Identitätsdiebstahl: Hacker knacken keine Systeme mehr – sie loggen sich einfach ein

Die Cybersecurity-Branche hat einen kritischen Wendepunkt erreicht. Was jahrelang als Schlagwort galt, ist zwischen dem 2. und 5. Dezember 2025 zur harten Realität geworden: Angreifer überwinden keine Firewalls mehr – sie nutzen gestohlene Zugangsdaten.

Neue Berichte dieser Woche dokumentieren eine alarmierende Entwicklung: Spezialisierte “Infostealer”-Malware wird raffinierter, während Phishing-Angriffe auf Unternehmen um 400 Prozent explodiert sind. Die Botschaft ist eindeutig: Die traditionelle Netzwerksicherheit versagt, wenn Kriminelle mit echten Nutzerdaten auftreten.

Krankenhäuser stufen Identitätsschutz als “nicht verhandelbar” ein

Am Mittwoch, dem 3. Dezember, veröffentlichte Black Book Market Research eine Blitzumfrage unter IT-Leitern amerikanischer Krankenhäuser. Das Ergebnis: 71 Prozent nennen Identitäts- und Zugriffsmanagement als Top-3-Investitionspriorität für 2026.

“Krankenhäuser erkennen jetzt, dass Identitätssicherheit das Fundament jedes modernen Cybersecurity-Programms ist”, erklärte Doug Brown, Präsident von Black Book. Der Bericht klassifiziert diese Investition als “nicht verhandelbar” – getrieben von der Erkenntnis, dass Netzwerk-Firewalls nutzlos sind, wenn Angreifer gültige Zugangsdaten besitzen.

Diese strategische Wende erzwingen reale Vorfälle: Am selben Mittwoch wurde bekannt, dass der südkoreanische E-Commerce-Riese Coupang einen massiven Datenleck erlitt. Fast 34 Millionen Kundendatensätze wurden kompromittiert – vermutlich durch Insider-Missbrauch oder unbefugten internen Zugriff. Ein klassisches Versagen der Identitätskontrolle.

Die neue Welle an Infostealern und Phishing‑Techniken macht traditionelle MFA oft wirkungslos — Angreifer stehlen Session‑Tokens oder umgehen 2‑Faktor‑Methoden. Unser kostenloses Cyber‑Security‑E‑Book fasst die aktuellen Bedrohungen zusammen, erklärt Identity Threat Detection and Response (ITDR)-Ansätze und liefert konkrete Maßnahmen (z. B. FIDO2‑Hardware‑Keys, Session‑Hygiene und Erkennung von Verhaltensanomalien), mit denen Sie Identitätsdiebstahl im Unternehmen deutlich reduzieren können. Ideal für IT‑Leiter und Sicherheitsverantwortliche. Jetzt kostenloses Cyber‑Security E‑Book herunterladen

“Koi” und “Arkanix”: Die neue Generation der Passwortdiebe

Während Unternehmen ihre Abwehr verstärken, werden die Werkzeuge der Angreifer immer ausgefeilter. Am Dienstag dokumentierte PwC Threat Intelligence die Entstehung von “Koi” – einem hochspezialisierten Infostealer, der einen gefährlichen Bruch mit dem üblichen “Malware-as-a-Service”-Modell darstellt.

Anders als Massen-Malware vom Schwarzmarkt ist Koi ein maßgeschneidertes, privat gepflegtes Toolkit. Betrieben von einem Akteur namens “White Dev 192”, zielt es auf über 80 verschiedene Passwort-Manager und Browser-Erweiterungen für Zwei-Faktor-Authentifizierung ab. Die private Natur macht Koi deutlich schwerer zu analysieren und zu erkennen.

Parallel tauchte am Donnerstag “Arkanix” auf – ein weiterer neuer Infostealer. Dieser konzentriert sich auf Discord, Browser und Krypto-Wallets. Besonders perfide: Arkanix stiehlt die Session-Tokens, die Nutzer eingeloggt halten. Damit umgehen Angreifer das Passwort komplett.

