Schon eine kompromittierte E-Mail könnte das Ende der digitalen Mitarbeiteridentität sein. Häufig reicht Cyberkriminellen ein Zero-Day-Exploit oder eine irreführende E-Mail aus, um Nutzerkonten zu übernehmen. Aktuelle Studien zeigen, dass kompromittierte Zugangsdaten einer der häufigsten Einstiegspunkte für Cyberangriffe sind.

In der digitalen Welt steigt der Wert von Nutzerkonten immer mehr, und auch die damit verbundenen Gefahren nehmen zu. So können Angreifer mit Zugang zu E-Mails schwache Multi-Faktor-Authentifizierung (MFA) umgehen, Passwörter zurücksetzen und Identitäten kapern, um sensible Daten zu stehlen. Ein aktueller Bericht zu Trends in der Cybersicherheit dokumentiert, dass auf diese Weise 70 Prozent der Unternehmen ins Visier genommen wurden [1].

Bedrohungsakteure müssen dabei nicht unbedingt Phishing-Nachrichten breit streuen und für weiterführende Angriffe gezielt einsetzen. Oft reichen ihnen Social-Engineering-Techniken, um Zugang zu legitimen E-Mail-Konten zu bekommen. Laut Bitkom-Studie »Wirtschaftsschutz 2025« waren 87 Prozent der deutschen Unternehmen in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen [2].

Das oben skizzierte Gefahrenszenario ist eine häufig ignorierte Basislektion in der Cybersicherheit: Bedrohungsakteure brechen nicht ein — sie loggen sich ein. Und wenn sie sich mit gültigen Zugangsdaten unbefugt einwählen, verharren sie nicht bei Edge-Geräten am Endpunkt eines Netzwerks, sondern ihre Hauptstoßrichtung richtet sich gezielt auf die Steuerungsebene (Control Plane), um Einfluss auf die operative Intelligenz moderner Infrastrukturen zu erhalten.

Kontrollebene als Hauptangriffsziel

Die Kontroll- oder Steuerungsebene ist der intelligente Teil eines Netzwerks, eines Systems oder einer Plattform, der den Datenfluss festlegt, Routen berechnet, Richtlinien durchgesetzt und Netzwerkfunktionen verwaltet. Besonders lukrative Angriffsziele sind daher Cloud-Plattformen, SaaS-Administrationsportale oder Kubernetes-Dashboards. Diese Steuerungssysteme regeln Konfiguration, Zugriff und Orchestrierung. Wenn Bedrohungsakteure auf der Kontrollebene agieren können, greifen sie in das gesamte Unternehmensnetz ein.

Zur Einhaltung von CISO-Prioritäten konzentrieren sich Sicherheitsteams oft auf Themen wie Endpunkt- und Netzwerkschutz, Automatisierung, Agentic AI und klassische Workloads. Zweifellos sind das allesamt wichtige und schützenswerte Arbeitsabläufe, aber sie liegen unterhalb der Steuerungs- und Verwaltungsebene. Auf der Kontrollebene wird festgelegt, wie Ressourcen und digitale Identitäten bereitgestellt werden.

Das betrifft die Kontenerstellung, Rollenzuweisungen, Durchsetzung von Richtlinien sowie das Secrets Management, um nur einige Funktionen aufzugreifen. Ein Bedrohungsakteur mit privilegierten Zugangsrechten auf der Steuerungsebene benötigt keine Malware. Die nativen Management-Funktionen einer lizenzierten (oder selbstentwickelten) Lösung reichen zur Konfiguration zentraler Parameter komplett aus:

Erstellung neuer Identitäten, Maschinenkonten oder Konfigurationsänderungen für Benutzerrollen und Nutzergruppen zur Erhöhung der Rechte.
Anpassung von Protokoll- und Überwachungskonfigurationen, so dass unangemessene Aktivitäten nicht dokumentiert werden.
Einsatz bösartiger Workloads, Backdoors oder Malware zur Errichtung einer dauerhaften Präsenz im Unternehmensnetz.
Vollständige Deaktivierung von Sicherheitskontrollen, wodurch Anwendungen weiteren Angriffsvektoren ausgesetzt werden.

Das ist die Realität in der deutschen Wirtschaft, die gemäß oben genannter Bitkom-Studie zu Schäden von jährlich rund 289 Milliarden Euro geführt hat.

Multi-Faktor-Authentifizierung (MFA)

Viele Organisationen folgen der Auffassung, dass MFA- und Netzwerkbeschränkungen zur Absicherung administrativer Konsolen ausreichen. Leider ist das nicht der Fall. Multi-Faktor-Authentifizierung kann durch Sitzungs-Hijacking, Token-Diebstahl, MFA-Fatigue-Angriffe oder Man-in-the-Middle-Angriffe umgangen werden. Allein im Jahr 2025 wurden 8,6 Milliarden Session-Cookies durch Infostealer-Infektionen gestohlen [3].

