Zum Inhalt springen
Zurück zu Artikel
identity-security ransomware zero-trust enterprise-passkeys

Warum Ransomware zu einem Identity-Problem wird

Byte Smith · · 7 Min. Lesezeit

Identitätsbasierte Ransomware verändert, wie Sicherheitsteams über den initialen Zugang nachdenken müssen. Das alte mentale Modell fokussierte stark auf Malware-Zustellung, Exploit-Ketten und offensichtliche Payload-Ausführung. Diese sind immer noch relevant, aber das dringendere Muster ist einfacher: Angreifer verschaffen sich zunehmend Zugang durch Identitätsmissbrauch, Session-Diebstahl, Vertrauensübernahme und nutzen dann legitimen Zugang, um sich in Richtung Erpressung, Störung oder Ransomware-Deployment zu bewegen.

Die Daten unterstützen diese Verschiebung. CrowdStrikes 2024 Global Threat Report stellte fest, dass 75% der Angriffe zum Erlangen des initialen Zugangs malware-frei waren — stattdessen auf Identity-Missbrauch, Social Engineering und Hands-on-Keyboard-Techniken setzend. Microsofts Digital Defense Report 2024 berichtete über 600 Millionen Identity-Angriffe pro Tag auf Microsoft-Kunden. Und IBMs Cost of a Data Breach Report 2024 identifizierte gestohlene Zugangsdaten als häufigsten initialen Angriffsvektor, mit durchschnittlich 292 Tagen zur Identifizierung und Eindämmung.

Das bedeutet: Wenn Angreifer sich einloggen statt laut einzubrechen, sind Backup-Strategie und Endpoint-Kontrollen nur ein Teil der Antwort. Sicherheitsteams brauchen auch stärkeren Identity-Schutz, engere SaaS-Kontrollen, schnellere Token-Reaktion und bessere operative Sichtbarkeit darüber, wer sich authentifiziert, von wo und mit welchem Vertrauenslevel.

Wie sich Ransomware-Taktiken ändern

Ransomware hat nicht aufgehört, destruktiv zu sein. Was sich ändert, ist der Pfad, den Angreifer nutzen, um dieses destruktive Stadium zu erreichen.

Jahrelang wurden Verteidiger trainiert, auf verdächtige Binaries, Makro-Payloads, Exploit-Kits und lautes Malware-Verhalten zu achten. Diese Signale tauchen immer noch auf, aber moderne Angriffe sind zunehmend auf Geschwindigkeit, Skalierung und geringeren Aufwand optimiert. Da drei Viertel der initialen Zugriffsversuche laut CrowdStrike nun malware-frei sind, haben sich die Ökonomien verschoben. Wenn der Diebstahl einer gültigen Identität einem Operator leichteren Zugang gibt als der Bau oder Kauf eines komplexeren Einbruchpfads, werden viele von ihnen den Identity-Weg wählen.

Deshalb muss die Ransomware-Vorbereitung jetzt viel früher in der Kill Chain beginnen. Die wichtige Frage ist nicht mehr nur: „Können wir Malware stoppen?” Sondern auch:

  • Können wir gestohlene oder wiederholte Sessions erkennen?
  • Können wir riskante Anmeldungen blockieren, bevor Privilegien missbraucht werden?
  • Können wir Helpdesk- und Admin-Workflow-Manipulation verhindern?
  • Können wir identitätsgetriebene laterale Bewegung schnell genug eindämmen, um ein Deployment zu stoppen?

Dies ist ein Grund, warum Identity-Teams, Cloud-Teams und Incident-Response-Teams enger zusammenarbeiten müssen als noch vor einigen Jahren. Ransomware-Abwehr ist zunehmend an Zugriffskontrolle, SaaS-Governance und Post-Authentifizierungs-Monitoring gebunden, nicht nur an traditionelle Endpoint-Erkennung.

Warum Identity-Angriffe laute Malware schlagen

Identity-Angriffe sind attraktiv, weil sie oft weniger Reibung für den Angreifer und weniger unmittelbaren Lärm für den Verteidiger erzeugen.