Phishing-Flut und der Zusammenbruch der Zwei-Faktor-Sicherheit

Die Angriffsmethoden intensivieren sich dramatisch. Ein Bericht von SpyCloud vom Donnerstag enthüllte einen 400-prozentigen Jahresanstieg bei Phishing-Angriffen auf Unternehmensidentitäten.

Die Zahlen zeigen einen taktischen Schwenk: Phishing ist mittlerweile dreimal wahrscheinlicher der Einstiegspunkt für Firmen-Hacks als klassische Malware-Infektionen. “Unternehmensschutz bedeutet, über Firmenkonten hinauszuschauen”, betont der Bericht – Angreifer kompromittieren oft private Geräte, um ins Business-Netzwerk vorzudringen.

Noch besorgniserregender: Selbst Mehr-Faktor-Authentifizierung (MFA) wird systematisch ausgehebelt. Am Mittwoch berichtete Malwarebytes über eine neue Angriffswelle mit “Evilginx” – einem Tool, das automatisierte “Adversary-in-the-Middle”-Attacken durchführt.

Wie funktioniert das? Evilginx setzt sich zwischen Nutzer und echte Login-Seite. Es fängt nicht nur das Passwort ab, sondern auch den Session-Cookie, der nach der MFA-Eingabe erzeugt wird. “Angreifer haben einen neuen Weg, MFA zu umgehen”, warnt der Bericht. Mit dem gestohlenen Cookie können sie auf das Konto zugreifen – ohne jemals das Handy oder den Security-Key des Opfers zu benötigen.

Die erschreckende Bilanz: 70 Prozent der Ransomware-Angriffe nutzen echte Konten

Die Ereignisse der letzten 72 Stunden offenbaren eine grundlegende Schwäche aktueller Sicherheitsarchitekturen. Jahrelang galt MFA als Wundermittel gegen Identitätsdiebstahl. Doch Tools wie Evilginx und spezialisierte Stealer wie Koi zeigen: Die “Identitätsgrenze” ist bereits durchlöchert.

Eine Cisco-Talos-Studie aus 2024 fand heraus, dass fast 70 Prozent aller Ransomware-Angriffe gültige Konten für den Zugriff nutzten. Diese Statistik passt zur neuen Realität: Für traditionelle Überwachungstools ist die Unterscheidung zwischen legitimem Nutzer und Angreifer nahezu unmöglich.

Der Angriff auf Inotiv – ein pharmazeutisches Unternehmen, das am Donnerstag über 9.500 Personen über ein Datenleck informierte – illustriert die Konsequenzen. Die Angreifer exfiltrierten hochsensible Sozialversicherungs- und Finanzdaten. Informationen, die häufig weitere identitätsbasierte Angriffe befeuern.

Ausblick: Das Ende phishbarer Authentifizierung

Für 2026 zeichnet sich eine massive Verlagerung ab: Budgets wandern zu “Identity Threat Detection and Response”-Lösungen (ITDR). Die Black-Book-Umfrage deutet darauf hin, dass Investitionen verstärkt in Tools fließen, die Verhaltensanomalien bei authentifizierten Nutzern erkennen – nicht nur deren Zugangsdaten an der Tür überprüfen.

Der weitverbreitete Erfolg von Tools wie Evilginx dürfte mehr Organisationen zwingen, auf FIDO2-Hardware-Keys und Passkeys umzusteigen. Diese sind kryptografisch an spezifische Domains gebunden und können nicht einfach gephisht oder abgefangen werden.

Bis dahin bleibt die Identitätsgrenze das primäre Schlachtfeld – und aktuell halten die Angreifer die Oberhand.

PS: Sie wollen Ihre Organisation schnell gegen Phishing‑Wellen und gezielte Session‑Hijacks schützen? Das kostenlose E‑Book liefert pragmatische Schritte, Checklisten für Anti‑Phishing‑Trainings und Hinweise, wie Sie ITDR‑Prozesse implementieren, ohne neues Personal einzustellen. Lesen Sie, welche Prioritäten Krankenhäuser und Unternehmen setzen, um Zugangsdaten‑Missbrauch vorzubeugen. Kostenloses Cyber‑Security E‑Book jetzt anfordern