Wie unterscheiden sich identitätsbasierte Sicherheitsverletzungen von traditionellen Netzwerkeinbrüchen?

Statt eine Firewall zu durchbrechen, kompromittieren Angreifer Zugangsdaten oder Token, um sich legitim aussehenden Zugang zu verschaffen, was die Erkennung verlangsamt und die Behebung erschwert.

Welche aktuellen Beispiele aus der Praxis gibt es für durch kompromittierte Identitäten verursachte Sicherheitsverletzungen?

Der Alert-360-Verstoß legte 2,5 Millionen Datensätze offen, und der Zara-Verstoß betraf fast 200.000 Kunden über einen Drittanbieter – beide auf kompromittierte Zugangsdaten zurückzuführen.

Warum werden nicht-menschliche Identitäten wie API-Schlüssel und KI-Agenten zu bevorzugten Zielen?

Sie werden häufig falsch verwaltet, mit zu weitreichenden Berechtigungen, selten rotiert und inkonsistent überwacht, was sie zu hochwertigen Zielen macht, die unbemerkt fortbestehen können.

Was macht API-Schlüssel in Code-Repositories besonders riskant?

Ein in ein Repository eingebetteter API-Schlüssel kann Angreifern Zugang ohne ordnungsgemäße Lebenszyklusverwaltung gewähren, da diese nicht-menschlichen Identitäten oft keine regelmäßige Rotation und Überwachung erfahren.

Sophos: 71 % der Unternehmen von Identitätsverletzungen im Jahr 2025 betroffen

Ein bedeutender neuer Bericht von Sophos hat eine alarmierende Zahl zu einem Problem geliefert, vor dem Sicherheitsexperten seit Jahren warnen: 71 % der Organisationen weltweit erlitten im vergangenen Jahr mindestens eine identitätsbezogene Sicherheitsverletzung. Die Ergebnisse erscheinen zu einem Zeitpunkt, an dem identitätsbasierte Angriffe nicht mehr nur eine Nischenbedrohung sind, sondern die vorherrschende Methode, mit der Angreifer in Unternehmensumgebungen Fuß fassen. Für Unternehmen wie auch für Privatpersonen sind die Daten ein klares Signal, dass Identitätshygiene nicht länger als zweitrangiges Anliegen behandelt werden darf.

Was die Sophos-Daten über Häufigkeit und Umfang von Identitätsverletzungen verraten

Das schiere Ausmaß der Sophos-Ergebnisse ist kaum zu ignorieren. Fast drei von vier Organisationen – branchen- und länderübergreifend – erlebten innerhalb eines einzigen Jahres eine identitätsbezogene Kompromittierung. Hier geht es nicht um eine Handvoll prominenter Ziele; es spiegelt eine breite, systemische Schwachstelle darin wider, wie Organisationen verwalten, wer und was Zugriff auf ihre Systeme hat.

Identitätsbezogene Sicherheitsverletzungen unterscheiden sich auf wichtige Weise von traditionellen Netzwerkeinbrüchen. Anstatt eine Firewall zu durchbrechen, kompromittieren Angreifer Zugangsdaten oder Token, die ihnen einen legitimen Anschein von Zugang verleihen. Einmal drinnen, können sie sich seitlich bewegen, Berechtigungen ausweiten und Daten abziehen, während sie – zumindest anfangs – als autorisierte Nutzer erscheinen. Das macht die Erkennung langsamer und die Behebung komplexer.

Die realen Konsequenzen von Identitätsversagen füllen bereits 2025 die Schlagzeilen. Der Alert-360-Verstoß, der 2,5 Millionen Datensätze offenlegte, und der Zara-Vorstoß, durch den fast 200.000 Kunden über einen Drittanbieter betroffen waren, zeigen beide, wie kompromittierte Zugangsdaten – sei es durch direkte Angriffe oder die Offenlegung über die Lieferkette – zu massiven Datenverlusten eskalieren können.

Wie nicht-menschliche Identitäten und API-Schlüssel zu bevorzugten Zielen werden

Eine der vorausschauenderen Erkenntnisse im Sophos-Bericht ist die Aufmerksamkeit, die er nicht-menschlichen Identitäten widmet. Diese Kategorie umfasst API-Schlüssel, Service-Konten, Automatisierungsskripte und zunehmend KI-Agenten, die Zugriff auf Systeme erhalten, um Aufgaben eigenständig auszuführen.

Wenn Unternehmen KI-gestützte Tools einführen und mehr ihrer Arbeitsabläufe automatisieren, schaffen sie einen wachsenden Bestand an nicht-menschlichen Akteuren, die über Zugangsdaten und Berechtigungen verfügen. Das Problem ist, dass diese Identitäten häufig falsch verwaltet werden: Berechtigungen sind zu weitreichend, Zugangsdaten werden selten rotiert und die Überwachung auf anomalie Verhalten ist bestenfalls inkonsistent.

Ein in einem Code-Repository eingebetteter API-Schlüssel oder ein KI-Agent mit Schreibzugriff auf eine Produktionsdatenbank stellt ein hochwertiges Ziel für Angreifer dar. Im Gegensatz zu menschlichen Benutzerkonten mangelt es nicht-menschlichen Identitäten oft an der gleichen Lebenszyklusverwaltung, was bedeutet, dass sie lange über ihren Bedarf hinaus fortbestehen und bei Kompromittierung unbemerkt bleiben können. Der Sophos-Bericht identifiziert diese Fehlverwaltung als einen der Hauptangriffsvektoren, die die 71 % antreiben.

