Account Takeover (ATO)

Account Takeover (ATO) bezeichnet die Übernahme eines legitimen Benutzerkontos durch Angreifer. Dabei geht es nicht nur um gestohlene Passwörter, sondern um den Missbrauch einer digitalen Identität – inklusive Zugriff auf E-Mails, Cloud-Anwendungen, sensible Daten und interne Kommunikation. Gerade in Microsoft-365- und SaaS-Umgebungen ist Account Takeover besonders kritisch, weil ein kompromittiertes Konto schnell zum Ausgangspunkt für Datenabfluss, Phishing aus dem eigenen Mandanten oder laterale Bewegungen wird.

Account Takeover Protection umfasst Maßnahmen zur Erkennung, Untersuchung und Abwehr kompromittierter Konten. Moderne Ansätze beobachten dafür nicht nur Logins, sondern auch Cloud-Aktivitäten, Regeländerungen im Postfach, Standortwechsel, verdächtige Nutzungsmuster und Anzeichen für Datenexfiltration. Das ist wichtig, weil Multi-Faktor-Authentifizierung allein nicht alle Risiken ausschließt. Ziel ist, verdächtige Anmelde-, Sitzungs- und Verhaltensmuster zu erkennen, bevor aus einer Kontokompromittierung ein größerer Sicherheitsvorfall wird. Die Abwehr von Kontoübernahmen ist damit ein Kernanwendungsfall von Identity Security.