Identität und Sicherheit im KI-Zeitalter
Maskerade
Veröffentlicht in Ausgabe 09/2025 - PRAXIS
Vieles deutet aktuell darauf hin, dass Identität zukünftig zu einem zentralen Punkt in jeder Sicherheitsstrategie wird – auch im Kontext künstlicher Intelligenz, die Kriminelle mit idealen Werkzeugen für Identitätsangriffe ausstattet. Wir können davon ausgehen, dass KI-Attacken und betrügerische Deep Fakes zunehmen. Durch KI wächst die Gefahr hochpersonalisierter Phishingattacken, die sich automatische Profilauswertungen zunutze machen, um Mitarbeiter zielgerichtet anzugreifen. Mit Non-Human- und Machine-Identities existiert noch ein weiterer Angriffsvektor, den Unternehmen auf dem Schirm haben sollten.
Alte Bekannte: Credential Leaks
Gestohlene Zugangsdaten, häufig aufgrund von Infostealer-Malware wie Redline und Raccoon, beinhalten den Diebstahl von Benutzernamen, Kennwörtern und Sitzungstokens, die dann im Dark Web zum Verkauf stehen. Mit diesen Anmeldeinformationen umgehen Angreifer herkömmliche Sicherheitsmaßnahmen und verschaffen sich unbefugten Zugang zu Systemen, was zu erheblichen Sicherheitsverletzungen und finanziellen Verlusten führt. Ein bemerkenswertes Beispiel ist der erwähnte Fall Snowflake, von dem namhafte Kunden wie Ticketmaster und Neiman Marcus betroffen waren und der die weitreichenden Folgen von Credential Leaks verdeutlicht. Bei 90 Prozent der betroffenen Unternehmen waren Anmeldedaten in einem Stealer-Log vorhanden – bei 78 Prozent wurden die Zugangsdaten sechs Monate vor oder nach dem Vorfall dort veröffentlicht.
Credential Leaks stellen ein so großes Problem dar, weil auch heute noch fast alle Identitätsangriffe auf passwortbasierte Authentifizierung abzielen: Laut Microsoft machen Identitätsattacken 99 Prozent der 600 Millionen getrackten täglichen Angriffe aus [1]. Phishing und Social Engineering gehören noch immer zu den wichtigsten Methoden, um an Zugangsdaten zu kommen. Unter Kriminellen sind sie sicherlich so beliebt, weil wenig bis gar keine Programmierkenntnisse erforderlich sind. Durch KI-Unterstützung lassen sich massenhaft Phishingmails in immer besserer Qualität kreieren. So ließ sich 2024 ein Anstieg von etwa 200 Prozent bei Phishingnachrichten und um rund 700 Prozent bei Credential-Phishing-Angriffen feststellen, wie slashnext berichtet [2].
Vieles deutet aktuell darauf hin, dass Identität zukünftig zu einem zentralen Punkt in jeder Sicherheitsstrategie wird – auch im Kontext künstlicher Intelligenz, die Kriminelle mit idealen Werkzeugen für Identitätsangriffe ausstattet. Wir können davon ausgehen, dass KI-Attacken und betrügerische Deep Fakes zunehmen. Durch KI wächst die Gefahr hochpersonalisierter Phishingattacken, die sich automatische Profilauswertungen zunutze machen, um Mitarbeiter zielgerichtet anzugreifen. Mit Non-Human- und Machine-Identities existiert noch ein weiterer Angriffsvektor, den Unternehmen auf dem Schirm haben sollten.
Alte Bekannte: Credential Leaks
Gestohlene Zugangsdaten, häufig aufgrund von Infostealer-Malware wie Redline und Raccoon, beinhalten den Diebstahl von Benutzernamen, Kennwörtern und Sitzungstokens, die dann im Dark Web zum Verkauf stehen. Mit diesen Anmeldeinformationen umgehen Angreifer herkömmliche Sicherheitsmaßnahmen und verschaffen sich unbefugten Zugang zu Systemen, was zu erheblichen Sicherheitsverletzungen und finanziellen Verlusten führt. Ein bemerkenswertes Beispiel ist der erwähnte Fall Snowflake, von dem namhafte Kunden wie Ticketmaster und Neiman Marcus betroffen waren und der die weitreichenden Folgen von Credential Leaks verdeutlicht. Bei 90 Prozent der betroffenen Unternehmen waren Anmeldedaten in einem Stealer-Log vorhanden – bei 78 Prozent wurden die Zugangsdaten sechs Monate vor oder nach dem Vorfall dort veröffentlicht.
