Wie erkennt Abnormal Account Takeover, ohne sich auf Anmeldedaten zu verlassen?

Abnormal erstellt für jeden Benutzer eine Verhaltensbaseline, indem Anmeldemuster, Gerätenutzung, Kommunikationsgewohnheiten und Anwendungsaktivitäten analysiert werden. Wenn ein Angreifer gültige Anmeldedaten verwendet, sich aber anders verhält als der echte Benutzer, erkennt Abnormal die Abweichung und kennzeichnet das Konto als kompromittiert.

Wie schnell kann Abnormal auf ein kompromittiertes Konto reagieren?

Sobald die Kompromittierung bestätigt ist, beendet die Plattform automatisch aktive Sitzungen, blockiert weiteren Zugriff und erzwingt eine Passwortzurücksetzung – ohne manuellen Eingriff des SOC.

Mit welchen Plattformen lässt sich Email Account Takeover Protection integrieren?

Abnormal integriert sich über Cloud-native APIs mit Microsoft 365, Google Workspace, Identitätsplattformen wie Okta und Entra ID sowie Sicherheitstools wie CrowdStrike Falcon Identity. Diese Integrationen reichern Verhaltensbaselines mit Authentifizierungssignalen, Gerätekontext und plattformübergreifenden Aktivitäten an.

Entsteht dadurch mehr Arbeit für mein Sicherheitsteam?

Das Gegenteil. Abnormal automatisiert Erkennung, Untersuchung und Behebung kompromittierter Konten. Ihr Team erhält eine vollständige verhaltensbasierte Fallzeitleiste, anstatt Protokolle über Systeme hinweg manuell zu korrelieren.

Was passiert, wenn Abnormal fälschlicherweise ein legitimes Konto kennzeichnet?

Das passiert selten. Die verhaltensbasierte KI von Abnormal erreicht hohe Präzision, indem mehrere Anomaliesignale korreliert werden, bevor eine Kompromittierung bestätigt wird. Wenn ein Fehlalarm auftritt, kann das Konto schnell über das Portal wiederhergestellt werden. Die Plattform ist darauf ausgelegt, übervorsichtig zu sein und einfache Überschreibungen bereitzustellen, anstatt ein kompromittiertes Konto bestehen zu lassen.

Email Security

Verhalten analysieren, um Übernahmen von E-Mail-Konten zu erkennen und einzudämmen

Account Takeover Protection erkennt und behebt kompromittierte Microsoft-365- und Google-Workspace-Konten, indem es für jeden Benutzer die normalen Anmelde-, Geräte- und Verhaltensmuster lernt. Es sperrt Angreifer aus, indem es aktive Sitzungen widerruft und Zurücksetzungen der Anmeldedaten erzwingt.

Demo anfordern

Die Herausforderung

Kompromittierung besteht die Authentifizierung – und ist dann schnell

Kompromittierte Konten sind verbreitet und häufig

Fast 80 % der Fortune-1000-Unternehmen haben mindestens ein kompromittiertes Konto.

Ein gültiger Login verbirgt einen Angreifer

Brute Force, Credential Stuffing sowie Token- oder Sitzungsdiebstahl erzeugen Anmeldungen, die die Authentifizierung bestehen. Für regel- und reputationsbasierte Tools sieht der Angreifer aus wie der echte Benutzer, sodass die Kompromittierung unmarkiert bleibt.

Die Erkennung verzögert sich, die Behebung erfolgt manuell

Bis eine Kompromittierung gefunden wird, haben sich Angreifer oft bereits lateral bewegt, internes Phishing versendet oder Gelder überwiesen. Manuelle Untersuchung und Aussperrung verlängern das Zeitfenster, in dem Schaden entsteht.

Laterales Phishing kommt aus einem vertrauenswürdigen Postfach

Sobald ein Postfach gekapert ist, gehen internes Phishing und der Missbrauch von Mail-Regeln von einem legitimen Konto aus.

Gateways sehen das Identitätsverhalten nach der Zustellung nicht

Die Erkennung von Account Takeover erfordert eine Identitätsanalyse nach der Zustellung: Anmeldegeografie, Geräte, MFA-Ereignisse und Postfachverhalten, die eine Prüfung des Mail-Flusses strukturell nicht erreichen kann.

Warum Abnormal

Wir kennen das Normale – also sehen wir die Übernahme

Abnormal erkennt, wenn ein Postfach beginnt, sich wie ein Angreifer zu verhalten – und wirft es hinaus.

Verhaltensmodelle pro Identität

Abnormal lernt für jeden Benutzer normale Anmeldeorte, Geräte und E-Mail-Verhalten und erkennt Kompromittierungen als Abweichung von dieser Baseline statt anhand einer Regel oder eines bekannten Indikators.

Korrelation von Identitäts- und E-Mail-Signalen

Über API korreliert Abnormal Anmeldesignale aus Microsoft 365 und Google Workspace mit dem Kommunikationsverhalten, einschließlich interner Mails, um Kompromittierungen zu erkennen, die ein einzelnes Signal übersehen würde.

Autonome, nachvollziehbare Aussperrung

Bei einer bestätigten Kompromittierung widerruft Abnormal Sitzungen, blockiert den Zugriff und erzwingt eine Zurücksetzung. Jeder Fall wird durch eine vollständige Verhaltenszeitleiste gestützt, die zeigt, was sich wo und warum geändert hat.

Erfahren Sie, was Abnormal auszeichnet

Entwickelt für das moderne SOC

Autonom erkennen, untersuchen und hinauswerfen

Erkennung von Account Takeover

Erkennt Kompromittierungen durch die Bewertung von Anomalien bei Anmeldeorten, Geräten, IPs, VPNs, E-Mail-Inhalten und Mail-Regeln: erfasst Brute Force, Credential Stuffing, Token-Diebstahl und laterales Phishing.

