Kim Icon
Malware war gestern. Wer heute in Unternehmen einbricht, klaut keine Software auf fremde Computer – er stiehlt Identitäten. Laut dem CrowdStrike Global Threat Report missbrauchten kriminelle Gruppen in 80 Prozent aller Cyberangriffe keine technischen Schwachstellen, sondern verwendeten einfach echte Zugangsdaten. Das verändert alles. Diese Angriffe können zu ernsthaftem Identitätsdiebstahl führen, der erhebliche Folgen für Unternehmen hat.
Es gibt einen Satz in der IT-Sicherheit, der sich von einer provokanten These zu einer statistisch belegten Tatsache entwickelt hat: „Angreifer loggen sich ein – sie brechen nicht ein.“ Was wie ein cleveres Wortspiel klingt, beschreibt eine fundamentale Verschiebung in der Angriffsstrategie, die oft in Identitätsdiebstahl endet.
Klassische Malware – Trojaner, Viren, Würmer – hat ein Problem: Sie wird erkannt. Antivirenprogramme, Endpoint-Detection-Systeme und verhaltensbasierte Analysen sind in den letzten Jahren deutlich besser geworden. Malware zu schreiben, die zuverlässig durch diese Filter kommt, ist aufwendig, teuer und zunehmend riskant.
Gestohlene Zugangsdaten hingegen lösen keine Alarme aus. Ein Angreifer, der sich mit einem echten Benutzernamen und einem echten Passwort anmeldet, sieht für viele Systeme aus wie ein legitimer Mitarbeitender. Der Einbruch hat bereits stattgefunden – die Systeme wissen es nur noch nicht. Das ist das Tückische an Identity Abuse: Der Schaden entsteht unsichtbar und kann in Identitätsdiebstahl münden.
Wir bei digital-magazin.de haben die aktuellen Sicherheitsberichte analysiert und stießen dabei auf eine klare Botschaft: Identity Abuse ist die Angriffsmethode der Stunde. Und die meisten Unternehmen sind nicht vorbereitet.
Der Markt für gestohlene Zugangsdaten ist erschreckend gut organisiert. Im Darkweb werden täglich Millionen von Datensätzen gehandelt. Credential-Stuffing-Angriffe – bei denen Listen gestohlener Nutzername-Passwort-Kombinationen automatisch gegen tausende von Diensten getestet werden – haben sich zu einem Massenphänomen entwickelt.
Quellen für diese Datensätze sind vielfältig:
Das Perverse daran: Selbst wer noch nie direkt angegriffen wurde, kann von gestohlenen Zugangsdaten betroffen sein. Wenn ein Mitarbeitender dasselbe Passwort für ein privates Konto und die Unternehmensanwendung verwendet, reicht ein einziger Datenbreach anderswo. Und solche Wiederverwendungen sind trotz aller Warnungen noch immer die Regel, nicht die Ausnahme.
Eine Studie von LastPass aus dem Jahr 2023 zeigte, dass über 62 Prozent der Beschäftigten dasselbe Passwort für mehrere Accounts nutzen. Das ist nicht Bequemlichkeit – das ist ein strukturelles Sicherheitsrisiko.
Wie sieht ein identitätsbasierter Angriff konkret aus? Ein typisches Szenario: Ein Angreifer kauft im Darkweb gestohlene VPN-Zugangsdaten eines Mitarbeitenden. Er meldet sich außerhalb der Geschäftszeiten an – von einer IP-Adresse im Ausland, aber das fällt nicht auf, weil keine entsprechende Alarmierung konfiguriert ist. Von dort bewegt er sich lateral im Netzwerk, eskaliert Privilegien und installiert schließlich Ransomware.
Technisch gesehen hat er dabei keine einzige Schwachstelle ausgenutzt. Er hat einfach Türen geöffnet, für die er die Schlüssel hatte.
Ein anderes Szenario: Business Email Compromise (BEC). Angreifer übernehmen das E-Mail-Konto einer Führungskraft oder fälschen es so überzeugend, dass Mitarbeitende Zahlungen autorisieren oder sensible Informationen weitergeben. Der durchschnittliche Schaden pro BEC-Angriff lag laut FBI-Bericht 2024 bei über 125.000 Dollar. In der Summe ist BEC der finanziell schädlichste Typ von Cyberkriminalität weltweit.
