Thought Leadership
Jeder Datensicherheitsvorfall beginnt mit einem ersten Netzwerkzugriff. Beunruhigend ist, dass Angreifer sich oft einloggen – drei von vier Angriffen basieren mittlerweile auf gültigen Anmeldedaten.
Die Identität ist jedoch nicht nur ein erster Zugangsvektor, sondern auch ein Mittel für Angreifer, sich lateral zu bewegen und ihre Berechtigungen zu erweitern, während sie der Entdeckung entgehen.
Identitätsbedrohungen: Gängige Taktiken verstehen
Angreifer wenden eine Vielzahl von Taktiken an, um identitätsbasierte Angriffe durchzuführen. Sie nutzen Lücken in der Identitätssicherheit aus, um sich unbefugten Netzwerkzugang zu verschaffen, und geben sich als legitime Benutzer aus, um sich lateral zu bewegen, ohne Alarm auszulösen.
Phishing
Phishing ist eine der gängigsten Techniken für Identitätsangriffe und eine Form des Social Engineering. Angreifer geben sich dabei als vertrauenswürdige Personen aus, um Benutzer zur Preisgabe ihrer Anmeldedaten zu verleiten. Der 2025 Data Breach Investigations Report von Verizon ergab, dass Social-Engineering-Angriffe fast ein Viertel der externen Sicherheitsverletzungen ausmachen. 57 Prozent dieser Vorfälle betreffen Phishing. E-Mails, Textnachrichten, Telefonanrufe und sogar QR-Codes können als Phishing-„Köder” dienen, die durch den Einsatz von KI immer überzeugender werden.
Credential Stuffing
Credential Stuffing nutzt die Wiederverwendung von Passwörtern aus und basiert auf der Annahme, dass die meisten Menschen dasselbe Passwort für alle Systeme verwenden. Nachdem sie Anmeldedaten extrahiert, von einem Access Broker gekauft oder mit automatisierten Tools aus Datenbanken mit gestohlenen Anmeldedaten abgerufen haben, versuchen Angreifer, sich parallel bei vielen Konten anzumelden.
Adversary-in-the-Middle-Angriffe (AiTM)
Diese auch als „Attacker-in-the-Middle“ oder „Man-in-the-Middle“ bezeichneten Angriffe verleiten Benutzer nicht direkt dazu, ihre Anmeldedaten preiszugeben. Stattdessen positionieren sich die Angreifer zwischen einem Benutzer und einem System und fangen die ausgetauschten Daten ab. Dies ermöglicht es Angreifern, unbemerkt Anmeldedaten zu sammeln und MFA-Schutzmaßnahmen zu umgehen. Ein Beweis für die Wirksamkeit dieser Technik ist, dass AiTM-Angriffe im letzten Jahr um 146 Prozent zugenommen haben.
Kerberoasting
Bei Angriffen dieser Art fordern Hacker Service-Tickets für Konten mit Zugriff auf ein gewünschtes System an und versuchen dann, diese offline zu knacken. Allzu oft sind Servicekonten mit relativ schwachen Passwörtern und übermäßigen Berechtigungen ein leichtes Ziel.
Golden-Ticket- und Silver-Ticket-Angriffe
Bei diesen beiden Formen von Pass-the-Ticket-Angriffen (PtT) werden Schwachstellen im Kerberos-Identitätsauthentifizierungsprotokoll ausgenutzt, wodurch Angreifer gestohlene Tickets verwenden können, um Authentifizierungsanforderungen zu umgehen und Zugriff auf sensible Systeme zu erhalten. Bei einem Golden-Ticket-Angriff stehlen Angreifer das Ticket, das ihnen die Berechtigung zum Erstellen weiterer Tickets gewährt, wodurch sie sich als beliebiger Benutzer ausgeben können. Silver-Ticket-Angriffe sind enger gefasst und zielen auf bestimmte Dienste ab.
Passwort-Spraying
Ähnlich wie beim Credential Stuffing handelt es sich beim Passwort-Spraying um eine Brute-Force-Technik, bei der Angreifer versuchen, sich durch Erraten gängiger Passwörter gleichzeitig Zugang zu vielen Konten zu verschaffen. Nachdem sie eine Liste mit Benutzernamen erhalten haben, testen Hacker wiederholt gängige Passwörter für alle Konten.
Pass-the-Hash-Angriffe
Pass-the-Hash-Angriffe (PtH) ermöglichen es Angreifern, gehashte Anmeldedaten zu verwenden, ohne sie zu entschlüsseln, sodass sie eine neue Sitzung starten und sich als legitimer Benutzer seitlich bewegen können – ohne dass ein Cracking erforderlich ist.
Identitätssicherheitstrends: Eine sich wandelnde Bedrohungslandschaft
Von der Verbreitung maschineller Identitäten bis zum Aufkommen von Infostealern – die Bedrohungslandschaft im Bereich der Identitätssicherheit verändert sich. Diese Trends machen es Angreifern einfacher denn je, Schwachstellen in der Identitätssicherheit auszunutzen – und Verteidigern schwerer denn je, Schritt zu halten.
