7 überraschende Wege, wie Hacker auf Ihre Konten zugreifen — und wie Sie sich schützen

Inhalt in Kürze

• Passwort raten ist tot. Moderne Angreifer übernehmen Konten mit gestohlenen Zugangsdaten aus Datenlecks (Credential Stuffing), bombardieren Ihr Smartphone mit Login-Anfragen (MFA-Fatigue) oder stehlen direkt die Session-Cookies im Browser (Session-Hijacking).
• Die 7 überraschenden Wege 2026: Phishing 2.0 (KI-generiert), Credential Stuffing, Password Spraying, SIM-Swap / Port-Out, MFA-Fatigue, Session-Token-Diebstahl, Infostealer-Malware.
• BSI-Lagebericht 2024: 309.000 neue Schadprogramm-Varianten pro Tag, 78 % der deutschen Unternehmen waren 2024 von Cyberangriffen betroffen (Bitkom Wirtschaftsschutz 2024).
• Schutz ist machbar: Passwort-Manager + Authenticator-App (kein SMS) + Security-Awareness-Training + MFA-Number-Matching deckt 95 % der realistischen Angriffe ab.
• Für Unternehmen in Hamburg: Wir (hagel IT-Services) prüfen Ihre Microsoft-365-Sicherheitslage in einem 15-Minuten-Erstgespräch — inklusive Have-I-Been-Pwned-Check der Firmen-Domain.

Wer glaubt, Hacker raten noch Passwörter oder versenden dilettantische „Ihr Konto wurde gesperrt”-Mails, hat die Realität 2026 verpasst. Die gefährlichsten Angriffe auf Geschäftskonten sind heute automatisiert, KI-unterstützt und technisch raffiniert — und sie treffen genauso den Zehn-Mann-Steuerberater in Hamburg wie den Mittelständler in Bremen. Dieser Artikel erklärt die 7 überraschenden Wege, wie Hacker 2026 Konten übernehmen, wie Sie Angriffe erkennen und was konkret hilft. Schritt für Schritt, Hamburger Tempo, ohne FUD.

Die 7 überraschenden Wege, wie Hacker auf Ihre Konten zugreifen

Diese Liste ist nicht theoretisch. Jeden einzelnen dieser Angriffe haben wir in den letzten 24 Monaten bei Kunden oder in Vorfall-Analysen in Hamburg und Norddeutschland gesehen:

1. KI-Phishing (Phishing 2.0) — Täuschend echte E-Mails, perfektes Deutsch, personalisiert auf Ihre LinkedIn-Historie. Kein schlechter Google-Translate-Text mehr.
2. Credential Stuffing — Automatisiertes Durchprobieren geleakter Passwort-Listen auf hunderten Portalen.
3. Password Spraying — Umgekehrte Variante: Ein schwaches Passwort (z. B. Winter2026!) wird gegen tausende Benutzerkonten getestet. Umgeht Brute-Force-Sperren.
4. SIM-Swap und Port-Out-Betrug — Angreifer übernehmen Ihre Mobilfunknummer und fangen SMS-MFA-Codes ab.
5. MFA-Fatigue (MFA Bombing) — Der Angreifer hat Ihr Passwort und bombardiert Ihr Smartphone mit Push-Login-Anfragen, bis Sie genervt „Bestätigen” drücken.
6. Session-Hijacking / Token-Diebstahl — Infostealer-Malware klaut Cookies direkt aus dem Browser. Der Angreifer loggt sich mit dem Session-Token ein — ohne Passwort, ohne MFA.
7. Infostealer-Malware — Keylogger, Clipboard-Grabber, Browser-Credential-Dumps (z. B. RedLine, Raccoon, Vidar). Verbreitung oft über gecrackte Software, falsche Browser-Updates oder infizierte PDF-Anhänge.

Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Kontoübernahme — aber bitte per Authenticator-App, nicht per SMS. SMS-Codes sind 2026 fahrlässig. Wer auf Hardware-Keys oder TOTP umstellt, macht 95 % der realistischen Angriffe auf sein Microsoft-365-Konto wirkungslos. Kostet nichts außer 20 Minuten pro Mitarbeiter.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Konkret: So funktioniert jeder Angriff

Damit Sie die Gefahr einschätzen können — nicht abstrakt, sondern technisch nachvollziehbar.

