Use Cases

Mit Baobab MDR Kontoübernahmen durch Identitätsdiebstahl stoppen

Nora Emig
veröffentlicht am
30.06.2026
x min.
geschätzte Lesezeit
Teile auf
Inhaltsübersicht

Zusammenfassung: Ein Geschäftsführer gibt seine Zugangsdaten versehentlich auf einer gefälschten Anmeldeseite ein. Der Angreifer meldet sich damit aus dem Ausland an, leitet unbemerkt Rechnungs-E-Mails um und bereitet einen Zahlungsbetrug vor. Da die Zugangsdaten echt sind, schlägt die klassische Sicherheitssoftware keinen Alarm– der Baobab MDR Service erkennt trotzdem, dass die Anmeldung unmöglich echt sein kann, und sperrt das Konto, bevor Geld fließt.

Für wen ist dieser Use Case relevant?

Dieses Szenario betrifft Unternehmen, die:

  • ihre geschäftliche Kommunikation und Rechnungsstellung über eine Cloud-Plattform wie Microsoft 365 abwickeln
  • Führungskräfte oder Teams in Home Office oder Remote Work haben, die sich von wechselnden Orten aus anmelden
  • keine eigene Rund-um-die-Uhr-Überwachung ihrer Logins haben und Anforderungen an eine moderne Cyberversicherung erfüllen möchten

Kurz gesagt: Jedes Unternehmen, dessen Zahlungsverkehr und E-Mail-Kommunikation über eine Cloud-Umgebung läuft.

Der Angriff im Überblick

Ein Geschäftsführer fällt im hektischen Tagesgeschäft auf eine gut konzipierte Phishing-Mail herein und gibt seine Zugangsdaten auf einer gefälschten Anmeldeseite ein. Der Angreifer nutzt diese echten Daten, um sich – automatisiert und aus dem Ausland – ganz regulär im Postfach anzumelden. Für die Cloud-Plattform sieht das wie ein normaler, erfolgreicher Login aus.

Direkt danach richtet der Angreifer eine versteckte Weiterleitungsregel ein: Jede E-Mail mit Begriffen wie "Rechnung" oder "Zahlung" wird künftig automatisch an eine externe Adresse gesendet, während Warnhinweise des Systems gelöscht werden. Anschließend liest er vergangene Konversationen mit, um gefälschte Rechnungen oder geänderte Zahlungsziele im Namen der Geschäftsführung an die Buchhaltung zu senden.

Angriffsablauf: Ohne und mit Baobab MDR

Der Angreifer meldet sich mit echten Zugangsdaten an. Baobab MDR erkennt die unmögliche Kombination aus Ort und Zeit.

Angriffsfolgen

  • Finanziell: Laut einer Auswertung der Anti-Phishing Working Group forderten Angreifer bei einem solchen Betrug im Schnitt umgerechnet rund 128,980 Euro pro Vorfall. Bei größeren Unternehmen mit entsprechend hohen Zahlungsvolumina kann der Schaden auch deutlich höher ausfallen – bekannt gewordene Fälle in Deutschland und den USA erreichten laut Fachberichten teils einen zweistelligen Millionenbetrag wie z. B. 40 Millionen Euro bei dem Autozulieferer Leonie in 2016. Da der Angreifer unter einer echten, vertrauenswürdigen Identität handelt, wird der Betrug oft erst Wochen später bemerkt – meist erst, wenn Lieferanten ausbleibende Zahlungen anmahnen.
  • Vertragliche Risiken: Über das mitgelesene Postfach können Dokumente wie Rahmenverträge mit Lieferanten, Preis- und Konditionsvereinbarungen, Bankverbindungen und Zahlungsdaten, Kundenlisten oder auch vertrauliche Unterlagen zu laufenden Verhandlungen (z. B. Unternehmensbeteiligungen oder Ausschreibungen) abfließen.
  • Reputation: Erhalten Geschäftspartner tatsächlich eine gefälschte Zahlungsaufforderung oder geänderte Bankdaten im Namen der Geschäftsführung, beschädigt das die Beziehung nachhaltig – unabhängig davon, ob die Zahlung tatsächlich erfolgt. Hinzu kommen mögliche Folgekosten für forensische Aufarbeitung, rechtliche Beratung und interne Aufarbeitung, sowie im schlimmsten Fall öffentliche Berichterstattung, die das Vertrauen von Kunden und Partnern in die IT-Sicherheit des Unternehmens insgesamt untergräbt.

Ohne Baobab MDR: Warum klassische Sicherheitslösungen hier blind bleiben

Klassische, signaturbasierte Schutzprogramme greifen hier nicht, weil keine Schadsoftware im Spiel ist. Das Einrichten einer E-Mail-Weiterleitung oder das Lesen alter Nachrichten sind ganz normale, erlaubte Funktionen jeder Cloud-Plattform. Ohne eine Prüfung, ob das Anmeldeverhalten überhaupt plausibel ist, bleibt der Angreifer für das System unsichtbar – er meldet sich schließlich mit echten Zugangsdaten an.

