Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 010

Kontosperrung

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist Kontosperrung?

KontosperrungSchutzmechanismus, der Anmeldeversuche nach einer konfigurierten Zahl aufeinanderfolgender Fehlschlage zeitweise oder dauerhaft blockiert und so Online-Passwort-Raten verlangsamt.


Kontosperrung deaktiviert ein Konto, sobald eine Schwelle an fehlgeschlagenen Anmeldeversuchen erreicht ist, und erhoeht damit die Kosten von Online-Bruteforce- und Password-Spraying-Angriffen. Active Directory, Entra ID, Okta und die meisten Authentifizierungsplattformen bieten drei Parameter: maximale Versuche, Beobachtungsfenster und Sperrdauer (z. B. 10 Fehlversuche in 10 Minuten, die zu einer 30-minuetigen Sperre fuehren).

Die Sperrung ist ein zweischneidiges Schwert. NIST SP 800-63B empfiehlt ausdruecklich Ratenbegrenzung und intelligentes Throttling statt aggressiver Sperren, denn ein Angreifer, der gueltige Benutzernamen kennt, kann gezielt Sperren ausloesen, um einen Denial-of-Service zu verursachen, und so echte Nutzer von Gehaltsabrechnung, E-Mail oder VPN aussperren. Aggressive Schwellen draengen Angreifer zudem zum Password Spraying: Ein gaengiges Passwort gegen Tausende von Konten zu testen bleibt unter jedem kontobezogenen Zaehler, genau so umgingen die 2020 APT-Gruppen zugeschriebenen Angriffe gegen Office-365-Tenants die Sperre.

Moderne Implementierungen bevorzugen daher intelligentere Kontrollen: progressive (exponentielle) Verzoegerungen zwischen Versuchen, Quell-IP- und ASN-Throttling, CAPTCHA nach wenigen Fehlschlaegen sowie Risikosignale. Microsoft Smart Lockout unterscheidet den legitimen Nutzer vom Angreifer anhand von Telemetrie zu bekanntem Standort und Geraet, sperrt nur die boeswillige Quelle und bewahrt echte Anmeldungen, und es merkt sich die letzten paar falschen Passwort-Hashes, damit wiederholte identische Fehler das Budget nicht aufbrauchen. Die staerkste Gegenmassnahme ist, das Passwort ganz als einziges Geheimnis zu entfernen: Phishing-resistente MFA oder Passkeys machen Online-Raten gegenstandslos.

flowchart TD
  A[Anmeldeversuch] --> B{Anmeldedaten gueltig?}
  B -->|Ja| C[Zugriff gewaehren · Zaehler zuruecksetzen]
  B -->|Nein| D[Fehlerzaehler erhoehen]
  D --> E{Zaehler >= Schwelle<br/>innerhalb des Fensters?}
  E -->|Nein| F[Progressive Verzoegerung · CAPTCHA] --> A
  E -->|Ja| G{Intelligentes Signal:<br/>bekanntes Geraet / bekannter Standort?}
  G -->|Ja legitimer Nutzer| H[Erlauben · sanfte Pruefung]
  G -->|Nein Angreiferquelle| I[Konto oder Quelle sperren<br/>fuer die Sperrdauer]
  I --> J[Alarm / Risiko-Engine]

Beispiele

  1. 01

    Microsoft Entra ID Smart Lockout sperrt die IP des Angreifers nach 10 Fehlversuchen, lasst den echten Nutzer aber an einem anderen Netz weiterhin anmelden.

  2. 02

    Online-Banking sperrt nach 5 falschen PIN-Eingaben den Zugang fur 30 Minuten.

Häufige Fragen

Was ist Kontosperrung?

Schutzmechanismus, der Anmeldeversuche nach einer konfigurierten Zahl aufeinanderfolgender Fehlschlage zeitweise oder dauerhaft blockiert und so Online-Passwort-Raten verlangsamt. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.

Was bedeutet Kontosperrung?

Schutzmechanismus, der Anmeldeversuche nach einer konfigurierten Zahl aufeinanderfolgender Fehlschlage zeitweise oder dauerhaft blockiert und so Online-Passwort-Raten verlangsamt.

Wie schützt man sich gegen Kontosperrung?

Schutzmaßnahmen gegen Kontosperrung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für Kontosperrung?

Übliche alternative Bezeichnungen: Sperrrichtlinie, Login-Sperre.

Verwandte Begriffe