1. KI-Phishing (Phishing 2.0)

Moderne Phishing-Kits generieren E-Mails mit ChatGPT oder spezialisierten Modellen. Sprache: perfektes Deutsch, Kontext: Ihr aktuelles Projekt aus dem LinkedIn-Profil, Absender: gefälschter CEO mit korrektem Signatur-Layout und passender Anrede. Die Links führen auf pixelgenaue Kopien von Microsoft-Login-Seiten, oft sogar mit korrektem Firmen-Branding. Tools wie Evilginx2 hebeln dabei sogar MFA aus, indem sie den Session-Cookie mitlesen. Ausführlich erklärt im Beitrag Phishing 2.0 — wie KI die Gefahr vergrößert.

2. Credential Stuffing

Angreifer kaufen im Darknet Listen mit Milliarden E-Mail/Passwort-Kombinationen aus bekannten Datenlecks (LinkedIn 2021: 700 Mio. Datensätze, Yahoo 2013: 3 Mrd., Dropbox 2012, Adobe 2013 usw.). Automatisierte Tools wie OpenBullet oder SentryMBA testen diese Kombinationen parallel gegen Microsoft 365, Google Workspace, Online-Banking, Shopify und hunderte andere Portale. Prüfen Sie Ihre E-Mail auf haveibeenpwned.com — wenn dort Treffer auftauchen, wurde Ihr Passwort garantiert schon gegen Microsoft-Login-Server getestet.

3. Password Spraying

Umgekehrte Logik: Statt viele Passwörter gegen einen Account zu testen (klassisches Brute-Force — wird von Kontosperren erkannt), testet der Angreifer ein schwaches Passwort gegen tausende Accounts. Typische Sprays: Winter2026!, Hamburg123!, Firmenname2026, Passwort1. Bei Organisationen ohne MFA-Pflicht führt das statistisch bei 0,5–2 % der Mitarbeiter zum Treffer. Schutz: MFA-Pflicht für alle Benutzer + Passwort-Policy mit Mindestlänge 14 Zeichen + Blacklist häufiger Passwörter.

4. SIM-Swap und Port-Out-Betrug

Der Angreifer ruft bei Ihrem Mobilfunkanbieter an, gibt sich als Sie aus (oft mit aus Social Media zusammengesuchten Daten) und lässt die Nummer auf eine neue SIM-Karte portieren. Ab dem Moment gehen SMS-Codes an ihn — inklusive 2FA-Codes für Online-Banking, PayPal, Microsoft 365. Deutsche Provider sind zwar vorsichtiger als US-amerikanische, aber nicht unangreifbar. Detailanalyse im Artikel MFA-Level-Up — warum SMS-Codes 2026 fahrlässig sind.

5. MFA-Fatigue (MFA Bombing)

Hat der Angreifer Ihr Passwort bereits (aus Credential Stuffing), braucht er nur noch den zweiten Faktor. Bei Push-basierter MFA löst er 50, 100, 200 Login-Versuche hintereinander aus. Ihr Smartphone piept minutenlang. Irgendwann tippt einer Ihrer Mitarbeiter nachts entnervt auf „Bestätigen” — genau darauf wartet der Angreifer. Uber und Cisco wurden 2022 so gehackt. Gegenmittel: Number-Matching (Microsoft Authenticator zeigt eine 2-stellige Zahl; Sie müssen sie am Login-Screen eingeben — ein bloßer Tap reicht nicht mehr).

6. Session-Hijacking / Token-Diebstahl

Das beunruhigendste Szenario 2026: Sie haben ein starkes Passwort, nutzen Authenticator-App, alles richtig gemacht. Trotzdem wird Ihr Konto übernommen. Erklärung: Infostealer-Malware auf Ihrem Rechner liest den Session-Cookie aus Chrome/Edge aus. Der Angreifer importiert den Cookie in seinen Browser — und ist eingeloggt, ohne Passwort, ohne MFA. Das Session-Token gilt bei Microsoft 365 bis zu 90 Tage. Technische Basis: Tools wie Evilginx2 oder Cookie-Dumper aus RedLine/Raccoon-Malware.

