Identity Security Gap: Was Zero Trust nicht schützt und wie Sie es schließen

8 Min. Lesezeit

Zero Trust war das Versprechen: Vertraue niemandem, prüfe alles, minimiere den Blast Radius. Aber die Angreifer haben sich angepasst. Sie brechen nicht mehr ein. Sie loggen sich ein. Mit gestohlenen Session-Tokens, KI-generierten Phishing-Mails und Deepfake-Anrufen umgehen sie MFA und Zero-Trust-Policies gleichermaßen. Die Lücke hat einen Namen: Identity Security Gap.

Das Wichtigste in Kürze

• 🔒 87 Prozent der Organisationen hatten in den letzten 12 Monaten mindestens zwei identitätsbasierte Breaches (CyberArk 2025).
• ⚠️ 84 Prozent der kompromittierten Accounts hatten MFA aktiviert. Session-Token-Diebstahl umgeht den zweiten Faktor komplett (Obsidian Security).
• 🛡️ Vishing stieg um 442 Prozent innerhalb eines halben Jahres, getrieben durch KI-Sprachsynthese (CrowdStrike GTR 2025).
• 📊 17,3 Milliarden gestohlene Session-Cookies kursieren im Darknet. Pro Malware-Infektion werden 1.861 Cookies abgegriffen (SpyCloud 2025).
• 🔧 ITDR (Identity Threat Detection and Response) schließt die Lücke zwischen Zugang gewähren und Missbrauch erkennen.

Die Illusion der Absicherung

Die Zahlen sind eindeutig. Laut dem CyberArk Identity Security Landscape Report 2025 berichten 87 Prozent der befragten Organisationen, in den letzten zwölf Monaten mindestens zwei erfolgreiche identitätsbasierte Breaches erlebt zu haben. 91 Prozent hatten mindestens einen Vorfall. Gleichzeitig setzen 87 Prozent der großen Organisationen bereits Multi-Faktor-Authentifizierung ein.

Das bedeutet: Die meisten Unternehmen werden trotz MFA kompromittiert, nicht weil sie es nicht haben. Die Frage ist nicht mehr, ob MFA aktiviert ist. Die Frage ist, was passiert, nachdem ein Angreifer den zweiten Faktor umgangen hat.

Obsidian Security hat diesen Punkt quantifiziert: 84 Prozent der bei ihnen beobachteten kompromittierten Accounts hatten MFA aktiviert. Die Angreifer brauchten es nicht zu knacken. Sie haben es umgangen.

Quellen: CyberArk 2025, Obsidian Security, CrowdStrike GTR 2025

Wie Angreifer Zero Trust umgehen

Zero Trust basiert auf einem Kernprinzip: Jeder Zugriff wird geprüft, unabhängig vom Standort. Das funktioniert gegen Netzwerk-basierte Angriffe. Aber es hat einen blinden Fleck: Wenn ein Angreifer über einen legitimen Session-Token verfügt, sieht er für das System aus wie ein authentifizierter Nutzer. Zero Trust kann nicht unterscheiden, ob der Mensch hinter dem Token der richtige ist.

Session-Token-Diebstahl ist der effizienteste Bypass. Infostealer-Malware wie Lumma, Redline und Vidar extrahiert Session-Cookies direkt aus dem Browser-Speicher. Kein Passwort nötig, kein MFA-Prompt. Der Angreifer importiert den Cookie in seinen Browser und ist sofort authentifiziert. Microsoft warnt im Digital Defense Report 2025 explizit vor dem Diebstahl von ESTSAUTHPERSISTENT-Cookies in Azure- und Microsoft-365-Umgebungen.

Die Dimension ist enorm: SpyCloud dokumentiert 17,3 Milliarden gestohlene Session-Cookies im Darknet. Pro Malware-Infektion werden durchschnittlich 1.861 Cookies und 44 Credentials abgegriffen. 548 Millionen Credentials wurden allein 2024 durch Infostealer exfiltriert.

