Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Identitätslücken verursachen fast 90 % der weltweiten Incident-Response-Untersuchungen im Unit 42 Global Incident Response Report 2026

Identitätslücken verursachen fast 90 % der weltweiten Incident-Response-Untersuchungen im Unit 42 Global Incident Response Report 2026

von Patrick Spencer updated Februar 26, 2026 Cybersecurity-Risikomanagement
Lesezeit: 15 Minuten

Angreifer müssen keine Schlösser knacken, wenn die Türen bereits offenstehen. Das ist die unbequeme Realität, die der Unit 42 Global Incident Response Report 2026 von Palo Alto Networks am 19. Februar 2026 offenlegt. Basierend auf über 750 bedeutenden Incident-Response-Einsätzen in mehr als 50 Ländern kommt der Bericht zu einem Ergebnis, das jedem CISO schlaflose Nächte bereiten sollte: Identitätsschwächen spielten in fast 90 % aller Untersuchungen eine wesentliche Rolle. Nicht ausgenutzte Schwachstellen. Keine Zero-Day-Tricks. Identität.

Die Daten bestätigen, was Experten seit Jahren sagen: Der zuverlässigste Weg in ein Unternehmen führt durch die Vordertür – mit gestohlenen Zugangsdaten, gekaperten Sitzungen und Berechtigungen, die längst hätten entzogen werden müssen. Die Geschwindigkeit, mit der Angreifer diese Lücken ausnutzen, hat ein neues Niveau erreicht. Die schnellsten Angriffe im Jahr 2025 führten vom ersten Zugriff bis zur bestätigten Datenexfiltration in nur 72 Minuten – viermal schneller als im Vorjahr.

Für Verantwortliche in den Bereichen Datensicherheit, Compliance und Datenschutz ist dieser Bericht ein Weckruf mit harten Zahlen.

Genau diese Lücke – zwischen Perimeterverteidigung und operativer Durchsetzung von Identitäts- und Datenkontrollen – schließt eine Data-Governance-Plattform wie Kiteworks.