Dann gibt es Account-Takeover-Angriffe auf Cloud-Dienste. Office 365, Google Workspace, Salesforce – diese Plattformen sind Goldgruben für Angreifer, weil sie Zugang zu E-Mails, Dokumenten, Kundendaten und Kommunikation bieten. Wer dort eindringt, hat oft Monate Zeit, unbemerkt zu operieren.
Spannend wird es auch bei der Frage, welche Rolle KI selbst als Insider-Bedrohung im Unternehmen spielen kann – ein Aspekt, der bislang zu wenig Beachtung findet, aber in Zukunft an Bedeutung gewinnen wird.
Firewalls, Antivirenprogramme und Perimeterschutz wurden für eine andere Bedrohungslandschaft entwickelt. Wenn der Angreifer sich mit gültigen Anmeldedaten anmeldet, helfen diese Werkzeuge nicht weiter. Das System sieht einen regulären Vorgang.
Selbst Multi-Faktor-Authentifizierung (MFA), lange als goldene Lösung gehandelt, hat Schwachstellen. MFA-Fatigue-Angriffe – bei denen Opfer so lange mit Authentifizierungsanfragen bombardiert werden, bis sie aus Frustration bestätigen – haben sich als erschreckend effektiv erwiesen. Der spektakuläre Uber-Hack von 2022 begann genau so: Ein Teenager im britischen Leatherhead schickte einem Uber-Mitarbeitenden so lange WhatsApp-Nachrichten und MFA-Anfragen, bis dieser bestätigte – schlicht um Ruhe zu haben.
Push-basierte MFA ist damit zwar noch besser als kein MFA, aber kein Allheilmittel. Phishing-resistente Methoden wie FIDO2-Hardware-Keys sind deutlich robuster – aber auch deutlich aufwendiger in der Einführung und beim Nutzer oft unbeliebt.
Session-Hijacking ist eine weitere Methode, die MFA komplett umgeht: Angreifer stehlen nicht das Passwort, sondern den bereits authentifizierten Session-Token. Das ist möglich, wenn Phishing-Kits als Proxy zwischen Nutzendem und echtem Dienst agieren – Evilginx2 ist ein bekanntes Beispiel für solche Adversary-in-the-Middle-Angriffe.
Mehrere Maßnahmen haben sich in der Praxis als besonders wirksam erwiesen. Keine davon ist ein einzelner Silverbullet – es geht um Schichten von Schutz, die zusammenwirken.
Identity Threat Detection and Response (ITDR): Systeme, die Identitätsnutzung kontinuierlich auf Anomalien überwachen. Loggt sich ein Nutzender zur ungewöhnlichen Zeit von einem unbekannten Gerät in einer anderen Stadt an? Das sollte einen Alarm auslösen und eine erneute Verifikation erfordern. Diese Lösungen analysieren Verhaltensmuster und erkennen Abweichungen – auch wenn die Zugangsdaten an sich korrekt sind.
Privileged Access Management (PAM): Administrative Konten mit weitreichenden Rechten sind besonders wertvolle Ziele. PAM-Lösungen begrenzen, wer wann auf welche Systeme zugreifen kann – und protokollieren jeden Zugriff lückenlos. Just-in-Time-Zugriff bedeutet: Privilegien werden nur für den Zeitraum gewährt, in dem sie tatsächlich gebraucht werden, und danach automatisch entzogen.
Passwort-Hygiene und Credential Monitoring: Services wie HaveIBeenPwned prüfen, ob bekannte Unternehmens-E-Mail-Adressen in Dataleaks aufgetaucht sind. Professionellere Lösungen überwachen das Darkweb kontinuierlich nach gestohlenen Firmenzugangsdaten – und alarmieren, bevor Angreifer die Daten nutzen.
Phishing-resistente MFA: FIDO2-basierte Authentifizierung mit Hardware-Keys wie YubiKey ist die robusteste verfügbare Methode. Angriffe wie Session-Hijacking und MFA-Fatigue funktionieren dagegen nicht. Der Aufwand für die Einführung ist höher, aber bei sensiblen Systemen klar empfehlenswert.
Das European Union Agency for Cybersecurity (ENISA) im Threat Landscape 2024 listet identitätsbezogene Angriffe als eine der wichtigsten Bedrohungskategorien und empfiehlt explizit den Ausbau von Identity-Security-Fähigkeiten als Priorität für Unternehmen aller Größen.
