Dezentralisierung der Softwarebeschaffung

ITDR im SaaS-Dschungel: Identitätsschutz ohne klassisches IAM

SaaS

Identity Threat Detection and Response schließt die Überwachungslücke bei unmanaged SaaS-Diensten und meldet Verhaltensanomalien in Echtzeit.

Die fortschreitende Digitalisierung von Geschäftsprozessen hat zu einer Dezentralisierung der Softwarebeschaffung geführt. Fachabteilungen erwerben eigenständig Anwendungen über das Software-as-a-Service-Modell, um spezifische Aufgaben ohne zeitliche Verzögerung zu lösen. Diese Entwicklung führt zu einer unregulierten Zunahme von Cloud-Diensten, die sich der Kontrolle der zentralen IT-Abteilung entziehen.

Anzeige

Das klassische Identity and Access Management ist darauf ausgelegt, Zugriffe auf bekannte, intern verwaltete Anwendungen zu steuern und zu überwachen. Sobald Mitarbeitende jedoch geschäftliche oder private Identitäten nutzen, um sich direkt bei unmanaged SaaS-Plattformen anzumelden, verliert das System seine Schutzwirkung. In dieser Kontrolllücke setzt die Disziplin der Identity Threat Detection and Response (ITDR) an, um Identitätsbedrohungen auch dort sichtbar zu machen, wo keine direkte Systemintegration vorliegt.

Die operative Blindheit herkömmlicher Zugriffssteuerungen

Klassische Schutzkonzepte basieren auf der Annahme, dass alle Unternehmensanwendungen über das zentrale Single-Sign-On-Verfahren angebunden sind. In der Praxis nutzen Angestellte jedoch häufig Kreditkarten der Fachabteilungen oder Registrierungen über offene OAuth-Schnittstellen, um isolierte Projektmanagement-Tools, Datenanalyse-Plattformen oder generative KI-Dienste zu aktivieren. Da diese Anwendungen nicht im zentralen Verzeichnisdienst wie Microsoft Entra ID oder Okta registriert sind, können etablierte Governance-Richtlinien dort nicht durchgesetzt werden.

Die IT-Sicherheitsleitung hat in diesem Szenario keine Kontrolle darüber, ob für diese externen Konten sichere Passwörter verwendet werden oder ob eine Multi-Faktor-Authentifizierung active ist. Verlässt ein Mitarbeiter das Unternehmen, bleibt der Zugang zur dezentralen SaaS-Landschaft oft unbemerkt bestehen. Traditionelle Identity-Governance-Systeme dokumentieren diesen Zustand nicht, da sie nur managed Applikationen inventarisieren können. Die Identität wird somit zum primären Angriffsvektor, da Kriminelle über kompromittierte Zugangsdaten unmanaged Plattformen infiltrieren können, um dort sensible Unternehmensdaten abzuschöpfen.

Anzeige

Etablierung von ITDR als eigenständige Sicherheitskategorie

Das Analystenhaus Gartner hat auf diese veränderte Bedrohungslage reagiert und die Kategorie Identity Threat Detection and Response definiert. ITDR beschreibt eine Sammlung von Werkzeugen und Best Practices, die speziell darauf ausgerichtet sind, die Identitätsinfrastruktur selbst vor Angriffen zu schützen und Missbrauchsversuche in Echtzeit zu erkennen. Während IAM den legitimen Zugriff verwaltet, überwacht ITDR die Integrität der Identitäten und sucht nach Mustern böswilliger Aktivitäten.

Die Dringlichkeit dieser Technologie wird durch empirische Daten aus globalen Sicherheitsanalysen gestützt. Der CrowdStrike Global Threat Report belegt kontinuierlich, dass bei einer überwältigenden Mehrheit der cyberkriminellen Angriffe legitime Zugangsdaten missbraucht werden, anstatt technische Software-Schachstellen auszunutzen. Der Verizon Data Breach Investigations Report bestätigt zudem, dass der Diebstahl von Identitäten über Phishing oder Infostealer-Malware das effektivste Werkzeug für Angreifer darstellt. ITDR fungiert hierbei als Bindeglied, das Telemetriedaten aus Verzeichnisdiensten, Endgeräten und dem Netzwerkverkehr zusammenführt, um verdeckte Identitätsrisiken zu analysieren.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Erkennung von Verhaltensanomalien ohne direkte Applikations-Schnittstelle

Das technische Problem bei unmanaged SaaS-Landschaften ist das Fehlen von Protokolldateien, die direkt an das Sicherheitszentrum des Unternehmens übermittelt werden. Ein isoliertes Grafiktool sendet keine Audit-Logs an das interne SIEM-System. ITDR-Lösungen lösen dieses Dilemma, indem sie die Überwachung auf die Zugriffsebene und das Endgerät verlagern.