7. Infostealer-Malware

Die Malware unter #6 kommt meist über drei Wege auf den Rechner: (a) gecrackte Software („Adobe Photoshop 2026 free”), (b) gefälschte Browser-Update-Popups auf manipulierten Webseiten, (c) infizierte Office-Anhänge in E-Mails. Infostealer scannen den Browser auf gespeicherte Passwörter, Cookies, Auto-Fill-Daten und Kryptowährungs-Wallets — und schicken alles an den Angreifer. Die Marktpreise im Darknet: 10–30 Dollar pro vollständigem „Profil” inklusive Microsoft-365-Zugang. Unser Managed-Security-Service kombiniert EDR (Endpoint Detection & Response) mit Threat Hunting, um genau solche Infostealer zu erkennen, bevor sie Zugangsdaten wegschicken.

2026 neu: MFA-Fatigue und Session-Token-Diebstahl im Mittelstand

Zwei Angriffe sind in den letzten 24 Monaten massiv gewachsen — und beide umgehen klassische MFA:

MFA-Fatigue ist besonders perfide, weil sie auf menschliche Erschöpfung zielt. In einem Fall, den wir Anfang 2026 bei einem Hamburger Unternehmen analysiert haben, bekam ein Mitarbeiter zwischen 2:00 und 3:30 Uhr morgens 187 Push-Benachrichtigungen — er hat irgendwann einfach „genehmigt”, um schlafen zu können. Der Angreifer hatte dann 90 Tage Vollzugriff auf das Microsoft-365-Konto, bevor es auffiel. Lehre: Number-Matching aktivieren ist Pflicht, nicht Kür — in Microsoft Entra ID unter „Authentication Methods” einzustellen.

Session-Token-Diebstahl ist noch unangenehmer, weil keine Mitarbeiter-Aktion nötig ist. Wir sehen inzwischen fast wöchentlich Fälle, bei denen ein infizierter Home-Office-Rechner (oft privater Laptop mit gecrackter Software) den Session-Cookie des Arbeits-Microsoft-365 weggibt. Technisch reicht das dem Angreifer vollständig — er mietet sich eine deutsche IP, importiert den Cookie, ist drin. Gegenmittel: Conditional Access (Zugriff nur von Firmengeräten) + Session-Lifetime auf 8 Stunden (statt 90 Tage Default) + EDR auf allen Geräten.

Die 7 Schutzmaßnahmen im Überblick

Jede Schutzmaßnahme adressiert direkt einen der sieben Angriffe:

1. Passwort-Manager + einzigartige Passwörter pro Dienst. Verhindert Credential Stuffing komplett. Empfehlung KMU: 1Password Business (8,50 €/User/Monat) oder Bitwarden Enterprise (6 $/User/Monat). Master-Passwort als Passphrase aus 5 zufälligen Wörtern (z. B. „Hafen-Schlepper-Orange-Kiesel-42"). Details: Können Passwort-Manager gehackt werden?
2. Authenticator-App statt SMS. Microsoft Authenticator, Google Authenticator oder — für Profis — Hardware-Keys (YubiKey, FIDO2/WebAuthn). Verhindert SIM-Swap-Angriffe zu 100 %. Ausführlich: Das MFA-Level-Up.
3. Number-Matching in Microsoft Authenticator aktivieren. Macht MFA-Fatigue wirkungslos. In Entra ID unter „Authentication Methods → Microsoft Authenticator → Configure → Number Matching: Enabled".
4. Conditional Access in Microsoft 365. Login nur von verwalteten Firmengeräten, nur aus Deutschland/EU, nur bei niedrigem Risiko-Score. Blockiert Session-Token-Diebstahl nahezu vollständig, weil gestohlene Tokens von anderen IPs/Geräten nicht mehr gültig sind.
5. EDR / Managed Security auf allen Endgeräten. Erkennt Infostealer, Keylogger und Session-Cookie-Dumper, bevor sie Daten abziehen. Unser Managed-Security-Produkt läuft auf Sophos Intercept X.
6. Security-Awareness-Training. Monatliche Micro-Schulungen (5–10 Minuten) + simulierte Phishing-Kampagnen. Reduziert Klickraten auf Phishing innerhalb von 12 Monaten von durchschnittlich 25 % auf unter 5 %. Unser Security-Awareness-Training nutzt die Hornetsecurity-Plattform.
7. Monitoring + Alerts auf verdächtige Anmeldungen. In Microsoft 365 unter „Entra ID → Sign-in Logs" wöchentlich prüfen — oder automatisch auswerten lassen. Ungewöhnliche Logins aus unerwarteten Ländern, neue Postfach-Weiterleitungen, plötzliche Admin-Rechte-Änderungen: alles Warnsignale.

