Identity Security Report

Sophos-Studie zeigt: Identitätsbasierte Angriffe zählen zu den größten Cyberrisiken für Unternehmen

, Sophos | Autor: Herbert Wieler

Sophos-Studie zeigt: Identitätsbasierte Angriffe zählen zu den größten Cyberrisiken für Unternehmen

71 % der Unternehmen von Identitätsdiebstahl und Ransomware betroffen

Cyberkriminelle greifen nicht mehr primär Systeme an – sondern Identitäten. Laut dem neuen State of Identity Security 2026 Report von Sophos waren im vergangenen Jahr 71 Prozent der Unternehmen weltweit von mindestens einem identitätsbezogenen Sicherheitsvorfall betroffen.

Besonders brisant: KI-Agenten und schlecht verwaltete nicht-menschliche Identitäten entwickeln sich zunehmend zum Gamechanger für moderne Cyberangriffe.

Identitätsdiebstahl wird zur größten Schwachstelle in Unternehmen

Der aktuelle „State of Identity Security 2026“-Report von Sophos zeigt eine alarmierende Entwicklung in der Cybersicherheitslandschaft: Identitätsbasierte Angriffe haben sich zum zentralen Einfallstor für Ransomware, Datendiebstahl und finanzielle Schäden entwickelt. Grundlage der Untersuchung ist eine herstellerunabhängige Befragung von 5.000 IT- und Cybersecurity-Verantwortlichen aus 17 Ländern.

Besonders betroffen sind Unternehmen mit unzureichendem Identitätsmanagement. Im Durchschnitt meldeten betroffene Organisationen drei separate Sicherheitsvorfälle innerhalb eines Jahres. Fünf Prozent der Unternehmen berichteten sogar von sechs oder mehr erfolgreichen Angriffen.

Menschliche Fehler und KI verschärfen die Bedrohungslage

Als Hauptursachen identifiziert die Studie vor allem menschliches Versagen sowie Defizite beim Management sogenannter Non-Human Identities (NHIs). Dazu zählen etwa API-Schlüssel, Servicekonten oder automatisierte Zugänge, die häufig unzureichend überwacht werden. In rund 43 Prozent der Vorfälle wurden Mitarbeitende zur Herausgabe sensibler Zugangsdaten verleitet. Weitere 41 Prozent der Angriffe standen im Zusammenhang mit schlecht verwalteten nicht-menschlichen Identitäten.

Besonders kritisch: Durch agentische KI entstehen immer mehr autonome Prozesse und Subagenten, die eigenständig neue Zugangsdaten erzeugen und Berechtigungen vergeben können – häufig ohne ausreichende Sicherheitskontrolle. Damit wächst die Angriffsfläche für Unternehmen massiv.

Ransomware-Angriffe starten zunehmend über kompromittierte Identitäten

Laut Report führten identitätsbasierte Angriffe bei 67 Prozent der von Ransomware betroffenen Unternehmen direkt zur Kompromittierung ihrer Systeme. Damit entwickelt sich der Diebstahl digitaler Identitäten zum wichtigsten Angriffsvektor moderner Ransomware-Kampagnen.

Die finanziellen Folgen sind erheblich:

  • Durchschnittliche Wiederherstellungskosten: 1,64 Millionen US-Dollar
  • Median der Schadenssumme: 750.000 US-Dollar
  • 73 Prozent der betroffenen Unternehmen hatten Kosten von mindestens 250.000 US-Dollar

Ross McKerchar, Chief Information Security Officer bei Sophos, warnt:

„Identitäten sind zur wichtigsten Angriffsfläche in der modernen Cybersicherheit geworden. Besonders problematisch sind nicht-menschliche Identitäten, da KI-Agenten schneller Berechtigungen erhalten, als Sicherheitsteams sie kontrollieren können.“

Kritische Infrastrukturen besonders gefährdet

Die höchsten Sicherheitsverletzungsraten verzeichneten Unternehmen aus kritischen Infrastrukturen:

  • Energie-, Öl-, Gas- und Versorgungsunternehmen: 80 Prozent
  • Bundes- und Zentralbehörden: 78 Prozent

Auch mangelnde Compliance erhöht das Risiko deutlich. Unternehmen, die regulatorische Anforderungen als große Herausforderung bewerten, meldeten signifikant häufiger Sicherheitsvorfälle als Organisationen mit stabilen Compliance-Prozessen.

Viele Unternehmen erkennen Angriffe zu spät

Ein weiteres zentrales Ergebnis: Viele Organisationen verfügen weiterhin über erhebliche Erkennungslücken. 14 Prozent der betroffenen Unternehmen konnten ihren schwerwiegendsten identitätsbasierten Angriff nicht rechtzeitig erkennen oder stoppen. In Deutschland liegt dieser Wert sogar bei 17,4 Prozent. Zudem überwachen nur 24 Prozent der Unternehmen kontinuierlich ungewöhnliche Login-Versuche oder verdächtige Identitätsaktivitäten. Mehr als die Hälfte überprüft solche Vorfälle lediglich quartalsweise oder noch seltener.

Sophos empfiehlt Zero Trust, MFA und modernes Identity Management

Um identitätsbasierte Cyberangriffe wirksam einzudämmen, empfiehlt Sophos einen mehrschichtigen Sicherheitsansatz. Dazu gehören insbesondere:

  • Verpflichtende Multi-Faktor-Authentifizierung (MFA)
  • Umsetzung des Least-Privilege-Prinzips
  • Regelmäßige Rotation von Zugangsdaten
  • Inventarisierung aller Non-Human Identities
  • Einsatz moderner Secrets-Management-Plattformen
  • Einführung von Identity Threat Detection and Response (ITDR)
  • Aufbau einer konsequenten Zero-Trust-Architektur

Gerade im Zeitalter autonomer KI-Systeme wird professionelles Identitätsmanagement laut Sophos zu einer der wichtigsten Verteidigungslinien gegen Cyberkriminalität.