Sicherheit von Identitäten: Aktuelle Trends | SITS
Blog

Sicherheit von Identitäten: Aktuelle Trends

Benutzeridentitäten gelten im digitalen Zeitalter als erste Verteidigungslinie. Welche Tricks wenden Cyber-Kriminelle an, um sich dennoch Zugang zu verschaffen? Und wie lässt sich das verhindern?
5 min.
09. Dezember 2024

In wenigen Wochen steht der Jahreswechsel an – ein guter Zeitpunkt, um auf ein ereignisreiches Jahr 2024 zurückzublicken.

Die vergangenen Monate waren geprägt von zahlreichen Meldungen, die das Thema Cyber-Kriminalität in den Fokus der breiten Öffentlichkeit gerückt haben. So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem jüngsten Bericht zur IT-Sicherheitslage, der auf den Daten des AV-TEST Instituts (Mitglied der SITS Group) basiert, erneut eine erhöhte Bedrohungslage für Deutschland festgestellt. Als größte operative Bedrohung der IT-Sicherheit gelten Ransomware-Angriffe. Die zunehmende globale Vernetzung und Abhängigkeiten in den Lieferketten vergrößern zudem die Angriffsfläche erheblich. Diese Beobachtungen decken sich mit den Cyber Security-Trends, die im Microsoft Digital Defense Report 2024 analysiert werden. Der im Oktober veröffentlichte Bericht liefert einige eindrucksvolle Zahlen, die jedem Entscheidungsverantwortlichen im Bereich IT-Sicherheit zu denken geben sollten:

  • Passwortbasierte Angriffe: Laut Digital Defense Report zielen mehr als 99 % der Identitätsangriffe auf Passwörter ab. Diese Angriffe machen sich häufig vorhersehbare menschliche Verhaltensweisen zunutze, etwa leicht zu erratende Kennwörter und deren Wiederverwendung auf mehreren Websites.
  • Phishing und Social Engineering: Diese Methoden werden häufig eingesetzt, um Anmeldeinformationen zu stehlen. Angreifer nutzen dabei gefälschte E-Mails oder Webseiten, um Benutzer dazu zu bringen, ihre Zugangsdaten preiszugeben.
  • Ransomware-Angriffe: Deutschland war im Jahr 2024 eines der am stärksten von Ransomware betroffenen Länder. Besonders im Fokus standen kritische Infrastrukturen, vor allem Unternehmen im Bereich IT-Services, Finanzen und Versicherungen sowie im Gesundheits- und Energiesektor.
  • DDoS-Angriffe: Deutschland verzeichnete eine hohe Anzahl von DDoS-Angriffen und steht damit gleich nach den USA an zweiter Stelle der am häufigsten betroffene Länder. Diese Angriffe zielen darauf ab, die Verfügbarkeit von Diensten und damit die Business Continuity zu stören, indem sie Netzwerke mit einer Flut von Anfragen überlasten.

Cyber-Bedrohungen sind real – aber handhabbar

Cyber-Angriffe zählen im digitalen Zeitalter zu den vielen Herausforderungen, mit denen Unternehmen in der Privatwirtschaft und Einrichtungen des öffentlichen Sektors zu tun haben. Und als genau das sollten wir sie auch begreifen: eine unternehmerische Herausforderung, die wir gezielt angehen.

Tatsache ist: Kreativität und Innovationskraft von kriminellen Akteuren sind hoch. Deshalb muss zum einen die Reaktion von Sicherheitsbeauftragten und Verteidigungsteams durchdacht und strategisch sein, und zum anderen braucht es in jedem Unternehmen eine aktive Monitoring- und Abwehrstrategie, die sämtliche Mitarbeitende, alle verwendeten Geräte, Systeme und Anwendungen sowie die Gesamtheit des Firmennetzwerks einschließt.

