Moderne Unternehmen priorisieren Identitätsrisiken oft nach klassischen IT-Ticketing-Kriterien. Dabei sollten sie stattdessen toxische Kombinationen aus Kontrolldefiziten, schlechter Hygiene, Geschäftsrelevanz und verdächtigem Verhalten als echte Bedrohung erkennen.
Die meisten Identity-Programme folgen beim Priorisieren noch immer dem klassischen IT-Ticketing-Schema: Nach Menge, Lautstärke oder gescheiterten Kontrollen. Dieses System funktioniert nur in statischen Umgebungen mit überwiegend menschlichen Benutzern und vollständigen Onboarding-Prozessen – eine Wirklichkeit, die es in modernen Unternehmen längst nicht mehr gibt.
Identitätsrisiken entstehen durch das Zusammenspiel mehrerer Faktoren: Kontrollstatus, Hygiene, Geschäftskontext und verdächtiges Verhalten. Jeder einzelne Aspekt lässt sich isoliert betrachten. Die echte Gefahr liegt in der toxischen Kombination – wenn mehrere Schwachstellen konvergieren und Angreifer eine ununterbrochene Angriffskette vom Einstiegspunkt bis zur Auswirkung erhalten.
Ein wirksames Priorisierungskonzept behandelt Identitätsrisiken als kontextabhängige Exposition, nicht als Konfigurationsvollständigkeit.
Kontrollstatus: Das Fundament
Die zentrale Frage lautet: Können wir eine Sicherheitsverletzung verhindern, erkennen und dokumentieren? Klassische IAM-Programme bewerten Kontrollen binär – vorhanden oder nicht vorhanden. Aber echte Priorisierung erfordert Differenzierung: Ein fehlender Kontrollmechanismus ist ein Risikokatalysator, dessen Schweregrad davon abhängt, welche Identität er schützt, welche Berechtigungen diese hat und welche weiteren Kontrollen dahinter existieren. Eine fehlende Multi-Faktor-Authentifizierung bei einer Low-Impact-Identität ist nicht vergleichbar mit derselben Lücke bei einer privilegierten Identität mit Zugriff auf geschäftskritische Systeme.
Hygiene: Das Kernproblem
Hygiene ist kein Ordnungsbegriff, sondern geht um Ownership, Lebenszyklus und echten Bedarf. Sie beantwortet: Wer verantwortet diese Identität? Warum existiert sie überhaupt? Ist sie noch notwendig? Die häufigsten Hygiene-Defizite entstehen durch vernachlässigte Identitäten – weniger geschützt, weniger überwacht und mit zu vielen Privilegien ausgestattet. Angreifer bevorzugen genau diese Ziele, weil sie niedrig hängende Früchte darstellen.
Geschäftskontext: Das vergessene Kriterium
Sicherheitsteams priorisieren oft nur nach technischem Schweregrad – ein unvollständiger Ansatz. Der Geschäftskontext stellt die entscheidende Frage: Was bricht, wenn diese Identität kompromittiert wird? Ein High-Severity-Risiko in einem unkritischen System sollte nicht höher priorisiert werden als ein moderates Risiko in einer Mission-Critical-Anwendung.
Intent: Das Aktivitätssignal
Viele Organisationen ignorieren eine fundamentale Frage: Was versucht diese Identität gerade zu tun, und passt das zu ihrem eigentlichen Zweck? Eine schwach kontrollierte Identität mit aktivem, anomalem Verhalten sollte sofort angepackt werden – nicht nur weil sie verwundbar ist, sondern weil sie möglicherweise gerade missbraucht wird.
Der größte Fehler: Additive statt multiplikative Betrachtung
Prioritäten werden zu oft als additive Liste behandelt. In der Realität funktioniert Identitätsrisiko multiplikativ: Angreifer ketten Schwachstellen aneinander. Das Risiko eskaliert nichtlinear, wenn Kontrolldefizite, schlechte Hygiene, hohe Geschäftsrelevanz und verdächtiges Verhalten zusammentreffen. Eine privilegierte Identität mit MFA-Lücke, die monatelang nicht überprüft wurde und aktivem anomalem Verhalten – das ist ein “alles stehen lassen”-Szenario.
Die Priorisierungsfrage
Bei jeder Entscheidung sind vier Fragen zu beantworten: Welche Kontrollen fehlen? Wie ist die Identitätshygiene? Welche Geschäftsauswirkung hat eine Kompromittierung? Gibt es Anzeichen für aktiven Missbrauch? Danach sollte man nach maximaler Risikoreduktion priorisieren, nicht nach Häkchen auf einer Checkliste.
Identitätsrisiko ist kein lineares Problem. Es ist ein Netzwerk aus Vertrauensketten mit Kontext. Kontrollstatus, Hygiene, Geschäftskontext und Intent sind einzeln wichtig – aber die echte Bedrohung liegt in ihrer Konvergenz. Wer Priorisierung um toxische Kombinationen herum aufbaut, hört auf, Ticketing-Volumen zu jagen, und beginnt, echte Breach-Wahrscheinlichkeit zu reduzieren.
Quelle: The Hacker News