Credential Leaks stellen ein so großes Problem dar, weil auch heute noch fast alle Identitätsangriffe auf passwortbasierte Authentifizierung abzielen: Laut Microsoft machen Identitätsattacken 99 Prozent der 600 Millionen getrackten täglichen Angriffe aus [1]. Phishing und Social Engineering gehören noch immer zu den wichtigsten Methoden, um an Zugangsdaten zu kommen. Unter Kriminellen sind sie sicherlich so beliebt, weil wenig bis gar keine Programmierkenntnisse erforderlich sind. Durch KI-Unterstützung lassen sich massenhaft Phishingmails in immer besserer Qualität kreieren. So ließ sich 2024 ein Anstieg von etwa 200 Prozent bei Phishingnachrichten und um rund 700 Prozent bei Credential-Phishing-Angriffen feststellen, wie slashnext berichtet [2].
Neue Gefahren: Non-Human- und Machine-Identities
Non-Human- und Machine-Identities (NHI und MI) haben sich neben menschlichen Identitäten zu einem ebenso kritischen – aber oft übersehenen – Sicherheitsrisiko entwickelt. Diese Identitäten, wie etwa Dienstkonten, verfügen über Berechtigungen, die den Zugriff auf Ressourcen ermöglichen. NHI-Berechtigungsnachweise, wie API-Schlüssel und Zertifikate, dienen zur Authentifizierung bei einer NHI, besitzen aber selbst keine Berechtigungen. Die Unterscheidung zwischen Identität und Berechtigungsnachweis ist für die Sicherheit und Zugriffskontrolle entscheidend.
Trotz dieser wichtigen Rolle werden NHI in der Sicherheitspraxis oft vernachlässigt. Viele Anbieter haben nur einen begrenzten Überblick über die gesamte NHI-Landschaft. Die Zahlen mehrerer NHI-Anbieter und Marktanalysen ergeben eine Schätzung des Verhältnisses von NHI zu menschlichen Identitäten. Diese legt nahe, dass auf jede menschliche Identität etwa 46 nicht-menschliche Identitäten kommen, sie sind also ein elementarer Teil moderner Infrastrukturen.
Dabei spielt Angreifern in die Karten, dass laut EntroLabs über 70 Prozent der NHI nicht innerhalb der empfohlenen Zeitspannen ausgetauscht werden [3]. Im Durchschnitt findet bei diesen Identitäten nur einmal alle 627 Tage ein Austausch statt. Darüber hinaus geben 97 Prozent der Unternehmen ihre NHI an Drittunternehmen weiter, was die Angriffsfläche und das Potenzial für Missbrauch oder unbefugten Zugriff weiter vergrößert. Die Kombination aus nicht rotierenden Anmeldeinformationen und weit verbreitetem Zugriff durch Dritte sorgt für eine zunehmende Gefährdung.
Täuschend echte Deep Fakes
Laut dem Identity Fraud Report 2025 [4] von Entrust sind KI-gestützte Betrugsversuche immer raffinierter und häufiger geworden. Kriminelle setzen KI-Tools ein, um digitale Fälschungen und Deep Fakes zu erstellen, die inzwischen eine ernste Bedrohung für Identitätsprüfungsverfahren darstellen. Laut dem iProov Threat Intelligence Report 2024 [5] stiegen die Deep-Fake-Angriffe durch Face Swap von der ersten auf die zweite Jahreshälfte 2023 um 704 Prozent. Der Finanzsektor stand dabei am häufigsten im Fokus.
Diese Ergebnisse verdeutlichen die sich schnell entwickelnde Bedrohungslandschaft, in der KI-gestützte Angriffe nicht nur zunehmen, sondern auch immer schwieriger zu erkennen sind. Unternehmen müssen daher fortschrittliche Technologien zur Identitätsüberprüfung einsetzen, kontinuierlich auf Anomalien achten und robuste Verfahren zur Identitätssicherheit implementieren. Proaktive Verteidigungsstrategien und die Zusammenarbeit innerhalb der Branche sind unerlässlich, um Angreifern zuvorzukommen und sowohl menschliche als auch nicht-menschliche beziehungsweise maschinelle Identitäten in einer KI-gesteuerten Bedrohungsumgebung zu schützen.
