Anmelden statt Angreifen: Warum Identitätsschutz wichtig ist

Angreifer wissen Identitäten zu schätzen

Genau die genannte Eigenschaft macht nicht geschützte Identitäten so attraktiv für Angreifer. Sicherheitsforscher bei CrowdStrike haben festgestellt, dass 79 Prozent der untersuchten Instanzen vollständig frei von Malware waren: Die Angreifer loggten sich schlicht ein und nutzten legitime Werkzeuge. Indem sie native Admin-Tools, SaaS-Services oder die Identitätsworkflows selbst missbrauchten, tarnten sich ihre Aktivitäten als regulärer Geschäftsbetrieb.

Klassische Erkennungsmethoden, die auf Malware-Signaturen oder anomale Software-Ausführungen setzen, liefen dabei ins Leere. Der Verizon Data Breach Investigations Report untermauert dieses Bild: 86 Prozent der einfachen Angriffe auf Webanwendungen laufen heute über gestohlene Anmeldedaten. Wer sich mit gültigen Zugangsdaten authentifiziert, löst keine Alarme aus – sofern bei einer Benutzerverhaltensanalyse (User Access Analysis) keine Anomalien erkannt werden.

Ausgehebelt: klassische Sicherheitsmodelle

Das Bedrohungsbild beschränkt sich längst nicht mehr auf einfachen Passwortdiebstahl. Die folgenden drei Techniken stellen klassische Sicherheitsmodelle fundamental in Frage:

• Gestohlene Zugangsdaten verschaffen Angreifern einen legitimen Einstieg – oft über Phishing oder kompromittierte Drittanbieter. Sind sie einmal drin, bauen sie teils vollständige Schatten-Identitätsinfrastrukturen auf. Dies sind illegitime Mandanten außerhalb des Governance-Frameworks, über die sich neue Accounts anlegen und Berechtigungen vergeben lassen, ohne dass die IT-Abteilung davon erfährt.
• Gefälschte Authentifizierungstokens wie Golden Tickets oder Golden SAML gehen noch weiter: Sie umgehen die Authentifizierung vollständig. Wer einen Domain Controller oder Identity Provider kompromittiert hat, kann sich dauerhaft gültige Zugangsnachweise für beliebige Benutzer mit beliebigen Rechten ausstellen – ohne Passwort, kaum erkennbar im normalen Authentifizierungsfluss.
• Multifaktor-Authentifizierung-Bypasses schließlich untergraben einen der wichtigsten Schutzmechanismen moderner Identitätssicherheit. Adversary-in-the-Middle-Angriffe fangen Authentifizierungstoken in Echtzeit ab, MFA-Fatigue-Attacken überfluten Nutzer mit Bestätigungsanfragen, bis sie versehentlich zustimmen. MFA allein ist also kein hinreichender Schutz mehr. Dass 87 Prozent der in Deutschland befragten IT- und Sicherheitsmanager laut dem aktuellen Rubrik Zero Labs Report Die Identitätskrise mit ihren identitätsbezogenen Angriffen als bedeutende Bedrohung einstufen, ist vor diesem Hintergrund keine Überraschung. Die finanziellen Folgen sind erheblich: IBM beziffert die durchschnittlichen Kosten eines Vorfalls mit kompromittierten Zugangsdaten auf 4,67 Millionen US-Dollar im Schnitt.

Nicht-menschliche Identitäten: wachsende Angriffsfläche

Menschliche Accounts sind nicht das einzige Ziel, zunehmend geraten auch nicht-menschliche Identitäten (Non-Human Identities, NHIs) ins Visier – API-Tokens, Service-Accounts, Zertifikate, Container und KI-Agenten. Das Verhältnis von NHIs zu menschlichen Benutzern beträgt laut CyberArk bereits 82 zu 1. Dazu kommt: NHIs nutzen oft keine Multifaktor-Authentifizierung, werden seltener überwacht und tragen automatisierte Abläufe aus, die im Alltag kaum auffallen. Ihre Berechtigungen sind häufig weit gefasst und schwer zu widerrufen, auch weil sie oft geschäftskritische Prozesse stützen.