AiTM-Phishing (Adversary-in-the-Middle) ist der zweite Hauptvektor. Angreifer schalten sich als transparenter Proxy zwischen Nutzer und Dienst. Der Nutzer sieht die echte Login-Seite, gibt seine Daten ein, durchläuft MFA. Aber der Proxy fängt den Session-Token ab. Microsoft beobachtete 2024 über 10.000 AiTM-Angriffe pro Monat gegen Microsoft-365-Nutzer. Toolkits wie Tycoon 2FA, EvilProxy und Evilginx industrialisieren den Prozess. Stand Juni 2025 sind 88 Prozent aller AiTM-Angriffe proxy-basiert.

„Die Kompromittierung von Anmeldedaten ist die häufigste Ursache für Datenpannen. Dennoch wird die Bedeutung von Identity und Access Management für die Erreichung von Cybersicherheitszielen häufig unterschätzt.“
Gartner, zitiert in CyberArk CISO Guide 2026

Der menschliche Vektor: 442 Prozent mehr Vishing

Neben den technischen Bypasses wächst ein Angriffsvektor, der sich nicht mit Technologie allein lösen lässt. Laut dem CrowdStrike Global Threat Report 2025 stieg Voice Phishing (Vishing) zwischen der ersten und zweiten Jahreshälfte 2024 um 442 Prozent. Getrieben wird das Wachstum durch KI-Sprachsynthese: Drei Sekunden Audio reichen, um einen Stimmklon mit 85 Prozent Übereinstimmung zu erstellen.

CrowdStrike dokumentiert zudem, dass KI-generierte Phishing-Mails eine Click-Through-Rate von 54 Prozent erreichen. Bei menschlich erstellten Phishing-Mails liegt der Wert bei 12 Prozent. Die Industrialisierung von Social Engineering durch generative KI verändert die Bedrohungslandschaft fundamental.

Für IT-Security-Teams bedeutet das: Schulungen gegen Phishing helfen nur bedingt, wenn die Qualität der Angriffe sich vervierfacht hat. Technische Kontrollen müssen Social Engineering kompensieren, nicht nur ergänzen.

Der blinde Fleck: Machine Identities

Die meisten Identity-Security-Strategien fokussieren auf menschliche Nutzer. Dabei zeigt der CyberArk Machine Identity Report 2025, dass Machine Identities (Service Accounts, API Keys, Zertifikate, Workload Identities) menschliche Identitäten um den Faktor 82 zu 1 übersteigen. Fast die Hälfte davon hat sensible oder privilegierte Zugriffsrechte.

Gleichzeitig haben 68 Prozent der Organisationen keine Identity-Security-Controls für KI-Systeme implementiert. 47 Prozent können Shadow-AI-Nutzung nicht absichern. In einer Welt, in der KI-Agenten zunehmend eigenständig auf Systeme zugreifen, wird jede unkontrollierte Machine Identity zum potenziellen Einfallstor.

ITDR: Die fehlende Schicht

Identity Threat Detection and Response (ITDR) schließt die Lücke, die Zero Trust offenlässt. Während Zero Trust den Zugang regelt, überwacht ITDR das Verhalten nach der Authentifizierung. Gartner hat den Begriff geprägt, nachdem klar wurde, dass klassische IAM-Hygiene wie PAM und Identity Governance nicht mehr ausreichen.

ITDR korreliert Auth-Logs, Device-Signale und Nutzerkontext in Echtzeit. Wenn ein Nutzer sich aus München einloggt und fünf Minuten später eine Session aus Bukarest aktiv wird, erkennt ITDR den Widerspruch. Wenn ein Service Account plötzlich auf Ressourcen zugreift, die er nie zuvor angefragt hat, schlägt ITDR Alarm.

Microsoft hat im Juli 2025 seine ITDR-Strategie vorgestellt und in Microsoft Entra integriert. Der Ansatz kombiniert Token Protection, Conditional Access Evaluation und kontinuierliche Anomalie-Erkennung. Für Unternehmen im DACH-Raum, die bereits Microsoft 365 nutzen, ist das der schnellste Einstieg in ITDR.

Was IT-Security-Teams jetzt tun sollten

1. Session-Token-Schutz priorisieren. Token Binding und Conditional Access Policies, die Tokens an Geräte binden. Kurze Token-Laufzeiten (maximal 8 Stunden für sensible Systeme). Continuous Access Evaluation (CAE) aktivieren, wo verfügbar.