Bei jedem einzelnen Diebstahl können geraubte Daten für MFA-Bypass-Angriffe missbraucht werden. Jeder gültige Session-Token erlaubt es Angreifern, die Authentifizierung zu überwinden. Dadurch versagen Netzwerkbeschränkungen, was sich in Cloud-First-Umgebungen mit verteiltem Zugriff auf mehrere Cloud-Umgebungen besonders negativ auswirkt. Auch Seitwärtsbewegungen im Netzwerk über häufig unsicher bereitgestellte APIs fallen leichter.

Hinzu kommt, dass über das Internet zugängliche Steuerungsebenen bei fast jeder lizenzierten SaaS-Anwendung (Software as a Service) zum Einsatz kommen. Die Folgen betreffen nicht nur die Authentifizierung, sondern auch Identitätssicherheit, Autorisierung und den Zugang zu Nutzerprivilegien. Privilegierte Zugriffsrechte, die erst einmal gewährt werden, unterliegen nach der Erstzuweisung nur selten späteren Nachbesserungen oder Einschränkungen. Fehlende Kontrolle führt wiederum dazu, dass Überprüfungen oder Widerrufe unterbleiben, die im Rahmen von Zero-Trust-Initiativen, bei Just-in-Time-Zugängen oder für kurzlebige Secrets eigentlich erforderlich wären.

Privilegierte Identitätssicherheit

Die aktuellen Herausforderungen beim Schutz vor Cyberbedrohungen erfordern auf Unternehmensseite einen identitätsbasierten Sicherheitsansatz. Notwendig ist eine umfassende Visibilität auf menschliche und maschinelle Identitäten. Darüber hinaus muss eine strenge Kontrolle jeder Person oder Maschine durchgeführt werden, die mit erhöhten Zugangsrechten auf geschäftskritische Systeme zugreift. Risiken durch dauerhaft gewährte Berechtigungen mit erhöhten Privilegien sind ganz zu vermeiden.

Bis zu 90 Prozent der Organisationen sind von einem identitätsbezogenen Sicherheitsvorfall betroffen [4]. Angreifer können viele Sicherheitsvorkehrungen umgehen, was wiederum bedeutet, dass sich der technologische Ansatz weiterentwickeln muss. Erforderlich ist ein zentraler Überblick über Identitäten, Konten, Berechtigungen und privilegierte Zugriffe einer IT-Umgebung, um Bedrohungen durch kompromittierte Identitäten und privilegierte Zugriffe rechtzeitig erkennen zu können. Digitale Identitäten und Konten, Konfigurationen und Berechtigungen müssen analysiert und nach Sicherheitskriterien geordnet werden. Durch eine systematische Aufdeckung von Schwachstellen, Fehlkonfigurationen und versteckten Zugriffswegen lässt sich die Identitätssicherheit proaktiv stärken und Resilienz gegen Bedrohungen aufbauen.

Das gilt für jede Rolle im Unternehmen, welche die Abläufe auf der Kontrollebene schädigen könnte – von menschlichen Administratoren, DevOps-Ingenieuren oder Drittanbietern bis zu Servicekonten, APIs und maschinellen Identitäten, die an Automatisierungs- und KI-Agenten gebunden sind. Sollte der Zugriff einer Identität kompromittiert und die Verwaltungskonsole auf der Kontrollebene missbraucht werden, könnte jede digitale Identität einen privilegierten Angriffsvektor darstellen. Dauerhafte Privilegien gilt es also abzuschaffen und durch Just-in-Time-Technologien und Least-Privilege-Strategien mit voller Rechenschaftspflicht zu ersetzen.

Sicherheit für Steuerungsebene und Verwaltungskonsolen

Managementkonsolen stellen Administratoren alle benötigten Werkzeuge zur Überwachung, Verwaltung und Wartung von Systemen, Netzwerken oder Anwendungen bereit. Als zentrale Benutzeroberfläche und Kontrollinstanz ermöglichen sie eine effiziente Steuerung komplexer IT-Umgebungen. Allerdings sind Verwaltungskonsolen mehr auf Benutzerfreundlichkeit und eine optimierte Benutzererfahrung ausgelegt und weniger auf die Einhaltung erforderlicher Sicherheitskriterien.

Organisationen müssen die Komponenten auf der Steuerungsebene nachjustieren und mehrere Sicherheitsprinzipien durchsetzen:

Keine dauerhaften Privilegien: Benutzer sollten nicht über dauerhafte Admin-Zugriffsrechte verfügen. Alle Berechtigungen müssen dynamisch gewährt und auf Basis genehmigter Arbeitsabläufe sofort nach der Nutzung widerrufen werden.
Just-in-Time-Zugriff: Alle Zugriffe sollten zeitlich sowie kontext- und risikobezogen begrenzt und nicht benötigte Nutzerrechte gar nicht erst gewährt werden.
Sitzungskontrolle und Protokollierung: Jede privilegierte Sitzung sollte vermittelt, überwacht und aufgezeichnet werden. Das dient nicht nur der Datenforensik, sondern auch der Echtzeiterkennung von Anomalien und ungewöhnlichem Verhalten.
Strenge Kontrolle: Uneingeschränkter Direktzugriff auf Verwaltungskonsolen ist grundsätzlich untersagt. Sichere Remote Access Broker schützen Zugangsdaten, isolieren risikobehaftete Datenströme und setzen Richtlinien ab Sitzungsbeginn durch.
Sicherheit nicht-menschlicher Identitäten: »Non-Human Identities« (NHIs) wie Servicekonten, API-Schlüssel und Automatisierungsskripte nutzen zumeist überhöhte Privilegien ohne Lebenszyklusverwaltung. Durch Vaulting sollten diese Identitäten sicher gespeichert, rotiert und genauso streng wie menschliche Nutzer kontrolliert werden.

