Die Bedrohung ist nicht neu, aber ihr Charakter hat sich fundamental verändert. Credential-Diebstahl war schon immer ein Problem – doch die Kombination aus industrialisierter Cyberkriminalität und KI-gestützten Tools hat die Bedrohung auf eine neue Ebene gehoben. Infosec-Experten berichten von einem florierenden Underground-Ökosystem, in dem Angreifer gestohlene Zugangsdaten wie eine Ware handeln. Während Finanzbetrüger und organisierte Kriminalität diese Daten kaufen, greifen auch Nationalstaaten auf diesen Markt zu – um ihre Spuren zu verwischen und Angriffe wie normale Cyberkriminalität aussehen zu lassen.
Die Zahlen sind bemerkenswert: Die Verbreitung von Information-Stealing-Malware, dem primären Werkzeug zum Diebstahl von Credentials, ist im letzten Jahr um 84 Prozent gestiegen. Gleichzeitig haben KI-Tools die technischen Hürden für Angreifer dramatisch gesenkt. Das Testen gestohlener Passwörter, das automatisierte Deployment über mehrere Plattformen, das Erzeugen von überzeugender Benutzeraktivität – all das funktioniert jetzt vollautomatisiert. Phishing-Kampagnen, die früher spezialisierte Kenntnisse brauchten, werden nun in Minutenschnelle massenweise generiert.
Für Sicherheitsteams entsteht eine tückische Situation: Wenn sich jemand mit echten Credentials während der Arbeitszeit anmeldet und normale Aktivitäten ausführt, bleiben traditionelle Alarme stumm. Das ist die zentrale Verwundbarkeit moderner Infrastrukturen. Besonders kritisch wird es in Supply-Chain-Szenarien: Ein einziger kompromittierter Account kann zum Universalschlüssel werden, um ein ganzes Netzwerk interdependenter Systeme zu infiltrieren.
Experten fordern deshalb ein grundlegendes Umdenken bei der Identitätsverwaltung. Zunächst müssen Organisationen ihre Dark-Web-Überwachung in aktive Response-Workflows integrieren – nicht erst in monatlichen Reports. Wenn ein Mitarbeiterzugang im Underground auftaucht, sollte automatisch die Credential-Rotation und erzwungene Multi-Faktor-Authentifizierung (MFA) ausgelöst werden.
Zweitens braucht es “phishing-resistente” MFA-Verfahren. SMS- und Push-basierte Methoden sind anfällig für Man-in-the-Middle-Angriffe – FIDO2-Hardware-Keys oder zertifikatsbasierte Authentifizierung sind robuster. Drittens sollte das Konzept des “Binary Login” überwunden werden, bei dem ein Nutzer nach einmaliger MFA unbegrenzt vertraut wird. Stattdessen müssen kontinuierliche Adaptive-Trust-Modelle eingeführt werden, die Verhaltensanomalien wie ungewöhnliche Login-Muster oder unmögliche Reisezeiten in Echtzeit detektieren.
Auch der Help Desk wird zur Schwachstelle: KI-gestützte Stimmen-Cloning-Technologie ermöglicht überzeugend gefälschte “Passwort-vergessen”-Anrufe. Out-of-Band-Verifizierungsverfahren sind notwendig. Gleichzeitig müssen Organisationen ihr “Identity Sprawl” auditen – eine oft übersehene Schwachstelle, in denen Service-Accounts ohne MFA-Schutz agieren.
Die Quintessenz: Identitätskompromittierung muss mit der gleichen Dringlichkeit behandelt werden wie Malware-Detektionen. Wer seine Identity-Prozesse nicht in die Moderne führt, lässt – metaphorisch gesprochen – den Zündschlüssel im Auto.