Ein weiterer kritischer Punkt ist das Thema Zero Trust Architecture: Statt ein großes, vertrauenswürdiges Netzwerk zu haben, in dem sich jeder frei bewegen kann, wird jede Ressource individuell gesichert. Auch wer bereits im Netzwerk ist, muss sich ständig neu ausweisen. Das Prinzip „niemals vertrauen, immer verifizieren“ ist der logische Gegenentwurf zur Welt, in der gestohlene Zugangsdaten kompletten Zugang ermöglichen. Wer versteht, warum Sicherheit bei der Digitalisierung strategisch gedacht werden muss, erkennt schnell: Identity Security ist kein Tool, das man kauft und installiert – es ist ein Prinzip, das die gesamte Architektur durchdringen muss.
Schließlich sollte auch das Thema Identity Governance nicht unterschätzt werden. Viele Unternehmen haben ein Problem mit „Zugriffsrechte-Wildwuchs“: Mitarbeitende, die die Abteilung gewechselt haben, behalten alte Zugriffsrechte. Ausgeschiedene Beschäftigte haben teilweise noch monatelang aktive Konten. Ehemalige Dienstleister mit Remote-Zugängen werden nicht systematisch deaktiviert. Eine regelmäßige Überprüfung aller Zugriffsrechte – Access Recertification – sollte zum Pflichtprogramm gehören.
Hand aufs Herz: Die meisten erfolgreichen Identitätsdiebstähle beginnen mit einem menschlichen Fehler. Ein Link geklickt, ein Anruf beantwortet, ein Passwort zu einfach gewählt. Das ist keine Dummheit – das ist menschliches Verhalten in einer Umgebung, die für Täuschung optimiert wurde.
Security Awareness Training ist deshalb kein Nice-to-have, sondern eine Kerninvestition. Nicht als einmalige Pflichtübung, sondern als kontinuierlicher Prozess. Mitarbeitende müssen verstehen, warum sie Ziel sind, wie Angriffe aussehen und wie sie verdächtige Vorfälle melden können – ohne Angst vor Konsequenzen.
Der Kulturwandel ist dabei entscheidend: Wer einen Fehler meldet, sollte Lob bekommen – nicht Bestrafung. Unternehmen, die eine Blame-Culture haben, erfahren von Sicherheitsvorfällen zu spät oder gar nicht. Das ist weit gefährlicher als der ursprüngliche Fehler. Ein Mitarbeitender, der auf einen Phishing-Link geklickt hat, aber sofort Bescheid gibt, ist ein Asset. Einer, der es aus Scham verschweigt, ist ein Risiko.
Phishing-Simulationen – kontrollierte, falsche Phishing-E-Mails, die intern verschickt werden – sind ein bewährtes Mittel, um das Bewusstsein zu schärfen und den Trainingsstand zu messen. Wichtig ist dabei: Sie dürfen nicht dazu dienen, Mitarbeitende zu beschämen. Das Ziel ist Lernen, nicht Abschreckung.
Das BSI empfiehlt in seinen Leitfäden explizit regelmäßige Phishing-Simulationen und strukturierte Awareness-Programme als Teil einer umfassenden Sicherheitsstrategie – kombiniert mit technischen Maßnahmen, nicht als Ersatz dafür.
Wer mehr darüber erfahren möchte, wie KI die Erkennung von Identitätsmissbrauch verbessern kann, findet in unserer ausführlichen Analyse zum Thema KI in der Cybersicherheit hilfreiche Einblicke.
Identity Abuse wird nicht verschwinden. Die Menge an im Internet kursierenden Zugangsdaten wächst jedes Jahr. Die Werkzeuge für Credential-Stuffing und Phishing werden besser. Die Angreifer professioneller und arbeitsteiliger.
Die Frage ist nicht, ob ein Unternehmen angegriffen werden wird – sondern wann und wie gut es vorbereitet ist. Wer jetzt anfängt, Identity Security ernst zu nehmen, ist in einer besseren Position als jemand, der wartet, bis der erste Vorfall eingetreten ist.
Und der erste Schritt ist oft erschreckend einfach: Wissen, welche Konten im eigenen Unternehmen administrative Rechte haben – und warum. Erschreckend oft lautet die ehrliche Antwort: niemand weiß es genau. Das zu ändern ist weder teuer noch besonders komplex. Es erfordert nur den politischen Willen, das Thema anzugehen.
