Top 4 Trends zum Identitätsbetrug 2025

Von Editorial Team | Februar 19, 2025
Loading the Elevenlabs Text to Speech AudioNative Player...

Einige Sicherheitsverantwortliche sind mittlerweile der Ansicht, dass die Ausnutzung von Identitäten der neue zentrale Akteur in der Bedrohungslandschaft ist. In cloud-basierten, SaaS-abhängigen und KI-gestützten Technologielandschaften müssen Angreifer nicht mehr Firewalls überwinden oder Zero-Day-Schwachstellen ausnutzen, um Zugang zu erhalten. Stattdessen stehlen, manipulieren oder nutzen sie Identitäten aus – sowohl menschliche als auch nicht-menschliche.

Wenn man an Identitätsbetrug denkt, kommen einem leicht Szenarien wie gestohlene Passwörter oder gehackte Konten, die zum Verkauf angeboten werden, in den Sinn. Doch der Betrug von Identitäten geht weit über diese traditionellen Risiken hinaus. Dieser Beitrag beleuchtet die wichtigsten Entwicklungen des Identitätsdiebstahls, auf die man im Jahr 2025 achten sollte.

1. Diebstahl von nicht-menschlicher Identitäten

Cloud-Umgebungen verlassen sich zunehmend auf Maschinenidentitäten – Service-Konten, API-Schlüssel und automatisierte Workflows – um einen reibungslosen Betrieb der Systeme zu gewährleisten. Allerdings operieren diese nicht-menschlichen Identitäten oft mit überhöhten Zugriffsrechten, bieten wenig Transparenz und unterliegen selten den gleichen strengen Sicherheitskontrollen wie Benutzerkonten. Angreifer haben dies erkannt und ihre Taktiken angepasst, um diese übersehenen Identitäten ins Visier zu nehmen, da die Kompromittierung einer Maschinenidentität langfristigen, unentdeckten Zugriff ermöglichen kann.

identity exploitation

Da viele Organisationen noch immer keine Echtzeitüberwachung für ihre Maschinenidentitäten implementiert haben, können diese Angriffe wochen- oder monatelang unentdeckt bleiben. Stellen Sie sich einen Angreifer vor, der über einen öffentlich zugänglichen GitHub-Repository an einen exponierten API-Schlüssel gelangt. Im Gegensatz zu gestohlenen Benutzeranmeldedaten, die möglicherweise einen MFA-Hinweis oder einen ungewöhnlichen Login-Alarm auslösen, ermöglicht ein kompromittierter API-Schlüssel sofortigen und direkten Zugang zu Cloud-Ressourcen ohne jegliche Reibungsverluste. Von dort aus kann der Angreifer bösartige virtuelle Maschinen hochfahren, sensible Daten extrahieren oder CI/CD-Pipelines manipulieren, um schädlichen Code in Produktionssysteme einzuschleusen.

Einige vorbeugende Maßnahmen, die Sie ergreifen können, sind:

  • Setzen Sie das Prinzip der minimalen Rechtevergabe für Maschinenidentitäten konsequent durch.
  • Implementieren Sie ein Scanning von Geheimnissen in Ihren CI/CD-Pipelines.
  • Rotieren Sie API-Schlüssel und Service-Zugangsdaten regelmäßig.

2. Mehr Phishing-as-a-Service (PhaaS) Kits

Phishing ist seit Langem eine der größten Bedrohungen für Identitäten, doch der Aufstieg von Phishing-as-a-Service (PhaaS) hat es Angreifern aller Erfahrungsstufen erleichtert, schnell und skalierbar äußerst überzeugende Kampagnen durchzuführen und in Ihre wertvollen Konten einzudringen. Diese Kits werden mit realistischen Vorlagen ausgeliefert, die Microsoft 365, Google Workspace und Okta nachahmen, und beinhalten Echtzeit-AiTM (Adversary-in-the-Middle) Proxies, die Sitzungstokens stehlen. Dadurch können Angreifer wichtige Zusatzmaßnahmen wie MFA vollständig umgehen.

Was moderne PhaaS-Kits besonders gefährlich macht, ist ihre Automatisierung und KI-Integration. Angreifer können nun KI-generierte, kontextbezogene Phishing-E-Mails versenden, die sich auf reale Ereignisse beziehen (z. B. die Reisepläne eines CEO oder eine neue HR-Richtlinie), und Angriffe in Echtzeit basierend auf Benutzerinteraktionen anpassen. Indem Angreifer ihre Social-Engineering-Taktiken mithilfe von KI verfeinern und den Zugang zu kompromittierten Konten auf Darknet-Märkten verkaufen, wird Phishing zu einem noch bedeutenderen Bestandteil der Untergrund-Cyberkriminalitätsökonomie.

Wie Trend Micro feststellt, hat dieser Wandel Phishing von einem hochqualifizierten Angriff in eine Pay-to-Play-Branche verwandelt, in der auch weniger versierte, aber finanzstarke Akteure komplexe Angriffe durchführen können. Die beste Verteidigung besteht in einer besseren Vorbereitung Ihrer Mitarbeiter, die über reine Phishing-Aufklärung hinausgeht.

3. Übernahme von SaaS-Konten

Da Unternehmen zunehmend auf SaaS-Plattformen für alles – von der Zusammenarbeit bis hin zur Verwaltung von Kundendaten – angewiesen sind, sind diese Konten zu hochwertigen Zielen für Angreifer geworden. Ein einzig kompromittiertes SaaS-Konto kann Angreifern Zugang zu E-Mails, Dateispeichern, internen Chat-Protokollen und sogar Entwicklerumgebungen verschaffen, häufig ohne Sicherheitsalarme auszulösen, da OAuth-basierte Authentifizierung allgemein Vertrauen genießt.

