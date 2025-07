Im klassischen Techno-Thriller WarGames aus dem Jahr 1983 programmiert ein junger Hacker seinen Computer so, dass dieser jede Telefonnummer der Reihe nach anwählt – auf der Suche nach einem Modem, das antwortet. Aktuelle Angreifer tun im Wesentlichen nichts anderes. Nur benutzen sie dazu keine Telefonleitungen mehr, sondern fangen mit der IP-Adresse 0.0.0.0 an und arbeiten sich mit einem Brute-Force-Angriff durch alle erreichbaren Adressen im Cyberspace. Die Logik eines »Drive-by«-Angriffs ist so simpel wie erfolgversprechend: wahllos, opportunistisch und andauernd.

Cyberangriffe waren zunächst in vielen Fällen eine persönliche Angelegenheit: Eine Insider-Bedrohung, ein unzufriedener Mitarbeiter, eine gezielte Kampagne gegen ein hochrangiges Opfer. Kleinere Unternehmen konnten sich noch damit trösten, dass sie für ambitionierte Angreifer vermutlich kein ausreichend lukratives Ziel waren. Bei skalierenden und automatisiert ablaufenden Attacken spielt die Größe eines Unternehmens längst keine Rolle mehr. Jüngsten Zahlen zufolge richten sich inzwischen nahezu die Hälfte (46 %) aller Cyberangriffe gegen Unternehmen mit weniger als 1.000 Mitarbeitern, und 82 % der Ransomware-Angriffe treffen inzwischen den durchschnittlichen Anwender. In dieser Art von digitalem Verdrängungswettbewerb sind Prosperität, Größe oder Reputation eines Unternehmens nicht mehr entscheidend. Es zählt nur, wie verwundbar es ist.

Jede Identität wird zur Angriffsfläche, auch die nicht-menschlichen

Die meisten Sicherheitsverletzungen erfolgen aufgrund von Kontoübernahmen (Account Take Over oder ATO-Angriffe). Moderne Netzwerkumgebungen sind zunehmend ausgedehnt und komplex, einschließlich des damit verbundenen »Wildwuchses« an Identitäten. Jede Identität verfügt über ein oder mehrere Konten. Für einen Angreifer ist es unerheblich, ob das Konto zu einem menschlichen Mitarbeiter, einem automatisierten Prozess, einem Drittanbieter oder einer internen API gehört. Wenn es Zugriff auf etwas gewährt, wird es zum Ziel. Jede Identität, unabhängig davon, wie routinemäßig oder unbedeutend sie auch sein mag, ist ein potenzieller Einstiegspunkt. Einmal kompromittiert, kann man selbst eine scheinbar harmlose Identität eskalieren, ausnutzen oder als Ausgangspunkt verwenden, um tiefer in ein Netzwerk vorzudringen.

Die explosionsartige Zunahme nicht-menschlicher Identitäten (Non-Human Identities, NHIs) hat die Angriffsfläche darüber hinaus grundlegend umgestaltet. Automatisierte Skripte, robotergestützte Prozessautomatisierung (RPA), Authentifizierungstoken und Service-Konten haben die menschlichen Benutzer zahlenmäßig längst überholt – in einigen Fällen um den Faktor 50:1. In dem Maß, in dem sich agentengestützte KI ausbreitet, werden die Zahlen weiter nach oben gehen. Diese (System-) Identitäten bekommen oft standardmäßig erweiterte Zugriffsberechtigungen. Zudem sind sie in Systeme eingebettet, für die es oft keine eindeutigen Verantwortlichen gibt. Sie werden im Rahmen von Routineprozessen dynamisch aktiviert oder deaktiviert. Systeme, die für die Verwaltung von Identitäten zuständig sind, stammen aber meist aus einer Ära in der Konten statisch, nachvollziehbar und menschlichen Benutzer zugeordnet waren. Diese Diskrepanz führt fast zwangsläufig zu blinden Flecken. Und genau die werden von Drive-by-Angreifern ausgenutzt.

Einmal kompromittiert können Angreifer die gekaperte Identität außerdem dazu nutzen, sich in der typischen Seitwärtsbewegung (Lateral Movement) im Netzwerk vorwärtszubewegen. Ein API-Schlüssel, der in einem Code-Repository offengelegt wird, ein falsch konfiguriertes Dienstkonto oder ein Bot mit zu vielen Berechtigungen reicht unter Umständen aus, um die ersten Kontrollen zu umgehen. Danach verwenden Angreifer oftmals legitime Anmeldedaten und Prozesse, um beispielsweise ihre bisherigen Zugriffsberechtigungen zu erweitern, Daten abzugreifen oder die Protokollierung zu deaktivieren.

Der ursprüngliche Einstieg erfolgt dabei eher selten über das Konto eines Administrators mit erhöhten Zugriffsberechtigungen. Angreifer suchen sich ein Konto, das leicht zu kompromittieren ist und arbeiten sich dann nach oben vor. In diesem, sehr realen Szenario gibt es keine »Wegwerfkonten«. Es empfiehlt sich, jede Identität als potenziellen Angriffsvektor zu betrachten und jeden Zugriffspunkt unter Berücksichtigung adäquater Governance-Regeln zu behandeln.

