Thought Leadership
Identitäten entwickeln sich zunehmend zum zentralen Angriffspunkt moderner Cyberattacken.
Das zeigt der aktuelle „State of Identity Security 2026“-Report von Sophos, für den weltweit 5.000 IT- und Sicherheitsverantwortliche befragt wurden. Demnach meldeten 71 Prozent der Unternehmen im vergangenen Jahr mindestens einen identitätsbezogenen Sicherheitsvorfall. In Deutschland lag der Anteil bei 62 Prozent.
Besonders problematisch: Viele Organisationen waren mehrfach betroffen. Einige Unternehmen registrierten sogar sechs oder mehr Vorfälle innerhalb eines Jahres.
Der Bericht macht deutlich, dass gestohlene oder missbrauchte Zugangsdaten inzwischen eine zentrale Rolle bei Ransomware-Angriffen spielen. Zwei Drittel der betroffenen Unternehmen erklärten, dass ihre Ransomware-Vorfälle auf identitätsbasierte Angriffe zurückzuführen waren.
Die finanziellen Folgen bleiben erheblich. Laut Sophos lagen die durchschnittlichen Wiederherstellungskosten bei 1,64 Millionen US-Dollar. Selbst der Medianwert erreichte noch 750.000 US-Dollar.
Vor allem Datendiebstahl, finanzielle Schäden und Verschlüsselungsangriffe zählen zu den häufigsten Folgen erfolgreicher Angriffe auf Identitäten.
Nicht-menschliche Identitäten werden zum Risiko
Neben klassischen Benutzerkonten geraten zunehmend sogenannte Non-Human Identities (NHIs) in den Fokus. Gemeint sind etwa API-Schlüssel, Servicekonten oder automatisierte Zugangsdaten, die von Anwendungen, Skripten oder KI-Systemen genutzt werden.
Laut der Untersuchung nannten 41 Prozent der Unternehmen ein unzureichendes Management solcher Identitäten als Ursache für Sicherheitsvorfälle. Besonders kritisch wird dies durch den wachsenden Einsatz agentischer KI-Systeme, die eigenständig neue Zugänge und Unterprozesse erzeugen können.
Viele bestehende Sicherheitskonzepte seien auf diese Entwicklung nicht vorbereitet. Nur ein kleiner Teil der Unternehmen überprüft oder rotiert Servicekonten kontinuierlich. Dadurch entstehen langfristige Zugangsmöglichkeiten für Angreifer.
Trotz zunehmender Automatisierung bleibt der Mensch ein entscheidender Risikofaktor. In rund 43 Prozent der Vorfälle spielten Mitarbeitende eine zentrale Rolle, etwa durch Phishing, Social Engineering oder die ungewollte Weitergabe von Zugangsdaten.
Gleichzeitig fehlt es vielen Unternehmen weiterhin an transparenter Überwachung. Nur etwa ein Viertel kontrolliert ungewöhnliche Anmeldeversuche dauerhaft. Viele Organisationen prüfen entsprechende Aktivitäten lediglich quartalsweise oder noch seltener.
Kritische Infrastrukturen besonders betroffen
Besonders hohe Angriffsquoten verzeichneten Unternehmen aus den Bereichen Energieversorgung, Öl und Gas sowie staatliche Einrichtungen. Auch Organisationen mit hohen regulatorischen Anforderungen meldeten überdurchschnittlich viele Sicherheitsverletzungen.
Der Report deutet darauf hin, dass komplexe Compliance-Vorgaben allein keinen besseren Schutz garantieren. Vielmehr steigen die Risiken dort, wo Sicherheitsmaßnahmen nur unzureichend umgesetzt oder überwacht werden.
Mehrschichtige Sicherheitsstrategien gewinnen an Bedeutung
Sophos empfiehlt Unternehmen einen umfassenden Ansatz zur Absicherung digitaler Identitäten. Dazu zählen verpflichtende Multi-Faktor-Authentifizierung, das Prinzip minimaler Zugriffsrechte sowie die konsequente Entfernung ungenutzter Konten.
Für nicht-menschliche Identitäten werden zusätzlich zentrale Secrets-Management-Systeme, kurzlebige Zugangsdaten und kontinuierliche Überwachung empfohlen. Auch Zero-Trust-Modelle und moderne Verfahren zur Erkennung identitätsbasierter Angriffe gewinnen laut der Studie weiter an Bedeutung.
Ross McKerchar, CISO bei Sophos, warnt davor, die Entwicklung zu unterschätzen. Besonders KI-gestützte Systeme würden Berechtigungen inzwischen schneller erzeugen, als Sicherheitsteams sie kontrollieren könnten.
