Eintrittskarte Nutzerkonto

Warum jüngste Ransomware-Angriffe nur einen einzigen Login brauchten

Cyberangriff, Ransomware Angriff, gestohlene Anmeldedaten, Angriff auf Jaguar Land Rover, Drittanbieter-Zugriff, Ransomware, Anmeldedaten
LinkedInRedditWhatsApp

Mit einem Schaden von über zwei Milliarden Euro gilt der der Ransomware-Angriff auf Jaguar Land Rover (JLR) im vergangenen September als wirtschaftlich schädlichster Cyberangriff der europäischen Geschichte – ausgelöst durch erbeutete Anmeldedaten eines Drittanbieters.

Thomas Müller-Martin von Omada Identity analysiert in diesem Kommentar anhand jüngster Fälle von Ransomware-Angriffen und den Methoden von Hackergruppen wie Storm-0501, warum Identity Security im KI-Zeitalter das Zentrum moderner Sicherheitsarchitekturen darstellen muss.

Anzeige

Die verheerendsten Ransomware-Angriffe der letzten Monate folgten einem besorgniserregend ähnlichen Muster. Dabei brauchte es weder Zero-Day-Exploits noch neuartige Schadsoftware-Varianten. Stattdessen verschafften sich die Täter mit erbeuteten Anmeldedaten und unkontrollierten Identitäten Zugang zu kritischen Systemen. Ob bei einem Automobilkonzern, einem Einzelhandelsriesen oder in hybriden Cloud-Umgebungen: Das Nutzerkonto war die Eintrittskarte und mangelhafte Zugriffskontrolle hielt die Tür offen.

Drei jüngste Vorfälle zeigen exemplarisch, wie Angreifer dieses Muster ausnutzen und welche Rolle Identity Security bei der Prävention spielen kann.

Wenn Benutzername und Passwort zur Waffe werden

Eines der prominentesten aktuellen Beispiele dafür, wie verheerend Ransomware-Attacken enden können, kommt aus Großbritannien. Im September 2025 erlitt Jaguar Land Rover (JLR) den wirtschaftlich schädlichsten Cyberangriff in der britischen Geschichte. Der Schaden: fast vier Wochen Produktionsausfall in Werken weltweit, geschätzte Kosten von 1,9 Milliarden Pfund und Auswirkungen auf über 5.000 Unternehmen in der Lieferkette. Der Weg ins Netzwerk war dabei fast banal. Mithilfe von Infostealer-Malware erbeuteten die Täter Anmeldedaten. Darunter waren auch die eines Drittanbieters mit Zugriff auf das Jira-System von JLR. Einmal im System, bewegten sich die Hintermänner dann mit gültigen Konten lateral durch die gesamte IT-Landschaft und verteilten schließlich die Ransomware.

Anzeige

Nur wenige Monate zuvor traf es den britischen Einzelhandelskonzern Marks & Spencer, eines der bekanntesten Handelsunternehmen des Landes. Der Vorfall wird der Gruppe Scattered Spider zugeschrieben und begann mit Social Engineering beim IT-Service-Desk eines Drittanbieters. Die Täter gaben sich als Mitarbeiter aus, erhielten eine Passwortzurücksetzung und hatten innerhalb weniger Stunden hatten sie uneingeschränkten Zugang zu Unternehmensdaten. Infolgedessen gab es bei Marks & Spencer 46 Tage lang keine Möglichkeit, online zu bestellen. Dazu kamen rund 300 Millionen Pfund entgangener Gewinn und über eine Milliarde Pfund Marktwertverlust.

Dass dies keine Einzelfälle sind, bestätigt der 2025 Verizon Data Breach Investigations Report: Der Missbrauch von Anmeldedaten bleibt demnach der dominierende Angriffsvektor und tritt in 22 Prozent aller Sicherheitsverletzungen auf. Noch alarmierender: Die Beteiligung Dritter an solchen Vorfällen ist im Jahresvergleich von 15 auf 30 Prozent gestiegen.

Nicht-menschliche Identitäten fliegen oft unter dem Radar

Während Unternehmen ihre Governance-Frameworks überwiegend auf menschliche Nutzer ausrichten, bleiben nicht-menschliche Identitäten oft außen vor. Oft vergessen werden nämlich Dienstkonten, Synchronisierungskonten und automatisierte Credentials, die Systeme miteinander verbinden. Diese Konten verfügen häufig über weitreichende Privilegien, werden selten überprüft und funktionieren ohne Multi-Faktor-Authentifizierung.

Ein weiteres düsteres Beispiel liefert die von Microsoft entdeckte Ransomware-Gruppe Storm-0501. Nachdem die Täter in lokale Umgebungen eingedrungen waren, entdeckten sie ein Dienstkonto, das Identitäten zwischen On-Premises-Systemen und der Cloud synchronisierte. Das Konto hatte keinen menschlichen Eigentümer, verfügte über vollständige Administratorrechte für die gesamte Cloud-Umgebung und war nicht durch MFA geschützt. Mit legitimen Cloud-Verwaltungstools erbeuteten die Täter sensible Daten, löschten virtuelle Maschinen, Backups und Snapshots. Dann nahmen sie das gesamte Unternehmen als Geisel, indem sie dessen Cloud-Infrastruktur zerstörten.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Im Notfall kann fehlende Transparenz teuer sein

Allen diesen Vorfällen liegt ein strukturelles Problem zugrunde: Zugriff wird schneller gewährt als er geprüft wird. Wie schnell sich Berechtigungen unkontrolliert ansammeln, zeigt ein typisches Szenario: Ein Mitarbeiter startet im Marketingteam und erhält Zugriffsrechte für das Content-Management-System und Collaboration-Tools. Ein Jahr später wechselt er ins Produktmanagement, dann zum Vertrieb. All das ist nicht mal ein untypisches Beispiel für interne Jobrotation. Mit jedem Wechsel kommen neue Rechte hinzu und die alten bleiben bestehen. Die Marketing-Berechtigungen liegen in einem System, die Produktrechte in einem anderen, die Cloud-Rechte wiederum verteilen sich auf AWS, Azure und Google Cloud. Unterwegs haben alle Verantwortlichen den Überblick verloren, welche Rechte nun überhaupt vergeben worden sind. Wird ein solches Konto gekapert, erstreckt sich der Schaden über alle diese Systeme. Niemand kann dann schnell genug einschätzen, wie weit der Explosionsradius reicht.

