Wir haben MFA und einen IdP. Warum brauchen wir trotzdem ATO-Schutz?

MFA stoppt Credential Stuffing; es stoppt nicht das Kapern von Sitzungen über AiTM-Proxys. Sobald der Angreifer über eine gültige Sitzung verfügt, kann Ihr IdP ihn nicht vom Benutzer unterscheiden. Abnormal setzt eine Ebene tiefer an – beim Verhalten – und erkennt die Abweichung, wenn die legitime Sitzung von der falschen Person verwendet wird.

Wie erkennt Abnormal eine Übernahme, ohne die Anmeldung zu sehen?

Abnormal erfasst Authentifizierungssignale über API (M365, Google Workspace, Okta, Entra) sowie Postfachverhalten, E-Mail-Regeln und anwendungsübergreifende Aktivitäten. Das Signal ist die Abweichung: ungewöhnliche ASN, neues Gerät, untypische Zeiten, plötzliche E-Mail-Regeln, erstmaliger Zugriff auf sensible Ordner – gemeinsam gegen die Verhaltensbaseline der Identität bewertet.

Wie schnell erfolgt die Behebung?

Unter sechs Sekunden von der Erkennung bis zur Eindämmung. Abnormal deaktiviert die Sitzung, beendet automatische Weiterleitungsregeln, entfernt Phishing-E-Mails, die vom kompromittierten Konto gesendet wurden, und benachrichtigt das SOC – alles autonom. Keine Analystenaktion erforderlich.

Deckt dies SaaS Account Takeover ab, nicht nur E-Mail?

Ja. Abnormal SaaS Account Takeover Protection erweitert dasselbe Verhaltensmodell auf Slack, Zoom und andere Cloud-Apps. Eine kompromittierte M365-Sitzung, die zu Slack wechselt, wird als anwendungsübergreifende laterale Bewegung erkannt, nicht als zwei unabhängige SSO-Ereignisse.

Wie hoch ist die Falsch-Positiv-Rate bei Kontosperrungen?

Nahezu null. Identitätsspezifische Verhaltensbaselines unterscheiden Reisen und Remote-Arbeit von Kompromittierung – ein häufig Reisender, der sich aus einem neuen Land anmeldet, ist für ihn nicht anomal. Wenn Falsch-Positive auftreten, ist die Wiederherstellung des Zugriffs eine Ein-Klick-Aktion und die Plattform lernt aus der Korrektur.

Account Takeover verhindern

Der Angreifer ist als Ihr Mitarbeiter angemeldet.

Sobald Angreifer über gültige Anmeldedaten verfügen, sieht jedes Tool in Ihrem Stack einen legitimen Benutzer – Abnormal erkennt die Verhaltensabweichung, die den Angriff verrät.

Demo anfordern

Kombinierte Angriffe, die bei ADT über 24 Monate verhindert wurden

ADT-Kundenreferenz

<0 s

Zeit bis zur Sperrung eines kompromittierten Kontos nach Erkennung

Abnormal Platform

0 %+

Reduzierung von Account-Takeover-Angriffen bei TaylorMade

TaylorMade-Kundenreferenz

Produkttour starten

Die Herausforderung

Warum Ihr Identity-Stack eine aktive Übernahme nicht erkennen kann

Gültige Anmeldedaten umgehen MFA

AiTM-Phishing-Kits leiten den gesamten Anmeldevorgang weiter, einschließlich MFA – Ihr IdP sieht eine erfolgreiche Authentifizierung und markiert sie als gültig.

E-Mail-Regeln und Weiterleitungen werden unbemerkt eingerichtet

Angreifer richten innerhalb von Minuten nach der Kompromittierung automatische Weiterleitungsregeln ein, um E-Mails abzuschöpfen, ohne Alarme auszulösen.

Laterales Phishing von innerhalb der Organisation

Kompromittierte Konten versenden Phishing von innen, wo Nachrichten niemals das Gateway passieren und völlig normal aussehen.

Laterale Bewegung in SaaS erfolgt innerhalb von Minuten

Slack, Zoom und SharePoint teilen sich SSO – eine gestohlene Sitzung ermöglicht den Zugriff auf Ihre gesamte SaaS-Umgebung.

Manuelle Behebung erfolgt Stunden nach der Exfiltration

Bis ein SOC-Analyst die Anmeldewarnung korreliert und das Konto deaktiviert, sind die Daten bereits verschwunden.

Echter Vorfall

EinEinAngreiferAngreiferleiteteleiteteeineeineechteechteAnmeldungAnmeldungüberüberEvilProxyEvilProxyweiter,weiter,erfassteerfasstediedieMFA-Sitzung,MFA-Sitzung,richteterichteteeineeineautomatischeautomatischeWeiterleitungsregelWeiterleitungsregeleineinundundexfiltrierteexfiltrierteRechnungsanhängeRechnungsanhänge––jedejedePrüfungPrüfungsagtesagteautorisiert,autorisiert,dasdasVerhaltenVerhaltensagtesagtekompromittiert.kompromittiert.

Basierend auf einem echten Kundenvorfall

Die Lösung

Account Takeover beim ersten Anzeichen von Risiko erkennen

Bewertet Authentifizierungs-, Geräte- und Standortsignale gegen die Verhaltensbaseline jeder Identität, um die Missbrauch gültiger Anmeldedaten zu erkennen – auch nach MFA.
Korreliert Änderungen an Postfachregeln, laterales Phishing und anwendungsübergreifende Aktivitäten, um eine Übernahme in dem Moment aufzudecken, in dem das Verhalten abweicht.
Beendet die gekaperte Sitzung, macht bösartige E-Mail-Regeln rückgängig und entfernt Phishing, das vom Konto gesendet wurde, in unter sechs Sekunden – keine Analystenaktion.

Kernfunktionen

Verhaltensbasierte KI, die Account Takeover stoppt

Erkennen Sie das Verhalten, nicht die Anmeldung

Identitätsspezifische Verhaltensbaselines bewerten Authentifizierung, Postfach und Regeländerungen gemeinsam – und erkennen die Abweichung, wenn gültige Anmeldedaten missbraucht werden.

Anwendungsübergreifende Verhaltenssichtbarkeit

Slack, Zoom und Ihre SaaS-Umgebung teilen sich ein Verhaltensmodell – laterale Bewegung wird erkannt, auch wenn jeder Wechsel wie ein normaler SSO-Vorgang aussieht.

Sperren Sie Angreifer in unter 6 Sekunden aus

Sitzung beendet, E-Mail-Regeln rückgängig gemacht, vom Konto gesendetes Phishing automatisch entfernt, SOC benachrichtigt – alles ohne Analystenaktion.

Plattformübersicht ansehen