Die sich wandelnde Definition von Missbrauch von Anmeldedaten
Der aktuelle Verizon Data Breach Investigation Report hat ergeben, dass die alte Denkweise in Bezug auf Anmeldedaten – als Passwörter und Benutzernamen – viel zu eng geworden ist. In Wirklichkeit gibt es eine Vielzahl anderer Arten von Anmeldedaten, mit denen Hacker Zugriff auf Umgebungen erhalten können. Dazu gehören Kategorien wie Webanwendungsinfrastruktur, Entwicklungs- und CI/CD-Geheimnisse, Geheimnisse der Cloud-Infrastruktur sowie Datenbankverbindungen.
Viele dieser Anmeldedaten werden von Systemadministratoren und Entwicklern verwendet und gelangen manchmal versehentlich in öffentliche Code-Repositorys, wo sie Angreifern ein wahres Buffet an Anmeldedaten bieten. Am häufigsten ist die Webanwendungsinfrastruktur betroffen, wobei JSON-Web-Token, die oft für die Authentifizierung, das Session-Management und die Zugriffskontrolle verwendet werden, den größten Teil ausmachen. Laut Verizon-Report beträgt die mittlere Zeit zur Behebung offengelegter Anmeldedaten in einem GitHub-Repository 94 Tage, was Hackern ein großes Zeitfenster lässt.
Angriffe auf die Lieferkette und Vishing nehmen weiter zu
Da viele Unternehmen auf detektionsorientierte Sicherheitsstrategien setzen und sich auf Lösungen wie EDR und SIEM stützen, wenden Angreifer zunehmend unauffällige Taktiken bei identitätsbasierten Angriffen an.
In der ersten Hälfte des Jahres 2025 dienten Angriffe auf die Lieferkette als erster Angriffsvektor für noch mehr öffentlich bekannt gewordene Datenverletzungen als Ransomware. Ein eklatantes Beispiel für diesen Trend ist der Snowflake-Vorfall, bei dem Hacker vermutlich die Anmeldedaten von Snowflake-Kunden durch einen Angriff auf einen MSP gestohlen haben. Von dort aus nahmen die Angreifer den Snowflake-Cloud-Speicher bei Unternehmen wie AT&T und TicketMaster ins Visier. Diese weitreichende Kampagne unterstreicht die dringende Notwendigkeit, den Zugriff von Drittanbietern und Partnern zu beschränken.
In ähnlicher Weise nehmen Vishing-Angriffe (Voice-Phishing) zu. Hierbei rufen die Angreifer potenzielle Opfer an und versuchen, sie dazu zu verleiten, schädliche Payloads herunterzuladen, Remote-Support-Sitzungen einzurichten oder einfach ihre Anmeldedaten über AiTM-Phishing-Seiten preiszugeben. Zwischen dem ersten und zweiten Halbjahr 2024 nahmen Vishing-Angriffe um 442 Prozent zu.
Maschinenidentitäten übertreffen menschliche Benutzer
Maschinenidentitäten wie Dienstkonten und API-Token machen mittlerweile über 70 Prozent der vernetzten Identitäten aus. Dies ist ein besonders beunruhigender Trend, da Maschinenidentitäten bekanntermaßen überprivilegiert und unsicher sind. Beispielsweise werden nur 2,6 Prozent der Workload-Identitätsberechtigungen tatsächlich genutzt, und 51 Prozent der Workload-Identitäten sind völlig inaktiv. Fast die Hälfte der Systeme, die im letzten Jahr mit einem Infostealer kompromittiert wurden, um auf Anmeldedaten zuzugreifen, waren nicht verwaltete Geräte. Legacy-Systeme, Dienstkonten, OT/IoT-Geräte, Datenbanken und andere Nicht-SaaS-Assets sind oft anfällig für identitätsbasierte Angriffe.
Infostealer und Access Broker sind auf dem Vormarsch
Infostealer sind Malware-Programme, die wertvolle Daten wie Anmeldedaten sammeln, diese Daten dann in „Logs“ verpacken und auf Online-Marktplätzen zum Verkauf anbieten. Die Verbreitung von Infostealern hat zu einem Boom der Access-as-a-Service-Branche geführt. Die Werbung für Access Broker stieg 2024 um 50 Prozent gegenüber dem Vorjahr. Wenn man diesen Trend versteht, ist es leicht nachvollziehbar, warum der Missbrauch von Anmeldedaten als häufigster initialer Zugriffsvektor an erster Stelle steht.
KI verschafft Angreifern einen Vorteil
Angreifer nutzen KI effektiv, um identitätsbasierte Angriffe zu verbessern, während Sicherheitsteams Mühe haben, Schritt zu halten. Über 70 Prozent der Sicherheitsverantwortlichen haben KI für ihre Sicherheitsmaßnahmen eingeführt oder evaluieren diese, doch nur 20 Prozent sind zuversichtlich, dass sie ihre eigenen KI-Modelle vor Cyberbedrohungen schützen können. Unterdessen nutzten Angreifer laut MIT bei 80 Prozent der Ransomware-Angriffe KI für alles Mögliche – von Phishing-Kampagnen und Deepfake-basiertem Social Engineering bis hin zum Knacken von Passwörtern und mehr.