Mit dem Aufstieg von Shadow IT – also unautorisierten oder nicht genehmigten SaaS-Anwendungen, die von Mitarbeitern genutzt werden – finden Angreifer immer neue Wege, in Unternehmen einzudringen. Laut Gartner nutzen 41 Prozent der Mitarbeiter Shadow IT. Sicherheitsteams konzentrieren sich oft darauf, offiziell genehmigte Anwendungen wie Microsoft 365 und Salesforce abzusichern, doch viele Mitarbeiter verwenden Drittanbieter-Tools für Zusammenarbeit, Produktivität oder Dateifreigabe, ohne dass die IT-Abteilung darüber informiert ist. Diese Tools weisen regelmäßig schwache Sicherheitskonfigurationen, mangelhafte Authentifizierungskontrollen und weitreichende Berechtigungen auf.

Tipps zur Risikominderung:

  • Setzen Sie einen CASB (Cloud Access Security Broker) ein, um unautorisierten SaaS-Gebrauch zu überwachen und risikoreiche Anwendungen zu blockieren.
  • Führen Sie regelmäßige Überprüfungen der Datenexposition durch, um Unternehmensdaten zu identifizieren, die unabsichtlich über öffentliche SaaS-Plattformen geteilt werden.
  • Schulen Sie Ihre Mitarbeiter hinsichtlich der Risiken, Anmeldedaten wiederzuverwenden und Shadow-IT-Anwendungen ohne IT-Genehmigung zu nutzen.

4. API-Ausnutzung zum Abgreifen von Identitäten

APIs bilden das Rückgrat moderner digitaler Ökosysteme, da sie nahtlose Integrationen zwischen den von Ihrem Unternehmen genutzten SaaS-Plattformen, Drittanbieter-Apps und Unternehmensdiensten ermöglichen. Im Gegensatz zu herkömmlichem Credential-Phishing oder Datenbankverletzungen ermöglicht Angreifern die API-basierte Abgriffe von Identitäten, Daten direkt aus Live-Systemen zu exfiltrieren – oft ohne herkömmliche Sicherheitsalarme auszulösen. Diese Angriffe gewinnen an Popularität, da immer mehr Dienste über APIs miteinander verbunden werden, um Innovationen und neue Servicefunktionen voranzutreiben.

In der Regel identifizieren Angreifer APIs, die von den Authentifizierungs- oder Kundenverwaltungssystemen einer Organisation genutzt werden – häufig über öffentliche API-Dokumentationen, exponierte API-Schlüssel oder geleakte Konfigurationen in GitHub-Repositories. Da viele APIs über unzureichende Authentifizierungskontrollen verfügen, können versierte Hacker Benutzerdaten ohne Authentifizierung oder über unsichere Token abfragen. Automatisierte Skripte führen Credential Stuffing, Aufzählungsangriffe oder Token-Replay-Angriffe durch und extrahieren Benutzernamen, E-Mail-Adressen und OAuth-Tokens im großen Stil.

Tipps zur Risikominderung:

  • Implementieren Sie eine strikte API-Authentifizierung unter Einsatz von OAuth 2.0 mit angemessen eingeschränkten Berechtigungen, anstatt sich auf schwache API-Schlüssel oder Bearer-Tokens zu verlassen.
  • Überwachen Sie den API-Verkehr auf Anomalien, wie z. B. eine hohe Anzahl von Identitätsabfragen oder wiederholte fehlgeschlagene Authentifizierungsversuche.
  • Setzen Sie Rate Limiting und Anomalieerkennung ein, um Massen-Aufzählungsangriffe zu erkennen und zu blockieren.

Die wachsende Angriffsfläche des Identitätsdiebstahls

Die bittere Realität der heutigen Identitätslandschaft ist, dass Identität nicht mehr nur eine Sicherheitsmaßnahme darstellt – sie ist auch eine Angriffsfläche. Die Herausforderung besteht darin, stets über aktuelle Trends informiert zu bleiben und Best Practices zu übernehmen, die diese Angriffsfläche der Identitätsdiebstähle reduzieren. Da Phishing-as-a-Service (PhaaS)-Kits selbst klassische Social-Engineering-Angriffe immer ausgefeilter und skalierbarer machen, muss Ihr Unternehmen über einfache Sicherheitsbewusstseinsschulungen hinausgehen und aktiv seine Abwehrmechanismen gegen realweltliche Phishing-Taktiken testen.

Durch kontrollierte Phishing-Simulationen können Sicherheitsteams Schwachstellen im Bewusstsein der Mitarbeiter identifizieren, Reaktionsstrategien bei Vorfällen optimieren und Benutzer darin schulen, moderne Phishing-Techniken zu erkennen – einschließlich MFA-Umgehungsangriffen und KI-unterstütztem Social Engineering.

Erwägen Sie den Einsatz von Phishing-Simulationen durch DIESEC, um die Widerstandsfähigkeit Ihres Unternehmens gegenüber identitätsbasierten Bedrohungen zu testen, zu schulen und zu stärken. Wir nutzen maschinelles Lernen, um automatisierte Phishing-E-Mails an Ihre Mitarbeiter zu versenden und diese zunehmend anspruchsvoller zu gestalten, während jeder Benutzer lernt, die Phishing-Versuche zu erkennen.

Kontaktieren Sie uns, um mehr zu erfahren.

Gepostet in DIESEC™