Perimeter-Sicherheit hat ausgedient

Perimeter-basierte Sicherheitsmodelle sind ein Relikt aus der Vergangenheit als Unternehmensnetzwerke noch klare Grenzen hatten. Inzwischen sind diese Grenzen obsolet. Dafür haben Remote Work, Cloud Computing und der Zugriff von mobilen Endgeräten ebenso gesorgt wie ausufernde Ökosysteme von Drittanbieter-Tools, APIs und KI-Agenten. Es gibt aber noch einen einzigen zuverlässigen Kontrollpunkt: die Identität. Jedes System, jede Anwendung und jede Transaktion – und sei sie noch so marginal – ist letztlich an eine Identität gebunden. Und genau um die sollte man sich kümmern.

In einem »Identity-first«-Ansatz bereitet man sich vorausschauend auf eine Kompromittierung vor und zwar nicht als Worst-Case-Szenario, sondern als Bestandteil der betrieblichen Realität. Grundlage ist auch hier das Prinzip der minimalen oder geringsten Rechtevergabe (Zero Trust): Ein Zugriff wird nur dann gewährt, wenn er benötigt wird und wieder entzogen, sobald er nicht mehr gebraucht wird. Die Methoden sind nicht neu, aber jetzt sollte man sie dringend umsetzen. Dazu zählt auch der Just-in-Time-Zugriff, um das Zeitfenster zu begrenzen, in dem ein Angriff überhaupt erfolgen kann. Dazu kommen eine kontextbezogene Überwachung der Authentifizierung von Benutzern und Entitäten in Echtzeit und ein kontinuierliches Auditing das die Definition eines Basis-Verhaltens erlaubt (Behavioral Baselining). Damit lässt sich ein verdächtiges Verhalten frühzeitig erkennen – genau in dem Moment, in dem es auftritt.

WarGames …

In WarGames simuliert ein militärischer Supercomputer einen Atomkrieg und spielt dabei alle möglichen Szenarien durch. Dabei kommt er letztlich zu dem Schluss: »Der einzige Gewinn liegt darin, nicht zu spielen«. Der Computer hatte erkannt, dass jedes Ergebnis zur gegenseitigen Zerstörung führen würde. Das ist hier anders. Die Angreifer sind deutlich im Vorteil. Es sei denn, Unternehmen nutzen ähnliche Automatisierungstechniken. Die menschliche Reaktionszeit hat gegen automatisierte Bedrohungen keine Chance, und das unabhängig vom Skill-Set eines Teams. Um im Bild zu bleiben: Das Spiel hat längst begonnen. KI und Automatisierung gehören zum Werkzeug eines jeden Angreifers aber auch zum Arsenal von Sicherheitsabteilungen – sei es, um Bedrohungen zu erkennen oder um diese einzudämmen.

Firmen können es sich nicht leisten, mühsam Protokolle zu durchforsten oder auf die Eskalation eines Alarms zu warten. In dem Moment, in dem ein bösartiger Prozess entdeckt wird, müssen die notwendigen Abwehrmaßnahmen unmittelbar ablaufen: das Konto wird unter Quarantäne gestellt, der Zugriff gesperrt, die Anmeldedaten geändert, das Ereignis protokolliert. Entscheidungen, die man in Maschinengeschwindigkeit treffen muss, um Maßnahmen genauso schnell umzusetzen. Das ist eine der Voraussetzungen, wenn man maschinell getriebenen Bedrohungen etwas entgegensetzen will.

Künstliche Intelligenz erlaubt es Identitätssystemen Muster zu erkennen, statt nur statische Regeln durchzusetzen. Wer greift typischerweise auf was, wann, wozu und von wo aus zu? Weicht ein Verhaltensmuster von der für diesen Zugriff definierten Base Line ab, markiert das System die Abweichung in Echtzeit, isoliert sie oder reagiert darauf. Wenn zum Beispiel eine nicht-menschliche Identität, die normalerweise für interne API-Aufrufe verwendet wird, plötzlich um 3 Uhr morgens mit Datenübertragungen nach außen beginnt, sollte das unmittelbar eine automatisierte Reaktion auslösen. Keine Warnung, die in der Warteschlange hängt und um die Aufmerksamkeit eines überarbeiteten Administrators buhlt, sondern eine Aktion auf Systemebene, die das Risiko sofort wirksam begrenzt. Eine dynamische Entscheidungsfindung dieser Art ist möglich, wenn KI und Automatisierung in die Identitätsschicht selbst integriert und nicht als sekundäres System aufgesetzt werden.

Schon länger zeichnet sich ein digitales Wettrüsten zwischen Verteidigern und Angreifern ab, und beide nutzen künstliche Intelligenz für ihre Zwecke. Angreifer verwenden maschinelles Lernen, um weiche Ziele zu identifizieren, Phishing-Köder zu optimieren und traditionelle Kontrollmechanismen zu umgehen. Darauf sollten Sicherheitsteams reagieren. Die Zufälligkeit aktueller Angriffe macht sie nicht weniger gefährlich. Denn sie sind schwieriger zu prognostizieren und schlagen schneller zu. In modernen Netzwerkumgebungen sind Identitäten Vordertür, Hintertür und Fenster zugleich. Es gilt, Systeme zu entwickeln, die von einer Kompromittierung ausgehen, schnell darauf reagieren und jeden Zugang permanent überwachen. Ein intelligentes Identity Access Management (IAM) ist derzeit das wohl das effektivste Werkzeug in einer Zeit des digitalen Wettrüstens.

