OAuth-Token, KI-Tools und Identity Attack Paths: Was Unternehmen aus dem Vercel-Hack lernen müssen

KI-Tools beschleunigen Geschäftsprozesse – gleichzeitig öffnen sie Angreifern völlig neue Wege in Unternehmensnetzwerke. Der Angriff auf Vercel zeigt exemplarisch, wie kompromittierte OAuth-Tokens und Drittanbieter-KI-Tools klassische Sicherheitsmodelle aushebeln können. Für Unternehmen wird damit eine neue Realität sichtbar: Identitätssicherheit endet längst nicht mehr bei Benutzerkonten und Passwörtern.

Jared Atkinson, CTO von SpecterOps ordnet den Angriff ein.

Der Angriff auf den Cloud-Plattform-Anbieter Vercel markiert einen Wendepunkt im Umgang mit modernen Identitätsrisiken. Während klassische Identity- und Access-Management-Systeme (IAM) vor allem kontrollieren, wer Zugriff erhalten darf, zeigt der Vorfall eindrücklich, dass heute vor allem die Vertrauensbeziehungen zwischen Menschen, KI-Tools und Drittanbietern zum Sicherheitsrisiko werden.

Wie Angreifer über ein KI-Tool in die Infrastruktur eindrangen

Nach Angaben von Vercel kompromittierten Angreifer das KI-Tool Context.ai und verschafften sich über ein OAuth-Token Zugriff auf das Google-Workspace-Konto eines Mitarbeiters. Von dort aus bewegten sich die Täter offenbar mit hoher Geschwindigkeit weiter durch interne Systeme. Hinter dem Angriff soll die bekannte Cybercrime-Gruppe ShinyHunters stehen, die laut Berichten rund zwei Millionen Dollar Lösegeld fordert.

Ausgangspunkt war offenbar ein Infostealer-Malwarebefall bei einem Mitarbeiter von Context.ai. Mutmaßlich über einen manipulierten Roblox-Download gelangten die Angreifer an OAuth-Tokens des Unternehmens. Besonders kritisch: Einer dieser Tokens gehörte einem Vercel-Mitarbeiter, der dem KI-Tool weitreichende Berechtigungen für den Zugriff auf den Google Workspace seines Unternehmens eingeräumt hatte.

Damit standen potenziell sensible Umgebungsvariablen, API-Schlüssel, Tokens und Datenbankzugänge offen. Vercels CEO sprach später von einem Angreifer, der sich mit „bemerkenswerter Geschwindigkeit und tiefem Systemverständnis“ durch die Infrastruktur bewegte.

Das eigentliche Problem: Vertrauensketten statt Berechtigungen

Viele erste Analysen reduzierten den Vorfall auf ein klassisches OAuth- oder Berechtigungsproblem. Tatsächlich offenbart der Angriff jedoch ein wesentlich tieferliegendes strukturelles Risiko. Sobald ein Mitarbeiter einem externen KI-Tool weitreichende OAuth-Rechte gewährt, entsteht eine neue Vertrauensbeziehung innerhalb der Unternehmensidentität. Genau an diesem Punkt greift das sogenannte „Clean Source Principle“: Die Sicherheit einer Ressource ist nur so stark wie die Sicherheit aller Systeme, die Kontrolle darüber besitzen.

Im Fall von Vercel bedeutete das konkret: Die Sicherheit des Google Workspace hing plötzlich auch von der Endpoint-Sicherheit bei Context.ai ab – also von einer Infrastruktur außerhalb der direkten Kontrolle des Unternehmens.

Damit wird deutlich: KI-Tools agieren längst wie nicht-menschliche Identitäten. Sie besitzen Tokens, erhalten Berechtigungen und bewegen sich innerhalb sensibler Vertrauensbeziehungen. Genau diese neuen Identitäten geraten jedoch häufig außerhalb klassischer Governance- und IAM-Prozesse.

Warum klassische IAM-Modelle nicht mehr ausreichen

Traditionelles Identity Access Management beantwortet primär die Frage, wer legitimierten Zugriff besitzt. Moderne Angriffe funktionieren jedoch anders: Entscheidend ist heute, welche Angriffspfade nach einer Kompromittierung entstehen.

Genau hier setzt Identity Attack Path Management an. Der Ansatz analysiert nicht nur Berechtigungen, sondern modelliert mögliche Bewegungen eines Angreifers innerhalb eines Identitätsgraphen – insbesondere über kompromittierte Tokens, OAuth-Verbindungen oder KI-Agenten.

Das Problem verschärft sich zusätzlich durch die Geschwindigkeit moderner Angriffe. Während klassische Sicherheitsstrategien davon ausgehen, dass zwischen Erstzugriff und tatsächlichem Schaden Zeit zur Reaktion bleibt, bewegen sich Angreifer inzwischen nahezu in Echtzeit durch bestehende Vertrauensbeziehungen.

Wenn Sicherheitslösungen den Angriff erkennen, ist der kritische Pfad oft bereits vollständig ausgenutzt.

Was Unternehmen jetzt dringend ändern müssen

Der Vercel-Vorfall zeigt unmissverständlich, dass Unternehmen ihre Identitätsstrategie erweitern müssen. Nicht nur menschliche Benutzerkonten gehören heute zur Angriffsfläche, sondern ebenso KI-Agenten, Automatisierungssysteme und Drittanbieter-Integrationen.

Sicherheitsverantwortliche sollten deshalb:

• OAuth-Berechtigungen konsequent nach dem Least-Privilege-Prinzip beschränken
• Nicht-menschliche Identitäten vollständig inventarisieren
• Drittanbieter-KI-Tools kontinuierlich überwachen
• Vertrauensbeziehungen und Angriffspfade aktiv modellieren
• Token-basierte Zugriffe regelmäßig überprüfen und rotieren

Besonders kritisch: Viele Unternehmen wissen aktuell nicht einmal, wie viele externe KI-Tools bereits mit ihren Produktivsystemen verbunden sind.

Der neue Blick auf Identitätssicherheit

Cyberangreifer denken längst nicht mehr in einzelnen Accounts. Sie denken in erreichbaren Pfaden. Die zentrale Frage lautet deshalb nicht mehr nur: „Wer darf zugreifen?“ Sondern vielmehr: „Was passiert, wenn genau dieser Zugriff kompromittiert wird?“

Der Vercel-Angriff macht deutlich, dass Unternehmen künftig nicht nur Berechtigungen verwalten, sondern komplette Vertrauensnetzwerke verstehen müssen. Wer diese Angriffspfade frühzeitig identifiziert und schließt, wird deutlich resilienter gegenüber der nächsten Generation KI-gestützter Angriffe sein.