Wenn Maschinen zu Zielen werden Hacker hacken nicht mehr, sie loggen sich einfach ein

Ein Gastbeitrag von Frank Schwaak 4 min Lesedauer

Anbieter zum Thema

Mit dem Siegeszug von KI-Agenten steigt die Zahl nicht-menschlicher Identitäten in Unternehmen rasant an. Für Angreifer sind sie besonders attraktiv, denn sie nutzen meist keine Multi-Faktor-Authentifizierung und werden kaum überwacht. Jede kompromittierte Maschinen-Identität öffnet Angreifern einen legitimen Zugang.

Für Cyberangreifer sind nicht-menschliche Identitäten sehr attraktiv: Sie nutzen oft keine MFA, werden seltener überwacht und ihre automatisierten Aktivitäten gehen im normalen Betrieb leicht unter.(Bild: ©  Urupong - stock.adobe.com)
Für Cyberangreifer sind nicht-menschliche Identitäten sehr attraktiv: Sie nutzen oft keine MFA, werden seltener überwacht und ihre automatisierten Aktivitäten gehen im normalen Betrieb leicht unter.
(Bild: © Urupong - stock.adobe.com)

Die Zeiten, in denen Hacker mit aufwendiger Schadsoftware in Netzwerke eindrangen, sind vorbei – heute loggen sich Angreifer schlicht mit gültigen Zugängen ein. Nach Erkenntnissen von CrowdStrike sind 79 Prozent der analysierten Sicherheitsvorfälle komplett frei von Malware. Der Verizon Data Breach Investigations Report bestätigt diesen Trend: 86 Prozent der Angriffe auf Webanwendungen erfolgen mit gestohlenen Zugangsdaten.

Diese Entwicklung markiert einen klaren Paradigmenwechsel. Während Unternehmen ihre Endpunkt- und Perimeter-Sicherheit kontinuierlich nachgeschärft haben, ist nun die Identitätsebene zur Achillesferse geworden. Angreifer nutzen kompromittierte Zugangsdaten, gefälschte Authentifizierungstokens oder MFA-Bypasses, um sich legitim in Netzwerken zu bewegen. Klassische Erkennungsmethoden, die primär auf Malware-Signaturen setzen, laufen ins Leere.

82 nicht-menschliche Identitäten pro Mitarbeiter

Besonders brisant wird die Lage durch eine oft übersehene Angriffsfläche: nicht-menschliche Identitäten (Non-Human Identities, NHIs). Dazu zählen API-Tokens, Service-Accounts, Zertifikate, Container und KI-Agenten. Laut CyberArk kommen auf jeden menschlichen Benutzer bereits heute 82 NHIs.

Für Angreifer sind NHIs aus mehreren Gründen attraktiv: Sie nutzen häufig keine Multi-Faktor-Authentifizierung, werden seltener überwacht und ihre automatisierten Aktivitäten gehen im normalen Betrieb unter. Hinzu kommt: NHIs haben oft weitreichende Berechtigungen. Ein Service-Account mit Lesezugriff auf sämtliche Datenbanken bietet nach einer Kompromittierung enormen Bewegungs- und Handlungsspielraum. Anders als bei menschlichen Accounts lassen sich NHIs zudem schwer widerrufen – sie sind langlebig, werden vergessen oder stützen sogar geschäftskritische Prozesse.

Agentische KI verschärft das Problem

Der Rubrik Zero Labs Report „Die Identitätskrise“ zeigt: 84 Prozent der befragten Unternehmen in Deutschland haben KI-Agenten bereits vollständig oder teilweise in ihre Identitätsinfrastruktur integriert. Diese neue Kategorie von NHIs vergrößert die Angriffsfläche erheblich. Mehr als die Hälfte der weltweit Befragten (58 Prozent) geht davon aus, dass agentische KI im kommenden Jahr für mindestens die Hälfte aller Cyber-Angriffe verantwortlich sein wird.

Ein Beispiel für die Gefährlichkeit: Bei den ToolShell-Angriffen im Juli 2025 stahlen vermutlich staatlich unterstützte Angreifer Geräteschlüssel, um sich auf lokalen SharePoint-Servern zu authentifizieren. Da Schlüssel langlebiger sind als Tokens, blieben die Hintertüren dauerhaft offen. Der Fall zeigt: Wer nach einem Vorfall nicht konsequent rotiert, gibt Angreifern freie Hand für langfristige Spähkampagnen.

Deutsche Unternehmen sehen Handlungsbedarf

Die Bedrohungslage ist in den Führungsetagen angekommen. In Deutschland stufen laut Zero Labs Report 87 Prozent der IT- und Sicherheitsverantwortlichen identitätsbezogene Angriffe als bedeutende Bedrohung ein. Weltweit sind es sogar 90 Prozent. Als größte Risiken nennen die deutschen Befragten gestohlene Zugangsdaten (28 Prozent), gefälschte Authentifizierungstokens (24 Prozent) und Social Engineering (20 Prozent).

