Der Diebstahl von Zugangsdaten ist kein neues Phänomen. Verändert hat sich laut dem Beitrag vor allem, wie sehr KI diese Angriffe beschleunigt und verbilligt hat. Ein Beleg dafür: Das Aufkommen von Schadsoftware, die gezielt Zugangsdaten abgreift – der Hauptweg, über den solche Daten überhaupt erbeutet werden –, ist dem Beitrag zufolge im vergangenen Jahr um 84 Prozent gestiegen.

Hinter dem Handel mit gestohlenen Zugangsdaten steht ein professionalisiertes Ökosystem. Angreifer haben Geschäftsmodelle darum aufgebaut, Zugangsdaten zu finden, zu validieren und den so erlangten Zugang weiterzuverkaufen. Zu den Käufern zählen nicht mehr nur finanziell motivierte Kriminelle, sondern auch staatlich gesteuerte Akteure, die Zugangsdaten in Dark-Web-Foren erwerben und damit Angriffe starten, die wie gewöhnliche Cyberkriminalität aussehen – um einer Zuordnung zu entgehen.

Diese Professionalisierung macht die Lieferkette zum gefährlichen Ziel: In einem Geflecht voneinander abhängiger Systeme kann ein einziger Satz Zugangsdaten als Generalschlüssel dienen. Während Angreifer Skripte teilen und sich gegenseitig Zugänge verkaufen, blieben Verteidiger oft isoliert – getrennt durch herstellergebundene Frameworks und eine fortbestehende Kultur der Schuldzuweisung an Opfer.

KI hat zudem die Einstiegshürden gesenkt. Früher brauchte ein groß angelegter Angriff über Zugangsdaten echtes Können: eigene Skripte zur Prüfung von Logins, unauffällige Bewegung im Netzwerk, das Verschmelzen mit normalem Datenverkehr. Heute automatisieren KI-Werkzeuge die Verteilung gestohlener Zugangsdaten über viele Plattformen und erzeugen, einmal im Netz, überzeugende Verhaltensmuster, die legitime Aktivität nachahmen.

Der Beitrag nennt mehrere Gegenmaßnahmen. Die Überwachung von Dark-Web- und Untergrundforen solle in aktive Reaktionsabläufe einfließen statt in monatliche Berichte: Taucht eine Übereinstimmung auf, sollten automatisch Zugangsdaten rotiert und Mehr-Faktor-Authentifizierung (MFA) erzwungen werden.

Bei der MFA empfiehlt der Beitrag „phishing-resistente" Verfahren – FIDO2-konforme Hardware-Schlüssel oder zertifikatsbasierte Authentifizierung –, da SMS- oder Push-basierte MFA moderne Angriffe vom Typ „Adversary-in-the-Middle" nicht mehr stoppe. Authentifizierung solle als fortlaufender Prozess verstanden werden: Modelle für kontinuierlich angepasstes Vertrauen bewerten das Risiko in Echtzeit anhand von Verhaltenssignalen, etwa veränderter Tipprhythmik, ungewöhnlichen Dateizugriffen oder „unmöglichen" Anmeldungen von verschiedenen Orten.

Weitere Empfehlungen: Helpdesks gegen KI-gestützte Social-Engineering-Angriffe härten, weil KI-Stimmenklonen den „Passwort-vergessen"-Anruf zur Schwachstelle mache – etwa durch Verifizierung über einen zweiten Kanal. Zudem solle gegen „Identity Sprawl" vorgegangen werden, indem Drittanbieter-Integrationen und Dienstkonten inventarisiert werden, die oft auf statischen, MFA-umgehenden Zugangsdaten beruhen. Und kompromittierte Zugangsdaten sollten mit derselben Dringlichkeit behandelt werden wie ein Malware-Fund – inklusive Rückblick darauf, worauf die Identität in den 48 Stunden vor dem Alarm zugegriffen hat.