140 Millionen Dollar per Bankraub von zu Hause

Warum wir über die falschen Einfallstore sprechen

Schwachstelle, Ransomware, SonicWall SSL VPN, Sicherheitslücke
LinkedInRedditWhatsAppPocket

„Sie hacken nicht mehr, sie loggen sich ein“ ist ein oft zitierter Satz zu zeitgenössischen Infiltrationsmethoden von Hackern – und das mit Recht.

Im Juni verkaufte ein Mitarbeiter eines Software-Dienstleisters für Banken seine Logindaten für 920 Dollar an Cyberkriminelle. Die Hacker wussten genau, wen sie bestechen mussten, denn mit seinen Zugangsdaten und der Verbindungen der Firma zu diversen Finanzhäusern waren sie in der Lage, sechs Banken auf einmal zu infiltrieren und dabei 140 Millionen Dollar zu entwenden. Ein lukratives Tauschgeschäft für die Drahtzieher, das keinen Bankraub mit Skimasken und Schusswaffen erforderte. Für den Raubzug selbst mussten sie kaum vor die Tür gehen; lediglich einmal, um den Mitarbeiter vor einer Bar abzufangen und ihn für den Coup einzuspannen.

Anzeige

Der Fall bringt den Strategiewandel von Hackern auf den Punkt: Banküberfälle und Cyberangriffe sind heute keine filmreifen Einbrüche mehr, bei denen Firewalls umgangen, virtuelle Schlösser geknackt oder Bankangestellte am Schalter bedroht werden. Stattdessen bestechen Angreifer Mitarbeiter, erbeuten legitime Zugänge und arbeiten mit den Berechtigungen, die ihnen Unternehmen unbewusst zur Verfügung stellen.

Trotzdem sorgen sich viele Unternehmen vordergründig um den Schutz von Anwendungen, Netzwerken und Endpunkten. Das ist unabdinglich, doch dabei vernachlässigen sie das, was aus Sicht der Angreifer am einfachsten und effektivsten ist: Identitäten und Konten.

Der klassische Weg: Knacken und Einschleusen

Noch vor wenigen Jahren bestand ein typischer Angriff oft darin, Schwachstellen in einer Webanwendung oder einem Betriebssystem auszunutzen. Über offene Sicherheitslücken (auch Exploits genannt) gelangten Angreifer in interne Systeme, bewegten sich dann lateral durch die Netzwerkumgebung und suchten nach sensiblen Daten oder kompromittierten weitere Systeme.

Anzeige

Diese Methode war aufwendig: Sie erforderte technisches Know-how, Zeit und das ständige Risiko, entdeckt zu werden. Moderne Infrastrukturen mit Intrusion Detection, Segmentierung und Patching haben diese Wege zwar nicht unmöglich gemacht, aber zumindest deutlich erschwert. Doch Angreifer entdeckten alsbald einen neuen Pfad und der führt über den Menschen.

Der neue Weg: Einloggen statt Einbrechen

Warum also komplizierte Hintertüren aufbrechen, wenn ein einziger Account genügt? Aus Hackersicht gibt es mehrere gute Gründe, den Weg über Benutzerkonten von Mitarbeitern zu wählen:

  • Vertrauen: Ein gültiges Konto mit echten Berechtigungen löst kaum Alarm aus. Alles wirkt wie ein normaler Vorgang.
  • Automatisierung: Prozesse wie „Zero-Day-Provisioning“ und Self-Service-Accounts sorgen dafür, dass neue Identitäten oft mit minimaler Prüfung entstehen.
  • Massive Angriffsfläche: Es gibt weit mehr Konten als Menschen — von Dienstkonten über Bots bis zu vergessenen alten Accounts. Je mehr Konten, desto mehr potenzielle Einstiegspunkte.
  • Weniger technische Hürden: Es reicht, an Zugangsdaten zu kommen — durch Phishing, Social Engineering oder Datenlecks. Keine Zero-Day-Exploits nötig.

Ein besonders perfides Beispiel ist der Missbrauch von HR-Systemen. Angreifer schleusen dabei fiktive Mitarbeiterprofile ein, die von der Organisation als echte Neueinstellungen behandelt und automatisch mit Zugriffsrechten ausgestattet werden.
Auch Drittdienstleister und Partnernetzwerke bieten eine ideale Angriffsfläche: Externe Konten mit internen Rechten, deren Nutzung oft nicht ausreichend überwacht wird.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Warum Anwendungen besser geschützt sind

Geschäftsanwendungen, Netzwerke und Server sind inzwischen gut bewacht. Sie werden regelmäßig gepatcht, überwacht und durch Security-Layer wie WAFs (Web Application Firewalls) geschützt. Außerdem greifen hier ausgefeilte Anomalieerkennungen und Log-Analysen.