Effektiv gegensteuern
Da immer noch die meisten Sicherheitsverstöße aus der Kompromittierung von Zugangsdaten entstehen, sind Identity- beziehungsweise Privileged-Access-Management (IAM/PAM) heute als Schutzkonzepte wichtiger denn je. Während IAM den allgemeinen Zugriff für alle Benutzer regelt, konzentriert sich PAM auf privilegierte Konten (etwa Admins) mit erweiterten Rechten, die besonders im Fokus elaborierter Angriffe stehen. In Zeiten, in denen Cyberkriminelle unter anderem mit KI-Tools immer weiter aufrüsten, um zielgerichtete Attacken auszuführen, sollten Unternehmen dem mit PAM etwas entgegensetzen.
Die technische Umsetzung eines PAM-Konzepts erfolgt idealerweise entlang eines strukturierten Lebenszyklus, der sich in mehrere Phasen gliedert. Zu Beginn steht die Definition des Umfangs und die Klassifikation privilegierter Konten und besonders sensibler Assets. Für diese Phase müssen alle relevanten Stakeholder an den Tisch – von der IT über das Risikomanagement bis hin zur Geschäftsführung. Ziel ist es, Governance-Richtlinien zu etablieren, die den Zugriff auf privilegierte Ressourcen regeln.
In der Ermittlungsphase erfolgt die Identifikation aller privilegierten Konten – sowohl menschlicher als auch maschineller Identitäten. Dies umfasst lokale Admin-Konten, Dienstkonten, Anwendungskonten und mehr. Automatisierte Discovery-Prozesse, idealerweise kontinuierlich ausgeführt, helfen dabei, die Angriffsfläche transparent zu machen und Schatten-IT zu vermeiden.
Die Phase "Verwalten und Schützen" bildet das Herzstück des PAM-Systems. Hier werden privilegierte Zugangsdaten in einem sicheren, verschlüsselten Tresor (Vault) gespeichert. Der Zugriff erfolgt über kontrollierte Workflows, häufig unter Einsatz von Multifaktor-Authentifizierung (MFA). Verfahren wie Passwortrotation, Just-in-Time-Zugriffsvergabe und die Vermeidung von hartkodierten Credentials durch eine API-basierte Secrets-Verwaltung sind dabei zentrale Maßnahmen. Zusätzlich kann Privilege Elevation and Delegation Management (PEDM) zum Einsatz kommen, um Rechte nur temporär und kontextabhängig zu vergeben.
Das Überwachen privilegierter Aktivitäten erfolgt durch Sitzungsaufzeichnung, Protokollierung und Echtzeitanalyse. Dabei lässst sich auch ein Vier-Augen-Prinzip anwenden, um besonders kritische Aktionen zu begleiten. Die Verhaltensanalyse erkennt Anomalien im Nutzerverhalten und kann automatisiert Warnungen auslösen oder Zugriffe blockieren.
Sollte es zu einem Vorfall kommen greift die Phase "Reagieren": Dies beinhaltet Maßnahmen wie Passwortrotation, Sitzungsbeendigung oder das Sperren kompromittierter Konten. Die Fähigkeit zur schnellen Reaktion wird durch Integration mit Incident-Response-Plänen und SIEM-Systemen unterstützt. Die abschließende Phase "Prüfen und Auditieren" stellt sicher, dass alle Aktivitäten nachvollziehbar dokumentiert sind. Unveränderliche Audit-Trails, automatisierte Berichte und regelmäßige Reviews helfen bei der Einhaltung regulatorischer Anforderungen und der kontinuierlichen Verbesserung des Sicherheitsniveaus.
Fazit
Die Bedrohungen durch KI nehmen drastisch zu. Besonders gefährdet sind Maschinenidentitäten, die gerne stiefmütterlich behandelt werden. Unternehmen sollten ihr PAM am besten zentral implementieren und ihre vorhandenen Umgebungen integrieren – etwa durch Anbindung an Active Directory, IAM-Systeme, DevOps-Toolchains oder IT-Service-Management-Plattformen.
(dr)
Andreas Müller, Vice President Enterprise Sales Central and Eastern Europe bei Delinea.
Link-Codes
[1] Microsoft Digital Defense Report 2024: https://www.microsoft.com/en-us/security/security-insider/intelligence-reports/microsoft-digital-defense-report-2024
[2] Splashnext Phishing Intelligence Report 2024: https://slashnext.com/2024-phishing-intelligence-report/
[3] Entro Security zu Non Human Identities: https://nhimg.org/2025-state-of-non-human-identities-and-secrets-in-cybersecurity
[4] Identity Fraud Report 2025: https://www.entrust.com/de/resources/reports/identity-fraud-report
[5] iProov Threat Intelligence Report 2024: https://www.iproov.com/reports/iproov-threat-intelligence-report-2024