2. Passkeys ausrollen. Passkeys (FIDO2) sind aktuell der einzige phishing-resistente Authentifizierungsmechanismus. 47 Prozent der Unternehmen haben laut FIDO Alliance 2025 bereits Enterprise Passkeys eingeführt. Kritisch: Alle phishbaren Fallback-Mechanismen (SMS, „Passwort vergessen“) eliminieren, sonst untergräbt der Fallback die Sicherheit.

3. Machine Identities inventarisieren. Service Accounts, API Keys, Zertifikate erfassen. Privilegierte Zugriffsrechte überprüfen. Rotation und Lifecycle-Management implementieren. 82 Machine Identities pro Mensch bedeuten: Hier liegt das größere Risiko.

4. ITDR implementieren. Verhaltensbasierte Anomalie-Erkennung für Active Directory und Cloud-Identitäten. Auth-Log-Korrelation über alle Identity Provider hinweg. Automatische Session-Revocation bei verdächtigem Verhalten.

5. Social-Engineering-Abwehr modernisieren. Bei 442 Prozent Vishing-Wachstum reichen Standard-Schulungen nicht mehr. Technische Maßnahmen: Out-of-Band-Verifizierung für sensible Anfragen, automatische Deepfake-Erkennung für Videocalls, Rückruf-Policies für alle Finanztransaktionen über Schwellenwert.

Fazit: Identity ist die neue Perimeter

Zero Trust hat die Netzwerksicherheit transformiert. Aber es hat eine Lücke gelassen: die Identität selbst. Wenn 87 Prozent der Organisationen trotz MFA und Zero Trust identitätsbasierte Breaches erleben, dann ist Identity Security nicht eine von vielen Prioritäten. Es ist die Priorität.

Die Technologie existiert. Token Binding, Passkeys, ITDR und Machine-Identity-Management sind verfügbar. Was fehlt, ist die Erkenntnis, dass die Absicherung der Identität mindestens so viel Aufmerksamkeit verdient wie die Absicherung des Netzwerks. Wer heute noch glaubt, MFA reiche aus, hat die Bedrohungslandschaft von 2026 nicht verstanden.

Häufige Fragen

Was ist der Identity Security Gap?

Die Lücke zwischen dem, was Zero Trust und MFA absichern (den Netzwerkzugang), und dem, was Angreifer tatsächlich ausnutzen (gestohlene Identitäten und Session-Tokens). 84 Prozent der kompromittierten Accounts hatten MFA aktiviert. Die Angreifer umgehen es, statt es zu knacken.

Warum schützt MFA nicht mehr zuverlässig?

Angreifer setzen auf Session-Token-Diebstahl (Infostealer-Malware), AiTM-Phishing (transparente Proxies) und Social Engineering (KI-gestütztes Vishing). Alle drei Methoden umgehen MFA, weil sie den Token nach erfolgreicher Authentifizierung abfangen oder den Nutzer zur Herausgabe verleiten.

Was ist ITDR?

Identity Threat Detection and Response. Ein von Gartner geprägter Ansatz, der Verhaltensanalyse nach der Authentifizierung durchführt. ITDR erkennt, wenn eine legitime Session missbraucht wird, etwa durch unmögliche Reisegeschwindigkeiten, untypische Zugriffsmuster oder plötzliche Privilegien-Eskalation.

Wie gefährlich sind Machine Identities?

Machine Identities (Service Accounts, API Keys, Zertifikate) übersteigen menschliche Identitäten im Verhältnis 82 zu 1. Fast die Hälfte hat privilegierte Zugriffsrechte. 68 Prozent der Organisationen haben keine spezifischen Security-Controls für Machine Identities implementiert.

Was sollten Unternehmen als Erstes tun?

Session-Token-Schutz aktivieren (Token Binding, kurze Laufzeiten, CAE). Phishing-resistente Authentifizierung (Passkeys/FIDO2) ausrollen und alle phishbaren Fallbacks eliminieren. Machine Identities inventarisieren. Dann ITDR als kontinuierliche Überwachungsschicht implementieren.

Quelle Titelbild: Pexels / Tima Miroshnichenko

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer