Identitätsangriffe 2026: Warum Hacker nicht mehr einbrechen, sondern sich einloggen

3 Min. Lesezeit

75 Prozent aller Sicherheitsvorfälle 2026 basieren auf gestohlenen Identitäten, nicht auf technischen Exploits. 50 Prozent mehr kompromittierte Zugangsdaten im zweiten Halbjahr 2025 gegenüber dem Vorjahr. Hacker brechen nicht mehr ein. Sie loggen sich ein. Der Paradigmenwechsel von der Perimeter-Sicherheit zur Identitätssicherheit ist keine Prognose mehr. Er ist Realität.

Das Wichtigste in Kürze

• 🔒 75 Prozent aller Breaches 2026 laufen über gestohlene Identitäten. Hacker loggen sich ein statt einzubrechen (Cloudflare, 2026).
• 📈 50 Prozent mehr kompromittierte Credentials in H2 2025 gegenüber dem Vorjahreszeitraum.
• ⚠️ 97 Prozent der identitätsbasierten Angriffe nutzen Passwörter als Einstiegsvektor.
• 🛡️ Multi-Faktor-Authentifizierung allein reicht nicht mehr: AiTM-Phishing (Adversary-in-the-Middle) umgeht MFA systematisch.
• 🔧 Lösung: Passwordless Authentication (Passkeys, FIDO2), Continuous Verification, Identity Threat Detection and Response (ITDR).

Warum Identitäten das neue Schlachtfeld sind

Der Cloudflare-Bericht 2026 ist eindeutig: Drei von vier Sicherheitsvorfällen beginnen mit einer kompromittierten Identität. Nicht mit einem Buffer Overflow, nicht mit einer Zero-Day-Schwachstelle, sondern mit gültigen Zugangsdaten, die in falsche Hände geraten sind. Der Trend hat sich in den letzten zwei Jahren beschleunigt. Im zweiten Halbjahr 2025 wurden 50 Prozent mehr Credentials kompromittiert als im gleichen Zeitraum 2024.

Heise titelte kürzlich: „Login as a Weapon.“ Die Formulierung trifft den Kern. Ein Angreifer mit gültigen Zugangsdaten sieht für Security-Systeme wie ein legitimer Benutzer aus. Er löst keine Alarme aus, passiert Firewalls und Netzwerksegmentierung, greift auf sensible Daten zu. Erst wenn er lateral eskaliert oder Daten exfiltriert, wird er sichtbar. Oft zu spät.

Die aktuelle Microsoft-Teams-Kampagne mit dem A0Backdoor illustriert das Muster: Der initiale Zugang erfolgt über Social Engineering, nicht über einen Exploit. Die Angreifer nutzen Vertrauen, nicht Schwachstellen.

Warum MFA nicht mehr reicht

Multi-Faktor-Authentifizierung war jahrelang die Standardantwort auf Credential-Diebstahl. Aber 2025 und 2026 zeigen: MFA ist kein Schutzwall mehr, sondern eine Hürde, die organisierte Angreifer systematisch umgehen. Das Werkzeug heißt AiTM-Phishing (Adversary-in-the-Middle).

Bei einem AiTM-Angriff schaltet sich der Angreifer zwischen Benutzer und Authentifizierungsserver. Der Benutzer gibt sein Passwort und den zweiten Faktor ein, aber statt beim echten Server landen die Daten beim Angreifer. Der erhält die Session-Cookies und ist authentifiziert. Für den Server sieht alles normal aus.

Das Phishing-Kit EvilProxy hat AiTM-Angriffe industrialisiert. Es ist als Service verfügbar, erfordert keine technische Expertise und wird aktiv gegen Microsoft-365-Umgebungen eingesetzt. Regulierte Branchen, die auf MFA als primäre Kontrolle setzen, müssen diese Annahme überprüfen.

„Die Verlagerung von netzwerkbasierten zu identitätsbasierten Angriffen ist der signifikanteste Wandel in der Bedrohungslandschaft seit dem Aufkommen von Ransomware.“
Cloudflare Security Report 2026, Executive Summary

Der Weg zu Passwordless: Passkeys und FIDO2

Die Antwort auf identitätsbasierte Angriffe ist nicht mehr MFA, sondern die Eliminierung des Angriffsvektors selbst: des Passworts. Passwordless Authentication über Passkeys und FIDO2 macht Credential-Diebstahl technisch unmöglich, weil es keine übertragbaren Credentials mehr gibt.

Passkeys nutzen asymmetrische Kryptografie: Der private Schlüssel verlässt das Gerät nie. Selbst bei einem Phishing-Angriff gibt es nichts abzufangen, was ein Angreifer wiederverwenden könnte. Google, Microsoft und Apple unterstützen Passkeys seit 2024 nativ in ihren Betriebssystemen.

Für Unternehmen bedeutet der Umstieg Aufwand: Identity Provider müssen FIDO2 unterstützen, Endgeräte müssen kompatibel sein, und Mitarbeiter brauchen Schulung. Aber der ROI ist klar: Wenn 97 Prozent der identitätsbasierten Angriffe Passwörter nutzen, eliminiert Passwordless 97 Prozent des Angriffsvektors.

