Cyberattacken mit gestohlenen Zugangsdaten und Session Cookies gehören zu den gefährlichsten Angriffsvektoren. Der Schutz von Identitäten und Zugängen wird daher immer wichtiger. Wie sich die Bedrohungslandschaft verändert und was wirklich gegen identitätsbasierte Angriffe hilft, zeigt dieser Artikel.
Identitätsbasierte Angriffe auf Unternehmen nehmen nicht nur zu, sie werden auch immer raffinierter und gefährlicher. Diese Angriffe frühzeitig zu erkennen und zu stoppen, ist deshalb geschäftskritisch geworden.
(Bild: zenzen - stock.adobe.com)
Identitätsbasierte Angriffe haben im vergangenen Jahr stark zugenommen, wie der IBM X-Force Threat Intelligence Index 2024 zeigt. Demnach war die Übernahme legitimer Konten im Jahr 2023 zum ersten Mal seit Durchführung der Studie der häufigste Einstiegspunkt für Cyberkriminelle. Insgesamt beobachteten die Experten einen Anstieg solcher Angriffe um mehr als 70 Prozent im Vergleich zum Vorjahr, beim sogenannten Kerberoasting sogar um 100 Prozent. Bei dieser Methode fordern Angreifer über das Authentifizierungsprotokoll Kerberos vom Active Directory ein Service-Ticket an, das unter anderem verschlüsselte Passwörter für Dienste wie Web-, SQL- oder Dateiserver enthält. Sie knacken die relativ schwache Verschlüsselung offline und erhalten so Zugang zu den Ressourcen. Die IBM-Experten sehen in der Zunahme der Kerberos-Attacken ein Zeichen dafür, dass sich die Angreifer bei der Identitätsbeschaffung technisch weiterentwickelt haben.
Für den Strategiewechsel bei Cyberangriffen sind mehrere Faktoren verantwortlich. Unternehmen haben in den vergangenen Jahren aufgerüstet und sowohl die Erkennung und Abwehr von Phishing-Attacken als auch das Patch-Management verbessert. Für Angreifer wird es dadurch immer schwieriger, Anwender zum Download und zur Ausführung von Malware zu verleiten oder Schwachstellen in Soft- und Hardwareprodukten zu finden und auszunutzen. Gleichzeitig steigt das Angebot an gestohlenen Zugangsdaten fast täglich. Auf Webseiten wie dem Identity Leak Checker des Hasso-Plattner-Instituts sind mehr als 13 Milliarden betroffene Konten hinterlegt. Da viele Anwender Passwörter mehrfach verwenden, lassen sich mit erbeuteten Credentials oft auch noch nicht geleakte Accounts übernehmen. Okta konnte seit März 2024 eine Verzehnfachung von Passwort-Spraying-Attacken feststellen – eine Gefährdungslage, mit der sich auch Okta-Kunden wie Nvidia oder OpenAI, dem Entwickler von ChatGPT, konfrontiert sehen. Dabei werden erbeutete Passwörter für Login-Versuche auf Millionen von Nutzerkonten verwendet. Da viele Nutzer nach wie vor einfache Kombinationen aus Zahlen und Buchstaben bevorzugen und Passwörter häufig mehrfach verwenden, ist diese Strategie oft von Erfolg gekrönt.
Was Unternehmen jetzt tun sollten
Die steigende Anzahl und Komplexität von identitätsbasierten Angriffen stellt Unternehmen vor die Herausforderung, sowohl Mitarbeiter- als auch Kundenkonten wirksam vor Übernahme und Missbrauch zu schützen. Folgende Maßnahmen können dabei helfen:
Multi-Faktor-Authentifizierung zur Pflicht machen. Administrative Accounts werden immer häufiger zum Ziel von Account-Takeover-Attacken (ATO). Die alleinige Authentifizierung über Benutzername und Passwort bietet keine ausreichende Sicherheit dagegen. Eine Multi-Faktor-Authentifizierung (MFA) sollte deshalb in jedem Unternehmen zur Pflicht werden. Laut einer Studie der Identity Security Alliance (IDSA) hätten mehr als 40 Prozent der durch Cyberangriffe verursachten Sicherheitsvorfälle durch die unternehmensweite Einführung von MFA verhindert oder zumindest in ihren Auswirkungen minimiert werden können. Ein Vorreiter in dieser Strategie ist der Okta-Kunde Salesforce, der bereits im Februar 2022 die Multi-Faktor-Authentifizierung obligatorisch gemacht hat. Als Reaktion auf die sich entwickelnde Bedrohungslandschaft haben auch wir MFA für alle Auth0-Administratoren mit einem Benutzernamen/Passwort-basierten Login oder einem sozialen Login eines Drittanbieters obligatorisch gemacht.
