Ein Login genügt:: Wie Identitäten Ransomware Tür und Tor öffnen

Die schwerwiegendsten Ransomware-Angriffe der vergangenen Monate folgen einem klaren Muster: Angreifer benötigen keine hochkomplexen Schwachstellen mehr. Stattdessen nutzen sie gestohlene Anmeldedaten, oft aus Infostealer-Malware oder durch Social Engineering erbeutet.

Wenn Zugangsdaten zur Angriffswaffe werden

Ein prominentes Beispiel ist der Angriff auf Jaguar Land Rover im September 2025. Über kompromittierte Zugangsdaten eines Drittanbieters verschafften sich die Täter Zugriff auf interne Systeme. Mit gültigen Konten bewegten sie sich unauffällig durch die Infrastruktur, bevor sie die Schadsoftware verteilten. Die Folgen waren gravierend: nahezu vier Wochen Produktionsausfall, Milliardenkosten und massive Auswirkungen entlang der Lieferkette.

Ein ähnliches Szenario spielte sich bei Marks and Spencer ab. Dort genügte ein erfolgreicher Social-Engineering-Angriff auf einen IT-Service-Desk, um eine Passwortzurücksetzung zu erwirken. Innerhalb weniger Stunden hatten die Angreifer umfassenden Zugriff. Der Schaden: wochenlange Ausfälle im Onlinegeschäft und erhebliche finanzielle Verluste.

Diese Fälle sind Exemplarisch: Laut Verizon Data Breach Investigations Report 2025 ist der Missbrauch von Zugangsdaten weiterhin einer der dominierenden Angriffsvektoren und verantwortlich für 21 Prozent aller Sicherheitsvorfälle. Die Beteiligung Dritter an solchen Vorfällen ist im Jahresvergleich von 15 auf 30 Prozent gestiegen.

Unsichtbare Risiken durch nicht-menschliche Identitäten

Während sich Sicherheitsstrategien häufig auf menschliche Nutzer konzentrieren, bleiben nicht-menschliche Identitäten oft unbeachtet. Dazu zählen Dienstkonten, automatisierte Prozesse und Synchronisierungskonten zwischen Systemen.

Ein Beispiel liefert die Ransomware-Gruppe Storm-0501. Nach dem initialen Zugriff entdeckten die Angreifer ein Dienstkonto mit umfassenden Administratorrechten in einer hybriden Umgebung. Dieses Konto war weder einer verantwortlichen Person zugeordnet noch durch Multi-Faktor-Authentifizierung geschützt. Die Täter nutzten legitime Verwaltungswerkzeuge, um Daten zu exfiltrieren und die Cloud-Infrastruktur systematisch zu zerstören.

Solche Konten sind besonders kritisch, da sie oft dauerhaft aktiv, hoch privilegiert und kaum überwacht sind. Sie bieten Angreifern ideale Bedingungen für eine unbemerkte Ausbreitung.

Fehlende Transparenz als strukturelles Problem

Ein zentrales Problem liegt in der mangelnden Übersicht über vergebene Zugriffsrechte. In gewachsenen IT-Landschaften sammeln sich Berechtigungen über Jahre hinweg an. Rollenwechsel, Projektarbeit und parallele Systeme führen dazu, dass Nutzerkonten mehr Rechte besitzen als notwendig.

Im Ernstfall erschwert diese Intransparenz jede Reaktion. Unternehmen können nicht schnell beurteilen, welche Systeme betroffen sind und wie weit sich ein Angriff ausgebreitet hat. Im Fall von Jaguar Land Rover führte genau diese Unsicherheit dazu, dass komplette Systeme vorsorglich abgeschaltet werden mussten. Die entscheidende Frage bleibt oft unbeantwortet: Wer hat Zugriff auf welche Ressourcen?

Identity Governance als Schlüssel zur Prävention

Moderne Sicherheitskonzepte setzen daher bei der Verwaltung von Identitäten an. Identity Governance schafft eine zentrale Sicht auf alle Nutzer, Systeme und Berechtigungen. Sie integriert Daten aus Verzeichnissen, Cloud-Plattformen und Anwendungen und ermöglicht eine konsistente Kontrolle. Wesentliche Maßnahmen sind:

• Automatisiertes Lebenszyklusmanagement, das verwaiste Konten zeitnah deaktiviert
• Regelmäßige Zugriffszertifizierungen zur Überprüfung bestehender Rechte
• Erkennung risikoreicher Berechtigungskombinationen

vStrikte Kontrolle von Drittanbieter-Zugängen mit zeitlicher Begrenzung

• Governance auch für nicht-menschliche Identitäten inklusive klarer Verantwortlichkeiten

Diese Ansätze reduzieren nicht nur die Angriffsfläche, sondern erhöhen auch die Reaktionsgeschwindigkeit im Ernstfall.

Weniger Angriffsfläche, geringerer Schaden

Die zentrale Erkenntnis ist eindeutig: Identitäten sind das neue Einfallstor für Angriffe. Je besser Unternehmen ihre Zugriffsrechte kontrollieren, desto geringer ist das Risiko einer Eskalation.

Selbst wenn Zugangsdaten kompromittiert werden, bleibt der Schaden begrenzt, wenn Privilegien minimal gehalten und Bewegungen im Netzwerk eingeschränkt sind. Gleichzeitig ermöglicht eine transparente Identitätsstruktur eine schnelle und gezielte Reaktion.

Ransomware wird nicht verschwinden. Doch Unternehmen, die ihre Identitäten konsequent absichern, entscheiden selbst, ob ein Angriff zur Krise oder zu einem beherrschbaren Sicherheitsvorfall wird.