Gestohlene Zugangsdaten: Das unterschätzte Risiko im Identity & Access Management
Viele Cyberangriffe beginnen nicht mit Exploits oder Malware, sondern mit gültigen Zugangsdaten. Genau deshalb zählt Identity & Access Management heute zu den zentralen Sicherheitsfaktoren in Unternehmen. Der Grund ist naheliegend: Wer sich mit legitimen Credentials anmeldet, bewegt sich zunächst innerhalb der erwarteten Nutzung. Klassische Schutzmechanismen greifen oft verzögert oder gar nicht. Laut Verizon Data Breach Investigations Report (DBIR) starten rund 22 % aller Sicherheitsvorfälle mit gestohlenen Zugangsdaten, in bestimmten Angriffsszenarien sogar deutlich mehr. Angreifer nutzen Identitäten nicht, weil es spektakulär ist, sondern weil es effizient funktioniert.
Cyberangriffe beginnen selten beim Login
Wenn Zugangsdaten missbraucht werden, liegt die eigentliche Ursache meist deutlich früher. In vielen Fällen entstehen kompromittierte Accounts durch externe Faktoren: Datenlecks, Phishing-Angriffe oder unsichere Passwortnutzung. Der eigentliche Angriff bleibt dabei oft unbemerkt. Es gibt keinen direkten Schaden, kein sichtbares Ereignis. Erst später werden diese Daten systematisch eingesetzt. Kombinationen aus E-Mail-Adresse und Passwort werden automatisiert gegen verschiedene Dienste getestet. Funktioniert ein Login, erhält der Angreifer Zugriff, ohne klassische Sicherheitslücke. Diese zeitliche Trennung zwischen Kompromittierung und Nutzung macht Angriffe mit gestohlenen Zugangsdaten besonders schwer zu erkennen.
Warum gestohlene Zugangsdaten langfristig ein Risiko bleiben
Ein Datenleck ist kein einmaliger Vorfall, sondern eine dauerhafte Quelle für Angriffe. Einmal kompromittierte Zugangsdaten werden weiterverbreitet, verkauft und in neuen Angriffskampagnen genutzt. Besonders kritisch wird es, wenn:
Passwörter mehrfach verwendet werden
alte Accounts weiterhin bestehen
keine Anpassungen nach einem Leak erfolgen
Auch Jahre nach einem Vorfall können gestohlene Zugangsdaten noch funktionieren oder als Grundlage für weitere Angriffe dienen. Zusätzlich steigt das Risiko für gezielte Phishing-Angriffe. E-Mail-Adressen aus bekannten Datenlecks werden häufiger adressiert und mit weiteren Informationen angereichert, um Angriffe glaubwürdiger zu machen.
Kompromittierte Accounts sind schwer zu erkennen
Ein zentrales Problem im Identity & Access Management: Ein erfolgreicher Login wirkt zunächst legitim. Das System erkennt keinen Unterschied zwischen einem echten Benutzer und einem Angreifer mit gültigen Zugangsdaten. Dadurch verschiebt sich die Herausforderung von der reinen Zugriffskontrolle hin zur Verhaltensanalyse. Entscheidend ist die Frage: Passt der Zugriff zum erwarteten Verhalten? Anmeldeort, Zeit, Gerät und Nutzungskontext werden damit zu wichtigen Indikatoren. Ohne diese Einordnung bleiben viele Angriffe lange unentdeckt.
Passwortmanagement als Grundlage der Account-Sicherheit
Die Sicherheit von Zugangsdaten hängt maßgeblich davon ab, wie sie verwaltet werden. In der Praxis scheitern viele Sicherheitskonzepte an der Umsetzung: Nutzer verwenden Passwörter mehrfach, wählen zu einfache Varianten oder speichern Zugangsdaten unsicher. Mit zunehmender Anzahl an Systemen steigt dieses Risiko automatisch. Ein professionelles Passwortmanagement reduziert diese Angriffsfläche erheblich. Durch die Verwendung einzigartiger, komplexer Passwörter für jeden Dienst lassen sich typische Angriffsszenarien wie Credential Stuffing wirksam eindämmen. Ohne zentrale Verwaltung entsteht dagegen ein strukturelles Risiko, das sich kaum kontrollieren lässt.