Betrachten wir beispielhaft Ransomware-Angriffe: Die Bedrohung ist real, und solche Angriffe sorgen aufgrund ihrer breiten Auswirkungen für Schlagzeilen – etwa wegen hoher Lösegeldforderungen oder empfindlichen Betriebsunterbrechungen. Dabei ist wichtig zu wissen: In den meisten Fällen sind Angriffe mit Ransomware bereits die zweite Phase, die sich aus einer Kompromittierung von digitalen Identitäten ergibt. Wenn Sie also den gemeinsamen Nenner der vielen aufmerksamkeitsstarken Schlagzeilen suchen, werden Sie feststellen, dass Identitäten bei den meisten Cyber-Angriffstechniken das Einfallstor Nummer eins sind. Das zeigt, wie wichtig es ist, in Sachen Nutzeridentitäten mit ausgefeilten technischen Sicherheitsmaßnahmen am Ball zu bleiben.

Angriffe auf die Identitätsinfrastruktur: ein sinnbildliches Wellenmodell

Identitätsangriffe lassen sich gut anhand von Wellen visualisieren. Stellen Sie sich die verschiedenen Angriffsarten als einzelne Ozeanwellen vor, die in der Brandung immer stärker werden und sich zu einer „Monsterwelle“ auftürmen können:

Im Folgenden skizzieren wir für jede Welle die entsprechenden Komponenten und deren Eigenschaften. Ergänzend ist festzuhalten, dass es neben der passenden Technologie auch auf ihre „Navigatoren“ – die Admins und User – ankommt sowie auf deren Agilität. Erst durch einen wirklich flexiblen Ansatz können Organisationen mit der nächsten „Monsterwelle“ fertigwerden.

Wir hoffen, dass dieses Framing für Sie ein guter Ausgangspunkt ist, um einen gemeinsamen strategischen Ansatz zu entwickeln, mit dem Sie kritische Identity-Probleme angehen, sich auf neue Bedrohungen vorbereiten und eine passende Lösung für die Absicherung und Verteidigung Ihrer Nutzeridentitäten etablieren können. Dabei stehen wir Ihnen jederzeit gern zur Seite!

Als Plattform für eine moderne Identitäts- und Zugriffsverwaltung empfehlen wir Microsoft Entra. Gestalten Sie mit unseren Experten eine zukunftsweisende Lösung, um in der digitalen Welt von heute das entscheidende Plus an Sicherheit zu gewinnen!

Passwortangriffe

Einfache Passwortangriffe sind allgegenwärtig. Die drei dominierenden Angriffsarten sind:

  • Phishing: Die Phishing-Methoden und -Tricks werden immer raffinierter, sodass sich selbst aufgeklärte User dazu verleiten lassen, ihre Anmeldedaten auf einer gefälschten Website oder als Antwort auf eine SMS oder E-Mail zu übermitteln.
  • Breach Replay: Hierbei verwenden Angreifer gestohlene Anmeldeinformationen (Benutzername und Passwort) aus früheren Datenlecks, um sich bei anderen Diensten anzumelden. Dies ist möglich, weil viele User dieselben Anmeldeinformationen auf mehreren Websites verwenden.
  • Passwort Spray: Mit dieser Vorgehensweise – dem Erraten gängiger Passwörter – ist es für böswillige Akteure leicht möglich, viele Konten zu kapern.

Diese Angriffe sind hochskalierbar. Allein in den Microsoft Cloud-Diensten werden weltweit pro Sekunde mehr als 7.000 Passwortangriffe abgewehrt. Auffällig dabei: Bei über 99,9 % der kompromittierten Konten war keine Multi-Faktor-Authentifizierung (MFA) aktiviert. MFA gilt heute als eine der grundlegendsten Abwehrmaßnahmen für Identitätsangriffe. Sie ist Teil von Microsoft Entra ID (früher Azure Active Directory) und entsprechend einfach bereitzustellen – doch in vielen Organisationen fehlt es an dem Bewusstsein, wie groß (und unverzichtbar!) der Beitrag von MFA zu einer effektiven Sicherheitsstrategie tatsächlich ist. Die entsprechend niedrige Abdeckung öffnet so Angreifern Tür und Tor.

Diese verbesserungswürdige Akzeptanzrate ist zugleich ein Beispiel für ein zentrales Problem: In den meisten Unternehmen sind die Budgets und Ressourcen knapp bemessen und die Sicherheitsteams überfordert, sodass Basismaßnahmen für bessere Cyber-Hygiene immer wieder unkoordiniert versanden. Dabei ist die moderne Multi-Faktor-Authentifizierung mittels Apps oder Token so einfach wie nie zuvor – und für die User reibungsarm oder sogar „unsichtbar“. Bei Microsoft Entra ID ist MFA in allen Lizenzen enthalten, tief in die Verzeichnislösung integriert und ohne zusätzlichen Verwaltungsaufwand einsetzbar.

MFA-Angriffe

Das oben Beschriebene trifft nicht auf Sie zu, da Sie bereits die Multi-Faktor-Authentifizierung aktiviert haben? Perfekt, somit haben Sie den dominierenden Identitätsangriffen bereits effektiv einen Riegel vorgeschoben. Doch Cyber-Kriminelle sind findig – und sie schießen sich auch auf Ziele ein, die hinter der MFA-Barriere liegen. Und dazu greifen sie die Multi-Faktor-Authentifizierung selbst an.

Einige Beispiele:

  • SIM Jacking und andere telefoniebasierte Angriffe (weshalb unser Tipp ist, bei einem Anruf mit einer angeblichen MFA-Verifizierung gleich aufzulegen).
  • MFA-Ermüdung durch   – ein ständiges Senden von Authentifizierungsanfragen, um den Benutzer zu frustrieren oder zu verwirren (weshalb unser Tipp ist, keine einfachen Genehmigungsverfahren anzuwenden).
  • Adversary in the Middle-Angriffe, bei denen Benutzer dazu verleitet werden, eine Interaktion mit der Multi-Faktor-Authentifizierung durchzuführen. Darum ist eine Phishing-resistente Authentifizierung von entscheidender Bedeutung, insbesondere für wichtige Ressourcen in Ihrer Organisation.

Solche Attacken erfordern natürlich mehr Aufwand und Investitionen seitens der Angreifer, sodass ihre Anzahl derzeit noch deutlich geringer ist als klassische Passwortangriffe. Jedoch sollten Sie sich bewusst sein, dass alle genannten Angriffsarten zunehmen. Je weiter die MFA-Durchdringung voranschreitet, desto häufiger wird es auch zu Angriffen auf dieser Sicherheitsebene kommen. Um sie abzuwehren, ist es entscheidend, nicht bloß eine Multi-Faktor-Authentifizierung zu verwenden, sondern die richtige. Wir empfehlen ein Zusammenspiel aus einer Authenticator-App, Windows Hello und FIDO (Fast IDentity Online). Dies ist über die Microsoft Entra-Plattform einfach einzurichten, zu warten, und für die User ergibt sich ein durchgängiges Anwendererlebnis, das die Produktivität nicht beeinträchtigt.

Angriffe nach erfolgter Authentifizierung

Entschlossene Angreifer verwenden Malware auch, um Token von Geräten zu stehlen. So kann ein an sich validierter Benutzer eine korrekte Multi-Faktor-Authentifizierung auf einem genehmigten Gerät durchführen, doch dann werden mithilfe von Credential-Stealern Cookies und Token entwendet und an anderer Stelle genutzt. Diese Methode ist seit etwa drei Jahren immer häufiger zu beobachten und kam in der jüngeren Vergangenheit vor allem bei Angriffen auf hochkarätige Ziele zum Einsatz. Token können auch gestohlen werden, wenn sie falsch protokolliert oder von einer kompromittierten Routing-Infrastruktur abgefangen werden; doch der bei weitem häufigste Mechanismus ist Malware auf einem Gerät.

Wenn sich ein Benutzer als Administrator auf einem Computer anmeldet, ist er sozusagen nur einen Klick vom Token-Diebstahl entfernt. Zentrale Zero Trust-Prinzipien wie effektiver Endpunktschutz, Device Management und vor allem die Verwendung des Zugriffs mit den geringstmöglichen Berechtigungen (etwa eine reine Anmeldung als Benutzer und nicht als Administrator auf Ihren Computern) sind sehr funktionale Verteidigungsmaßnahmen. Achten Sie auf Signale, die auf Token-Diebstahl hinweisen, und fordern Sie eine erneute Authentifizierung für kritische Szenarien an – etwa beim Enrollment neuer Devices in einem Netzwerk.