Sicherheitskontrollen durch Auth0 Teams verbessern. Auth0 Teams ist eine Plattform, mit der sich die Mandantenverwaltung vereinfachen und sicherer gestalten lässt. Administratoren erhalten einen Überblick über alle relevanten Details eines Mandanten, sowie die Rollen und Zugriffsrechte. Auth0 Teams bietet die Möglichkeit, Single Sign-On (SSO) für den Zugriff aller Team- und Mandanten-Mitglieder auf Auth0 zu erzwingen, die Erstellung von neuen Mandanten auf ein bestimmtes Team zu beschränken sowie Abonnement- und Rechnungsdetails zu verwalten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Sitzungcookies automatisch löschen. Gestohlene Sitzungscookies ermöglichen es Cyberkriminellen, sich als legitime Benutzer auszugeben. Oft kann der Angreifer auf dieselbe Sitzung zugreifen wie der rechtmäßige Benutzer, solange die Sitzung aktiv ist. Um das Hijacking bestehender Sitzungen zu verhindern, sollten Sitzungcookies automatisch gelöscht werden, sobald sich die IP-Adresse ändert - sei es, dass ein legitimer Benutzer den Standort wechselt oder ein Angreifer versucht, eine Sitzung zu entführen. Okta widerruft automatisch eine Sitzung an der Okta Admin Console, wenn die ASN (Autonomous System Number), die während einer API- oder Web-Anfrage registriert wird, von der ASN abweicht, die beim Aufbau der Sitzung aufgezeichnet wurde.
Passwortlose Authentifizierung verwenden. Allerdings bietet auch MFA längst keinen hundertprozentigen Schutz mehr, denn die Angreifer haben Mittel und Wege gefunden, auch diese Hürde zu überwinden. Mit passwortlosen Verfahren wie Passkey lassen sich viele dieser Angriffsszenarien vermeiden und die Risiken identitätsbasierter Angriffe deutlich reduzieren. Das System ist mit der W3C-Spezifikation WebAuthn und dem Authentifizierungsstandard Fido2 kompatibel und beruht auf einem asymmetrischen Public-Private-Key-Verfahren. Passkey kann sowohl mit Hardware-Token wie Nitrokey oder Yubikey als auch mit Notebooks und Smartphones verwendet werden, sofern diese mit einem Sicherheitschip ausgestattet sind. Okta unterstützt Passkey seit Oktober 2023.
Zero Trust umsetzen. Das Zero-Trust-Prinzip wurde in den 1990er Jahren entwickelt, aber erst durch ein 2010 veröffentlichtes Whitepaper des Forrester-Analysten John Kindervag populär. Es basiert auf der Regel „Never trust, always verify“. Jeder Anwender, jedes Gerät und jeder Service muss sich bei jedem Zugriff authentifizieren und erhält nur die Rechte, die für die jeweilige Aufgabe absolut notwendig sind. Laut der aktuellen Studie „The State of Zero Trust Security“ haben bereits 61 Prozent aller Unternehmen Zero-Trust-Programme eingeführt, 2021 waren es erst 24 Prozent.
Künstliche Intelligenz nutzen. Künstliche Intelligenz (KI) ist zu einem unverzichtbaren Werkzeug im Kampf gegen Cyberattacken geworden. Machine-Learning-Algorithmen sind unter anderem sehr gut darin, in großen und komplexen Datenmengen Muster zu erkennen und Anomalien zu entdecken. KI-Engines wie OktaAI helfen Sicherheitsteams, Informationen aus Security-Lösungen mit Signalen aus dem Netzwerk zusammenzuführen und auszuwerten. Bei verdächtigem Verhalten oder einem sicherheitsrelevanten Vorfall können sie Aktionen vorschlagen oder sogar automatisch Gegenmaßnahmen einleiten.
Fazit: Identitätsmanagement braucht eine ganzheitliche Strategie
Identitätsbasierte Angriffe auf Unternehmen nehmen nicht nur zu, sie werden auch immer raffinierter und gefährlicher. Diese Angriffe frühzeitig zu erkennen und zu stoppen, ist deshalb geschäftskritisch geworden. Unternehmen können diesen Risiken nur noch mit einem ganzheitlichen Ansatz Herr werden, der alle Aspekte der Authentifizierung und Autorisierung berücksichtigt. Okta hat sich mit seinem Security Identity Commitment dazu verpflichtet, die Branche aktiv voranzubringen und Unternehmen bestmöglich zu unterstützen. Wir sind uns bewusst, dass die Sicherheit unserer Systeme direkte Auswirkungen auf die Sicherheit unserer Kunden und deren Geschäftserfolg hat. Deshalb härtet Okta kontinuierlich die eigene Infrastruktur, um das Risiko von Sicherheitsvorfällen effektiv zu minimieren. Für alle unsere Mitarbeiter, Prozesse und Technologien gelten die gleichen strengen Sicherheitsstandards wie für unsere kundenorientierten Produkte - wir legen Wert auf einen ganzheitlichen, von innen nach außen gerichteten Sicherheitsansatz. Kunden erhalten aber nicht nur effiziente Produkte und Services für den Schutz von Identitäten, sondern auch Best Practices an die Hand, die ihnen beim Aufbau einer optimalen Strategie helfen.
Über den Autor: Sven Kniest ist Vice President Central & Eastern Europe bei Okta.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/53/1c/531ca4e7248c6b0ca27bc0841e01b04e/0123928600v1.jpeg "Andreas Müller, VP Enterprise Sales Central and Eastern Europe bei Delinea. (Bild: Jochen Bueckers Anzing)")
:quality(80)/p7i.vogel.de/wcms/5f/ff/5fff56db982e32c617379295fa2f98dd/0125925965v1.jpeg "MFA mit Passkeys (FIDO2) ist heute mehr als eine Zusatzmaßnahme, sie ist der Kern einer modernen Sicherheitsstrategie. (Bild: Swissbit)")