Echtzeit-Entschärfung

Behebt eine bestätigte Kompromittierung automatisch, indem alle offenen Sitzungen abgemeldet, der Zugriff blockiert und eine Passwortzurücksetzung erzwungen werden – mit der Wahl zwischen automatischer Behebung oder manueller Prüfung.

Verhaltensbasierte Fallzeitleiste

Rekonstruiert die Kompromittierung im Detail und macht verdächtiges Verhalten über E-Mail, Identitätsplattformen, Geräte, Browser und Apps hinweg sichtbar, sodass Analysten ohne Tool-Wechsel zu einem eindeutigen Urteil gelangen.

Erkennung von MFA-Umgehung

Identifiziert sitzungs- und tokenbasierte Angriffe, die MFA aushebeln, und macht Kompromittierungen sichtbar, die authentifizierungsbasierte Kontrollen als legitimen, vollständig authentifizierten Benutzer behandeln.

Automatisierter Threat Hunter

Korreliert wiederkehrende IP-Aktivität und kundenübergreifende Intelligence, um verwandte schwache Signale zu hochsicheren Fällen aufzuwerten – das reduziert Alarmmüdigkeit und erfasst zugleich verdeckte Kampagnen.

Native Integration mit M365 & Google Workspace

Verbindet sich über API mit Microsoft 365 (einschließlich der Anmelde-Telemetrie von Microsoft Entra ID) und Google Workspace, um die Erkennungspräzision zu schärfen – ohne MX-Änderungen oder ein separates Tool zur Bereitstellung und Verwaltung.

Abnormal korreliert Signale, die andere nicht sehen können

Abnormal korreliert ungewöhnliche Anmeldungen, Geräteänderungen, MFA-Ereignisse, Änderungen von E-Mail-Regeln und verdächtiges E-Mail-Verhalten, um kompromittierte Konten zu identifizieren, die jede Authentifizierungsprüfung bestehen. Da es eine Baseline pro Identität aufbaut, statt bekannte Indikatoren abzugleichen, erfasst es Credential Stuffing, Token-Diebstahl und Session-Hijacking, die regelbasierte Tools als legitime Logins behandeln.

Rekonstruiert den Fall im Detail

Jedes kompromittierte Konto erzählt eine Geschichte. Abnormal rekonstruiert sie chronologisch über E-Mail, Identitätsanbieter, Geräte und Anwendungen hinweg, damit Analysten genau verstehen, was passiert ist – wann der Angreifer zuerst auftauchte, worauf er zugriff und wie weit er sich vor der Erkennung bewegte. Kein Tool-Wechsel, kein fehlender Kontext.

Wirft Angreifer hinaus, bevor sie sich weiterbewegen können

Sobald die Kompromittierung bestätigt ist, meldet Abnormal automatisch aktive Sitzungen ab, blockiert den Zugriff und erzwingt Passwortzurücksetzungen. Jede Behebungsmaßnahme wird mit den verhaltensbasierten Belegen protokolliert, die sie ausgelöst haben, sodass Analysten einen vollständigen Audit-Trail ohne manuelle Rekonstruktion erhalten.

Über 25 % der Fortune 500 vertrauen Abnormal AI für
autonome, geschäftskritische Sicherheitsentscheidungen

Kundenstimmen

Was Sicherheitsverantwortliche sagen

“Abnormal's automation gives our analysts time back to work on other projects, and the fact that it's API-based gives us flexibility to tie in other applications and their data.”

John Roeser

Senior Manager, Information Security, Domino's

“Our goals are to get away from being so reliant on human judgment and leverage AI to be proactive. Abnormal helps us with those goals.”

Corey Kaemming

Senior Director, Information Security, Valvoline

Abnormal unterstützt über 4.500 Kunden, darunter mehr als 25 % der Fortune 500.

Kundengeschichten

FAQ

Related Resources

Webinars

The Detection Gap: Why AI-Powered Attacks Are Winning Against Legacy Email Security

Watch this on-demand webinar to learn how AI-powered BEC attacks bypass secure email gateways, and how behavioral AI can detect what legacy tools miss.

White Papers

The Essential Guide to Human Risk Management

Learn why traditional security awareness training fails to reduce real-world risk and how modern human risk management helps organizations measure and reduce risky behavior over time.

Data Sheets

Displace Your Secure Email Gateway

Stop sophisticated email attacks that target your employees using native cloud-based email security plus Abnormal.

Alle Ressourcen anzeigen

Sehen Sie, was Ihre Abwehr umgeht

Erhalten Sie eine personalisierte Demo, die Angriffe auf Ihr Unternehmen zeigt.

Demo anfordern

Identitäts- und KI-Sicherheit

Plattform

Produktressourcen

Support

Empfohlen

Vordenkerrolle

Empfohlen

Unternehmen

Neuigkeiten & Events

Empfohlen

Verhalten analysieren, um Übernahmen von E-Mail-Konten zu erkennen und einzudämmen

Kompromittierung besteht die Authentifizierung – und ist dann schnell

Kompromittierte Konten sind verbreitet und häufig

Ein gültiger Login verbirgt einen Angreifer

Die Erkennung verzögert sich, die Behebung erfolgt manuell

Laterales Phishing kommt aus einem vertrauenswürdigen Postfach

Gateways sehen das Identitätsverhalten nach der Zustellung nicht

Wir kennen das Normale – also sehen wir die Übernahme