Barracuda full logo

Stärkere und intelligentere Erkennung von Account Takeover: Reduzieren Sie das Risiko und die Reaktionszeit

Themen:
4. Juni. 2025
|
Olesia Klevchuk

Account Takeover-Angriffe (ATO) bleiben eine der schädlichsten und am schwersten zu erkennenden Bedrohungen. Sobald ein böswilliger Akteur die Kontrolle über das Konto eines legitimen Nutzers erlangt hat, kann er Phishing-Kampagnen starten, sich innerhalb einer Organisation lateral bewegen oder sensible Daten exfiltrieren. All dies geschieht, während er sowohl für den Nutzer als auch für die Sicherheitssysteme völlig vertrauenswürdig erscheint.

Deshalb investieren wir bei Barracuda weiterhin in die Verbesserung der Erkennung und Reaktion auf Account Takeover (ATO), was unsere Fähigkeit verbessert, diese Angriffe schneller und präziser als je zuvor zu erkennen und zu stoppen.

Was ist Account Takeover, und warum ist das wichtig?

ATO tritt auf, wenn ein Bedrohungsakteur unbefugten Zugriff auf das E-Mail-Konto eines Nutzers erlangt. Diese Angriffe bleiben oft unentdeckt, bis bereits erheblicher Schaden angerichtet wurde. Sobald sie eingedrungen sind, können Angreifer:

  • sich als Mitarbeiter ausgeben, um Phishing-E-Mails intern oder an externe Kontakte zu senden
  • Erstellen Sie Posteingangsregeln, um ihre Aktivitäten zu verbergen und eine Entdeckung zu vermeiden
  • Daten oder Zugangsdaten anderer Nutzer stehlen
  • Finanztransaktionen manipulieren und Gespräche hijacken

Die Auswirkungen können gravierend sein: Rufschädigung, regulatorische Konsequenzen und finanzielle Verluste. Deshalb ist die frühzeitige Erkennung und Eindämmung von ATO entscheidend.

Wie kann ATO erkannt werden?

Effektive Sicherheitslösungen, die ATO erkennen, basieren auf einer Kombination aus Verhaltens- und Kontextsignalen. Zum Beispiel:

  • Anomalien bei der Anmeldung: Plötzliche Anmeldungen von geografisch weit entfernten Standorten (z. B. von New York nach Nigeria innerhalb von Minuten) sind oft Anzeichen für eine Kompromittierung. Unsere Lösung kennzeichnet diese als „Impossible travel“ (unmögliches Reisen).
  • Überwachung der Posteingangsregeln: Angreifer erstellen häufig Postfachregeln, um Nachrichten automatisch weiterzuleiten oder zu löschen. Wir überwachen verdächtige Änderungen an Mailbox-Regeln, die auf Umgehungstaktiken hindeuten könnten.
  • Überwachung eingehender und ausgehender E-Mails: Hacker verschaffen sich Zugang zu E-Mail-Konten durch Phishing-Angriffe, die darauf abzielen, Zugangsdaten zu stehlen. Ein Anstieg der ausgehenden E-Mails kann darauf hindeuten, dass ein kompromittiertes Konto zum Verbreiten von Phishing oder Spam verwendet wird.