Wenn ein Angreifer eine echte Session, ein gültiges Token oder einen durch Social Engineering erlangten Kontowiederherstellungspfad nutzt, kann die Aktivität sich in normales Unternehmensverhalten einfügen. Das ist sehr anders als Malware zu zünden, die sofort Endpoint-Alarme oder Netzwerksignaturen auslöst.

Es gibt einige Gründe, warum das so gut funktioniert.

Legitimer Zugang sieht legitim aus

Wenn ein Angreifer ein Live-Session-Token oder gültige Zugangsdaten hat, muss er möglicherweise nicht dieselben Verteidigungen auslösen, die klassische Malware fangen. In vielen Umgebungen sieht die anfängliche Aktivität wie normaler Benutzerzugang aus. IBM stellte fest, dass Datenschutzverletzungen durch gestohlene Zugangsdaten im Durchschnitt 292 Tage zur Identifizierung und Eindämmung brauchen — länger als fast jeder andere Angriffsvektor — genau weil die Aktivität sich einfügt.

Cloud- und SaaS-Umgebungen belohnen Identity-Kontrolle

Da immer mehr Geschäftssysteme hinter Identity-Providern und SaaS-Integrationen leben, wird Kontozugang zum kürzesten Pfad zu echtem Geschäftsimpact. Ein Angreifer, der die richtige Identität kontrolliert, kann möglicherweise E-Mail, Admin-Portale, Dateispeicher, Kundensysteme und Workflow-Tools erreichen, ohne jemals offensichtliche Malware einzusetzen.

Post-Authentifizierungs-Missbrauch ist effizient

Sobald der Zugang hergestellt ist, können Angreifer sich in Richtung Persistenz, Rechteeskalation, Datendiebstahl und destruktive Aktion bewegen, indem sie dieselben vertrauenswürdigen Systeme nutzen, auf die Ihre Organisation bereits angewiesen ist.

Deshalb ist identitätsbasierte Ransomware nicht nur eine Nischenvariante. Es ist ein Signal, dass Enterprise-Angriffspfade der Logik der Effizienz folgen. Angreifer nutzen die Routen, die den besten operativen Ertrag mit dem geringsten Widerstand liefern.

Gestohlene Sessions, Phishing und Helpdesk-Missbrauch

Sicherheitsverantwortliche müssen besonderes Augenmerk auf die Wege legen, wie Identity-Missbrauch tatsächlich in der Praxis passiert. Drei Muster sind wichtiger denn je.

Gestohlene Sessions

Session-Diebstahl ist eines der klarsten Beispiele dafür, warum „MFA aktiviert” allein nicht mehr ausreicht. Wenn ein Angreifer ein Live-Session-Token oder Cookie stiehlt, kann er möglicherweise den Login-Schritt komplett umgehen und direkt in eine bereits authentifizierte Session einsteigen.

Das macht Token-Diebstahl so gefährlich. Er zielt auf den Teil des Workflows, den viele Organisationen immer noch weniger aggressiv überwachen als Login-Versuche.

AiTM-Phishing und Session-Hijacking

Adversary-in-the-Middle-Phishing-Kampagnen tun mehr als nur Passwörter zu sammeln. Sie können die Authentifizierung in Echtzeit weiterleiten und das resultierende Session- oder Token-Material abfangen. Das verwandelt Phishing von einem Credential-Diebstahl-Problem in ein Post-Authentifizierungs-Kompromittierungsproblem.

Diese Unterscheidung ist operativ wichtig. Ein Benutzer kann „das Richtige tun”, indem er MFA nutzt, und trotzdem kompromittiert werden, wenn der Angreifer die resultierende Session erfolgreich übernimmt.

Helpdesk- und Support-Workflow-Missbrauch

Identity-Angriffe beschränken sich nicht auf browserbasiertes Phishing. Angreifer missbrauchen auch Menschen und Prozesse. Helpdesks, ausgelagerter Support und Wiederherstellungs-Workflows sind jetzt Teil der Angriffsfläche. Die Scattered-Spider-Gruppe (von Microsoft als Octo Tempest verfolgt) demonstrierte dies im großen Maßstab — durch Social Engineering von Helpdesks und IT-Personal zum Erlangen des initialen Zugangs, dann Eskalation zum Ransomware-Deployment über große Enterprise-Ziele.