Ein weiterer Angriff, der ähnlich indirekt erfolgt, ist OAuth Consent Phishing. Bei dieser Methode bringen Kriminelle einen bestehenden Benutzer dazu, einer Anwendung in seinem Namen die Berechtigung für den Zugriff zu erteilen. Angreifer senden einen Link, in dem sie um Zustimmung bitten („Consent Phishing“), und wenn der Benutzer auf den Angriff hereinfällt, kann die Anwendung folglich jederzeit auf die Daten des Benutzers zugreifen. Wie andere Angriffe in dieser Kategorie sind sie selten, nehmen aber zu. Wir empfehlen dringend, zu überprüfen, in welche Anwendungsnutzung Ihre Mitarbeitenden einwilligen, und die Einwilligung auf Anwendungen von verifizierten Herausgebern zu beschränken.

Tipp: Schärfen Sie mit Security-Awareness-Trainings das Bewusstsein Ihrer Belegschaft für Sicherheitsrisiken!

Kompromittierung der Infrastruktur

Je effektiver Sie die Identitätsverwaltung nutzen, um Ihre Organisation zu schützen und eigene Zero Trust-Richtlinien umzusetzen, desto eher richten Angreifer ihre Energie auf die Identitätsinfrastruktur selbst. Ihre Hebel sind dabei vor allem veraltete, ungepatchte oder anderweitig unsichere Schwachstellen in lokalen Netzwerken. So gelangen sie an Interna und Geschäftsgeheimnisse, können Verbundserver kompromittieren oder die Infrastruktur, auf die eine Organisation sich verlässt, anderweitig unterminieren. Dieser Mechanismus ist heimtückisch, da die Angreifer den Zugang zudem oft nutzen, um ihre Spuren zu verwischen. Verlieren Sie die Kontrolle über Ihre Identitäts- und Zugriffsverwaltung, wird es unglaublich schwierig, einen Akteur wieder aus Ihrem Netzwerk zu vertreiben.

Die „Monsterwelle“ brechen

Unser SITS-Expertenteam unterstützt Unternehmen bei der Gestaltung und Bereitstellung einer modernen Identitätsinfrastruktur. Und eines der häufigsten Probleme, die wir beobachten, liegt in dem zunehmenden Volumen und der zunehmenden Intensität von Angriffen: On-Premises und in der Cloud. Technologie erweist sich hier wie so oft als Hebel, um menschliches Können und Fachwissen effektiv zu ergänzen. Investieren Sie weise, und profitieren Sie langfristig.

Die Microsoft Entra-Plattform vereint eine beeindruckende Breite und Tiefe von Sicherheitssignalen und wird zudem ständig um neue Detektions- und Schutzmechanismen für Hybrid- und Multi-Cloud-Umgebungen erweitert. Auch deshalb empfehlen wir sie – als zukunftsfähige und mitwachsende Lösung.

Ein weiterer Tipp ist, sich perspektivisch von älteren On-Premises-Bereitstellungen zu lösen. Diese sind viel schwieriger vor Malware, lateralen Bewegungen und neuen Bedrohungen zu schützen als cloudbasierte Deployments.

Und nicht zuletzt sollten Sie eng mit Ihrem Sicherheitsteam zusammenarbeiten, um dafür zu sorgen, dass privilegierte Nutzerkonten (wie Administratoren) und lokale Server einer besonders engmaschigen Prüfung unterzogen werden. Ebenso sollten Sie den Fokus auch auf nicht-menschliche Identitäten (wie Geräte und Sensoren) sowie die gesamte Infrastruktur richten, in der digitale Identitäten gespeichert und verwaltet werden, um jegliche potenzielle Lücke in Ihrer Sicherheitskette zu schließen.

Gute Vorsätze für 2025 und darüber hinaus

Ganz gleich, ob Sie Administrator in einem großen Unternehmen sind oder gerade erst ein Start-up aus Ihrer Garage heraus gründen: Der Schutz der Benutzeridentitäten ist von entscheidender Bedeutung. Wenn Sie wissen, wer zu welchem Zweck auf Ihre Ressourcen zugreift, schaffen Sie eine Sicherheitsgrundlage, auf der alles andere aufbauen kann.

Wie wäre es mit ein paar guten Neujahrsvorsätzen für Ihre Identity-Security-Initiative?