5 wichtige Erkenntnisse

  1. Identität ist die Vordertür für Angreifer – und sie steht weit offen. Identitätsschwächen spielten in fast 90 % der über 750 von Unit 42 im Jahr 2025 bearbeiteten Incident-Response-Fälle eine wesentliche Rolle. 65 % des Erstzugriffs erfolgten über identitätsbasierte Techniken – Phishing, Missbrauch von Zugangsdaten, Brute-Force und IAM-Fehlkonfigurationen. Angreifer benötigen keine ausgefeilten Exploit-Ketten, wenn sie sich mit gestohlenen Zugangsdaten, gekaperten Sitzungen oder falsch zugewiesenen Berechtigungen einloggen können. Eine Analyse von über 680.000 Cloud-Identitäten ergab, dass 99 % über zu weitreichende Berechtigungen verfügten. Kiteworks begegnet diesem Problem direkt durch die Durchsetzung von Least-Privilege-Prinzipien, kontinuierliche Verifizierung jeder Datenanfrage und umfassende Audit-Trails, die jede Identitätsinteraktion mit sensiblen Daten dokumentieren – so erhalten Sicherheitsteams die Transparenz, um Missbrauch von Zugangsdaten zu erkennen, bevor daraus eine Datenpanne wird.
  2. Die schnellsten Angriffe exfiltrieren Daten jetzt in 72 Minuten. Das schnellste Viertel aller Angriffe führte 2025 in nur 72 Minuten zur bestätigten Datenexfiltration – im Vorjahr waren es noch 285 Minuten, also eine 4-fache Beschleunigung. Die Medianzeit bis zur Exfiltration lag bei zwei Tagen. Für Unternehmen mit Meldepflichten wie dem 72-Stunden-Fenster der DSGVO oder US-Bundesstaatengesetzen bedeutet ein Median von zwei Tagen, dass die regulatorische Uhr oft schon läuft, bevor ein Vorfall überhaupt bestätigt ist. Das Echtzeit-Monitoring und die automatisierte Alarmierung von Kiteworks erkennen anomale Datenbewegungen sofort – nicht erst nach forensischer Rekonstruktion – und ermöglichen es Sicherheitsteams, Datenexponierung im immer kürzeren Zeitfenster der Angreifer einzudämmen.
  3. Über 90 % der Datenpannen wurden durch vermeidbare Lücken ermöglicht – nicht durch ausgefeilte Exploits. In mehr als 90 % der Vorfälle waren vermeidbare Lücken für den Angriff entscheidend: mangelnde Transparenz, inkonsistente Kontrollen oder zu großes Vertrauen in Identitäten. Es handelt sich nicht um hochentwickelte Angreifer, die modernste Abwehrmechanismen durchbrechen. Es sind Fehlkonfigurationen, unvollständige Telemetrie und zu weitreichende Berechtigungen, die den Weg des geringsten Widerstands schaffen. In 87 % der Fälle mussten die Ermittler Beweise aus mindestens zwei unterschiedlichen Quellen zusammenführen, um den Vorfall zu rekonstruieren. Kiteworks schließt diese Transparenzlücken, indem alle sensiblen Inhaltskommunikationen – E-Mail, Filesharing, SFTP, APIs, Managed File Transfer – auf einer Plattform mit zentralem Audit-Logging, automatisierter Richtliniendurchsetzung und konsistenter Datenklassifizierung über alle Kanäle hinweg zusammengeführt werden.
  4. Das Risiko in der Software-Lieferkette erstreckt sich jetzt auf vertrauenswürdige Verbindungen. Risiken in der Lieferkette beschränken sich nicht mehr auf anfälligen Code. Angreifer nutzen SaaS-Integrationen, Vendor-Management-Tools und Anwendungsabhängigkeiten, um Perimeter im großen Stil zu umgehen. Daten aus SaaS-Anwendungen waren 2025 in 23 % der Unit 42-Fälle relevant, gegenüber 6 % im Jahr 2022. In einer Untersuchung nutzten Angreifer gültige OAuth-Tokens einer kompromittierten Plattform, um auf nachgelagerte Umgebungen zuzugreifen – und die Nachanalyse zeigte fast 100 weitere unüberwachte Drittanbieter-Integrationen. Kiteworks begegnet Vendor- und Lieferkettenrisiken durch kontinuierliches Monitoring von Datenzugriffsmustern der Anbieter über alle Kanäle hinweg, erkennt Verhaltensabweichungen, die auf neue oder geänderte Fähigkeiten hindeuten, und führt Audit-Trails, die exakt dokumentieren, welche Daten von wem und wann abgerufen wurden.
  5. Erpressung ist nicht mehr an Verschlüsselung gekoppelt – Datendiebstahl ist das neue Druckmittel. Verschlüsselung kam 2025 nur noch in 78 % der Erpressungsfälle vor – der stärkste Rückgang in der Fünfjahresstatistik. Angreifer betrachten Verschlüsselung zunehmend als optional – der Diebstahl sensibler Daten und die Drohung mit Veröffentlichung reichen als Druckmittel aus. Die mittlere Lösegeldforderung stieg auf 1,5 Millionen US-Dollar, die mittlere Zahlung verdoppelte sich auf 500.000 US-Dollar. Selbst Unternehmen mit robusten Backup-Lösungen sehen sich mit Erpressung auf Basis gestohlener Daten konfrontiert. Laut DSGVO, US-Bundesstaatengesetzen und branchenspezifischen Vorgaben löst unautorisierte Datenexfiltration Meldepflichten aus – unabhängig davon, ob Verschlüsselung eingesetzt wurde. Das datenzentrierte Sicherheitsmodell von Kiteworks – mit Zugriffskontrollen, Datenklassifizierung und Verschlüsselung auf Inhaltsebene – stellt sicher, dass sensible Daten auch bei erfolgreichem Netzwerkzugriff geschützt und revisionssicher bleiben.