Dies ist ein Grund, warum reife Ransomware-Abwehr jetzt Sicherheitskontrollen rund um Support-Operationen und Identity-Lifecycle-Prozesse umfasst, nicht nur Endpoint-Agenten und E-Mail-Filter.

Wie Sie Ihre Ransomware-Abwehr aktualisieren

Wenn Ransomware zunehmend identitätsgetrieben ist, müssen sich Ihre Verteidigungsprioritäten entsprechend verschieben.

Eine stärkere moderne Strategie umfasst:

  • Identitäten als kritische Infrastruktur schützen
  • Anmeldungen und Sessions überwachen, nicht nur Endpoints
  • Privilegien und stehenden Zugang reduzieren
  • SaaS-Integrationen und Admin-Workflows härten
  • Credential- und Token-Widerruf als Teil der Incident Response testen
  • Backup-Resilienz von Identity-Resilienz trennen

Zu viele Organisationen planen Ransomware-Reaktion immer noch nur um Dateiverschlüsselung und Wiederherstellungsoperationen. Das ist notwendig, aber unvollständig. Wenn ein Angreifer immer noch Admin-Identitäten, Cloud-Sessions oder privilegierten SaaS-Zugang kontrolliert, beseitigt die Wiederherstellung von Systemen nicht das eigentliche Risiko.

Ein besseres Betriebsmodell ist, Identity als Teil Ihrer Ransomware-Eindämmungsschicht zu behandeln. In der Praxis bedeutet das:

  1. Hochsensible Identitäten zuerst identifizieren
  2. Stärkere Authentifizierungs- und Registrierungskontrollen durchsetzen
  3. Privilegierte Zugriffspfade einschränken
  4. Auf verdächtiges Session-Verhalten achten
  5. Kontosperrung, Token-Widerruf und Notfallzugangs-Workflows üben
  6. Validieren, dass Business-Continuity-Pläne auch bei Identity-Störung funktionieren

Hier beginnt architektonische Disziplin wichtig zu werden. Organisationen mit stärkeren Zero-Trust-Architekturpraktiken sind in einer besseren Position, weil sie bereits davon ausgehen, dass Identity-, Geräte-, Netzwerk- und App-Vertrauen kontinuierlich bewertet werden muss, anstatt einmal gewährt und vergessen zu werden.

Wo phishing-resistente MFA hinpasst

Phishing-resistente MFA — einschließlich Passkeys und FIDO-basierter Authenticatoren — ist eine der klarsten Kontrollverbesserungen zur Reduzierung von Credential-Phishing und leichteren Kontoübernahmepfaden. Aber es ist nicht die gesamte Antwort. Session-Diebstahl und Bearer-Token-Missbrauch sind nach erfolgreicher Authentifizierung immer noch relevant, weshalb der effektivste Ansatz phishing-resistente Authentifizierung mit Conditional Access, Token-Schutz und Least Privilege schichtet.

Wenn Ihre Organisation einen Wechsel zu Passkeys plant, behandelt unser Enterprise-Passkeys-Einführungsleitfaden die Einführungsmodelle, das Recovery-Design und die Adoptionsmetriken im Detail. Der Schlüsselpunkt für die Ransomware-Abwehr ist, dass Passkey-Einführungen als Teil der Eindämmungsstrategie gesehen werden sollten, nicht nur als Authentifizierungsmodernisierung.

Metriken, die Sicherheitsverantwortliche beobachten sollten

Wenn dies eine echte Prioritätsverschiebung ist, sollten Ihre Metriken das widerspiegeln. Sicherheitsverantwortliche brauchen Sichtbarkeit über Identity-Exposition, nicht nur über Malware-Volumen.

Die nützlichsten Messwerte umfassen oft:

Identity-Schutzabdeckung

Verfolgen Sie, wie viele Benutzer, Admins, Auftragnehmer und Service-Owner durch phishing-resistente MFA und stärkere Conditional-Access-Regeln geschützt sind.