  1. Schützen Sie alle Ihre Benutzerinnen und Benutzer durch Multi-Faktor-Authentifizierung – immer. Beispielsweise mit einer Authenticator-App, Windows Hello und Fast IDentity Online (FIDO).
  2. Wenden Sie Conditional-Access-Regeln auf Ihre Anwendungen an, um sich vor anwendungsbasierten Angriffen zu schützen.
  3. Verwenden Sie Richtlinien für Mobile Device Management und Endpoint Protection, insbesondere um die Ausführung als Administrator auf Geräten zu unterbinden und so Angriffe durch Token-Diebstahl zu verhindern.
  4. Stärken Sie die Zusammenarbeit in Ihrem Sicherheitsteam, damit alle an einem Strang ziehen, um Ihre Identitätsinfrastruktur zu schützen.
  5. Setzen Sie auf Agilität – mit einem Cloud First-Ansatz, einer adaptiven Authentifizierung und Automatisierungen, sodass Sie in Krisenzeiten reaktionsschneller sind.

Jede dieser Empfehlungen hat für sich genommen schon einen Wert, aber zusammengenommen ergeben sie das Bild eines echten Defense in Depth-Ansatzes. Unsere Experten stehen Ihnen zur Seite, um mehrere Verteidigungsebenen aufzubauen und Kompromittierungen Ihrer Nutzeridentitäten vorzubeugen: mit einer Optimierung Ihrer Identitäts- und Zugriffsverwaltung und bei Bedarf angereichert um weitere Bausteine wie Endpunktschutz, automatisierte Incident Response und Posture-Agilität.

Warum SITS?

SITS unterstützt Sie nicht nur bei der Implementierung von Microsoft Entra, sondern liefert maßgeschneiderte Beratung und End to End-Modernisierungsstrategien; und umfassende Managed Services, damit Ihre Identity Management-Systeme optimal in Bezug auf Sicherheit, Effizienz und Compliance betrieben werden.

Unser 24/7 Managed Service umfasst:

  • Beratender Ansatz: Wir begleiten Sie bei jedem Schritt, von der Strategie bis zur Umsetzung, und sorgen für blitzschnelle Übergänge von Legacy-Systemen wie SAP IdM.
  • 360° Managed Services: Unser Team überwacht, wartet und optimiert kontinuierlich Ihr Identity-Management-System und bietet 24/7-Support.
  • Bewährte Expertise: Mit langjähriger Erfahrung in der Identity Governance sorgt SITS für eine Integration in Ihre bestehenden Systeme und bietet zukunftssichere Lösungen nach Branchenstandards.
Neuer
Der Cyber Chronicle Newsroom
Wir versorgen Sie mit aktuellen News, Daten und Trendthemen
Cloud Platform Security
Sicherheit von Identitäten: Aktuelle Trends
Mehr erfahren
Cloud Platform Security
Microsoft Entra: Porträt einer vielseitigen Produktfamilie
Mehr erfahren
Identity & Access Management
Identität trifft Resilience
Mehr erfahren
NIS2
NIS2 & Penetrationstests: Technik NIS2-konform in Griff kriegen
Mehr erfahren
Identity & Access Management
Resilienz durch Identität
Mehr erfahren
Identity & Access Management
Verschlüsselung in den Griff bekommen
Mehr erfahren
Cyber Defense
Microsoft Sentinel als Azure SIEM – Vorteile & Kosten
Mehr erfahren
AI
KI-Attacken abwehren: So lassen sich Daten und Systeme schützen
Mehr erfahren
Assessment & Advisory
ISO-27001-Zertifizierung ohne Umwege
Mehr erfahren
Assessment & Advisory
Mit Managed Services gegen den Fachkräftemangel
Mehr erfahren
Security & IT Solutions
Workload Security mit SASE, so funktioniert’s
Mehr erfahren
Cloud Platform Security
DevOps-Sicherheit: Belastungstest für Kultur und Technologie
Mehr erfahren
Identity & Access Management
Biometrie – mehr Sicherheit ohne Passwort?
Mehr erfahren
Cyber Defense
Threat Intelligence – Wissen ist Macht & Sicherheit
Mehr erfahren
NIS2
NIS2 & ISO/IEC 27001:2022: Neue Controls zur Erfüllung beider Anforderungen
Mehr erfahren
Identity & Access Management
So schafft Privileged Access Management mehr Sicherheit
Mehr erfahren
Wir sind für Sie da
Einfach Formular ausfüllen und unsere Experten melden sich.

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen