Im heutigen Sprachgebrauch unterscheidet man Zugangsdaten für menschliche Identitäten – Passwörter, Passkeys, Biometrie, Soft- und Hardware-Token – und solche für maschinelle und nicht-menschliche Identitäten wie APIs, SSH-Schlüssel, X.509-Zertifikate, Dienstkonten und Sitzungstoken. Besonders die Sitzungstoken verdienen Beachtung: Ein Unternehmen mit 3.000 Beschäftigten kann 300.000 aktive Token haben – ein bevorzugtes Ziel von Infostealern.
Dan Schiappa von Arctic Wolf bezeichnet die Kompromittierung von Zugangsdaten als eine der nützlichsten und am weitesten verbreiteten Taktiken von Bedrohungsakteuren, da sie mit minimalem technischem Können auszuführen ist. Laut dem jüngsten Bedrohungsbericht des Unternehmens machten Phishing-Angriffe 85 Prozent aller Incident-Response-Einsätze aus; Diebstahl gelinge aber auch über Datenexfiltration, Infostealer-Malware und Man-in-the-Middle-Angriffe.
Wie der X-Force 2025 Threat Intelligence Index zeigt, benötigten von 400.000 erfassten Schwachstellen 56 Prozent vor der Ausnutzung keine Authentifizierung. Michelle Alvarez von X-Force Threat Intelligence beschreibt das so: Angreifer nutzten Systeme per Remote Code Execution ohne Authentifizierung aus – kein Zugangsdatum nötig, keine MFA zu umgehen.
KI verschärft die Lage. Phishing bleibt der Hauptangriff auf individuelle Zugangsdaten, doch KI erzeugt überzeugende Deepfakes mit realistischen Hintergrundgeschichten. Torsten George von ID Dataweb schildert, wie er eine E-Mail vom vermeintlichen CEO erhielt – falsche Adresse, ungewohnter Ton; auf Nachfrage per Teams stellte sich die Fälschung heraus. Technik sei dafür nicht einmal nötig, wie die Gruppe Scattered Spider zeige: Genügend Druck eines vermeintlichen Vorgesetzten reiche oft, damit der Help Desk die „Schlüssel zum Königreich" aushändige.
Ob sich gestohlene Zugangsdaten überhaupt aufspüren lassen, sehen die Fachleute skeptisch. Renee Burton von Infoblox verweist auf öffentliche Dienste wie Have I Been Pwned, betont aber, dass diese kein vollständiges Bild lieferten. Reinhard Hochrieser von Jumio warnt, bei biometrischen Daten gebe es überhaupt keine öffentlichen Dienste, die eine Kompromittierung anzeigen könnten. Ran Geva von Webz.io nennt mehrere nötige Ansätze – die Überwachung von Breach-Datensätzen, Dark-Web- und Marktplatz-Beobachtung, Infostealer-Log-Auswertung sowie das Mitlesen geschlossener Foren und Telegram-Kanäle – und verweist auf den Ende 2025 gestarteten kostenlosen Dienst lunarcyber.com.
Auch die MFA verliert an Verlässlichkeit. George nennt eine laut Microsoft frühere Umgehungsrate von 0,7 Prozent, die heute im niedrigen zweistelligen Bereich liege. Phishing-resistente Verfahren wie WebAuthn und Passkeys, so Stuart Sharp von One Identity, prüfen die Website-Adresse und das registrierte Gerät und senken in Kombination mit biometrischen Checks das Risiko erheblich. Roy Katmor von Orchid Security ergänzt, MFA wirke gut gegen einfaches Passwort-Replay, schlechter gegen Session-Diebstahl, Token-Replay und MFA-Fatigue.
Ist der Angreifer erst einmal angemeldet, verschiebt sich die Verteidigung von der Zugangssperre zur Eindämmung. Erin Meyers von Huntress und Jan Bee von TeamViewer betonen kontinuierliche Validierung: Verhaltensbasierte Anomalieerkennung legt eine Basislinie normalen Verhaltens fest und erkennt Abweichungen, selbst bei gültigen Zugangsdaten. Ungewöhnlicher Zugriff auf neue Systeme oder unbekannte SaaS-Aktivität solle erneute Authentifizierung, Sitzungsisolierung oder sofortige Sperrung auslösen.
Zentral ist auch das Zero-Trust-Prinzip, das George ausdrücklich nicht als Produkt, sondern als Denkweise versteht: „Vertraue nichts, sondern überprüfe alles." Mikrosegmentierung begrenzt laut Ariel Parnes von Mitiga den „Blast Radius", indem ein kompromittiertes Konto sich nicht frei im Netz bewegen kann.
Besonders kritisch sind gestohlene API-Schlüssel für agentenbasierte KI-Systeme: Tempo und mögliche Schadenswirkung steigen exponentiell, während Erkennung und Eindämmung gering bleiben. George resümiert, der Mensch bleibe das schwächste Glied; Ziel sei, die Lücke zwischen Angreifer und Verteidiger zu verkleinern – beseitigen lasse sie sich nie. Jeden Anbieter, der hundertprozentigen Schutz verspreche, solle man auslachen.