Das Identitätsproblem ist größer als gedacht

Die Daten von Unit 42 zeigen detailliert, wie Identität zur dominanten Angriffsfläche geworden ist. 65 % der Erstzugriffe im Jahr 2025 erfolgten über identitätsbasierte Techniken. Im Detail: 33 % über identitätsbezogene Social-Engineering-Angriffe (davon 22 % Phishing), 21 % durch Missbrauch von Zugangsdaten und Brute-Force, 11 % durch Richtlinienfehler und Insider-Risiken.

Doch der Erstzugriff ist nur der Anfang. Nach dem Eindringen nutzen Angreifer Identitätslücken, um Privilegien zu erhöhen, sich lateral zu bewegen und sensible Daten zu erreichen. Die Analyse von über 680.000 Cloud-Identitäten durch Unit 42 ergab, dass 99 % der Cloud-Nutzer, -Rollen und -Services zu weitreichende Berechtigungen hatten – manche davon seit 60 Tagen oder länger ungenutzt. Das ist kein Tippfehler. Neunundneunzig Prozent.

Zu weit gefasste Rollen, vererbte Berechtigungen und nicht entfernte Altberechtigungen schaffen wiederholbare Eskalationspfade. Angreifer benötigen keine ausgefeilten Tools, wenn sie einfach IAM-Rollen ändern und mit der eigenen Zugriffsarchitektur des Unternehmens Privilegien erhöhen können. Token-Diebstahl und unrechtmäßige OAuth-Berechtigungen ermöglichen es ihnen, Multi-Faktor-Authentifizierung zu umgehen, ohne erneute Logins zu persistieren und unauffällig zu agieren.

Die Auswirkungen auf den Datenschutz sind gravierend. Wenn eine einzige kompromittierte Identität weitreichenden Zugriff auf Cloud-Umgebungen, SaaS-Anwendungen und On-Premises-Systeme ermöglicht, steigt das Risiko für Datenabfluss dramatisch. Jeder unüberwachte Service-Account und jede inaktive OAuth-Integration kann zum Kanal für den Abfluss regulierter Daten werden.

Kiteworks begegnet diesem Risiko auf Datenebene. Attributbasierte Zugriffskontrollen setzen das Least-Privilege-Prinzip für jeden Anwender, Service-Account und jedes System durch, das mit sensiblen Inhalten arbeitet. Kontinuierliche Verifizierung prüft jede Datenanfrage anhand aktueller Richtlinien – kein einmaliges Authentifizieren mit dauerhaftem Zugriff. Und umfassende Audit-Trails dokumentieren jede Identitätsinteraktion mit geschützten Daten, sodass Sicherheitsteams Missbrauch von Zugangsdaten erkennen, bevor daraus eine meldepflichtige Datenpanne wird.

Angriffe betreffen heute alles und überall

Eines der auffälligsten Ergebnisse des Berichts ist die enorme Breite moderner Angriffe. 87 % der von Unit 42 untersuchten Vorfälle betrafen Aktivitäten über mehrere Angriffsflächen hinweg – Endpunkte, Netzwerke, Cloud-Infrastruktur, SaaS-Anwendungen und Identitätssysteme gleichzeitig. 67 % betrafen drei oder mehr Flächen. Manche Vorfälle erstreckten sich über bis zu acht.

Diese Multi-Surface-Realität hat direkte Auswirkungen auf Compliance-Frameworks, die auf perimeterbasierte Sicherheitsmodelle ausgelegt sind. Wenn Angreifer Cloud-Identitäten, SaaS-Tokens und On-Premises-Active-Directory in einem Angriff kombinieren, ist das regulatorische Risiko nicht auf ein System oder eine Datenklassifizierung beschränkt. Es erstreckt sich über Jurisdiktionen, Datentypen und Geschäftsbereiche.

Fast die Hälfte aller Vorfälle (48 %) beinhaltete browserbasierte Aktivitäten – ein Hinweis darauf, wie häufig Angriffe mit den alltäglichen Arbeitsabläufen kollidieren, in denen Mitarbeitende E-Mails, Cloud-Anwendungen und Unternehmensdaten nutzen. Der Browser ist zum neuen Unternehmens-Desktop geworden – und zu einer der am wenigsten geschützten Flächen im Unternehmen.

Auch die Angriffsfläche Cloud wächst weiter. Rund 35 % der Untersuchungen betrafen Cloud- oder SaaS-Assets, und Daten aus SaaS-Anwendungen waren 2025 in 23 % der Fälle relevant, gegenüber nur 6 % im Jahr 2022. Diese Entwicklung zeigt klar: Je mehr Unternehmen sensible Daten und Geschäftsprozesse in Cloud-Tools verlagern, desto mehr folgen Angreifer.

Deshalb konsolidiert Kiteworks alle sensiblen Inhaltskommunikationen – E-Mail, Filesharing, SFTP, APIs, Web-Formulare und Managed File Transfer – auf einer Plattform mit einheitlichen Sicherheitsrichtlinien und zentralem Audit-Logging. Wenn alle Kanäle, über die Daten bewegt werden, durch dieselben Zugriffskontrollen und dieselbe Audit-Infrastruktur überwacht werden, können Angreifer die Lücken zwischen isolierten Tools nicht ausnutzen. Die einheitliche Telemetrie verschafft SOC-Teams die kanalübergreifende Transparenz, die Unit 42 als kritischste fehlende Fähigkeit in den untersuchten Unternehmen identifiziert.

Das Geschwindigkeitsproblem: 72 Minuten bis zum Datendiebstahl

Die Geschwindigkeitsbefunde dieses Berichts verändern die Grundlagen der Incident Response grundlegend.

Das schnellste Viertel aller Angriffe führte 2025 in 72 Minuten zur bestätigten Datenexfiltration. Im Jahr 2024 lag derselbe Wert noch bei 285 Minuten – eine 4-fache Beschleunigung in nur einem Jahr. Auch der Anteil der Vorfälle, bei denen die Exfiltration in weniger als einer Stunde erfolgte, stieg von 19 % auf 22 %.

Sogar die Medianzeit bis zur Exfiltration lag bei nur zwei Tagen. Für Unternehmen mit Meldepflichten – sei es das 72-Stunden-Fenster der DSGVO, US-Bundesstaatengesetze oder branchenspezifische Vorgaben – bedeutet ein Median von zwei Tagen, dass die Uhr oft schon läuft, bevor ein Vorfall überhaupt erkannt ist.

Diese Beschleunigung steht in direktem Zusammenhang mit dem Identitätsproblem. Wenn Angreifer sich mit gültigen Zugangsdaten authentifizieren, überspringen sie die laute Ausnutzungsphase, auf die traditionelle Sicherheitstools ausgelegt sind. Sie landen mit vertrauenswürdigem Zugriff innerhalb des Perimeters und beginnen sofort mit der Datensammlung. Es gibt keine Malware-Signatur, die einen Alarm auslöst. Kein Schwachstellen-Exploit, der protokolliert wird. Nur ein legitim wirkender Login, gefolgt von legitim wirkendem Datenzugriff – bis die Daten das Unternehmen verlassen.

Unit 42 führt einen Großteil dieser Beschleunigung auf den operativen Einsatz von KI durch Angreifer zurück. 2025 wechselten Angreifer von der Experimentierphase zur routinemäßigen Nutzung von KI für Aufklärung, Social Engineering, Skripterstellung und Problemlösung. KI reduziert die Reibung in jeder Phase des Angriffszyklus, ermöglicht parallele Operationen und verkürzt die Zeit zwischen Erstzugriff und Schaden.

