Die Realität ist unbarmherzig simpel: Angreifer benötigen keinen Exploit, keine Zero-Day-Lücke und keine aufwändige Malware-Infrastruktur. Ein gültiger Benutzername und ein Passwort reichen aus, um durch die Haustür zu spazieren. Diese Anmeldedaten beschaffen sich Kriminelle durch Credential Stuffing aus älteren Datenlecks, Password Spraying gegen exponierte Dienste oder über Phishing-Kampagnen.
Was diese Angriffsweise so tückisch macht: Sie fällt nicht auf. Eine erfolgreiche Anmeldung mit legitimen Zugangsdaten löst keinen Alarm aus wie ein Port-Scan oder ein Malware-Callback. Der Angreifer sieht aus wie ein normaler Mitarbeiter. Im Netzwerk angekommen, dumpen die Kriminellen zusätzliche Passwörter, knacken diese und bewegen sich lateral durch die Infrastruktur. Bei Ransomware-Gangs führt diese Kette innerhalb weniger Stunden zu Verschlüsselung und Erpressung. Staatliche Akteure nutzen denselben Einstiegspunkt für langfristige Persistenz und Spionage.
Das grundlegende Angriffsmuster ist nicht neu, aber das Tempo hat sich dramatisch erhöht. Künstliche Intelligenz ermöglicht Angreifern, ihre Operationen zu automatisieren: Sie testen Anmeldedaten schneller gegen größere Zielgruppen, entwickeln maßgeschneiderte Tools in Stunden statt Wochen und verfassen Phishing-Mails, die von echten Nachrichten kaum noch zu unterscheiden sind.
Für Verteidiger entsteht ein enormer Druck. Sicherheitsverletzungen entwickeln sich schneller, breiten sich weiter aus und erfassen mehr Systeme – von Identity-Plattformen über Cloud-Infrastruktur bis zu Endpunkten. Incident-Response-Teams, die für ein langsameres Tempo ausgelegt sind, können nicht mehr mithalten.
Die Lösung liegt in einem fundamentalen Umdenken bei der Reaktion auf Sicherheitsfälle. Das traditionelle Modell – Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung, Nachbearbeitung – funktioniert nicht mehr, weil echte Vorfälle nicht linear ablaufen. Neue Erkenntnisse während der Eindämmung ändern die Einschätzung des Schadensumfangs. Beweisstücke während der Beseitigung offenbaren Techniken, die man anfangs nicht kannte.
Der Dynamic Approach to Incident Response (DAIR) behandelt diese Unordnung als Feature statt als Abweichung. Nach der Detektion eines Vorfalls durchlaufen Response-Teams iterativ Schritte zur Scoping, Eindämmung, Beseitigung und Wiederherstellung – und durchlaufen diese Schleife immer wieder, wenn neue Informationen auftauchen. Jeder Zyklus produziert bessere Intelligenz für die nächste Runde.
Für Organisationen, die identitätsbasierte Angriffe erfolgreich abwehren, gibt es einen gemeinsamen Nenner: Sie haben in ihre Menschen investiert, bevor der Angriff kam. Ihre Teams verstehen, wie Angreifer wirklich operieren – nicht nur theoretisch, sondern durch praktisches Training mit echten Angriffstools. Effektive Incident Response erfordert Praktiker, die beide Seiten verstehen: wie Angreifer eindringen, sich bewegen und persistieren – und wie man die Spuren untersucht, die sie dabei hinterlassen.