Mit täglich 309.000 neuen Malware-Varianten und Identitätsmissbrauch bei 99 Prozent der Angriffe auf Microsoft Entra ID warnt das BSI vor dramatischen Sicherheitsrisiken. Eine aktuelle Studie offenbart gravierende Lücken bei deutschen Organisationen – wie steht es um Ihre ITDR-Strategie?
Unternehmen, die heute die Identitätssicherheit nicht priorisieren, riskieren, morgen Schlagzeilen in einer zunehmend feindseligen Cyber-Landschaft zu werden.
(Bild: Kiattiporn - stock.adobe.com)
In einer Ära, in der Identität zur neuen Sicherheitsgrenze geworden ist, stehen deutsche Organisationen vor beispiellosen Herausforderungen. Im Bericht zur Lage der IT-Sicherheit in Deutschland aus dem Jahr 2024 sendet das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein klares Warnsignal: Täglich entstehen 309.000 neue Malware-Varianten, was einen Anstieg von 26 Prozent im Vergleich zum Vorjahr bedeutet. Noch besorgniserregender ist, dass der Missbrauch von Zugangsdaten mittlerweile bei 99 Prozent der 600 Millionen täglichen Identitätsangriffe auf Microsoft Entra ID eine Rolle spielt.
Diese Welle identitätsbasierter Bedrohungen kommt zu einem Zeitpunkt, an dem Bundesinnenministerin Nancy Faeser betont: „Cybersicherheit ist zentral für unsere Gesellschaft und betrifft uns alle.“
Die Bedrohungslandschaft wird durch immer ausgefeiltere Phishing-Taktiken noch komplizierter, wobei Angreifer ihre Ziele über traditionelle finanzielle Ziele hinaus erweitern und nun auch beliebte Streaming-Dienste ins Visier nehmen – ein Schritt, der die Angriffsfläche und das potenzielle Opferfeld erheblich vergrößert. Diese Entwicklungen unterstreichen, warum Identity Threat Detection and Response (ITDR) zu einer Grundsäule moderner Cybersicherheitsstrategien geworden ist.
Eine umfassende Studie mit 373 Organisationen, „Der Stand von ITDR: Adoption, Reife und Effektivität“, offenbart sowohl Fortschritte als auch besorgniserregende Lücken in der Identitätssicherheitsbereitschaft. Während 48 Prozent ITDR-Praktiken implementiert haben, kämpfen viele weiterhin mit erheblichen Herausforderungen bei der Optimierung ihrer Identitätsschutzstrategien. Die Einführung wird primär durch proaktives Bedrohungsmanagement (67 Prozent) und regulatorische Compliance (51 Prozent) vorangetrieben, weniger durch reaktive Maßnahmen nach Sicherheitsvorfällen.
Implementierungshürden bestehen jedoch weiterhin:
69 Prozent der Organisationen kämpfen mit der Integration von ITDR in bestehende Systeme
61 Prozent stehen vor Budgetbeschränkungen
59 Prozent mangelt es an notwendiger Expertise
48 Prozent berichten von Herausforderungen, die Geschäftsführung für ITDR-Initiativen zu gewinnen
Besonders besorgniserregend ist, dass 31 Prozent der Organisationen ihre Identitäts-Notfallwiederherstellungspläne niemals testen. Mit Ausfallzeiten von Active Directory, die in etwa 705.000 Euro pro Stunde kosten, bergen solche Versäumnisse erhebliche Risiken für Unternehmen – insbesondere angesichts von Ransomware-Gruppen wie LockBit, die gezielt Identitätsinfrastrukturen angreifen.
Während 64 Prozent der Organisationen ihre ITDR-Praxis als ausgereift betrachten, berichten nur 23 Prozent über eine umfassende Abdeckung mit kontinuierlicher Überwachung und automatisierten Reaktionen. Eine Hauptursache für den mangelnden ITDR-Reifegrad ist der Mangel an den richtigen Mitarbeitern. Nur 34 Prozent der Organisationen beziehen ihre Identity and Access Management (IAM)-Infrastrukturteams in ITDR-Verantwortlichkeiten ein. Stattdessen verlassen sie sich primär auf SecOps-Teams (48 Prozent) oder CISOs (43 Prozent). Diese Ressourcenverteilung kann zu unvollständigen Schutzstrategien und verpassten Automatisierungschancen führen. Diese Lücke ist besonders besorgniserregend angesichts der BSI-Erkenntnisse zu Advanced Persistent Threats (APTs) und staatlich unterstützten Angriffen auf Identitätsinfrastrukturen.
Geschäftsfall für ITDR in Deutschland
Trotz Herausforderungen berichten 84 Prozent der Organisationen, die ITDR-Initiativen vollständig oder teilweise implementiert haben, von positiven Ergebnissen. Mehr als jede dritte Organisation (36 Prozent) sagt, dass ihre Erwartungen vollständig erfüllt oder übertroffen wurden. Organisationen mit vollständiger ITDR-Implementierung berichten besonders von starken Resultaten: 16 Prozent übertreffen ihre Erwartungen, 40 Prozent erreichen ihre Ziele vollständig.