Die Echtzeitüberwachung und automatisierte Alarmierung von Kiteworks sind genau für dieses Szenario konzipiert. Wenn Datenzugriffsmuster von etablierten Baselines abweichen – plötzliche Volumenspitzen, ungewöhnliche Zugriffszeiten, Anfragen zu Datenklassifizierungen außerhalb des normalen Scopes eines Nutzers – erkennt Kiteworks die Anomalie sofort und löst automatisierte Eindämmungsmaßnahmen aus. In einer Welt, in der Exfiltration in 72 Minuten erfolgt, entscheidet die Echtzeit-Erkennung über die Grenze zwischen eingedämmtem Vorfall und meldepflichtiger Datenpanne.

Über 90 % der Datenpannen wären vermeidbar gewesen – und das sollte schmerzen

Das Ergebnis, das am meisten schmerzen sollte: In mehr als 90 % der Datenpannen waren vermeidbare Lücken entscheidend. Keine hochentwickelten Angreifer. Keine staatlichen Exploits. Vermeidbare Lücken – mangelnde Transparenz, inkonsistente Kontrollen und zu großes Vertrauen in Identitäten.

Unit 42 identifizierte drei systemische Bedingungen, die sich in den Untersuchungen wiederholt zeigten.

Erstens: Transparenzlücken. Kritische Telemetrie war oft vorhanden, aber in isolierten Tools gefangen, sodass Verteidiger keine Signale über Identität, Endpunkt, Cloud und SaaS hinweg korrelieren konnten. In 87 % der Fälle mussten die Ermittler Beweise aus mindestens zwei verschiedenen Quellen zusammenführen, bei komplexen Fällen sogar aus bis zu zehn.

Zweitens: Komplexität der Umgebung. Sicherheitsstandards wurden selten unternehmensweit durchgesetzt. Endpunktschutz war in einer Geschäftseinheit vollständig implementiert, in einer anderen fehlte er oder war eingeschränkt. Diese Inkonsistenz schafft den Weg des geringsten Widerstands, den Angreifer zuverlässig finden und ausnutzen.

Drittens: Identity Drift. Berechtigungen häufen sich im Laufe der Zeit an, wenn sich Rollen ändern, Ausnahmen bestehen bleiben und Altberechtigungen nicht entfernt werden. Das Ergebnis ist eine Identitätslandschaft, in der fast jedes Konto mehr Zugriff hat als nötig und ein kompromittiertes Passwort weitreichendere Folgen hat als erlaubt.

Für Compliance- und Datenschutzteams verändert dieses Ergebnis die Perspektive. Das Risiko besteht nicht darin, dass Angreifer zu ausgefeilt sind. Das Risiko ist, dass grundlegende Hygiene – konsistente Kontrolle, zeitnahe Berechtigungsüberprüfungen, einheitliche Telemetrie – im Unternehmen nicht durchgängig umgesetzt wird. Diese Lücken führen zu meldepflichtigen Vorfällen, regulatorischen Strafen und Benachrichtigungspflichten gegenüber Kunden.

Kiteworks adressiert alle drei systemischen Bedingungen direkt. Die einheitliche Plattform beseitigt Transparenzlücken, indem alle sensiblen Inhaltskommunikationen in einer zentralen Audit-Infrastruktur zusammengeführt werden. Automatisierte Richtliniendurchsetzung stellt sicher, dass Kontrollen über alle Kanäle und Geschäftseinheiten hinweg konsistent angewendet werden – nicht nur dort, wo sie zuletzt priorisiert wurden. Und attributbasierte Zugriffskontrollen bekämpfen Identity Drift, indem sie Datenberechtigungen durchsetzen, die nicht auf vererbten Rollen oder angesammelten Privilegien basieren – jeder Zugriff wird bei jeder Anfrage anhand aktueller Richtlinien geprüft.

