Gestohlene Zugangsdaten bleiben trotz spektakulärer Zero-Day-Exploits, Supply-Chain-Angriffe und KI-generierter Malware einer der verlässlichsten und am weitesten verbreiteten Einstiegsvektoren in Unternehmensnetze. Für viele erfolgreiche Angriffe reicht nach wie vor eine gültige Kombination aus Benutzername und Passwort – oft völlig ohne Ausnutzung technischer Schwachstellen.
Gestohlene Zugangsdaten als bevorzugter Angriffsvektor
Moderne identitätsbasierte Angriffe (identity-based attacks) zielen konsequent auf valide Accounts. Häufig eingesetzte Techniken sind Credential Stuffing mit Zugangsdaten aus früheren Leaks, Password Spraying gegen öffentlich erreichbare Dienste sowie maßgeschneiderte Phishing-Kampagnen.
Während klassische Angriffe oft durch verdächtigen Netzwerkverkehr oder bekannte Exploits auffallen, wirkt der initiale Zugriff über kompromittierte Credentials wie ein regulärer Login. Erfolgreiche Authentifizierung erzeugt kaum auffällige Signale. Ohne Korrelation von Geodaten, Zeitstempeln, Anomalien im Nutzerverhalten und Kontext der Sitzung bleiben viele Angriffe unentdeckt.
Einmal im Netzwerk, extrahieren Angreifer häufig Passwort-Hashes, knacken diese offline und nutzen neue Konten für lateral movement zwischen Workstations, Servern, Cloud-Ressourcen und Identitätsmanagement-Systemen. Für Ransomware-Gruppen führt diese Kette schnell zur Verschlüsselung kritischer Daten. Staatlich unterstützte Akteure nutzen dieselben Mechanismen für langfristige, verdeckte Spionagekampagnen.
Laut dem Verizon Data Breach Investigations Report entfallen bei einem erheblichen Anteil der untersuchten Sicherheitsvorfälle kompromittierte Zugangsdaten oder Phishing auf die Einstiegsphase. Die Daten zeigen seit Jahren konstant, dass Menschen und ihre Identitäten der bevorzugte Angriffsweg sind – nicht die seltenen, hochkomplexen Exploits.
Wie KI die Effizienz von Angriffen auf Zugangsdaten steigert
Das Grundprinzip der Kontoübernahme hat sich kaum verändert, doch Skalierung und Geschwindigkeit der Angriffe haben sich durch den Einsatz von KI und Automatisierung dramatisch erhöht. Angreifer nutzen generative KI, um in Sekundenbruchteilen überzeugende Phishing-Mails zu erzeugen, Tooling anzupassen und große Credential-Sets automatisiert zu testen.
Dadurch entstehen Vorfälle, die gleichzeitig mehrere Domänen betreffen: Identity- und Access-Management, Cloud-Umgebungen, Endpunkte und geschäftskritische Applikationen. Incident-Response-Teams, die auf langsamere Angriffsverläufe eingestellt sind, geraten zunehmend unter Zeitdruck, weil etablierte Prozesse nicht mehr mit der Dynamik Schritt halten.
Warum klassische Incident-Response-Modelle an Grenzen stoßen
Das traditionelle, linear aufgebaute Incident-Response-Modell – Vorbereitung, Identifikation, Eindämmung, Beseitigung, Wiederherstellung, Lessons Learned – bietet zwar eine sinnvolle Struktur, entspricht aber nur bedingt der Realität komplexer Identitätsangriffe.
In der Praxis zeigt sich, dass während der Eindämmung neue Artefakte auftauchen, die den Umfang des Vorfalls ausweiten, während der Beseitigung bislang unerkannte Taktiken und Tools sichtbar werden und sich der Kreis betroffener Systeme fast immer vergrößert. Vorfälle entwickeln sich iterativ, nicht linear – insbesondere, wenn kompromittierte Konten und Zugriffsrechte im Zentrum stehen.
DAIR: Dynamischer Ansatz für Incident Response bei Identitätsangriffen
Der Dynamic Approach to Incident Response (DAIR) trägt dieser Realität Rechnung, indem er Incident Response als zyklischen Prozess versteht. Nach Bestätigung eines Vorfalls durchläuft das Team wiederholt vier Kernphasen: Scoping (Umfang bestimmen), Containment (Eindämmung), Eradication (Beseitigung), Recovery (Wiederherstellung).
Praxisbeispiel: Von einem kompromittierten Konto zum gesamten Netzwerk
Wird etwa eine kompromittierte Benutzerkennung samt infiziertem Arbeitsplatz identifiziert, kann die forensische Analyse auf diesem System eine Persistenz über Registry-Keys offenlegen. Dieses neue Wissen erfordert eine erneute Scoping-Phase: Der spezifische Persistenz-Indikator wird nun in der gesamten Infrastruktur gesucht.
Führt diese Suche zu weiteren infizierten Hosts und zur Identifikation von Command-and-Control-IP-Adressen, beginnt der DAIR-Zyklus erneut – mit erweitertem Umfang, neuen Maßnahmen zur Eindämmung und Beseitigung sowie anschließender Wiederherstellung und Validierung. Jede Iteration verbessert die verfügbare Lageinformation und erhöht die Qualität der nächsten Entscheidungsrunde.
Ein Vorfall gilt erst als abgeschlossen, wenn Technik-Teams und Business-Verantwortliche übereinstimmend beurteilen, dass alle Angriffsvektoren geschlossen, Spuren der Angreifer entfernt und Restrisiken auf ein akzeptables Maß reduziert wurden. DAIR ist damit von Beginn an auf Unsicherheit, neue Erkenntnisse und Richtungswechsel ausgelegt.
Kommunikation, Vorbereitung und Schulung als Sicherheitsfaktor
Angriffe auf Identitäten und Zugangsdaten binden typischerweise mehrere Gruppen: SOC-Analysten, Cloud-Spezialisten, Incident-Response-Teams, Domain-Administratoren und Fachbereiche. Klare, strukturierte Kommunikation entscheidet darüber, ob Informationen über den Incident-Umfang rechtzeitig bei den richtigen Stellen ankommen und Eindämmungsmaßnahmen koordiniert erfolgen.
Organisationen, die regelmäßig Incident-Response-Übungen für Credential-Angriffe durchführen, Anomalien in Authentifizierungsprozessen trainieren und Abläufe für Kontensperrung sowie Passwort- und Token-Rotation testen, bewältigen reale Vorfälle nachweislich robuster. Branchenberichte wie der Verizon DBIR oder Analysen großer Security-Anbieter zeigen, dass investierte Trainings- und Simulationsressourcen den finanziellen Schaden im Ernstfall deutlich reduzieren können.
Spezialisierte Schulungen – etwa Kurse, die den vollständigen Lebenszyklus von Angriffen über initiale Kontoübernahme, lateral movement und Persistenz bis hin zum DAIR-basierten Incident Handling abbilden – helfen, Verteidiger taktisch und prozessual weiterzuentwickeln.
Angesichts der wachsenden Zahl identitätsbasierter Angriffe und der durch KI beschleunigten Bedrohungslandschaft sollten Unternehmen ihre Identitätssicherheit systematisch stärken: Multi-Faktor-Authentifizierung flächendeckend einführen, Monitoring für anomale Login-Aktivitäten ausbauen und Incident-Response-Prozesse am DAIR-Modell ausrichten. Wer Architektur, Kommunikation und kontinuierliche Weiterbildung zusammendenkt, erhöht die Chance, Angriffe frühzeitig zu erkennen, kontrolliert einzugrenzen und geschäftliche Schäden nachhaltig zu minimieren.