Je mehr agentische KI im Einsatz ist, desto größer wird diese Angriffsfläche. 84 Prozent der von Rubrik befragten deutschen Unternehmen haben KI-Agenten bereits vollständig oder teilweise in ihre Identitätsinfrastruktur integriert – und 35 Prozent glauben, dass bis zu 30 Prozent der Angriffe in den kommenden zwölf Monaten agentische KI nutzen werden.

„Menschliche Accounts sind nicht das einzige Ziel, zunehmend geraten auch nicht-menschliche Identitäten (Non-Human Identities, NHIs) ins Visier – API-Tokens, Service-Accounts, Zertifikate, Container und KI-Agenten. Ihre Berechtigungen sind häufig weit gefasst und schwer zu widerrufen, auch weil sie oft geschäftskritische Prozesse stützen.“

Frank Schwaak, Rubrik

Wiederherstellung: das unterschätzte Problem

Ein erfolgreicher Identitätsangriff stellt Unternehmen vor eine zweite, oft unterschätzte Herausforderung: die Wiederherstellung. Ausfallzeiten können sich auf bis zu 6.000 US-Dollar pro Minute summieren. Dennoch benötigen laut Rubrik-Report 43 Prozent der deutschen Unternehmen zwischen 25 und 48 Stunden, um ihre Identitätsinfrastruktur nach einem Angriff wiederherzustellen – 16 Prozent sogar ein bis vier Wochen. 37 Prozent setzen dabei gleichermaßen manuelle wie automatisierte Prozesse ein, komplett automatisiert arbeiten in Deutschland 17 Prozent.

Dazu kommt eine strukturelle Schwäche: Viele Unternehmen verwalten IAM-Komponenten wie Privileged Access Management (PAM), rollenbasierte Zugriffskontrollen (RBAC) und API-Sicherheit über fragmentierte Einzellösungen verschiedener Anbieter. Das vergrößert die Angriffsfläche und erschwert koordinierte Reaktionen.

Identitätsresilienz als strategische Antwort

Identitäten brauchen einen neuen Stellenwert im Unternehmen: Sie müssen als Perimeter behandelt werden, nicht als Randthema der IT-Verwaltung. In drei Schritten kann Resilienz realisiert werden:

• Sicherheitsteams brauchen vollständige Echtzeittransparenz über alle Identitäten – menschliche wie maschinelle – in hybriden Umgebungen. Nur wer weiß, welche Systeme bei einer Kompromittierung isoliert werden müssen und wie schnell betroffene Nutzer sich neu authentifizieren können, hat eine belastbare Grundlage für Incident Response.
• Ein konsequenter Zero-Trust-Ansatz reduziert die Angriffsfläche: Jede Zugriffsanfrage muss authentifiziert, autorisiert und verschlüsselt werden – unabhängig davon, ob sie aus dem internen Netz oder von außen kommt. Least-Privilege-Prinzip, bedingte Zugriffsrichtlinien, Just-in-Time-Zugriffsrechte und Mikrosegmentierung verhindern, dass Angreifer sich nach einem Erstzugang ausbreiten können.
• Gezielte Wiederherstellungsstrategien sichern die Handlungsfähigkeit im Ernstfall. Mit sicheren Offline-Backups von Active-Directory-Daten und Cloud-Verzeichnissen kann die Identitätsinfrastruktur schnell rekonstruiert werden. Wer seine Recovery-Schritte synchron mit Sicherheitsmaßnahmen plant und sie regelmäßig in Krisensimulationen testet, verkürzt die mittlere Recovery-Zeit (MTTR) messbar.

Echte Cyberresilienz entsteht, wenn Identitätsresilienz in ein kohärentes Gesamtkonzept aus Risikomanagement, Geschäftskontinuität und Incident Response eingebettet wird. 86 Prozent der Unternehmen in Deutschland planen, dafür in den nächsten zwölf Monaten gezielt Fachkräfte einzustellen. Der Handlungsdruck ist erkannt – entscheidend ist jetzt, ob die Investitionen von einer Strategie begleitet werden, die Transparenz, Zero Trust und resiliente Wiederherstellung konsequent zusammenführt.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.