Thought Leadership
Identitäten sind der Schlüssel zur digitalen Umgebung eines Unternehmens. Das macht sie auch zum attraktiven Angriffsvektor.
Während die Zahl der nicht-menschlichen Identitäten (NHIs) durch den Einsatz von KI-Agenten steigt, wird die Absicherung immer komplexer. Wie können sich Unternehmen besser schützen?
Seit Netzwerkgrenzen durch Remote-Arbeit und Cloud-Nutzung verschwimmen, sind Identitäten zur zentralen Kontrollebene geworden. Sie dienen der Authentisierung in Netzwerken, Systemen und Cloud-Services und fungieren wie ein Generalschlüssel, der Zugang zu allen kritischen Ressourcen gewährt. Wer ihn besitzt, kann frei eintreten und sich ungehindert bewegen. Damit werden Identitäten auch zur zentralen Angriffsfläche – das belegt der aktuelle Rubrik Zero Labs Report, für den weltweit 1.600 IT- und Security-Entscheider befragt wurden. Während Unternehmen ihre Endpunkt- und Perimeter-Security in den letzten Jahren stark verbessert haben, hinkt die Identitätssicherheit oft noch hinterher.
Diese Schwachstelle haben auch Cyberkriminelle erkannt. Sicherheitsforscher verzeichnen eine Verschiebung der Angriffstechniken: weg von klassischer Malware hin zu identitätsbasierten Attacken. So zeigen Daten des Security-Anbieters CrowdStrike, dass 79 Prozent der untersuchten Instanzen keine Malware enthielten. Angreifer loggten sich einfach ein und nutzten „Living-off-the-Land“-Taktiken, bei denen sie legitime Admin-Tools oder Cloud Services für ihre Ziele missbrauchen. Laut Verizon Data Breach Investigations Report werden 86 Prozent der initialen Angriffe auf Webanwendungen mit gestohlenen Anmeldedaten durchgeführt.
Warum sind identitätsbasierte Angriffe so gefährlich?
87 Prozent der deutschen Unternehmen sehen identitätsgetriebene Angriffe als Top-Bedrohung, so die Rubrik-Studie. 21 Prozent stimmen dem sogar voll und ganz zu. Solche Attacken sind besonders gefährlich, weil sie oft lange unerkannt bleiben. Mit gestohlenen Zugangsdaten oder gefälschten Authentifizierungs-Tokens können sich Cyberkriminelle legitim im Netzwerk anmelden und sich gut getarnt in der IT-Umgebung bewegen. Dank Living-off-the-Land-Taktiken wirken ihre Aktivitäten zunächst unauffällig, was Angreifern die Option gibt, in aller Ruhe die Umgebung auszuspähen, lukrative Daten zu identifizieren oder gar eine Schatten-Identitätsinfrastruktur aufzubauen, die von der IT-Abteilung nicht kontrolliert wird. Letzteres verschafft ihnen die Möglichkeit, neue Benutzerkonten anzulegen, Rechte zu vergeben und nachgelagerte Angriffe durchzuführen. Die Folgen können verheerend sein. 4,67 Millionen Dollar kostet ein einziger Sicherheitsvorfall im Schnitt, wenn Angreifer kompromittierte Anmeldedaten nutzen, so der Cost of a Data Breach Report 2025.
Das Risiko für identitätsbasierte Angriffe steigt
Bei den meisten modernen Cyber-Vorfällen spielt Identitätsdiebstahl eine Rolle. Als größte Risiken betrachten deutsche Unternehmen laut der Rubrik-Studie gestohlene Zugangsdaten (65 Prozent), gefälschte Authentifizierungs-Token (61 Prozent) und MFA-Bypasses (60 Prozent). Neben Menschen stehen auch nicht-menschliche Identitäten (Non-Human Identities, NHIs) im Visier der Cyberkriminellen. Dabei handelt es sich häufig um API-Tokens, die zur Authentifizierung von automatisierten IT-Prozessen, Zertifikaten, Containern, Automatisierungstools, Service-Accounts und KI-Agenten genutzt werden. Bereits heute beträgt das Verhältnis von NHIs zu menschlichen Nutzern 82 zu 1. Durch den zunehmenden Einsatz agentischer KI wird die Zahl der NHIs weiter steigen – und damit auch die Angriffsfläche. Das stellt Unternehmen vor neue Herausforderungen beim Identitäts- und Zugangsmanagement (IAM). Laut Rubrik Zero Labs Report planen 87 Prozent der IT- und Security-Manager derzeit einen Wechsel des IAM-Anbieters oder haben diesen Prozess bereits eingeleitet, während sogar 89 Prozent im nächsten Jahr neue Fachkräfte für den Bereich Identity Security und -Infrastructure einstellen wollen.
Identitäts-Resilienz aufbauen
Um sich angemessen zu schützen, müssen Unternehmen ein umfassendes IAM aufbauen und Identitäten als neuen Perimeter in ihre Sicherheitsstrategie integrieren. So erhalten Unternehmen nicht nur präventive Maßnahmen, sondern auch eine schnelle Wiederherstellung der Identitätsinfrastruktur im Falle eines Cyberangriffs. Zunächst sollten Unternehmen Transparenz über sämtliche Identitäten gewinnen: Welche Systeme müssen von der Umgebung abgetrennt werden, wenn ein Cloud-API-Schlüssel kompromittiert wurde? Wie reagieren wir, wenn ein Hacker ein Admin-Konto für Okta oder Active Directory gekapert hat? Können wir das Problem schnellstmöglich isolieren und eine erneute Authentifizierung betroffener Nutzer erzwingen? Um solche Fragen zu beantworten, brauchen Unternehmen Echtzeittransparenz und sichere Offline-Backups ihrer Identitätsinfrastruktur. Ein konsequenter Zero-Trust-Ansatz kann außerdem die Angriffsfläche und das Schadensausmaß minimieren. Jede Zugriffsanfrage – unabhängig davon, ob sie von einer Entität innerhalb oder außerhalb des Netzwerks gestellt wird – muss authentifiziert, autorisiert und verschlüsselt werden.
Fazit
Echte Cyber-Resilienz erfordert auch Identitäts-Resilienz. Während die Angriffsfläche durch NHIs wächst und das Risiko für identitätsbasierte Vorfälle steigt, müssen Unternehmen den Schutz und die Wiederherstellung von Identitäten in ihre Sicherheitsstrategie integrieren. Neben Maßnahmen zur Cybersecurity sind kontinuierliches Risikomanagement, eine schnelle Incident Response und die Sicherung der Geschäftskontinuität unverzichtbar. Wer dabei Identitäten als neuen Perimeter berücksichtigt, kann seine Cyber-Resilienz strategisch weiterentwickeln.
