Cyberkriminelle nutzen Alltags-Zugänge für Angriffe

Die klassische Netzwerk-Absicherung ist obsolet. Aktuelle Warnungen zeigen: Angreifer dringen heute mit gestohlenen Zugangsdaten in Unternehmenssysteme ein – nicht durch komplexe Hacks. Diese Woche veröffentlichte Behörden- und Branchenberichte belegen einen dramatischen Anstieg kompromittierter Identitäten. Der Zugang per Passwort wird zum größten Risiko.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind: Neue Gesetze und raffinierte Diebstahl-Methoden verschärfen die Sicherheitslage massiv. Dieser kostenlose Experten-Report zeigt, wie Sie Ihr Unternehmen mit einfachen, proaktiven Maßnahmen effektiv schützen. Cyber-Security-Leitfaden jetzt kostenlos herunterladen

Vom Hack zum einfachen Login

Die Angriffsmethode hat sich grundlegend gewandelt. Cyberkriminelle brechen keine digitalen Mauern mehr ein. Sie loggen sich einfach mit gültigen Anmeldedaten ein. Der aktuelle Attack Vectors Report der Beratungsfirma RSM zeigt das Ausmaß: In 82 Prozent der analysierten Sicherheitsvorfälle boten identitätsbezogene Schwachstellen zuverlässigen Systemzugang. Diese Erfolgsquote bleibt selbst in Unternehmen hoch, die in Mehr-Faktor-Authentifizierung und Zero-Trust-Architekturen investiert haben.

Parallel dazu verzeichnete der Threat-Intelligence-Anbieter Recorded Future fast zwei Milliarden gestohlene Zugangsdaten aus Malware-Datenbanken im vergangenen Jahr. Analysten bestätigen: Der Diebstahl von Anmeldeinformationen ist heute die primäre Methode, um erstmals in Firmennetze zu gelangen. Angreifer zielen gezielt auf Authentifizierungssysteme, Cloud-Plattformen und Fernwartungstools. Diese alltäglichen Zugangspunkte bieten den breitesten Einstieg in eine Organisation. Mit gültigen Benutzernamen und Passwörtern können sich Bedrohungsakteure in den normalen Netzwerkverkehr einmischen. Sicherheitsteams bemerken ihre Präsenz oft erst, wenn es zu massiven Störungen kommt.

Praxisbeispiel: Angriff auf Gerätemanagement

Die theoretischen Risiken führten Mitte März zu einem folgenschweren Vorfall, der US-Behörden auf den Plan rief. Die Cybersecurity and Infrastructure Security Agency (CISA) warnte am 18. März vor gezielten Angriffen auf Endpunkt-Management-Systeme. Im Fokus stand eine Schwachstelle in Microsoft Intune, einer weit verbreiteten Anwendung zur Verwaltung firmeneigener Mobilgeräte und Desktops.

Der Warnung vorausgegangen war ein Angriff auf den Medizintechnik-Konzern Stryker. Eine mutmaßlich mit dem Iran verbundene Hackergruppe namens Handala nutzte kompromittierte Administrator-Zugänge, um in die Intune-Umgebung des Unternehmens einzudringen. Statt traditionelle Schadsoftware einzuschleusen, nutzten die Angreifer eine native Funktion der Plattform: Sie setzten Tausende verbundene Firmengeräte per Fernzugriff zurück. Dies unterbrach vorübergehend die Produktions- und Logistikkapazitäten des Unternehmens.

Experten vermuten, dass die verwendeten Admin-Zugänge bereits Monate zuvor durch Infostealer-Malware erbeutet wurden. Der Vorfall zeigt die gravierenden operativen Folgen, wenn veraltete, überprivilegierte Zugangsdaten im Firmennetzwerk nicht verwaltet werden.

Maschinen-Identitäten und Session-Diebstahl

Neben menschlichen Nutzern sind zunehmend automatisierte Systeme im Visier der Angreifer. Der Identity Exposure Report 2026 von SpyCloud verzeichnet eine Explosion beim Diebstahl nicht-menschlicher Identitäten. Die Forscher meldeten einen Anstieg der erfassten Identitätsdaten um 23 Prozent auf über 65 Milliarden Datensätze.