Best Practices für den Identitätsschutz: Sicherung des neuen Perimeters
Chris Boehm, Field CTO bei Zero Networks, betont: „Die meisten Netzwerke wurden nie dafür konzipiert, Identität als Segmentierungsgrenze zu behandeln.“ Da Identitätsbedrohungen immer ausgeprägter werden, benötigen Unternehmen proaktive, mehrschichtige Identitätskontrollen, um die Identität – als neuen Perimeter – zu einer streng kontrollierten Grenze zu machen.
Sicherer privilegierter Zugriff mit JIT-MFA
Die Verbreitung von Maschinenidentitäten – und ihr Status als bevorzugtes Ziel für Infostealer – sowie immer ausgefeiltere Social-Engineering-Taktiken zeigen uns, dass es an der Zeit ist, nicht mehr mit privilegiertem Zugriff zu spielen. Mit MFA auf Netzwerkebene können Unternehmen eine Just-in-Time-Überprüfung verlangen, bevor sie Zugriff auf Administrator- und Dienstkonten gewähren, und alle privilegierten Ports und Protokolle standardmäßig sichern, einschließlich RDP, SSH, WMI, RPC und WinRM.
Identitäten granular segmentieren
Während MFA sicherstellt, dass nur die richtigen Personen Zugriff auf eine Identität erhalten, stellt die Identitätssegmentierung sicher, dass jeder Benutzer, jedes Gerät und jede Anwendung nur Zugriff auf vorab genehmigte Ressourcen und Anmeldetypen hat. Durch die Verfolgung von Anmeldeaktivitäten, Kontoverhalten und Zugriffsmustern können Sicherheitsteams detaillierte Richtlinien erstellen, die gestohlene Anmeldedaten unbrauchbar machen.
Wichtig ist, dass die Segmentierung über eine Identitätsfirewall hinausgeht, denn selbst mit einer Identitätsüberlagerung sind Firewalls von Natur aus reaktiv. Stattdessen gestaltet die Identitätssegmentierung den Zugriff selbst neu, sodass jede Identität – ob Mensch oder Maschine – automatisch mit echten geringsten Privilegien arbeitet.
Aufbau einer Zero-Trust-Architektur
Im Kern basiert Zero-Trust-Sicherheit auf dem Prinzip „Niemals vertrauen, immer überprüfen“. Das bedeutet, dass implizites Vertrauen abgeschafft wird und jeder Benutzer, jedes Gerät und jede Anwendung innerhalb des Netzwerks kontinuierlich überprüft werden muss. Um eine Zero-Trust-Architektur aufzubauen, müssen Unternehmen umfassende Mindestberechtigungen im gesamten Netzwerk durchsetzen und den Zugriff auf das Notwendige beschränken, solange es notwendig ist – nicht mehr und nicht weniger.
Automatisches Blockieren lateraler Bewegungen mit Mikrosegmentierung
Mikrosegmentierung schützt vor identitätsbasierten Angriffen, indem sie eine weitere Achse für den Netzwerkverkehr sperrt. Durch die Sicherung aller Assets innerhalb ihrer eigenen Firewall-Blase verhindert die Mikrosegmentierung laterale Bewegungen, sofern diese nicht ausdrücklich erlaubt sind, und sorgt so dafür, dass Hacker unabhängig von ihrer Taktik in eine Sackgasse geraten.
Zugriffsrichtlinien dynamisch anpassen
Cyberangreifer agieren schneller denn je – mit Hilfe von KI und versteckten Techniken sind sie bereit, jede vorübergehende Schwachstelle in der Identitätssicherheit auszunutzen. Während detaillierte Zugriffsrichtlinien der Schlüssel zur Abwehr identitätsbasierter Angriffe sind, ist ein statischer Ansatz zu anfällig, um wirksam zu sein. Effektiver ist Automatisierung, um Richtlinien bei Netzwerkänderungen auf dem neuesten Stand zu halten.
Identitätsbasierte Angriffe mit Zero Networks proaktiv vereiteln
Zero Networks macht proaktiven Identitätsschutz mühelos, skalierbar und unterbrechungsfrei. Durch die Kombination von Identitätssegmentierung, automatischer Mikrosegmentierung und MFA auf Netzwerkebene schafft Zero eine detaillierte, adaptive Zugriffskontrolle auf Basis der Identität von Benutzern, Geräten oder Anwendungen, die automatisch laterale Bewegungen blockiert und Just-in-Time-MFA für privilegierte Anmeldungen anwendet. Dieser mehrschichtige Ansatz für die Identitätssicherheit blockiert Angreifer auf Schritt und Tritt und macht Identitätsausbeutung für Hacker zu einer Seltenheit.
