Thought Leadership
Warum ist der Identitätsschutz heute zu einem Kernthema der digitalen Sicherheit geworden? Vor dem Hintergrund, dass die Mehrheit der aktuellen Angriffe ohne Malware erfolgen und stattdessen gestohlene Zugangsdaten nutzen, spricht Aris Koios, Technology Strategist bei CrowdStrike, über aktuelle Bedrohungsszenarien und moderne Schutzkonzepte.
Herr Koios, ein zentrales Thema der Cybersecurity ist die Identität – können Sie kurz erklären, warum das Thema in den letzten Jahren an Bedeutung gewonnen hat?
Aris Koios: Identität ist zu einem zentralen Thema in der Cybersicherheit geworden, da identitätsbasierte Angriffe rasant zunehmen. Mittlerweile sind 75 % der Angriffe malwarefrei, wobei Angreifer kompromittierte Anmeldeinformationen nutzen, um sich als legitime Benutzer auszugeben und sich unauffällig, lateral zu bewegen.
Traditionelle Cybersicherheitslösungen konzentrieren sich auf Endpunkte und Netzwerksicherheit, greifen jedoch zu kurz, wenn es darum geht, die dynamische Natur von Identitätsbedrohungen zu adressieren. Diese Tools sind oft nicht in der Lage, identitätsbezogene Anomalien unternehmensweit zu korrelieren – etwa im Hinblick auf das Benutzerverhalten, Geräteanmeldungen oder kompromittierte Zugangsdaten. Um den persistenten Identitätsbedrohungen einen Schritt voraus zu sein, benötigen Unternehmen einen modernen Plattformansatz, der KI-gestützte Erkennung, umfassende Visbilität über mehrere Sicherheitsdomänen – Identität, Endpunkt, Cloud – sowie eine kontinuierliche Überwachung über die gesamte Kill Chain hinweg vereint.
Warum stellen identitätsbasierte Angriffe Unternehmen vor eine so große Herausforderung?
Aris Koios: Ohne die richtigen Tools und eine ganzheitliche Schutzlösung sind identitätsbasierte Angriffe äußerst schwer zu erkennen, denn Angreifer hinterlassen in jeder Sicherheitsdomäne nur minimale Spuren – wie einzelne Puzzleteile –, was ihre Erkennung sehr schwierig macht. Sie nutzen die Identität als vertrauenswürdigen Einstiegspunkt und bewegen sich danach unauffällig lateral durch die Systeme.
Welche Cyberakteure sind im Bereich des Identitätsdiebstahls besonders aktiv?
Aris Koios: Es gibt zahlreiche Bedrohungsakteure, die geschickt darin sind, legitime Anmeldeinformationen auszunutzen, um Zugang und Kontrolle zu erlangen. Ein Beispiel dafür ist SCATTERED SPIDER, eine hochentwickelte eCrime-Gruppe, die gezielte Social-Engineering-Kampagnen durchführt, hauptsächlich über Phishing-Websites, um Anmeldeinformationen zu stehlen. SCATTERED SPIDER nutzt häufig gültige Zugangsdaten aus Phishing-Angriffen, um domänenübergreifende Attacken durchzuführen, die Identität, Endpunkte und Cloud-Umgebungen ins Visier nehmen.
Beobachtet CrowdStrike neben eCrime-Akteuren auch nationalstaatliche Cybergruppen bei identitäsbasierten Angriffen?
Ja, sowohl eCrime-Gruppen als auch staatlich unterstützte Bedrohungsakteure sind geschickt darin, hochentwickelte identitätsbasierte Angriffe durchzuführen. So wird beispielsweise im CrowdStrike 2024 Threat Hunting Report darauf hingewiesen, dass CrowdStrike OverWatch verdächtige Aktivitäten bei einem südasiatischen Telekommunikationsanbieter mithilfe identitätsbasierter Indikatoren identifiziert hat. Auch der China-nahe Bedrohungsakteur HORDE PANDA nutzte mehrere kompromittierte Identitäten, um sich weiter im Netzwerk einzunisten und sich lateral durch die Infrastruktur zu bewegen.
Gibt es solche Beispiele auch aus dem DACH-Raum?
Aris Koios: Identitätsbasierte Angriffe sind eine globale Herausforderung – auch für deutsche Unternehmen. Organisationen, die ihre Identitäten nicht ausreichend schützen, bleiben Angreifern ausgesetzt, die nach immer einfacheren und effizienteren Methoden suchen, um ihre Opfer zu kompromittieren. Gleichzeitig werden die Angreifer immer raffinierter. Um die Bedrohungslandschaft im Bereich der Identität besser zu verstehen, ist es wichtig, sich die verschiedenen Arten identitätsbasierter Angriffe genauer anzusehen und die besten Verteidigungsmaßnahmen dagegen zu kennen. Die Liste möglicher Angriffstechniken ist lang – man denke nur an Password Spraying, Credential Stuffing, Golden Ticket Attacks, Kerberoasting, Man-in-the-Middle-Angriffe oder Pass-the-Hash-Angriffe.
Wie können sich Unternehmen am besten schützen?
Aris Koios: Jede Organisation ist einzigartig in ihrer Infrastruktur und hat ihre eigenen spezifischen Sicherheitsherausforderungen. Doch eines haben sie alle gemeinsam: In einer Welt, in der Bedrohungsakteure immer raffinierter werden, müssen sie in der Lage sein, in Echtzeit auf diese Bedrohungen zu reagieren, um Sicherheitsverletzungen zu verhindern. Veraltete Sicherheitsansätze, die aus isolierten Tools bestehen, führen jedoch häufig zu Visbilitätslücken und einem nicht hinreichendem Schutzniveau.
Der Schutz vor modernen Angriffen erfordert einen einheitlichen Identitätsschutz. Um diese Angriffe effektiv zu erkennen und zu stoppen, benötigen Sicherheitsteams Plattformtechnologien, die in der Lage sind, Identitäten mit Verhaltensweisen zu verknüpfen, um Bedrohungsakteure effizient verfolgen, wenn sie sich lateral durch die Systeme bewegen – Identität, Cloud und Endpunkt. KI-gestützte Lösungen beschleunigen diese Prozesse, indem sie riesige Datenmengen auf Anomalien analysieren und eine schnelle, präzise Erkennung sowie Reaktion ermöglichen.