ITDR: Die neue Kategorie der Identitätssicherheit

Neben Passwordless entsteht eine neue Produktkategorie: Identity Threat Detection and Response (ITDR). ITDR-Lösungen überwachen nicht Netzwerkverkehr, sondern Identitätsverhalten. Sie erkennen Anomalien wie: Ein Benutzer loggt sich gleichzeitig aus zwei Ländern ein. Ein Service Account greift plötzlich auf Daten zu, die er nie zuvor abgefragt hat. Eine Anmeldung erfolgt von einem unbekannten Gerät zu einer unüblichen Uhrzeit.

Gartner prognostiziert, dass ITDR bis 2027 in jedem Enterprise-Security-Stack ein Pflichtmodul wird. Die Herausforderung: ITDR ist nur so gut wie die Datenqualität der Identitätssysteme. Wer Active Directory nicht gehärtet hat, wird auch mit ITDR keine sauberen Signale bekommen.

5 Sofortmaßnahmen für Security-Teams

1. Passkey-Rollout planen: Prüfen, ob der Identity Provider (Entra ID, Okta, Ping) FIDO2/Passkeys unterstützt. Pilotgruppe definieren. Ziel: Passwörter für privilegierte Accounts bis Q3 2026 eliminieren.
2. AiTM-resistent MFA erzwingen: Phishing-resistente MFA-Methoden (FIDO2, Windows Hello) als Pflicht für alle Admin- und C-Level-Accounts. SMS und App-basierte OTPs sind nicht AiTM-resistent.
3. Session-Token-Hygiene implementieren: Token-Lebensdauer verkürzen, Conditional Access Policies verschärfen (Geolocation, Device Compliance, Risk-Based), Continuous Access Evaluation aktivieren.
4. ITDR evaluieren: Prüfen, ob die bestehende Security-Architektur identitätsbasierte Anomalien erkennt. Wenn nicht: ITDR-Lösung evaluieren (CrowdStrike, Microsoft Defender for Identity, SentinelOne).
5. Credential-Exposure monitoren: Dark-Web-Monitoring für kompromittierte Firmen-Credentials einrichten. Regelmäßige Prüfung der eigenen Domains gegen Breach-Datenbanken (Have I Been Pwned, SpyCloud).

Fazit: Die Firewall der Zukunft ist die Identität

Der Paradigmenwechsel ist vollzogen. Die Perimeter-Firewall schützt nicht mehr, wenn der Angreifer sich mit gültigen Credentials einloggt. Die Antwort ist dreistufig: Passkeys eliminieren den Angriffsvektor, AiTM-resistente MFA sichert die Übergangszeit, und ITDR erkennt die Angreifer, die trotzdem durchkommen. Security-Teams, die 2026 noch primär in Netzwerksicherheit investieren, investieren in die falsche Front.

Häufige Fragen

Was genau sind identitätsbasierte Angriffe?

Angriffe, die gestohlene oder kompromittierte Zugangsdaten (Benutzername + Passwort, Session-Tokens, API-Keys) nutzen, um sich als legitimer Benutzer auszugeben. Im Unterschied zu technischen Exploits (Buffer Overflow, SQL Injection) wird keine Schwachstelle in der Software ausgenutzt, sondern das Vertrauen des Authentifizierungssystems missbraucht.

Warum reicht MFA nicht mehr gegen Phishing?

AiTM-Phishing (Adversary-in-the-Middle) schaltet einen Proxy zwischen Benutzer und Authentifizierungsserver. Der Benutzer gibt Passwort und zweiten Faktor ein, der Angreifer fängt die Session-Cookies ab. Ergebnis: Der Angreifer ist vollständig authentifiziert, trotz MFA. Nur phishing-resistente Methoden (FIDO2, Passkeys) sind immun.

Was sind Passkeys und warum sind sie sicherer?

Passkeys nutzen asymmetrische Kryptografie: Der private Schlüssel bleibt auf dem Gerät des Nutzers und verlässt es nie. Bei der Anmeldung wird ein kryptografischer Beweis erstellt, kein Passwort übertragen. Selbst bei einem Phishing-Angriff gibt es nichts abzufangen, das der Angreifer wiederverwenden könnte.

Was ist ITDR?

Identity Threat Detection and Response (ITDR) ist eine neue Kategorie von Security-Lösungen, die Anomalien im Identitätsverhalten erkennt: gleichzeitige Logins aus verschiedenen Ländern, unübliche Zugriffszeiten, plötzliche Berechtigungserweiterungen. ITDR ergänzt EDR und SIEM um die Identitätsdimension.

Welche Branchen sind besonders gefährdet?

Finanzdienstleister und Gesundheitsorganisationen sind die Hauptziele identitätsbasierter Angriffe, weil sie hochsensible Daten verwalten und Microsoft 365 flächendeckend einsetzen. Aber jede Organisation mit mehr als 100 Mitarbeitern und Cloud-Diensten ist ein potenzielles Ziel.

Quelle Titelbild: Tima Miroshnichenko / Pexels

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer