Verantwortlichkeiten und typischen Stolpersteine.