Warum menschliches Versagen das schwächste Glied in der Identitätssicherheit bleibt

Neben dem Anstieg nicht-menschlicher Identitätsrisiken bestätigen die Sophos-Ergebnisse, dass menschliches Versagen selbst gut ausgestattete Sicherheitsprogramme weiterhin untergräbt. Phishing bleibt bemerkenswert effektiv. Die Wiederverwendung von Zugangsdaten über private und berufliche Konten hinweg schafft für Angreifer Wege, um von einem Verbrauchervorstoß in eine Unternehmensumgebung zu wechseln. Und überberechtigte Konten, die aus Bequemlichkeit eingerichtet und nie richtig eingeschränkt wurden, geben Angreifern mehr Zugriff, als sie jemals erreichen dürften.

Das menschliche Element zeigt sich auch darin, wie schnell Verstöße skalieren, sobald der erste Zugang erlangt wurde. Ein einziges kompromittiertes Konto einer Person mit umfassenden administrativen Rechten kann innerhalb von Stunden Tausende von Datensätzen offenlegen. Das Gesundheitswesen hat sich als besonders anfällig erwiesen, wie Vorfälle wie der NYC Health-Verstoß mit 1,8 Millionen betroffenen Personen zeigen, bei dem Identitätsfehlmanagement auf jeder Ebene eines komplexen Systems übergroße Konsequenzen haben kann.

Schulungen und Sensibilisierungsprogramme helfen, sind aber allein nicht ausreichend. Die Sophos-Daten deuten darauf hin, dass Unternehmen strukturelle Kontrollen benötigen, die den Explosionsradius menschlicher Fehler verringern, nicht nur Richtlinien, die darauf setzen, dass Mitarbeiter jedes Mal alles richtig machen.

Tiefengestaffelte Verteidigung: Wo VPNs und Datenschutztools in den Identitätsschutz passen

Kein einzelnes Werkzeug löst das Problem der Identitätssicherheit, und genau das ist der Punkt. Das Konzept der tiefengestaffelten Verteidigung, die Schichtung mehrerer Sicherheitskontrollen, sodass ein Fehler in einer nicht automatisch eine vollständige Kompromittierung bedeutet, ist der Rahmen, den die Sophos-Ergebnisse – wenn auch implizit – befürworten.

VPNs spielen in diesem Stapel eine spezifische und wichtige Rolle. Durch die Verschlüsselung des Netzwerkverkehrs und die Maskierung von Verbindungsmetadaten reduziert ein VPN das Risiko, dass Zugangsdaten oder Sitzungstoken unterwegs abgefangen werden, besonders in nicht vertrauenswürdigen Netzwerken. Für Remote-Mitarbeiter, die von Hotels, Flughäfen oder gemeinsam genutzten Arbeitsbereichen auf Unternehmensressourcen zugreifen, ist ein VPN eine grundlegende, aber bedeutsame Kontrolle, die ein ansonsten offenes Fenster schließt.

Über VPNs hinaus umfasst eine mehrschichtige Identitätsschutzstrategie die Multi-Faktor-Authentifizierung für alle Konten, das Prinzip der geringsten Berechtigungen sowohl für menschliche als auch für nicht-menschliche Identitäten, regelmäßige Audits aktiver Zugangsdaten und API-Schlüssel sowie die Überwachung auf anomale Anmeldemuster. Die Sophos-Daten bekräftigen, dass dies keine optionalen Extras für große Unternehmen sind; Organisationen jeder Größe werden ins Visier genommen.

Was das für Sie bedeutet

Ob Sie die IT eines Unternehmens leiten oder einfach nur eine Privatperson sind, die ihre Konten schützen will – der Sophos-Bericht sendet eine direkte Botschaft: Die Identität ist jetzt der Perimeter, und sie muss entsprechend verteidigt werden.

Hier sind konkrete Schritte, die Sie unternehmen können:

Prüfen Sie Ihre Zugangsdaten. Identifizieren Sie Konten mit wiederverwendeten oder schwachen Passwörtern und ersetzen Sie diese durch einzigartige, komplexe Alternativen, die in einem Passwort-Manager gespeichert werden.
Aktivieren Sie die Multi-Faktor-Authentifizierung überall. Priorisieren Sie dabei zuerst Ihre E-Mail-, Finanz- und Arbeitskonten.
Überprüfen Sie App-Berechtigungen und API-Zugriffe. Wenn Sie Softwareprojekte oder Geschäftstools verwalten, auditieren Sie, welche Dienste aktive Zugangsdaten besitzen, und widerrufen Sie alles, was nicht mehr benötigt wird.
Verwenden Sie ein VPN in nicht vertrauenswürdigen Netzwerken. Die Verschlüsselung Ihrer Verbindung verhindert das Abfangen von Zugangsdaten, wenn Sie sich außerhalb gesicherter Umgebungen bewegen.
Bleiben Sie über Datenschutzverletzungen informiert. Dienste, die Sie benachrichtigen, wenn Ihre E-Mail in einem bekannten Datenschutzdatensatz auftaucht, geben Ihnen eine frühzeitige Warnung, um betroffene Zugangsdaten zu rotieren, bevor Angreifer sie ausnutzen können.

Die 71 % von Sophos sind kein Grund zur Panik, aber sie sind ein Grund zum Handeln. Identitätsbezogene Sicherheitsverletzungen im Jahr 2025 sind keine hypothetischen Risiken mehr; sie passieren der Mehrheit der Unternehmen genau jetzt. Mehrschichtige Verteidigungen aufzubauen und starke Identitätspraktiken mit Schutzmaßnahmen auf Netzwerkebene zu kombinieren, ist die praktische Antwort, die die Daten einfordern.