Was tun im Verdachtsfall oder nach Kontoübernahme?

Wenn Sie den Verdacht haben, dass ein Firmenkonto übernommen wurde — egal ob Microsoft 365, Google, Dropbox oder Online-Banking —, zählt jede Stunde. Hier die Notfall-Checkliste, in dieser Reihenfolge:

1. Sofort Passwort ändern. Von einem sauberen Gerät (nicht vom potenziell infizierten Rechner). Idealerweise Smartphone oder Tablet.
2. Alle aktiven Sessions beenden. In Microsoft 365: admin.microsoft.com → Benutzer → „Sessions beenden”. In Google Workspace: admin.google.com → Sicherheit → „Alle Sitzungen abmelden”.
3. MFA-Gerät prüfen und ggf. neu einrichten. Angreifer registrieren oft zusätzliche MFA-Methoden, um Wiederkehrzugang zu haben. Alles Unbekannte sofort entfernen.
4. Postfach-Weiterleitungen und Inbox-Regeln prüfen. Der Klassiker: Angreifer richtet eine Regel ein, die alle E-Mails mit „Rechnung” oder „Passwort” weiterleitet und danach löscht. Unter Outlook: Datei → Regeln verwalten → alle unbekannten Regeln löschen.
5. Audit-Log der letzten 30 Tage ziehen. Welche Dateien wurden heruntergeladen? Wurden OAuth-Apps authorisiert? In Microsoft Purview unter „Audit → Search”.
6. OAuth-App-Berechtigungen prüfen. Angreifer installieren oft „harmlose” Drittanbieter-Apps mit Mail-Read-Berechtigungen — die überleben selbst Passwortwechsel. In Entra ID: „Enterprise Applications → Permissions”.
7. Meldung bei Betroffenen. Bei personenbezogenen Daten greift die DSGVO-Meldepflicht (Art. 33): binnen 72 Stunden an die zuständige Datenschutzbehörde.
8. IT-Dienstleister anrufen. Wir in Hamburg haben eine Notfall-Nummer — bitte nicht selbst experimentieren. Siehe auch Beyond the Breach — was nach einem Cyberangriff wirklich passiert.

Häufige Fehler in Hamburger KMU

Aus unserer täglichen Praxis bei über 150 Kunden — die sieben Fehler, die wir am häufigsten sehen:

1. SMS-basierte 2FA für Admins. Wer administrative Rechte hat, braucht Hardware-Key oder mindestens Authenticator-App — SMS ist tabu.
2. Derselbe Microsoft-365-User für Admin- und Alltagsarbeit. Admin-Accounts dürfen nie für E-Mail oder Browsing genutzt werden. Getrennte Accounts sind Standard.
3. Keine Conditional-Access-Regeln. Microsoft 365 ist standardmäßig von überall erreichbar — auch aus China, Russland, Nordkorea. Das muss aktiv eingeschränkt werden.
4. Privat-PCs im Firmennetz. Der private Laptop des Chefs mit „nur ein bisschen Firmen-E-Mail” ist der häufigste Einstiegspunkt für Infostealer.
5. Keine regelmäßige Überprüfung der Anmelde-Logs. 90 % der Kontoübernahmen sind nach 48 Stunden in den Logs sichtbar — wenn sie jemand anschaut.
6. Geteilte Konten (Shared Mailboxes mit Passwort). Wenn 5 Mitarbeiter das Passwort für info@firma.de kennen, ist jeder Weggang ein Risiko. Besser: Delegation über Exchange Shared Mailbox.
7. Kein Security-Awareness-Training. Technik alleine reicht nicht. Menschen sind und bleiben der entscheidende Faktor.

