logo ntadmins

Account Takeover-Übernahme verhindern

26. Januar 2026
spyware NT Pixa Alan
Quelle: Alan, Pixabay

Die Hauptsaison im Herbst und Winter waren für Online-Händler die geschäftigste Zeit und auch die gefährlichste für sie und ihre Kunden. Während der Webseiten-Traffic sprunghaft ansteigt und Kunden ihre Bestellungen aufgeben, nutzen Cyber-Kriminelle die Ablenkung und das hohe Volumen, um sich unter die Menge zu mischen. Zu dieser Zeit nehmen Angriffe durch Konto-Übernahmen (Account Takeover, ATO) stark zu. Die gespeicherten Zahlungsdaten, Treuepunkte, Wunschlisten und persönlichen Daten der Käufer werden dabei ins Visier genommen.

Die meisten Händler konzentrieren sich darauf, dass ihre Websites schnell sind und ihre Kampagnen reibungslos laufen, aber der jährliche saisonale Druck führt zu Schwachstellen bei der Authentifizierung, den Anmeldeabläufen und den Endpunkten der APIs. Angreifer wissen das und nutzen automatisierte Tools und KI-gesteuerte Bots, um sich ohne großen Widerstand Zugang zu Konten zu verschaffen.

In der Hochsaison dauert es nicht lange, bis eine unbemerkte Welle von Credential Stuffing oder eine Flut verdächtiger Anmeldeversuche zu ungewollten Kontobewegungen und Frustration bei den Kunden führt. Für viele Einzelhändler besteht die Herausforderung daher nicht durch einen Sicherheitsvorfall mit dramatischen Folgen, sondern in dem stillen, anhaltenden Missbrauch von unzähligen Konten, unbemerkt, bis der Schaden bereits angerichtet ist.

ATO-Angriffe nehmen zu

Laut dem Bad Bot Report 2025 von Thales nahmen ATO-Angriffe (ATO steht für Account Take Over) im Jahr 2024 um 40 Prozent und seit 2022 um mehr als 50 Prozent zu. Dieser Anstieg spiegelt die wachsende Angriffsfläche moderner digitaler Unternehmen und die zunehmende Verfügbarkeit gestohlener Anmeldedaten wider.

ATO-Angriffe sind selten Brute-Force-Angriffe im herkömmlichen Sinne. Die meisten basieren auf Automatisierung und Intelligenz. Angreifer verwenden:

  • Credential Stuffing, um gestohlene Benutzernamen und Passwörter zu testen, die aus früheren Datenverletzungen stammen;
  • Credential Cracking, um mithilfe von KI oder Wörterbuch-basierten „Erratungstechniken“ wahrscheinliche Passwörter vorherzusagen;
  • Brute-Force-Angriffe, um systematisch alle möglichen Kombinationen auszuprobieren, wenn keine vorherigen Anmeldedaten vorhanden sind.

Jede dieser Techniken wird durch Bot-Netzwerke verbessert, die in der Lage sind, legitimen Datenverkehr zu emulieren und Angriffe auf Tausende von IP-Adressen zu verteilen, um eine Erkennung zu vermeiden. Sobald ein Konto kompromittiert ist, können Angreifer gespeicherte Zahlungsdaten ändern, Treuepunkte einlösen, personenbezogene Daten exfiltrieren oder über Single-Sign-On-Integrationen in verbundene Systeme eindringen. Die Behebung wird kostspielig, komplex und findet oft zu spät statt, um das Opfer vollständig zu schützen.