Reduktion privilegierter Identitäten

Messen Sie, wie viel stehende Privilegien noch existieren, wie viele Admin-Rollen immer aktiv sind und wie viele Notfallzugriffspfade ungetestet oder schwach verwaltet sind.

Session- und Token-Risikosignale

Achten Sie auf verdächtige Token-Nutzung, unmögliches Reisen nach Authentifizierung, riskante Gerätewechsel, wiederholte Session-Invalidierungen und ungewöhnliche Consent- oder Registrierungsereignisse.

Helpdesk- und Recovery-Missbrauchsindikatoren

Überwachen Sie Passwortrücksetzungsanfragen, MFA-Reset-Muster, Recovery-Ausnahmen und Support-Eskalationen im Zusammenhang mit privilegierten oder sensiblen Konten.

Zeit zum Widerruf von Vertrauen

In einem echten Vorfall: Wie lange dauert es, Konten zu deaktivieren, Sessions zu widerrufen, Geheimnisse zu rotieren, bösartige OAuth-Grants zu blockieren und Zugang über Cloud- und SaaS-Systeme hinweg zu entfernen? Diese Zahl ist jetzt viel wichtiger als früher.

Teamübergreifende Bereitschaft

Ransomware ist nicht mehr nur ein Security-Operations-Problem. Identity-, Cloud-, Endpoint- und Support-Teams beeinflussen alle das Ergebnis. Messen Sie, ob sie unter Druck tatsächlich zusammenarbeiten können.

Es hilft auch, dies mit verwandten Kontrollbereichen zu verbinden. Identitätslastige Ransomware-Abwehr überschneidet sich mit API-Sicherheit für SaaS- und integrationsintensive Umgebungen, besonders wenn Drittanbieter-Apps und Tokens den Schadensradius eines kompromittierten Kontos erweitern.

Führen Sie eine Identity-Expositions-Überprüfung vor Ihrer nächsten Ransomware-Tabletop-Übung durch

Die größte Erkenntnis für 2026 ist einfach: Ransomware-Abwehr muss beginnen, bevor Malware auftaucht. Wenn Angreifer zunehmend Hebel durch gestohlene Sessions, Phishing, Social Engineering und privilegierten Identity-Missbrauch gewinnen, dann ist Identity keine unterstützende Kontrolle mehr. Sie ist Teil des Hauptschlachtfelds.

Sicherheitsteams, die sich am schnellsten anpassen, werden aufhören, Ransomware nur als Endpoint- und Backup-Problem zu behandeln. Sie werden es als Identity-, Zugangs- und operative Resilienzproblem behandeln.

Ein praktischer nächster Schritt ist, eine Identity-Expositions-Überprüfung vor Ihrer nächsten Ransomware-Tabletop-Übung durchzuführen. Kartieren Sie, welche Identitäten am wichtigsten sind, welche Workflows am einfachsten zu missbrauchen sind, welche Sessions am schwersten zu erkennen sind und welche Wiederherstellungspfade zu vertrauensselig sind. Testen Sie dann, ob Ihr Team Zugang widerrufen, den Schadensradius eindämmen und das Geschäft unter Druck weiterführen kann.

Holen Sie sich das kostenlose Identity-Expositions-Überprüfungs-Worksheet →

Für eine stärkere Grundlage kombinieren Sie diese Überprüfung mit unserem Enterprise-Passkeys-Einführungsleitfaden, unserem Zero-Trust-Architekturleitfaden und unserem API-Sicherheitsleitfaden für KI-Apps und moderne SaaS-Integrationen.

Verwandte Artikel

Enterprise-Passkeys-Einführung: Was tatsächlich funktioniert

Planen Sie eine Enterprise-Passkeys-Einführung? Erfahren Sie die besten Implementierungsstrategien, UX-Überlegungen, Recovery-Flows und Adoptionstipps für 2026.

enterprise-passkeyspasswordless-authenticationidentity-security

Zero-Trust-Architektur in der Praxis für Hybrid- und Multi-Cloud

Ein praktischer Zero-Trust-Leitfaden für Hybrid- und Multi-Cloud-Umgebungen, basierend auf realen Implementierungsmustern und operativen Erfahrungen.

zero-trust-architecturehybrid-cloud-securityidentity-security