Neue Verbesserungen bei der Barracuda ATO-Erkennung

  • Um den sich entwickelnden Bedrohungen immer einen Schritt voraus zu sein, haben wir unsere ATO-Erkennung und -Reaktion kontinuierlich weiterentwickelt und verbessert:
  • Analyse der ausgehenden E-Mail-Aktivität: Wir analysieren nun ausgehende E-Mail-Muster als zentrales Signal zur Erkennung von ATO. Wenn ein kompromittiertes Konto beginnt, große Mengen an E-Mails extern zu versenden, insbesondere Phishing- oder Spam-E-Mails, kennzeichnen wir das Verhalten in Echtzeit und benachrichtigen die Administratoren umgehend. Dies hilft uns, kompromittierte Konten nicht nur anhand der Anmeldeaktivitäten zu identifizieren, sondern auch anhand dessen, was der Angreifer tut, nachdem er Zugang erhalten hat.
  • Intelligentere Erkennung unmöglicher Reisen: Neueste Updates sind effektiver darin, VPNs und Proxy-Nutzung zu berücksichtigen, wodurch Fehlalarme herausgefiltert und die Genauigkeit der Warnungen zu unmöglichen Reisen verbessert wird. Durch die Eliminierung harmloser Aktivitäten können wir die Erkennung auf wirklich verdächtiges Anmeldeverhalten konzentrieren. Alle Erkennungen von unmöglichen Reisen erfolgen in Echtzeit, wobei Administratoren sofortige Warnungen bei verdächtigen Anmeldeaktivitäten erhalten, was das Reaktionsfenster erheblich verkürzt. Dieses Upgrade reagiert direkt auf das Feedback von Kunden und Partnern und reduziert die Meldezeit für anmeldebezogene ATO-Ereignisse erheblich.
  • Erweiterter ATO-Schutz für XDR: Für eine noch umfassendere Abdeckung kann Account Takeover Protection mit XDR Cloud Security integriert werden, um Bedrohungen im gesamten Microsoft 365-Ökosystem – Outlook, Teams, SharePoint und OneDrive – zu erkennen und darauf zu reagieren, indem Angreifer aus dem Konto ausgesperrt werden. Diese erweiterte Sichtbarkeit ermöglicht es uns, Indikatoren für eine Kompromittierung zu erkennen, wie Brute-Force-Angriffe, bösartige Dateiuploads, massenhafte Dateilöschungen und anomales Anmeldeverhalten über mehrere Anwendungen hinweg. Aber es endet nicht bei Microsoft: XDR unterstützt auch Integrationen mit anderen wichtigen Cloud-Diensten wie Google Workspace, Okta, Duo, AWS und Azure. Wenn ATO erkannt wird, kann XDR kompromittierte Konten automatisch abmelden und deaktivieren, eine automatisierte Problembehebung auslösen und sogar an unser SOC-Team weiterleiten, um rund um die Uhr Expertensupport zu erhalten und als Erweiterung Ihres eigenen Security-Teams zu fungieren.

Die Auswirkungen: Schnellere Erkennung, weniger Fehlalarme

Diese Verbesserungen zeigen bereits deutliche Ergebnisse:

  • 21 % Anstieg der ATO-Erkennungsraten
  • 13 % Reduzierung von Falschmeldungen

Dank einer breiteren Palette von Echtzeitsignalen sind wir jetzt in der Lage, genauere Ergebnisse zu liefern. Dies bedeutet besseren Schutz, ohne die Security-Teams mit unnötigen Alarmen zu überfordern.

Was steht als Nächstes an?

Unser Ziel ist einfach: Unternehmen die Geschwindigkeit, Transparenz und Kontrolle zu geben, die sie benötigen, um ATOs zu stoppen, bevor sie Schaden anrichten.

Aber warten Sie nicht, bis es zu spät ist. Wenn Sie diese und andere Funktionen von Barracuda Email Protection kennenlernen möchten, starten Sie noch heute Ihre Testversion

Olesia Klevchuk

Olesia Klevchuk ist Director für Produktmarketing und E-Mail Protection bei Barracuda Networks. In ihrer Rolle konzentriert sie sich darauf, zu definieren, wie Unternehmen sich vor ausgeklügelten E-Mail-Bedrohungen, Spear Phishing und Account Takeover schützen können. Vor Barracuda arbeitete Olesia bereits in den Bereichen E-Mail-Sicherheit, Brand Protection und IT-Forschung.

Vernetzen Sie sich auf LinkedIn mit Olesia.

Verwandte Beiträge:
Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
 Zurück zur Schule, zurück zu Betrug
Zurück zur Schule, zurück zu Betrug
 Threat Spotlight: Geteilte und verschachtelte QR-Codes befeuern eine neue Generation von „Quishing“-Angriffen
Threat Spotlight: Geteilte und verschachtelte QR-Codes befeuern eine neue Generation von „Quishing“-Angriffen
 Tredion verwendet Barracuda Managed XDR, um niederländischen Schulgruppen bei der Eindämmung von Cyber-Bedrohungen zu helfen
Tredion verwendet Barracuda Managed XDR, um niederländischen Schulgruppen bei der Eindämmung von Cyber-Bedrohungen zu helfen
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.