Die Kosten einer Kompromittierung

Eine erfolgreiche Kontoübernahme kann nicht nur ein Sicherheitsvorfall sein, sondern löst im Zweifel sogar eine Unternehmenskrise aus. Die Folgen wirken sich auf finanzielle, regulatorische und reputationsbezogene Aspekte aus. Dazu gehören

  • finanzielle Verluste durch Betrug, Rückbuchungen und gestohlene Assets;
  • Betriebsstörungen, da Sicherheits- und Kundensupport-Teams Sperrungen und Rollbacks verwalten müssen;
  • regulatorische Risiken aufgrund von Datenschutzgesetzen wie DSGVO, CCPA und PCI DSS;
  • Rechtskosten und Schadensersatzansprüche von betroffenen Kunden oder Partnern;
  • Reputationsschäden, die zu Vertrauensverlust und im schlimmsten Fall zur Kundenabwanderung führt.

Regulierungsbehörden betrachten einen unzureichenden Schutz von Benutzerdaten als vermeidbaren Fehler und kreiden diesen den Unternehmen an. Die regulatorischen Risiken sind also nicht zu unterschätzen.

Angreifer durch KI im Vorteil

Künstliche Intelligenz verstärkt sowohl den Umfang als auch die Raffinesse von ATO-Kampagnen. Während Brute-Force-Angriffe früher ausschließlich auf Masse setzten, bringt KI adaptives Lernen und Verhaltensimitation mit sich. Moderne Credential-Stuffing-Bots simulieren nun die Webseiten-Navigation und tarnen sich mit menschlichem Nutzerverhalten.

Ein Beispiel dafür sind künstliche Pausen oder gespiegelte Tippmuster, um Verhaltenserkennungssysteme zu umgehen. Maschinelle Lernmodelle, die mit gestohlenen Daten trainiert wurden, können anhand der Sprache, der Demografie und früherer Passwortzurücksetzungen wahrscheinliche Passwortsequenzen vorhersagen.

Diese Fähigkeit macht traditionelle Abwehrmaßnahmen eher zu Geschwindigkeitsbegrenzungen als zu Barrieren. Das Ergebnis sind schnellere, schwerer zu erkennende Angriffe, die intelligente, kontextbezogene Gegenmaßnahmen erfordern.

Wachsende Angriffsfläche von APIs

Im Zuge der Modernisierung von Anwendungen in Unternehmen sind APIs sowohl unverzichtbar als auch anfällig geworden. Sie verbinden Dienste, mobile Clients und Integrationen von Drittanbietern und stellen mittlerweile einen wichtigen Kanal für den Identitäts- und Datenzugriff dar. Laut den Telemetriedaten von Thales waren rund 12 Prozent aller API-Angriffe aus 2024 ATOs.

Viele dieser Angriffe sind von geringem Umfang, aber hohem Wert und darauf ausgelegt, einer Entdeckung zu entgehen. Angreifer sammeln in kleinen Schritten sensible Informationen wie Benutzerkennungen, Treueguthaben und Zahlungstokens und nutzen diese Daten später für groß angelegten Betrug oder Identitätsdiebstahl.

Während der Shopping-Saison nutzen Angreifer die Tatsache aus, dass Einzelhandelssysteme unter größerem Druck stehen und weitaus mehr automatisierten Datenverkehr als üblich verarbeiten. Bots sind so konzipiert, dass sie sich nahtlos in diese Aktivität einfügen. Sie imitieren echte Kunden, indem sie legitime Browser, realistische Header und korrekt formatierte API-Aufrufe verwenden, wodurch sie von echten Käufern kaum zu unterscheiden sind.

Anstatt offensichtliche Spitzen bei hohen Volumina auszulösen, testen Angreifer gestohlene Anmeldedaten still und leise über Login-APIs, untersuchen Authentifizierungsabläufe und ermitteln, welche Konten gültig sind. Sie verwenden Tokens wieder, nutzen schwache Session-Handling-Prozesse aus und starten Credential-Stuffing-Kampagnen in einem Tempo, das sich nahtlos in den Spitzenverkehr einfügt. Da die Anfragen strukturell korrekt aussehen, umgehen sie häufig die volumetrische Erkennung und schlüpfen an grundlegenden Ratenbeschränkungen vorbei.

