Warum Kontoübernahmen zunehmen und welche Rolle Identitäts- und Gerätevertrauen dabei spielt

Zusammenfassung

Kontoübernahmen gewinnen an Bedeutung, weil Unternehmen heute Tausende menschliche und nicht-menschliche Identitäten über Cloud-Dienste, Software-as-a-Service-Anwendungen, Endpunkte und verteilte Umgebungen hinweg verwalten. Mit Hybridarbeit, Bring Your Own Device und Zugriffen durch Dritte schwindet laut dem Quelltext vielerorts die Sicht darauf, wer worauf zugreifen kann und ob diesem Zugriff zu trauen ist. Angreifer nutzen diese Komplexität aus, weil die Kompromittierung eines Kontos oft schneller und unauffälliger ist als die direkte Ausnutzung von Infrastruktur-Schwachstellen. Als zentrales Problem beschreibt der Text, dass bösartige Aktivitäten besonders schwer zu erkennen sind, wenn sie mit einer legitimen Identität verknüpft sind. Als wichtige Treiber nennt der Beitrag gestohlene Zugangsdaten, Phishing, Infostealer-Malware, das Umgehen von Multi-Faktor-Authentifizierung sowie unsichere oder nicht verwaltete Endgeräte. Genannt werden zudem Zahlen aus Branchenberichten: Laut dem Quelltext entfielen 22 Prozent der Sicherheitsverletzungen im Jahr 2025 auf Missbrauch von Zugangsdaten, und Verizons Data Breach Investigation Report ordnet gestohlene Anmeldedaten 44,7 Prozent der Sicherheitsverletzungen zu.

Der Quelltext beschreibt Missbrauch von Zugangsdaten als einen der verlässlichsten Wege, um Zugang zu Organisationen zu erhalten. Benutzernamen und Passwörter gelangen demnach über Infostealer-Malware, Phishing-Kampagnen oder aus Sammlungen früherer Sicherheitsverletzungen in die Hände von Angreifern. Als Kennzahl nennt der Text einen Anteil von 22 Prozent der Sicherheitsverletzungen im Jahr 2025.

Obwohl Multi-Faktor-Authentifizierung weiterhin als eine der wichtigsten Schutzmaßnahmen gegen Kontokompromittierungen dargestellt wird, haben Angreifer ihre Taktiken laut dem Beitrag angepasst. Ein häufiges Verfahren ist MFA-Müdigkeit, auch als Bombardierung mit Bestätigungsanfragen beschrieben. Dabei werden wiederholt MFA-Freigaben ausgelöst, bis ein Nutzer eine davon annimmt. Als bekanntes Beispiel nennt der Quelltext einen Vorfall bei Uber im Jahr 2022: Dort wurde ein Mitarbeiter mit wiederholten MFA-Anfragen ins Visier genommen, bis eine davon genehmigt wurde. Dieser erste Zugriff ermöglichte den Angreifern laut Text eine Ausweitung ihrer Rechte, tieferes Vordringen in die Umgebung von Uber, die Kompromittierung großer Teile der Cloud-Infrastruktur und die Offenlegung von Mitarbeiterdaten.

Darüber hinaus verweist der Text auf Adversary-in-the-Middle-Frameworks und Werkzeuge zum Kapern von Sitzungen. Damit können Angreifer MFA vollständig umgehen, indem sie nach der Anmeldung bereits authentifizierte Sitzungstoken stehlen.

Phishing zum Diebstahl von Zugangsdaten bleibt laut dem Beitrag ebenfalls verbreitet und wird immer ausgefeilter. Genannt werden der Einsatz legitimer Hosting-Dienste, vertrauenswürdiger Domains, Reverse Proxys und KI-generierter Inhalte, um Phishing-Seiten zu bauen, die echten Anmeldeportalen sehr ähnlich sehen. Sicherheitsforscher von Outpost24, der Muttergesellschaft von Specops, entdeckten demnach kürzlich eine Phishing-Kampagne, die über einen mehrstufigen Weiterleitungsangriff eine legitime Cisco-Domain nutzte, um die Erkennung zu erschweren und glaubwürdiger zu wirken. Der Text wertet solche Kampagnen als Beleg dafür, wie schwer sich moderne Phishing-Angriffe selbst für sicherheitsbewusste Nutzer erkennen lassen. Zusätzlich verweist er auf Verizons Data Breach Investigation Report, wonach gestohlene Zugangsdaten an 44,7 Prozent der Sicherheitsverletzungen beteiligt sind.

Ein weiterer Schwerpunkt ist der Zugriff auf Unternehmensanwendungen von persönlichen Laptops, nicht verwalteten Mobilgeräten und Systemen außerhalb klassischer Sicherheitskontrollen. Laut Quelltext fehlt IT-Abteilungen dadurch oft die Sicht, ob Beschäftigte interne Netze über Geräte mit fehlenden Sicherheitsaktualisierungen oder Malware-Infektionen nutzen. Kompromittierte Endpunkte seien ein wertvoller Weg in vertrauenswürdige Umgebungen. Besonders Infostealer-Malware trage erheblich zu Kontoübernahmen bei, indem sie Zugangsdaten, im Browser gespeicherte Passwörter und authentifizierte Sitzungscookies direkt von Nutzergeräten abschöpft.

Als Grundproblem beschreibt der Beitrag, dass viele Sicherheitskontrollen eine erfolgreiche Anmeldung noch immer als alleinigen Vertrauensbeweis behandeln. Herkömmliche Werkzeuge für Identity and Access Management prüfen demnach primär Zugangsdaten und Authentifizierungsabläufe, nicht aber zwingend, ob der Nutzer hinter einem Zugriff tatsächlich vertrauenswürdig ist. Mit Hybridarbeit, Cloud-First-Infrastrukturen und Bring Your Own Device verschärfe sich dieser Zielkonflikt zwischen strengen Zugriffskontrollen, Nutzbarkeit und Produktivität.

Als Gegenansatz skizziert der Text kontinuierliche Verifizierungsmodelle, bei denen Vertrauen nicht nur beim Anmelden, sondern während der gesamten Sitzung bewertet wird. Speziell nennt der Quelltext Specops Device Trust. Die Lösung prüfe während laufender Sitzungen fortlaufend auf aktive Risiken wie deaktivierte Sicherheitskontrollen und veraltete Software. Durch die Integration in bestehende Identitätsanbieter, VPNs und Single-Sign-On-Werkzeuge könnten Sicherheitsteams ihre vorhandene Umgebung erweitern, statt sie zu ersetzen. Der Beitrag stellt dies als Möglichkeit dar, Gerätevertrauen, Sitzungsrisiko und Verhaltenssignale über den gesamten Zugriffslebenszyklus hinweg stärker in Zugriffsentscheidungen einzubeziehen.

Warum Kontoübernahmen zunehmen und welche Rolle Identitäts- und Gerätevertrauen dabei spielt

Ähnliche Artikel

Neueste Artikel