2025 ging jeden zweiten Monat ein Fall eines gehackten Accounts bei uns ein. 2026 sind es bereits einer pro Monat. Wir sehen in der Praxis regelmässig, wie Angreifer selbst Konten mit Multi-Faktor-Authentifizierung (MFA) erfolgreich übernehmen. Für Unternehmen ist das heikel, weil ein kompromittierter Account ein Einfallstor für Datenabfluss, interne Täuschung oder gar Ransomware-Angriffe ist. In diesem Blog gebe ich einen 360°-Blick auf das Thema und zeige, wie wir im Security Operations Center damit umgehen.
Ein Account Take Over bedeutet, dass ein Angreifer die Kontrolle über ein Benutzerkonto übernimmt und sich darin wie der legitime Benutzer bewegt. Für Cyberkriminelle ist das wertvoll, weil sie damit auf E-Mails, Dateien, Identitäten und oft auch auf weitere Systeme zugreifen können.
Wir sehen solche Vorfälle bei Kunden aller Grössenordnungen, von kleineren Betrieben mit rund 10 Mitarbeitenden bis hin zu deutlich grösseren Organisationen.
Der Trend ist deutlich: Das Thema nimmt zu. Im Jahr 2025 trat ein solcher Fall bei uns rechnerisch etwa jeden zweiten Monat auf. Im ersten Quartal 2026 hatten wir bereits drei Fälle; also einen pro Monat.
In vielen KMU ist immer noch die Annahme verbreitet, man sei nicht interessant oder gross genug für Cyberkriminelle. Genau diese Denkweise ist riskant. Unser CEO Erich Steiner schildert in einem eigenen Blogbeitrag ein solches Gespräch mit einem Unternehmer sehr anschaulich: jemand, der sich für kein attraktives Ziel hält und gerade dadurch ein gefährliches Risiko eingeht.
Viele Verantwortliche gehen davon aus, dass MFA das Risiko beseitigt. Die Sicherheit wird durch MFA stark erhöht, darum sollte es eine Standardmassnahme in jeder IT sein. Aber moderne Angriffe zielen nicht mehr nur auf das Passwort, sondern auf die aktive Sitzung.
In diesem konkreten Beispiel geht es um das Stehlen eines Microsoft-Logins, obwohl die Anmeldung für den Benutzer zunächst wie ein ganz normaler und legitimer Microsoft-Anmeldeprozess aussieht.
Der Fachbegriff heisst: «Adversery-in-the-Middle-Attack». Das Ziel dieser Attacke ist es, den Session-Token zu stehlen. Der Session-Token ist wie das Bändeli am Handgelenk am Musikfestival. Man bekommt das Bändli am Ende des Kontrollprozesses für den Eintritt ausgehändigt. Wer das Bändeli hat, darf rein.
Eine Adversery-in-the-middle-Attacke läuft typischerweise in 8 Schritten ab:
Der entscheidende Punkt ist also nicht, dass MFA «gebrochen» wird. Sie wird mitbenutzt. Der Benutzer legitimiert die Anmeldung selbst, und der Angreifer greift danach die gültige Sitzung ab wie jemand, der sich heimlich das Festival-Bändeli vom Handgelenk zieht, nachdem der Einlass bereits erfolgt ist.
Sobald der Täter im Konto ist, setzt er häufig Persistenz-Massnahmen um, um den Zugang zu sichern. Dazu gehören zum Beispiel:
Damit wird aus einem kurzen Eindringen rasch ein dauerhafter Zugriff.
Das hier ist ein echter Fall, der in einem Kundenuntenehmen vorgefallen ist.
Es begann mit einer Mail, die auf den ersten Blick harmlos wirkte. Der Inhalt war vertraut: «Eine Datei wurde mit Ihnen geteilt.»
Besonders perfide war in diesem Fall: Die Nachricht kam von einem bekannten und vertrauenswürdigen Account. Dieser Account war allerdings bereits kompromittiert worden und wurde nun dazu missbraucht, weitere Benutzer zu täuschen. Genau das macht solche Angriffe so wirksam. Die Mail wirkt nicht wie ein Fremdkörper, sondern wie ein normaler Teil der täglichen Zusammenarbeit.
Der Link führte auf eine gefälschte Microsoft-Login-Seite. Der betroffene Benutzer meldete sich an, bestätigte die MFA-Anfrage, und im Hintergrund wurde das Session-Token abgegriffen.
Kurz danach registrierten die Angreifer ein iPhone aus Florida im Account. Dieser Schritt machte den Fall für uns sofort auffällig.
Die anschliessende Rücksprache mit dem betroffenen Benutzer zeigte rasch: Diese Registrierung war nicht legitim. Wir haben den Account sofort zurückgeholt, es ist kein Schaden entstanden.
