Identitätsmissbrauch ist laut einem neuen Report die Hauptursache für die meisten modernen Cyberangriffe. Die Bedrohungsforscher von Palo Alto Networks warnen vor einem fundamentalen Wandel: Angreifer loggen sich einfach mit gestohlenen Zugangsdaten ein – und umgehen so traditionelle Abwehrmaßnahmen.
Das geht aus dem Global Incident Response Report 2026 des Threat-Intelligence-Teams Unit 42 hervor, der am 17. Februar veröffentlicht wurde. Die Analyse von über 750 schwerwiegenden Sicherheitsvorfällen zeigt ein klares Bild: In fast zwei Dritteln aller Netzwerkeinbrüche waren identitätsbasierte Techniken der erste Einstiegspunkt. Bei fast 90 % der untersuchten Datenschutzverletzungen spielte eine Schwachstelle im Identitätsmanagement – wie ein kompromittiertes Passwort oder übermäßige Berechtigungen – eine entscheidende Rolle. Die Botschaft ist eindeutig: Gegner brechen heute nicht mehr ein, sie gehen mit gestohlenen Schlüsseln durch die Vordertür.
Der neue Angriffsweg: Einloggen statt Eindringen
Die Methodik der Angreifer hat sich grundlegend geändert. Statt sich nur auf komplexe Software-Schwachstellen zu verlassen, nutzen sie vermehrt den Faktor Mensch. Social Engineering war bei einem Drittel der beobachteten Erstzugriffe die Methode der Wahl, um an Zugangsdaten zu gelangen. Diese werden dann für Brute-Force-Angriffe genutzt oder direkt für unbefugten Zugriff.
Einmal im Netzwerk angekommen, nutzen Angreifer zu großzügige Berechtigungsrichtlinien, um sich seitlich zu bewegen und ihre Privilegien zu eskalieren. Die Unit-42-Forscher fanden hier eine alarmierende, weit verbreitete Schwachstelle: Ganze 99 % der Cloud-Nutzer, -Dienste und -Rollen verfügten über übermäßige Berechtigungen. Diese häufige Fehlkonfiguration ebnet Eindringlingen den Weg durch Unternehmensnetzwerke – oft unbemerkt von traditionellen Sicherheitstools, die auf externe Bedrohungen ausgelegt sind, nicht auf den Missbrauch scheinbar legitimer interner Konten.
KI und Komplexität: Die Brandbeschleuniger
Zwei Faktoren verschärfen die Identitätskrise laut Report erheblich: die wachsende Komplexität von IT-Landschaften und die Nutzung Künstlicher Intelligenz als Waffe. Moderne Angriffe beschränken sich selten auf eine einzige Umgebung. In 87 % der untersuchten Fälle waren Aktivitäten über mehrere Ebenen hinweg zu beobachten – von Endgeräten über Netzwerke bis hin zu Cloud-Plattformen. Diese Komplexität schafft eine riesige Angriffsfläche, die für Sicherheitsteams nur schwer zu verteidigen ist.
Gleichzeitig verkürzt KI die Angriffszeiten dramatisch. Bedrohungsakteure nutzen sie für alles, vom Verfassen überzeugenderer Phishing-E-Mails bis zur Automatisierung ihrer Attacken. Die Geschwindigkeit von Angriffen hat sich im vergangenen Jahr vervierfacht. In den schnellsten analysierten Vorfällen gelangten Angreifer vom ersten Zugriff bis zur Datenexfiltration in nur 72 Minuten. Ein Zeitrahmen, den menschliche Verteidigungsteams ohne eigene KI-gestützte Tools nicht mehr effektiv bekämpfen können.
Die SaaS-Lieferkette: Ein neuer Angriffsvektor
Der Report zeigt zudem einen starken Anstieg von Angriffen auf die Software-as-a-Service (SaaS)-Lieferkette. Sicherheitsverletzungen über Drittanbieter-SaaS-Anwendungen haben seit 2022 um fast 400 % zugenommen und machen nun 23 % aller Vorfälle aus. Angreifer missbrauchen das komplexe Geflecht vertrauenswürdiger Verbindungen zwischen SaaS-Plattformen. Mit gestohlenen OAuth-Tokens und API-Schlüsseln springen sie zwischen Systemen und gelangen an sensible Daten, ohne Alarme auszulösen. Diese Taktik umgeht konventionelle Sicherheitsmaßnahmen, da die Aktivität oft wie legitime Kommunikation zwischen Anwendungen erscheint.
Paradigmenwechsel in der Verteidigung nötig
Die Schlussfolgerungen des Reports signalisieren einen dringenden Bedarf an einem Paradigmenwechsel in der Unternehmenssicherheit. Das lange gepflegte Konzept einer verteidigbaren Netzwerkgrenze wird im Zeitalter von Cloud Computing, Remote Work und vernetzten Anwendungen obsolet. Experten raten zu einem identitätszentrischen Sicherheitsmodell, bei dem die Überprüfung und Verwaltung jeder Benutzer- und Maschinenidentität im Mittelpunkt der Verteidigungsstrategie steht.
Die Daten deuten darauf hin, dass viele erfolgreiche Angriffe nicht auf neuartige Zero-Day-Exploits zurückgehen, sondern auf die Ausnutzung grundlegender, vermeidbarer Sicherheitslücken. Die weite Verbreitung übermäßiger Berechtigungen und der Erfolg passwortbasierter Angriffe zeigen anhaltende Defizite in der grundlegenden Sicherheitshygiene. Während Angreifer also schneller und raffinierter werden, hängt ihr Erfolg oft davon ab, dass Verteidiger gut verstandene Schwachstellen im Identitäts- und Zugriffsmanagement nicht schließen.
Ausblick: Moderne Identitätsverteidigung als Schlüssel
Für die Zukunft empfehlen die Sicherheitsexperten, die Infrastruktur zur Identitätsverteidigung zu modernisieren. Der Report plädiert implizit für den Einsatz einheitlicher Sicherheitsplattformen, die Transparenz und Kontrolle über hybride Umgebungen hinweg bieten – von lokalen Servern über Multi-Cloud-Bereitstellungen bis zu SaaS-Anwendungen. Eine zentralisierte Verwaltung von Identitäten und Zugriffen kann die Silos und Fehlkonfigurationen beseitigen, die Angreifer so bereitwillig ausnutzen.
Wer seine IT-Infrastruktur gegen identitätsbasierte Angriffe und KI-gestützte Phishingwellen wappnen möchte, findet praxisnahe Hilfen im kostenlosen E-Book „Cyber Security Awareness Trends“. Der Leitfaden erklärt aktuelle Bedrohungen, neue Regelungen (inklusive KI-Themen) und liefert sofort umsetzbare Schutzmaßnahmen für Unternehmen und IT-Verantwortliche. Jetzt kostenloses Cyber-Security-E-Book herunterladen
Um den durch KI ermöglichten Angriffen in Maschinengeschwindigkeit zu begegnen, müssen Unternehmen ihre Security Operations Centers mit eigenen KI- und Automatisierungsfähigkeiten ausstatten. Dazu gehören Tools, die anomales Verhalten von Benutzerkonten erkennen können – selbst wenn gültige Zugangsdaten verwendet werden – und Bedrohungen in Minuten statt in Stunden oder Tagen eindämmen. Die Schlacht findet nun auf dem Feld der Identitäten statt. Der Erfolg hängt von der Fähigkeit eines Unternehmens ab, jede Berechtigung und jedes Passwort im gesamten digitalen Ökosystem rigoros zu schützen und zu überwachen.