Sobald sie sich Zugang zu einem Konto verschafft haben, extrahieren automatisierte Skripte Treueguthaben, ändern Lieferadressen, modifizieren gespeicherte Zahlungsmethoden oder nutzen Single Sign-On, um Zugang zu weiteren Diensten zu erhalten. Für viele Einzelhändler sind diese subtilen API-gesteuerten Angriffe mittlerweile die am schnellsten wachsende Quelle für kompromittierte Zugangsdaten, wobei sie im Dezember ihr höchstes Risiko erreichen.

Die folgenden Sicherheitstipps helfen Händlern ihre Kunden besser vor ATO zu schützen:

  • Verbesserte Transparenz beim Login-Prozess; in Spitzenzeiten des Einkaufsvolumens steigt die Anzahl der Logins sprunghaft an, und Angreifer nutzen diese Unruhe, um sich zu verstecken. Login-Versuche und ungewöhnliches Sitzungsverhalten, Gerätewechsel und wiederholte Fehlversuche sollten überwacht werden, damit verdächtige Aktivitäten frühzeitig erkannt werden können.
  • Stärkung der Authentifizierung ohne Beeinträchtigung echter Kunden; Käufer erwarten schnelle Checkout-Prozesse, insbesondere während Verkaufsaktionen. Mit intelligenteren Authentifizierungsmaßnahmen, die auf Risikosignale wie neue Geräte oder plötzliche Anstiege bei den Login-Versuchen reagieren, kann die Authentifizierung gestärkt werden, ohne dass echte Kunden dadurch beeinträchtigt werden.
  • Schutz hochwertiger Seiten wie Login und Checkout; diese sind die Punkte, die während der Weihnachtszeit am stärksten angegriffen werden. Account-Takeover-Angriffe beginnen oft auf der Login-Seite und eskalieren beim Checkout. Diese Abläufe müssen besonders streng überwacht und geschützt werden, um ungewöhnliches Verhalten zu erkennen, und zwar bevor Konten kompromittiert werden.
  • Absicherung aller APIs, die mit Kundenkonten und Bestellungen in Verbindung stehen; Einzelhändler verlassen sich auf APIs für Login, Checkout, Treueprogramme, Bestellhistorie und Kontoverwaltung. Diese Endpunkte verzeichnen im November und Dezember einen enormen Anstieg des Datenverkehrs, was sie zu bevorzugten Zielen für automatisierten Missbrauch macht. Diese Endpunkte sollten umfassend überwacht und gesichert werden.
  • Einsatz fortschrittlicher Bot-Schutzmaßnahmen; fortschrittliche Bot-Schutzmaßnahmen identifizieren und blockieren automatisierte Anmeldedaten-Tests, skriptgesteuerte Anmeldeversuche und Account-Probing in Echtzeit, ohne echte Käufer zu behindern.

ATO ist keiner neuer Trend, sondern eine bewährte Angriffstaktik von Cyber-Kriminellen. Cyber-Betrug trifft dabei Händler wie deren Kunden. Bei betroffenen Kunden führt es dazu, dass sich Verbraucher genau überlegen, wo sie einen Account anlegen und welche Daten, vor allem Bankdaten, sie dort hinterlegen.

Convenience wird durch Cybercrime massiv gestört und gefährdet das Online-Vertrauen. Wenn Einzelhändler jedoch ATO verhindern und den Missbrauch reduzieren können, steigt auch das Verbrauchervertrauen.

Julian Iavarone ist Senior Sales Engineer für die DACH-Region bei Thales.

Thales Group

Lesen Sie auch

hacker NT$ PIxa PeteLinforth

Pläne der Cyber-Kriminellen für 2026

internet NT Pixa geralt

KI verändert die Spielregeln bei Cybersecurity und IT-Verwaltung

credit card NT Pixa Kris

Diebstahl von Zugangsdaten vermeiden