Anders war es im nächsten Beispiel:
In diesem Fall können wir nicht nachvollziehen, wie und wo genau die Cyberkriminellen das Benutzerkonto übernommen haben.
Der fremdgesteuerte Account hat sich in eine laufende E-Mail-Konversation eingeklinkt und mitgeteilt, dass die Bankverbindung geändert habe.
Alles schien normal. Unterhalb dieser E-Mail befanden sich, wie in Outlook üblich, die bisherigen Nachrichten und in der E-Mail wurde korrekt auf das Projekt und die betroffenen Angebote verwiesen. Der Kunde tätigte die Überweisung an die neue Bank und dachte sich nichts weiter dabei. Die betroffene Firma hat diese Zahlung nie erhalten und irgendwann eine erste und dann eine zweite Mahnung verschickt. Es dauerte einige Wochen, bis beide Parteien herausfanden, dass sich die Bankverbindung mitten in der normalen Kommunikation geändert hatte.
Genau das ist in der Praxis das Schwierige: Ein Account Take Over sieht am Anfang oft erstaunlich unauffällig aus. Die Anmeldung wirkt legitim, die MFA wurde korrekt bestätigt, und aus Sicht des Systems scheint zunächst alles sauber zu sein.
Deshalb haben wir als Teil unserer Security Operations Center Services spezialisierte Erkennungsregeln aufgebaut, die auf genau solche typischen Indizien sofort anspringen. In vielen Fällen fallen kompromittierte Konten nämlich nicht primär durch den ersten Login auf, sondern durch die Spuren, die der Angreifer kurz danach hinterlässt.
Typische Indizien sind:
Besonders wichtig ist die Kombination einzelner Signale. Eine Anmeldung aus einem neuen Land kann im Ausnahmefall legitim sein. Wenn kurz danach aber noch ein neues Gerät registriert wird, kippt das Bild. Dann sprechen wir nicht mehr von einer Kuriosität, sondern von einem klaren Warnsignal.
Wenn ein Account kompromittiert wurde, sollte nicht viel Zeit verstreichen. Dann geht es nicht um langes Analysieren, sondern zuerst um Schadensbegrenzung.
In der Regel gehen wir in fünf Schritten vor:
Zuerst wird das Passwort des betroffenen Accounts geändert, damit der direkte Zugang unterbrochen wird.
Danach melden wir den Account von allen Sessions ab und entziehen alle bestehenden Sitzungstokens. Das ist zentral, weil genau diese gültigen Sitzungen dem Angreifer oft den Zugang ermöglichen.
Anschliessend setzen wir die MFA-Konfiguration zurück und erzwingen eine Neueinrichtung durch den legitimen Benutzer.
Danach beginnt die forensische Aufarbeitung. Im Unified Audit Log prüfen wir genau, was der Account während der kompromittierten Phase gemacht hat: Anmeldungen, Dateizugriffe, Freigaben, Regeländerungen, App-Registrierungen und weitere Spuren.
Zum Schluss entfernen wir alles, was der Angreifer eingerichtet hat: registrierte Geräte, zusätzliche MFA-Methoden, verdächtige Apps, Weiterleitungsregeln in Outlook oder andere Hinterlassenschaften.
Vollständige Sicherheit gibt es nicht. Aber es gibt Massnahmen, die das Risiko deutlich senken und die Erkennung massiv verbessern.
Wichtig sind vor allem diese Punkte:
Wer vermutet, einen Phishing-Link angeklickt und sich auf einer verdächtigen Seite angemeldet zu haben, sollte sich sofort bei der internen IT oder beim externen IT-Dienstleister melden.
Wichtig ist: Schämen Sie sich nicht. Solche Angriffe sind heute oft gut gemacht. Insbesondere in Fällen wie im obigen Beispiel, wo bereits die Phishing-Mail von einem vermeintlich legitimen internen Account versendet wurde.
Account Take Overs via Adversary-in-the-middle sind deshalb so gefährlich, weil sie das Sicherheitsdenken vieler Unternehmen unterlaufen. Das Passwort allein ist nicht mehr das Hauptziel. Der eigentliche Preis ist die gültige Sitzung.
Gerade für KMU ist das Thema relevant, weil die Angriffe skalierbar, glaubwürdig und im Alltag schwer erkennbar sind. Wer sich allein auf MFA verlässt, wiegt sich schnell in falscher Sicherheit.
Unser Appell: Prüfen Sie, ob Ihre Schutzmechanismen nicht nur den Login absichern, sondern auch die Sitzung, die Nachvollziehbarkeit und die Reaktionsfähigkeit im Ernstfall. Denn ein kompromittierter Account kann rasch zu grossen und sehr teuren Problemen führen, die ein Unternehmen im schlimmsten Fall die Existenz kosten können.