Identität ist kein Perimeter, sondern eine Schnellstraße, die durch jede Ebene einer Umgebung führt. Sobald ein Angreifer Fuß gefasst hat, ermöglicht ihm die Identität, voranzukommen, Grenzen zu überschreiten und kritische Werte zu erreichen. Der eingangs beschriebene zwischengespeicherte Schlüssel ist dabei nur ein Beispiel eines weit größeren Musters.
Gefährlich werden solche Schwächen vor allem durch ihre Verkettung. Eine nicht überprüfte Gruppenmitgliedschaft in Active Directory verschafft einem Angreifer auf einem Endpunkt im Einzelhandel einen direkten Weg zur Unternehmensdomäne. Eine Entwickler-SSO-Rolle, die für eine Cloud-Migration eingerichtet wurde, behält ihre Berechtigungen lange nach Projektende und eröffnet einen vierstufigen Weg vom Entwicklerzugang zur Produktionsadministration. So führt ein zwischengespeicherter Zugang auf einem Endpunkt zu einer überprivilegierten Rolle in Active Directory und von dort zu einer Cloud-Arbeitslast mit angehängter Admin-Richtlinie – die Glieder bilden zusammen einen einzigen Angriffspfad vom ersten Fuß in der Tür bis zum kritischen Ziel.
Wie verbreitet das ist, zeigen mehrere Auswertungen. Palo Alto stellte fest, dass Identitätsschwächen in fast 90 % seiner Vorfalluntersuchungen aus dem Jahr 2025 eine ernsthafte Rolle spielten. Der SpyCloud Identity Exposure Report 2026 führt den Diebstahl nicht-menschlicher Identitäten als eine der am schnellsten wachsenden Kategorien im kriminellen Untergrund auf, wobei ein Drittel der wiedergewonnenen nicht-menschlichen Anmeldeinformationen mit KI-Werkzeugen verknüpft war.
Besonders kritisch wird es, wenn eine nicht-menschliche Identität Admin-Rechte trägt. Konfiguriert ein Entwicklerteam einen MCP-Server mit weitreichenden Berechtigungen, damit seine KI-Werkzeuge systemübergreifend arbeiten können, erbt der nutzende KI-Agent diese Privilegien als eigene Identität. Eine Schwachstelle im quelloffenen Werkzeug kann einem Angreifer dann genau diese Rechte übergeben – und der Weg führt direkt in Cloud-Ressourcen, Datenbanken und Produktionsinfrastruktur.
Die Werkzeuge, auf die sich die meisten Organisationen verlassen, wurden gebaut, um einzelne Probleme isoliert zu lösen – und in einer anderen Bedrohungsära. IGA-Plattformen verwalten den Lebenszyklus von Nutzern: Bereitstellung, Entzug, Zugriffsprüfungen. PAM-Lösungen speichern privilegierte Anmeldeinformationen und überwachen Sitzungen. Doch keines dieser Werkzeuge kann abbilden, wie sich Identitätsschwächen über Endpunkte, Active Directory und Cloud-Umgebungen hinweg zu einer einzigen ausnutzbaren Route verketten.
Das erklärt, warum die Zahl identitätsbasierter Vorfälle weiter steigt, obwohl die Sicherheitsausgaben wachsen. Der IBM X-Force Threat Intelligence Index 2026 ermittelte, dass gestohlene oder missbrauchte Anmeldeinformationen für 32 % der Vorfälle verantwortlich waren – der zweithäufigste Vektor für den Erstzugang. Angreifer müssen heute weder Malware noch Exploits schreiben, sie können sich schlicht anmelden.
Der Großteil dieser Schwächen wäre vermeidbar: Laut Palo Alto wurden über 90 % der 2025 untersuchten Sicherheitsverletzungen durch Schwächen ermöglicht, die vorhandene Werkzeuge hätten erkennen müssen. Die Organisationen verfügten über die Werkzeuge und das Personal – doch die Lücken blieben, weil kein einzelnes Werkzeug überblickte, wie sich die Schwächen umgebungsübergreifend zu Angriffspfaden verbinden.
Der Beitrag stammt von Alex Gardner, Director of Product Marketing bei XM Cyber.