Identitätsbasierte Schutzvorkehrungen

Angesichts hybrider Infrastrukturen, Remote-Arbeit, API-gesteuerten Architekturen und Agentic AI-Middleware existiert der klassische Netzwerkperimeter nicht mehr. Diese Entwicklung läuft bereits seit Jahren und ist in vielen Organisationen mittlerweile abgeschlossen. Bisherige Firewall-Konzepte greifen daher zu kurz und müssen durch identitätsbasierte Sicherheitsmaßnahmen ersetzt werden.

Auf der Kontrollebene treffen digitale Identitäten, zugewiesene Privilegien und dynamische Ressourcenzugriffe aufeinander. Hier werden sicherheitsrelevante Entscheidungen getroffen und durchgesetzt. Wird eine digitale Identität auf dieser Ebene kompromittiert, fehlen im Regelfall nachgelagerte Kontrollmechanismen, die potenzielle Schäden abwenden können. Privilegierte Identitätssicherheit stellt in modernen Organisationen die zentrale Verteidigungsstrategie dar, um unbefugte Logins in der heutigen Cybersicherheitslandschaft zu verhindern. Sie ist die Voraussetzung dafür, Kompromittierungen unterbinden zu können. Bei jedem Authentifizierungsschritt werden Best-Practice-Empfehlungen durchgesetzt und der Wirkungsgrad denkbarer Auswirkungen entsprechend begrenzt.

Die Kontrollebene umfasst nicht nur Managementkonsolen und die im Unternehmen eingesetzte IT-Architektur. Sie bestimmt vielmehr den Sicherheitsstatus aller im laufenden Betrieb eingesetzten Systeme und wie diese Ressourcen richtlinienkonform verwaltet, überwacht und geschützt werden. Ohne Einbeziehung dieser Steuerungsebene adressieren Sicherheitsmaßnahmen für Endpunkte lediglich die Symptome, aber nicht die Ursachen fehlgeleiteter Prozesse. Die Implementierung von Multi-Faktor-Authentifizierung unter Beibehaltung dauerhafter Privilegien löst das Problem nicht, sondern verzögert nur eine Kompromittierung durch Unbefugte. Allein mit dem Einsatz von privilegienbasierter Identitätssicherheit verfügen IT-Verantwortliche über einen wirksamen Maßnahmenkatalog, um Best-Practice-Strategien zur Verhinderung von Kompromittierungen durchzusetzen.

Mohamed Ibbich, Senior Director, Solutions Engineering, BeyondTrust

Mohamed Ibbich ist Senior Director of Solutions Engineering bei BeyondTrust und verantwortet die technische Strategie sowie die Umsetzung komplexer PAM‑ und Identity‑Security‑Projekte in EMEA. Mit seinem Team unterstützt er Unternehmen dabei, privilegierte Zugriffe abzusichern, Risiken zu reduzieren und moderne Zero‑Trust‑Architekturen umzusetzen. Dank seiner langjährigen Erfahrung in Cybersecurity und Enterprise‑Infrastrukturen verbindet er technische Tiefe mit klarer Beratungskompetenz für IT‑ und Security‑Entscheider.

[1] https://www.beyondtrust.com/de/blog/entry/business-e-mail-compromise-bec-warum-e-mails-weiterhin-hauptangriffspunkt-sind

[2] https://www.bitkom.org/sites/main/files/2025-12/bitkom-studienbericht-wirtschaftsschutz-2025_2.pdf

[3] https://spycloud.com/newsroom/annual-identity-exposure-report-2026/

[4] https://www.beyondtrust.com/resources/gartner-magic-quadrant-for-pam

2293 Artikel zu „Identität Sicherheit“

News | Industrie 4.0 | Infrastruktur | IT-Security | Services

OT-Sicherheit: Vom Perimeterschutz zu identitätsbasiertem Datenverkehr

22. Mai 2026

Noch vor 20 Jahren war es einfach, eine Produktionsanlage zu schützen. Das Gelände umgaben üblicherweise Zäune und gesicherte Tore. Physisch isolierte Netzwerke und statische Hardware an festen Standorten machten Cyberangriffe von außen ebenso unmöglich wie das Fehlen von Remote-Zugriff und Cloudumgebungen. Wer Zugriff auf das Netzwerk hatte, wurde als vertrauenswürdig eingestuft. Dieses Konzept kam im…