Identitäts- und Berechtigungsmanagement hingegen hinkt oft hinterher. Noch immer sind Konten mit „temporären“ Rechten jahrelang aktiv. Nicht-menschliche Identitäten — Geräte, Bots, APIs — verschwinden aus dem Blickfeld. Entzieht man einem Server das letzte Sicherheitsupdate, schrillen die Alarmglocken und Sicherheitsteams reagieren. Vergisst man jedoch einen Admin-Account auf einem stillgelegten System, passiert oft nichts – keine Glocken, keine Reaktion. Genau hier setzen Angreifer an.

KI gehört ins Identitätsmanagement – weil Angreifer sie längst einsetzen

Die Angreifer von heute sind nicht nur geduldiger und raffinierter geworden, sie sind auch besser ausgerüstet. Mit Künstlicher Intelligenz generieren sie täuschend echte Phishing-Mails, fälschen Identitäten in Bild und Ton oder analysieren Zugriffs- und Bewegungsmuster, um unbemerkt zu bleiben. Wer diesem Tempo standhalten will, kann nicht allein auf manuelle Kontrollen und statische Regeln setzen.

Auch Verteidiger müssen die Möglichkeiten von KI konsequent nutzen: um riesige Mengen an Berechtigungs- und Zugriffsdaten auszuwerten, abnormales Verhalten in Echtzeit zu erkennen und Muster zu finden, die dem menschlichen Auge entgehen. Dabei bleibt die Verantwortung trotzdem beim Menschen — aber ohne die Unterstützung von Maschinen lässt sich die Dynamik moderner Angriffe nicht mehr beherrschen. KI ist kein Allheilmittel. Aber wer sie ignoriert, verzichtet auf ein wertvolles Werkzeug, das Hacker längst nutzen.

Wie kann man sich schützen?

Der Ausweg liegt in einem Umdenken und einer konsequenten Identitätsstrategie:

  • Inventarisieren und kontrollieren: Alle Identitäten — menschlich wie nicht-menschlich — müssen sichtbar, klassifiziert und regelmäßig überprüft werden.
  • Lebenszyklus steuern: Jede Identität braucht einen klar definierten Lebenszyklus von der Erstellung bis zur Deaktivierung.
  • Berechtigungen minimieren: Nur so viel wie nötig, so wenig wie möglich — auch für Maschinenkonten.
  • Automatisieren mit Kontrolle: Automatisierte Prozesse zur Kontoerstellung und -entziehung beschleunigen und sichern, aber immer mit eingebauter Überprüfung.
  • KI nutzen — aber nicht blind vertrauen: Künstliche Intelligenz kann Anomalien erkennen, Muster analysieren und Prozesse beschleunigen. Die Verantwortung darf aber nicht allein an Maschinen abgegeben werden.
  • Kulturwandel: Identität muss als kritische Infrastruktur des Unternehmens verstanden werden — von der Geschäftsführung bis in jede Fachabteilung.

Sichere Identitäten ebnen den Weg zur digitalen Transformation

Der gefährlichste Angreifer muss heute nicht mehr durch Sicherheitslücken schleichen oder Firewalls überwinden. Er tritt durch den Haupteingang, mit einem echten Firmenausweis in der Hand. Solange digitale Identitäten nicht als primäre Angriffsfläche verstanden und systematisch gesichert werden, bleibt jeder andere Schutz nur Stückwerk. Sicherheitsverantwortliche, die es schwer haben, die Bedeutsamkeit von Identitätsmanagement auf der Führungsebene kommunizieren, sollten Vorstände zum Perspektivwechsel ermutigen: Denn Identitäten zu schützen, ist keine reine Sicherheitsmaßnahme mehr, sondern auch Enabler für Produktivität, zeitgemäße Cloud-Nutzung und digitale Transformation. Wer über Sicherheit spricht, muss endlich über Konten sprechen und die Identität in den Mittelpunkt der Cybersicherheit rücken.


Thomas Müller-Martin Omada

Thomas

Müller-Martin

Global Partner Lead

Omada

Anzeige

Artikel zu diesem Thema

Finanzplattform-Betrug: Millionenschaden und neue Haftbefehle

Weitere Artikel

Auch Bots mögen Urlaub
Lokale Admin-Konten: Die Schwachstelle im Verborgenen
Cybercrime: Vom Kriminellen zum Kaufmann
Zero Trust Application Access ohne VPN-Komplexität
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.