Wichtige Vorteile entsprechen den Empfehlungen des BSI:
Verbesserte Bedrohungserkennungsfähigkeiten zur Bekämpfung von APTs
Optimierte Präventivmaßnahmen gegen Phishing und Ransomware
Reduzierte Angriffsfläche
Schnellere Reaktionszeiten bei Vorfällen
Bessere Einhaltung sich entwickelnder Vorschriften wie NIS-2 und Cyber-Resilienz-Gesetz
Während Deutschland seine Cybersicherheitsposition durch Initiativen wie Cybernation stärkt, zeichnen sich mehrere Trends für die Zukunft von ITDR ab:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
1. KI-Integration: Fast die Hälfte der Organisationen erforscht Fähigkeiten im Bereich KI und maschinellem Lernen, um Schwachstellen in der Identitätsinfrastruktur vorherzusagen und zu verhindern. Lösungen wie Microsoft Security Copilot zeigen bereits Mehrwerte bei der Stärkung von Sicherheitspositionen und Beschleunigung von Reaktionszeiten bei entsprechenden Vorfällen.
2. Cloud-Migration: 64 Prozent glauben, dass Cloud-verbundene Geräte die Sicherheit verbessern, was die Betonung des BSI zur Modernisierung digitaler Infrastrukturen unterstützt. Dieser Trend wird sich wahrscheinlich beschleunigen, da Cloud-Native-Sicherheitslösungen ausgereifter werden und Organisationen einen besseren Schutz gegen die rasant steigende Zahl von Cyber-Angriffen suchen.
3. Active Directory-Modernisierung: 55 Prozent berichten von ITDR-Verbesserungen nach Modernisierung ihrer Active Directory-Umgebung. Dies wird zunehmend wichtiger, während Organisationen sich auf die Anforderungen der NIS-2-Richtlinie vorbereiten und die „Security by Design"-Prinzipien des Cyber-Resilienz-Gesetzes übernehmen.
1. Ausrichtung an nationalen Standards: Implementieren Sie ITDR-Praktiken, die den BSI-Richtlinien und der NIS-2-Richtlinie entsprechen und sich auf das Cyber-Resilienz-Gesetz vorbereiten. Nur 50 Prozent der Organisationen nutzen derzeit Identitäts-Infrastruktursicherheitstools, was ein unnötiges Risiko in einem Umfeld schafft, in dem transparente Kommunikation über Cyber-Vorfälle zunehmend wichtig ist.
2. Schutz kritischer Ressourcen: Etablieren Sie eine umfassende Überwachung von Tier-Zero-Assets, insbesondere angesichts der zunehmenden staatlich unterstützten Angriffe auf deutsche Infrastrukturen. Derzeit halten nur 42 Prozent der Organisationen diese entscheidende Praxis aufrecht, trotz der Betonung des BSI zum Schutz kritischer Infrastrukturen.
3. Regelmäßige Tests: Führen Sie halbjährliche Notfallwiederherstellungstests durch, was angesichts des BSI-Hinweises auf Simulationen von realen Szenarien entscheidend ist. Dies ist umso wichtiger, da identitätsbasierte Angriffe immer raffinierter und häufiger werden.
4. Expertenintegration: Stellen Sie sicher, dass IAM-Teams eine zentrale Rolle in der ITDR-Strategie spielen und unterstützen Sie damit die BSI-Empfehlung für integrierte Sicherheitsoperationen und erweiterte Fähigkeiten bei der Systemüberwachung.
Während Deutschland zunehmenden Cybersicherheitsherausforderungen – von täglichen Malware-Varianten bis zu ausgeklügelten APTs – gegenübersteht, wird ITDR zum wesentlichen Faktor für die Organisationssicherheit. Erfolg erfordert eine ausgereifte, gründlich getestete ITDR-Praxis, die sich mit nationalen Sicherheitsinitiativen deckt und gleichzeitig aufkommende Technologien und Best Practices nutzt.
Organisationen, die die Identitätssicherheit heute nicht priorisieren, riskieren, morgen Schlagzeilen in einer zunehmend feindseligen Cyber-Landschaft zu werden.
Über den Autor: Bert Skorupski ist Director Solutions Architecture bei Quest Software.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/48/f7/48f735a62c8731697a1997a7d02797d7/0120357128v2.jpeg "Durch die Schwachstelle CVE-2024-43477 können Angreifer remote ohne vorherige Privilegien eine Eskalation von Rechten in Entra ID/Azure AD erreichen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/5c/4d5c866a342740ebd31929c994e4c17f/0118693876v2.jpeg "Mit Microsoft Entra ID Protection lassen sich Benutzerkonten in Azure AD/Entra ID vor Phishishing-Angriffen, unberechtigten Zugriffen und anderen Risiken schützen. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/07/330715e07e85cb5ab855b87277dd2bd8/0123215790v2.jpeg "Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/7d/6b7d50d3b8a11e2188e4f8f5aaaaba76/0128156061v1.jpeg "Dashboards einer Identity-Security-Plattform zeigen identitätsbezogene Alarme und Risikowerte. Identity Threat Detection and Response bündelt hier Signale zu menschlichen und nicht-menschlichen Identitäten. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/61/8d/618d8729e65ab0da8a06e89c030cfc7f/0127913034v2.jpeg "Die Energieversorgung steht zunehmend im Visier komplexer Cyberangriffe, und nur durch vollständige Transparenz über IT- und OT-Systeme, den Einsatz KI-gestützter Detection-Verfahren sowie enge Zusammenarbeit innerhalb europäischer Sicherheitsallianzen lässt sich die Resilienz kritischer Infrastrukturen nachhaltig stärken. (©Thorsten Schier- stock.adobe.com)")