Wenn ein Mitarbeiter von seinem geschäftlichen Laptop aus auf eine unmanaged Cloud-Plattform zugreift, generiert dieser Vorgang spezifische Spuren in der lokalen Systemumgebung und im Netzwerkverkehr. ITDR-Agenten auf den Endpunkten analysieren das Verhalten des Browsers, die Validität von Sitzungscookies und die Generierung von Authentifizierungs-Token. Das System vergleicht diese Echtzeitdaten mit dem historischen Verhaltensprofil des jeweiligen Nutzers. Weicht die Aktivität signifikant von der Norm ab, schlägt das System Alarm, noch bevor Daten auf der externen Plattform manipulierte oder exfiltriert werden können.

Typische Angriffsmuster im Visier der Anomalieerkennung

Die softwarebasierte Verhaltensanalyse konzentriert sich auf mehrere Indikatoren, die auf eine Kompromittierung der Identität hindeuten. Ein primärer Indikator ist das Phänomen des unplausiblen Reisens, im Fachjargon Impossible Travel genannt. Meldet sich eine Identität innerhalb weniger Minuten zuerst aus einer IP-Adresszeile in Frankfurt am Main und kurz darauf aus einem Rechenzentrum in Südostasien an, blockiert das ITDR-System den Zugriff und erzwingt eine sofortige Neu-Verifikation.

Ein weiteres kritisches Szenario ist der Diebstahl von Sitzungscookies durch hochentwickelte Schadsoftware. Angreifer nutzen diese Methode, um bestehende, bereits per Multi-Faktor-Authentifizierung verifizierte Sitzungen zu kopieren und auf eigenen Systemen zu reaktivieren. ITDR-Systeme erkennen diesen Identitätsdiebstahl, indem sie die hardwarenahen Attribute der Verbindung überwachen. Ändert sich während einer aktiven Sitzung abrupt der User-Agent des Browsers, die TLS-Fingerprint-Charakteristik oder die zugrundeliegende Systemarchitektur des anfragenden Geräts, wird dies als kritische Verhaltensanomalie gewertet. Das System erkennt, dass zwar scheinbar gültige Zugangsdaten verwendet werden, der Akteur hinter der Verbindung jedoch ausgetauscht wurde.

Integration von ITDR in das übergeordnete Sicherheitsmanagement

Für die operative Effizienz im Security Operations Center ist die isolierte Betrachtung von Identitätswarnungen unzureichend. Moderne Sicherheitsarchitekturen integrieren ITDR-Schnittstellen direkt in Extended Detection and Response Plattformen und SIEM-Systeme. Dies ermöglicht eine kontextuelle Korrelation der Ereignisse über verschiedene Infrastrukturschichten hinweg.

Registriert ein ITDR-System beispielsweise eine ungewöhnliche OAuth-Berechtigungserteilung für eine unmanaged SaaS-Anwendung durch einen Benutzer, gleicht das System diesen Vorfall sofort mit den Endpunktdaten ab. Hat das Endgerät des Nutzers kurz zuvor eine verdächtige Datei heruntergeladen, verknüpft die Analyseplattform diese isolierten Ereignisse zu einem kohärenten Vorfallsbericht. Das IT-Sicherheitsmanagement erhält dadurch eine präzise Übersicht der Angriffskette und kann automatisierte Gegenmaßnahmen einleiten, wie das temporäre Einfrieren des Benutzerkontos im zentralen Verzeichnisdienst oder das serverweite Isolieren des betroffenen Endgeräts.

Strategische Relevanz für die Einhaltung von Compliance-Vorgaben

Neben der Abwehr akuter Cyberbedrohungen erfüllt der Einsatz von ITDR in unmanaged IT-Landschaften eine wichtige Funktion bei der Erfüllung regulatorischer Anforderungen. Richtlinien wie die europäische NIS-2-Verordnung oder branchenspezifische Compliance-Vorgaben fordern von Unternehmen den Nachweis einer lückenlosen Kontrolle über alle datenverarbeitenden Prozesse. Schatten-IT stellt in diesem Kontext ein erhebliches Haftungsrisiko für die Geschäftsführung dar.

ITDR-Systeme unterstützen Audits, indem sie kontinuierliche Berichte über das tatsächliche Nutzungsverhalten dezentraler Softwareplattformen generieren. Sie dokumentieren, welche Konten auf welche externen Ressourcen zugreifen und wo unbefugte Datenflüsse stattfinden. Diese Transparenz ermöglicht es dem IT-Management, unregulierte SaaS-Anwendungen systematisch zu identifizieren und sie entweder kontrolliert zu sperren oder durch die Überführung in das managed IAM-Portfolio formell zu legalisieren. Das Identitätsmanagement wandelt sich dadurch von einer statischen Zugriffsverwaltung zu einer dynamischen Kontrollinstanz, die die informationelle Souveränität des Unternehmens im Cloud-Zeitalter sicherstellt.

Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.