Neue Angriffswege: Sessions statt Passwörter
Ein wichtiger Trend in aktuellen Angriffsszenarien ist die Verschiebung weg vom Passwort. Angreifer zielen zunehmend auf bestehende Sitzungen. Wird ein Endgerät kompromittiert, lassen sich Session-Tokens oder Browserdaten auslesen und weiterverwenden. Der Angreifer übernimmt damit eine bestehende Anmeldung, ohne sich erneut authentifizieren zu müssen. Für die Verteidigung bedeutet das: Der Schutz von Zugangsdaten allein reicht nicht aus. Auch die Umgebung, in der diese genutzt werden, wird zum entscheidenden Faktor.
Multifaktor-Authentifizierung richtig einordnen
Multifaktor-Authentifizierung ist eine der effektivsten Maßnahmen, um Account-Kompromittierungen zu erschweren. Sie stoppt den Großteil automatisierter Angriffe, aber nicht jeden. Entscheidend ist, wie sie umgesetzt wird. Die Praxis zeigt: MFA ist kein vollständiger Schutz. Bestimmte Angriffstechniken zielen gezielt darauf ab, zweite Faktoren zu umgehen oder auszunutzen, etwa durch Phishing in Echtzeit oder durch das Ausnutzen von Nutzerverhalten. Der entscheidende Unterschied liegt daher nicht in der Einführung von MFA, sondern in der Wahl der Verfahren und deren konsequenter Anwendung.
Berechtigungen entscheiden über das tatsächliche Risiko
Nicht jeder kompromittierte Account führt automatisch zu einem kritischen Vorfall. Entscheidend ist, welche Berechtigungen damit verbunden sind. In vielen Unternehmen sind Zugriffsrechte historisch gewachsen. Accounts erhalten zusätzliche Rechte, werden selten bereinigt und bleiben über Jahre hinweg bestehen. Dadurch entstehen überprivilegierte Identitäten mit weitreichenden Zugriffsmöglichkeiten. Wird ein solcher Account kompromittiert, kann sich ein Angreifer schnell innerhalb der IT-Umgebung bewegen und weitere Systeme erreichen. Das Prinzip „Least Privilege“ reduziert dieses Risiko, indem jeder Account nur die tatsächlich notwendigen Rechte erhält. In der Praxis ist die Umsetzung jedoch komplex und erfordert kontinuierliche Pflege.
Fehlende Transparenz im Identity & Access Management
Ein häufig unterschätztes Problem ist mangelnde Übersicht. Viele Unternehmen können nicht klar nachvollziehen, welche Benutzer auf welche Systeme zugreifen können und welche Daten tatsächlich genutzt werden. Diese Intransparenz erschwert sowohl die Prävention als auch die Reaktion im Ernstfall. Ohne belastbare Daten lässt sich nicht beantworten, welche Systeme betroffen sind oder wie weit ein Angriff fortgeschritten ist. Transparenz wird damit zu einer zentralen Voraussetzung für wirksame Sicherheitsmaßnahmen im Identity & Access Management.
Fazit: Identity & Access als zentraler Angriffsvektor
Gestohlene Zugangsdaten gehören zu den effektivsten Angriffsmethoden im Bereich Cybersecurity. Sie nutzen bestehende Strukturen, erfordern keine komplexen Exploits und sind schwer zu erkennen. Genau deshalb sind sie in vielen Angriffsszenarien der bevorzugte Einstiegspunkt. Die wichtigsten Maßnahmen sind bekannt:
konsequentes Passwortmanagement
starke und richtig implementierte MFA
kontrollierte Berechtigungsstrukturen
Transparenz über Zugriffe und Identitäten
Der entscheidende Faktor ist nicht das Wissen, sondern die Umsetzung. Mehr Einordnung und konkrete Praxisbeispiele gibt es in der aktuellen Folge von Cybersecurity Basement.

Annika Gamerad
Event & Marketing Specialist
Published on 15.04.2026