Genau das machte allein die Reaktionszeit beim JLR-Beispiel so kostspielig. Ohne Einblick in die betroffenen Identitäten und deren Zugriffsbereiche war die einzige sichere Option, alles offline zu nehmen. Vier Wochen Stillstand, weil die zentrale Frage nicht beantwortet werden konnte: Wer hat Zugriff auf was?

Prävention durch Identity Governance

Identity Security setzt genau an dieser Stelle an. Sie aggregiert Identitätsdaten aus der gesamten Umgebung, von Verzeichnissen, über Cloud-Identitätsanbietern, HR-Systemen, bis hin zu SaaS-Anwendungen. Daraus kann sie dann eine einheitliche Ansicht erstellen und im Ernstfall die obige entscheidende Frage zu beantworten, wer gerade worauf Zugriff hat.

Auf dieser Transparenz bauen konkrete Schutzmaßnahmen auf. Automatisiertes Lebenszyklusmanagement schließt verwaiste Konten, sprich inaktive Konten mit (schlimmstenfalls) vielen Zugriffsrechten oder Privilegien, innerhalb von Minuten nach dem Ausscheiden eines Mitarbeiters. Der Anspruch von Sicherheitsverantwortlichen muss sein, dass sich diese Zeit in Minuten berechnet und nicht in Wochen. Zudem sollten Zugriffszertifizierungen angesammelte Rechte regelmäßig zur Überprüfung bringen. Besonders risikoreiche Kombinationen sollten in automatisierten Analysen hervorgehoben werden und die Aufmerksamkeit auf Konten lenken, die sofortige Limitierung erfordern.

Obendrein darf man einen Umstand nicht vergessen: Identitäten von Drittanbietern unterliegen denselben Governance-Regeln wie die von internen Mitarbeitern. Sie brauchen zeitlich begrenzten Zugriff mit klarer Zuständigkeit, minimale Rechte und den automatisierten Entzug selbiger nach Auftragsende. Hätte ein solches Framework bei JLR oder M&S bestanden, wäre womöglich der übernommene Drittanbieter-Zugang weder zeitlich unbegrenzt noch mit übermäßigen Privilegien ausgestattet gewesen.

Auch nicht-menschliche Identitäten gehören durch richtlinienbasierte Governance geregelt. Dazu gehören Maßnahmen wie die automatisierte Rotation von Credentials, Anomalieerkennung und klare Eigentümerschaft. In einer ordnungsgemäß verwalteten Umgebung wäre das Dienstkonto, das die Storm-0501-Angriffe ermöglichte, sofort als Hochrisiko-Berechtigung aufgefallen.

Weniger Angriffsfläche, weniger Schaden

Die Verringerung der Angriffsfläche für Identitäten ist die wirksamste Verteidigungslinie gegen Ransomware. Je weniger zu erbeutende Anmeldedaten es gibt, desto weniger Privilegien können missbraucht werden und desto geringer ist der Spielraum für laterale Bewegung durch die Netzwerkumgebung. Selbst ein erfolgreicher Diebstahl von Zugangsdaten führt dann nur zu begrenztem Schaden statt zu einer Katastrophe.

Doch Identity Security wirkt nicht nur präventiv. Wenn Angriffe dennoch stattfinden, bildet sie die Grundlage für schnelle Durchdringung der Situation und gezielte Reaktion. Dann braucht es auch keine wochenlange Notabschaltung. Unternehmen, die heute in umfassende Identity Security investieren, kennen ihre Angriffsfläche, wissen, wie weit sich eine Kompromittierung ausbreiten kann, und verfügen über die Kontrollen, um den Schaden zu begrenzen, bevor die ersten Anmeldedaten gestohlen werden.


Thomas Müller-Martin Omada

Thomas

Müller-Martin

Global Partner Lead

Omada

Anzeige

Artikel zu diesem Thema

Cyberangriffe, Firewall Schwachstellen, Ransomware 2025, Ransomware, Cyberattacken
19. Februar 2026
90 Prozent der Ransomware-Angriffe umgehen Firewalls
Jaguar Land Rover
13. Oktober 2025
Cyberangriff auf Jaguar Land Rover: Russland im Verdacht?
Marks and Spencer
9. Juli 2025
Marks & Spencer: Social Engineering öffnete Hackern die Tür
Authentifizierung, MFA, Multi-Faktor-Authentifizierung, IAM
4. April 2025
MFA wird zur Schlüsseltechnologie der IT-Sicherheit

Weitere Artikel

Einbruch war gestern – Hacker loggen sich heute einfach ein
eIDAS 2.0 – Warum Regulierung nicht reicht
Zero Trust Konzepte gewinnen auch bei vernetzten Betriebssystemen und IoT-Geräten an Bedeutung
SpecterOps erweitert Identity Attack Path Management
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.