Mit Baobab MDR: Wie der Angriff gestoppt wird

Baobab MDR verlässt sich nicht darauf, ob die Zugangsdaten korrekt sind, sondern prüft, ob das Anmeldeverhalten überhaupt plausibel ist – rund um die Uhr, weltweit.

  1. Erkennung: Der Geschäftsführer meldet sich morgens von seinem Büro in Berlin an. Wenige Minuten später erfolgt eine weitere erfolgreiche Anmeldung desselben Kontos – diesmal aus den USA. Da diese Distanz in der kurzen Zeit unmöglich zurückgelegt werden kann, schlägt das System sofort Alarm.
  2. Prüfung: Ein Analystenteam bewertet den Vorfall rund um die Uhr im Gesamtzusammenhang: Auf die unmögliche Anmeldung folgt sekundenschnell die Einrichtung einer E-Mail-Weiterleitung und der massenhafte Zugriff auf alte Rechnungen – ein eindeutiges Muster für eine automatisierte Kontoübernahme
  3. Reaktion: Das betroffene Konto wird sofort gesperrt, alle aktiven Anmeldesitzungen weltweit werden beendet, die schädliche Weiterleitungsregel automatisch gelöscht und der Zugriff für die Angreifer-Adresse blockiert.

Direkter Vergleich

Ohne Baobab MDR Mit Baobab MDR
Prüflogik Prüft nur, ob die Zugangsdaten korrekt sind Prüft, ob das Anmeldeverhalten überhaupt plausibel ist
Erkennung Kein Alarm, da Login mit echten Daten erfolgt Unmögliche Kombination aus Ort und Zeit wird erkannt
Reaktionszeit Betrug fällt oft erst Wochen später auf Reaktion innerhalb weniger Minuten
Ergebnis Rechnungen manipuliert, Zahlung an Angreifer Konto gesperrt, kein finanzieller Schaden

Vorteile von Baobab MDR

  • Schützt auch bei echten Zugangsdaten: Erkennt Angriffe, bei denen sich der Angreifer ganz regulär anmeldet – ein blinder Fleck klassischer Lösungen und selbst reiner Multi-Faktor-Authentifizierung
  • Erkennung in Maschinengeschwindigkeit: Da automatisierte Angriffe innerhalb von Sekunden ablaufen, schützt nur eine ebenso schnelle, automatisierte Reaktion die Cloud-Umgebung zuverlässig
  • Gezielte statt pauschale Reaktion: Nur das betroffene Konto wird gesperrt – der übrige Geschäftsbetrieb läuft ungestört weiter
  • Erhalt der Geschäftsbeziehungen: Da die Weiterleitung entfernt wird, bevor manipulierte Rechnungen verschickt werden, erhalten Kunden und Lieferanten zu keinem Zeitpunkt gefälschte Nachrichten

Schützen Sie Ihre Führungsebene und Ihren Zahlungsverkehr vor unbemerkten Kontoübernahmen. Erfahren Sie im Gespräch mit unseren Experten, wie Baobab MDR Ihre wichtigen Kommunikationskanäle absichert.

FAQ

Was bedeutet es, wenn eine Anmeldung "unmöglich" ist?
Das System vergleicht Ort und Zeitpunkt zweier aufeinanderfolgender Logins desselben Kontos. Meldet sich ein Nutzer morgens in Deutschland an und wenige Minuten später aus den USA, ist diese Strecke in der Zeit physisch nicht zurückzulegen. Das ist ein klares Zeichen für einen automatisierten Angriff mit gestohlenen Zugangsdaten.

Wie verhindert Baobab MDR, dass Dritte unbemerkt E-Mails mitlesen?
Angreifer richten nach einer Kontoübernahme oft versteckte Regeln ein, die E-Mails automatisch an eine externe Adresse weiterleiten. Baobab MDR überwacht Änderungen an Postfach-Einstellungen in Echtzeit – jede neu angelegte Weiterleitungsregel bei sensiblen Konten löst sofort einen Alarm aus und wird im Verdachtsfall gestoppt.

Reicht Multi-Faktor-Authentifizierung (MFA) als Schutz nicht aus?
MFA ist ein wichtiger Basisschutz, kann aber durch moderne Phishing-Methoden umgangen werden, bei denen Angreifer eine bereits bestätigte Anmeldesitzung direkt abgreifen. Baobab MDR setzt genau danach an: Es überwacht das Verhalten des Kontos nach der Anmeldung und stoppt den Angreifer auch dann, wenn die MFA-Hürde bereits überwunden wurde.

Der Blogartikel wurde verfasst von