Checkliste: Konten-Sicherheit in 10 Punkten

Nutzen Sie das als sofortigen Self-Check für Ihr Unternehmen:

• Passwort-Manager im Einsatz (alle Mitarbeiter). 1Password, Bitwarden, Keeper — Hauptsache nicht „im Kopf merken" oder Post-It am Monitor.
• MFA für alle Benutzer Pflicht. In Entra ID unter „Security Defaults" oder besser per Conditional-Access-Policy erzwungen.
• Keine SMS-basierte 2FA für Admins und Geschäftsleitung. Authenticator-App oder Hardware-Key Pflicht.
• Number-Matching in Microsoft Authenticator aktiviert. Schutz vor MFA-Fatigue.
• Conditional Access konfiguriert. Mindestens: kein Login aus Nicht-EU, kein Legacy-Auth (IMAP/POP), erhöhte Risiko-Stufen blockieren.
• EDR auf allen Endgeräten. Sophos Intercept X, CrowdStrike Falcon, Microsoft Defender for Endpoint — irgendein modernes EDR, kein klassischer Virenscanner.
• Regelmäßige Have-I-Been-Pwned-Checks für die Firmen-Domain. Monatlich auf haveibeenpwned.com/DomainSearch prüfen.
• Security-Awareness-Training etabliert. Monatliche Micro-Schulung, quartalsweise Phishing-Simulation.
• Sign-in-Log-Review wöchentlich. Verantwortliche Person benannt, die ungewöhnliche Logins prüft.
• Incident-Response-Plan dokumentiert. Wer wird wann angerufen, wenn ein Konto übernommen wurde? Inklusive Wochenend-Notfallnummer Ihres IT-Dienstleisters.

Was Sie heute tun können — in 30 Minuten

Wenn Sie nach diesem Artikel nur drei Dinge machen, dann diese:

1. E-Mail auf haveibeenpwned.com prüfen. Dauert 30 Sekunden. Wenn Treffer: Passwort dieses Dienstes und alle Dienste, bei denen Sie dasselbe Passwort verwendet haben, sofort ändern.
2. SMS-2FA für Microsoft 365 deaktivieren — Authenticator-App aktivieren. Unter „My Account → Sicherheit → Zusätzliche Sicherheitsprüfung”. Dauert 10 Minuten pro Mitarbeiter.
3. Number-Matching in Entra ID aktivieren. Admin Center → Entra ID → Authentication Methods → Microsoft Authenticator → Edit → Number Matching: Enabled. Fünf Klicks, massive Sicherheitswirkung.

Für alles darüber hinaus — Conditional Access, EDR-Rollout, Security-Awareness-Rollout — lohnt sich ein Gespräch mit einem erfahrenen IT-Dienstleister. Als IT-Systemhaus in Hamburg betreuen wir über 150 Unternehmen und richten Microsoft-365-Härtungen standardisiert in 2–4 Tagen ein.

Fazit

Die Bedrohungslage hat sich 2026 grundlegend verschoben: Angreifer raten keine Passwörter mehr, sondern nutzen industrialisierte Angriffsketten aus Credential Stuffing, MFA-Fatigue und Session-Token-Diebstahl. Das klassische „starkes Passwort + SMS-2FA”-Setup reicht nicht mehr. Die gute Nachricht: Die Gegenmaßnahmen sind technisch ausgereift, bezahlbar und für KMU umsetzbar. Passwort-Manager, Authenticator-App mit Number-Matching, Conditional Access und EDR decken die realistischen Angriffsvektoren zu über 95 % ab. Die Investition ist mit unter 20 Euro pro Mitarbeiter pro Monat deutlich niedriger als ein einziger erfolgreicher Phishing-Schaden — und die Umsetzung dauert im Mittelstand in der Regel weniger als eine Woche.

Weiterführende Quellen:

• BSI — Bundesamt für Sicherheit in der Informationstechnik, Lagebericht 2024 (309.000 neue Schadprogramm-Varianten pro Tag)
• Bitkom Wirtschaftsschutz 2024 (78 % der Unternehmen betroffen, 267 Mrd. € Jahresschaden)
• Have I Been Pwned (Datenbank geleakter Zugangsdaten, Troy Hunt)
• NIST Digital Identity Guidelines SP 800-63B (Authentifizierungs-Standards, auch für EU-KMU relevant)