Eintrittskarte Nutzerkonto

Von Thomas Müller-Martin, Field Strategist DACH bei Omada

Es ist ein beunruhigender Trend, der sich durch die spektakulärsten Cyberangriffe der vergangenen Monate zieht:

Die Täter mussten keine ausgeklügelten Zero-Day-Exploits einsetzen, keine bislang unbekannten Schadprogramme entwickeln. Stattdessen reichte oft ein einziges – kompromittiertes – Nutzerkonto. Ob Automobilindustrie, Einzelhandel oder Cloud-Infrastruktur: Der Einstieg war erschreckend simpel. Gestohlene Zugangsdaten dienten als Schlüssel, fehlende Kontrolle als offene Tür. Und was folgt, ist meist ein Dominoeffekt, der ganze Unternehmen lahmlegt.

Ein besonders eindrückliches Beispiel liefert der Angriff auf den britischen Autobauer Jaguar Land Rover im Herbst 2025. Vier Wochen Produktionsstillstand, Milliardenverluste und massive Auswirkungen auf die Lieferkette – ausgelöst durch etwas so Banales wie gestohlene Login-Daten. Die Angreifer nutzten Zugangsdaten eines Drittanbieters, verschafften sich Zugriff auf interne Systeme und bewegten sich mit legitimen Konten ungehindert durch die IT-Landschaft.

Wenn Zugangsdaten zur Einfallstür werden

Ähnlich dramatisch verlief der Angriff auf Marks & Spencer. Hier begann alles mit einem simplen Trick: Social Engineering beim IT-Service-Desk. Eine Passwortzurücksetzung später hatten die Angreifer freie Bahn. Das Ergebnis: wochenlange Ausfälle im Onlinegeschäft, immense finanzielle Schäden und ein massiver Vertrauensverlust. Solche Fälle sind längst keine Ausnahme mehr. Laut dem aktuellen Data Breach Investigations Report von Verizon basiert ein erheblicher Teil aller Sicherheitsvorfälle auf kompromittierten Zugangsdaten. Besonders alarmierend: Immer häufiger spielen dabei Drittanbieter eine entscheidende Rolle.

Unsichtbare Risiken: Nicht-menschliche Identitäten

Während Unternehmen ihre Sicherheitsstrategien meist auf menschliche Nutzer konzentrieren, bleiben andere kritische Zugänge oft unbeachtet: Dienstkonten, automatisierte Prozesse oder Systemidentitäten. Diese „unsichtbaren Nutzer“ verfügen nicht selten über weitreichende Rechte – und kaum jemand fühlt sich wirklich verantwortlich für sie.

Ein Beispiel dafür ist die Ransomware-Gruppe Storm-0501. Nachdem sie in ein Netzwerk eingedrungen war, stieß sie auf ein unscheinbares Dienstkonto – mit maximalen Cloud-Administratorrechten, ohne Multi-Faktor-Authentifizierung. Dieses Konto wurde zum Generalschlüssel: Daten wurden gestohlen, Backups gelöscht, ganze Systeme zerstört.

Das eigentliche Problem: Fehlende Übersicht

Hinter all diesen Vorfällen steckt ein strukturelles Defizit: Unternehmen wissen oft nicht genau, wer worauf Zugriff hat. Berechtigungen wachsen über Jahre hinweg – durch Jobwechsel, Projektarbeit oder externe Partner – ohne jemals systematisch bereinigt zu werden. Ein Mitarbeiter sammelt im Laufe seiner Karriere Zugriffsrechte aus verschiedenen Abteilungen und Systemen. Niemand hat den vollständigen Überblick. Wird dieses Konto kompromittiert, öffnet sich gleich ein ganzes Netzwerk an Möglichkeiten für Angreifer.

Im Ernstfall wird diese Intransparenz teuer. So auch bei Jaguar Land Rover: Weil unklar war, welche Systeme betroffen sind, blieb nur eine radikale Maßnahme – alles abschalten. Wochenlanger Stillstand, weil eine zentrale Frage unbeantwortet blieb: Wer hat eigentlich Zugriff auf was?

Identity Security als Schlüssel zur Prävention

Genau hier setzt moderne Identity Security an. Sie schafft Transparenz über alle Identitäten hinweg – von Mitarbeitern über Drittanbieter bis hin zu Maschinenkonten. Erst wenn klar ist, wer welche Rechte besitzt, lassen sich Risiken gezielt reduzieren. Automatisierte Prozesse spielen dabei eine zentrale Rolle:

• Inaktive Konten werden sofort deaktiviert
• Zugriffsrechte regelmäßig überprüft
• Kritische Berechtigungskombinationen automatisch erkannt

Auch externe Partner müssen strenger kontrolliert werden. Zeitlich begrenzte Zugriffe, klare Verantwortlichkeiten und minimale Rechte sollten Standard sein – nicht die Ausnahme. Und nicht zuletzt gilt: Auch nicht-menschliche Identitäten brauchen klare Regeln. Dazu gehören etwa regelmäßige Passwortrotation, definierte Eigentümer und kontinuierliche Überwachung.

Weniger Angriffsfläche, mehr Kontrolle

Die wichtigste Erkenntnis aus all diesen Vorfällen ist ebenso simpel wie entscheidend: Je kleiner die Angriffsfläche, desto geringer der Schaden. Wenn es weniger Zugangsdaten zu stehlen gibt und diese nur minimale Rechte besitzen, verlieren Angreifer ihren größten Hebel. Doch Identity Security ist nicht nur Prävention – sie ist auch der Schlüssel zur schnellen Reaktion im Ernstfall. Unternehmen, die ihre Identitäten im Griff haben, können Angriffe gezielt eingrenzen, statt im Blindflug ganze Systeme herunterzufahren.

Die Realität zeigt: Ransomware beginnt heute selten mit komplexer Technik. Sie beginnt mit einem Login. Und genau dort entscheidet sich, ob ein Angriff zur Katastrophe wird – oder im Keim erstickt.