Kritisch ist die Entdeckung von 18,1 Millionen offengelegten API-Schlüsseln und Maschinen-Zugangsdaten sowie 6,2 Millionen Authentifizierungs-Artefakten, die speziell KI-Tools zugeordnet sind. Im Gegensatz zu menschlichen Nutzern unterliegen Maschinenidentitäten oft keiner Mehr-Faktor-Authentifizierung, ihre Passwörter werden selten geändert und sie operieren mit dauerhaften, weitreichenden Berechtigungen. Gelangen diese automatisierten Zugangstoken in falsche Hände, bieten sie Angreifern dauerhaften Eintritt in Produktionssysteme und Software-Lieferketten.

Besonders gefährlich sind laut SpyCloud auch 8,6 Milliarden gestohlene Session-Cookies. Diese Sitzungsdaten speichern den Nachweis, dass ein Nutzer sich bereits bei einem System angemeldet hat. Durch das Hijacking aktiver Sitzungen können Angreifer Mehr-Faktor-Authentifizierungsprotokolle komplett umgehen. Das alltägliche Surfen im Web und die Nutzung von Cloud-Anwendungen werden so zu einem kritischen Unternehmensrisiko.

Analyse: Warum die Abwehr hinterherhinkt

Die aktuellen Berichte zeigen eine besorgniserregende Diskrepanz: Die Industrialisierung von Infostealer-Malware überholt die traditionellen Erkennungsmechanismen der Unternehmen. Diese Schadsoftware sammelt leise Zugangsdaten, Cookies und Authentifizierungstoken von infizierten Geräten – oft ohne Alarme auszulösen. Forscher stellen fest, dass ein beachtlicher Teil dieser Infektionen auf Unternehmens-Endgeräten stattfindet, auf denen aktive Antiviren- oder Endpoint-Detection-and-Response-Tools installiert sind. Software-Abwehr allein kann Identitätsdiebstahl also nicht verhindern.

Phishing-Angriffe werden immer raffinierter und nutzen gezielt psychologische Schwachstellen der Mitarbeiter aus, um an sensible Zugangsdaten zu gelangen. In 4 Schritten zur erfolgreichen Hacker-Abwehr: Dieser Experten-Guide zeigt Ihnen branchenspezifische Gefahren und wirksame Schutzmaßnahmen für Ihre Organisation. Kostenloses Anti-Phishing-Paket anfordern

Das Problem wird durch mangelhafte interne Governance beim Zugriffsmanagement verschärft. Eine Studie des Zugriffssicherheitsanbieters Pathlock vom 19. März belegt: Fast die Hälfte der produzierenden Unternehmen widerruft digitale Zugänge nicht innerhalb von 24 Stunden nach einer Änderung der Mitarbeiterrolle oder einem Ausscheiden. Diese schlafenden Konten lösen selten Verhaltenswarnungen aus und sind damit ein einfaches Einfallstor für Credential-Stuffing- und Password-Spraying-Angriffe. Analysten sehen hier ein strukturelles Problem: Die mangelhafte Verwaltung von Digitalisierungsinitiativen schafft Lücken, die Cyberkriminelle bereitwillig ausnutzen.

Ausblick: Strengere Zugangskontrolle als neue Frontlinie

Unternehmen müssen ihre Identitätshygiene und Zugriffsgovernance rigoros verschärfen. Als Reaktion auf die jüngsten Angriffe empfiehlt CISA das Prinzip der geringsten Rechte bei der Gestaltung administrativer Rollen. Für sensible, hochriskante Aktionen – wie das Massenlöschen von Geräten oder die Änderung rollenbasierter Zugriffsrechte – sollten Mehrfach-Freigabepflichten eingeführt werden.

Sicherheitsexperten plädieren für einen kontinuierlichen Identitätsschutz. Unternehmen sollten aktiv das Dark Web und Malware-Logs nach offengelegten API-Schlüsseln, Session-Tokens und veralteten Zugangsdaten durchsuchen. Allein auf komplexe Passwörter zu setzen, reicht nicht mehr aus. Gefordert sind phishing-resistente Authentifizierungsmethoden und die fortlaufende Validierung aller Sicherheitskontrollen. Mit der fortschreitenden Cloud-Nutzung und KI-Integration wird die strikte Verwaltung alltäglicher Zugänge – für menschliche Mitarbeiter und automatisierte Maschinenidentitäten gleichermaßen – zur kritischsten Verteidigungsfront für globale Unternehmen.

boerse | 68923218 |