Die Konsequenz: 86 Prozent der deutschen Unternehmen planen, in den nächsten zwölf Monaten Fachkräfte für Identity Management einzustellen. Zudem haben 70 Prozent der deutschen Befragten einen Wechsel ihres IAM-Anbieters eingeleitet oder planen diesen aktiv. International liegt dieser Wert bei 87 Prozent. Der Hauptgrund: stärkere Sicherheit (58 Prozent), gefolgt von besserer Integration (55 Prozent) und leichterer Verwaltung (54 Prozent). Damit rückt Identity Security von der IT-Disziplin zur geschäftskritischen Transformationsaufgabe auf.

Wiederherstellung: der blinde Fleck

Ein erfolgreicher Identitätsangriff verursacht nicht nur unmittelbaren Schaden. Er stellt Unternehmen vor ein zweites Problem: die Wiederherstellung. Laut IBM kostet ein Sicherheitsvorfall mit kompromittierten Zugangsdaten durchschnittlich 4,67 Millionen US-Dollar. Bei einem vollständigen Systemstillstand können sich die Ausfallkosten nach Informationen der ISACA auf bis zu 6.000 US-Dollar pro Minute summieren.

Die Zahlen des Rubrik-Reports sind ernüchternd: 43 Prozent der Unternehmen benötigen zwischen 25 und 48 Stunden, um ihre Identitätsinfrastruktur nach einem Angriff wiederherzustellen. Weitere 19 Prozent rechnen mit mehr als zwei Tagen, 13 Prozent sogar mit ein bis vier Wochen. Erschwerend kommt hinzu: 54 Prozent der Unternehmen setzen bei der Wiederherstellung individueller Identitäten noch auf manuelle Prozesse.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Das Vertrauen in die eigene Reaktionsfähigkeit sinkt entsprechend. 2024 trauten noch 43 Prozent der Befragten sich zu, sich innerhalb von maximal zwölf Stunden vollständig von einem Cyber-Vorfall zu erholen. 2025 waren es nur noch 28 Prozent. Die Schere zwischen Angriffsrealität und Resilienzfähigkeit öffnet sich und zeigt: Handeln ist dringend geboten.

Drei Säulen der Identitätsresilienz

Aus diesen Erkenntnissen lassen sich konkrete Handlungsfelder ableiten:

  • 1. Transparenz herstellen: Unternehmen brauchen vollständige Sichtbarkeit über alle Identitäten – menschliche wie nicht‑menschliche. Welche Systeme sind betroffen, wenn ein Cloud‑API‑Schlüssel kompromittiert wird? Lässt sich bei einer Übernahme eines Admin‑Accounts sofort eine erneute Authentifizierung erzwingen? Ohne Echtzeit‑Transparenz über hybride Identitätsumgebungen fehlt die Grundlage für eine wirksame Incident Response.
  • 2. Identität als Perimeter denken: Identitäten sind der neue Kontrollpunkt. Jede Zugriffsanfrage – ob aus dem internen Netzwerk oder von außen – erfordert Authentifizierung, Autorisierung und Verschlüsselung. In der Praxis bedeutet das: starke Multifaktor-Authentifizierung, bedingte Zugriffsrichtlinien, Least‑Privilege‑Prinzip und Just‑in‑Time‑Zugriffsrechte, die nach Aufgabenabschluss automatisch wieder entzogen werden.
  • 3. Wiederherstellung absichern: Die Resilienz der Identitätsinfrastruktur muss gezielt aufgebaut werden. Sichere Offline‑Backups von Active‑Directory‑Daten und Cloud‑Verzeichnissen ermöglichen eine schnelle Rekonstruktion im Ernstfall. Wer Wiederherstellungsschritte synchron mit Sicherheitsmaßnahmen plant und regelmäßig in Krisensimulationen testet, reduziert Ausfallzeiten und finanzielle Folgeschäden erheblich. Automatisierte Playbooks für Schlüssel‑ und Token‑Rotation, zügiges Sperren von Service‑Accounts und die Wiederherstellung kritischer Vertrauensanker sind dabei zentral.

Fazit: Identitäten als strategische Priorität

Die Zahlen des Rubrik Zero Labs Reports machen deutlich: Identitäten sind längst nicht mehr nur ein Verwaltungsthema der IT-Abteilung. Sie bilden die zentrale Kontroll- und Vertrauensebene moderner Unternehmensinfrastrukturen – und damit ein bedeutendes Angriffsziel. Wer Cyber-Resilienz strategisch aufbauen will, muss Identitätsresilienz in den Mittelpunkt stellen. Das gilt umso mehr, je stärker agentische KI und andere NHIs den Arbeitsalltag prägen.

Über den Autor: Frank Schwaak ist Field CTO EMEA bei Rubrik.

(ID:50881542)