Lieferkettenrisiko erstreckt sich auf vertrauenswürdige Verbindungen

Der Bericht dokumentiert eine deutliche Ausweitung des Software-Lieferkettenrisikos – über anfälligen Code hinaus auf SaaS-Integrationen, Vendor-Management-Tools und Anwendungsabhängigkeiten.

Daten aus SaaS-Anwendungen waren 2025 in 23 % der Unit 42-Fälle relevant. In einer Untersuchung nutzten Angreifer gültige OAuth-Tokens einer kompromittierten Sales-Engagement-Plattform, um auf nachgelagerte Salesforce-Umgebungen zuzugreifen. Die Aktivität sah aus wie normale CRM-Automatisierung. Die Nachanalyse zeigte fast 100 weitere Drittanbieter-Integrationen mit Salesforce – viele davon inaktiv, unüberwacht oder von ehemaligen Mitarbeitenden eingerichtet.

Vendor-Tools, insbesondere Remote-Monitoring- und Management-Plattformen, erwiesen sich ebenfalls als bedeutender Risikofaktor. Unit 42 stellte fest, dass 39 % der Command-and-Control-Techniken mit Remote-Access-Tools zusammenhingen, die sich im normalen Administrationsverkehr verbergen und schwer von legitimer Vendor-Aktivität zu unterscheiden sind.

Für Unternehmen mit Datenschutzpflichten zeigen diese Ergebnisse eine kritische Blindstelle auf. Drittanbieter-Integrationen übernehmen oft die gleichen Berechtigungen wie bei der Erstkonfiguration – manchmal inklusive Lesezugriff auf sensible Daten, Benutzerverwaltung oder Änderungsrechten. Wird ein Upstream-Anbieter kompromittiert, werden diese Berechtigungen zum Angriffsvektor – und das betroffene Unternehmen hat oft keine Transparenz darüber, welche Daten abgerufen oder exfiltriert wurden.

Risiken durch Open-Source-Abhängigkeiten verschärfen das Problem. Unit 42 stellt fest, dass über 60 % der Schwachstellen in Cloud-nativen Anwendungen in transitiven Bibliotheken liegen – also indirekten Abhängigkeiten, die durch Pakete eingebunden werden. Angreifer injizieren zudem Schadcode in Upstream-Pakete, der bei Build- und Installationsschritten ausgeführt wird und so bereits die Pipeline kompromittiert.

Kiteworks begegnet Vendor- und Lieferkettenrisiken durch kontinuierliches Monitoring aller Kanäle, über die Anbieter mit Unternehmensdaten interagieren. Zeigt ein Vendor-Konto ungewöhnliches Verhalten – etwa Veränderungen im Datenvolumen, in der Zugriffshäufigkeit oder bei Abfragearten – erkennt Kiteworks die Abweichung sofort und dokumentiert die Beweise. So erhalten Sicherheitsteams die Transparenz, um Veränderungen in Vendor-Produkten zu erkennen, die den Umgang mit sensiblen Daten beeinflussen, und den Audit-Trail, um Compliance nachzuweisen oder Risiken offenzulegen.

Erpressung entkoppelt sich von Verschlüsselung – Datendiebstahl ist das neue Druckmittel

Die Ökonomie der Cyberkriminalität verändert sich und hat direkte Auswirkungen auf Datenschutzstrategien. Verschlüsselung kam 2025 nur noch in 78 % der Erpressungsfälle vor – ein deutlicher Rückgang gegenüber den 90 % und mehr in den Jahren 2021 bis 2024.

Angreifer betrachten Verschlüsselung zunehmend als optional. Datendiebstahl und die Drohung mit Veröffentlichung reichen als Druckmittel aus. Die mittlere Lösegeldforderung stieg von 1,25 auf 1,5 Millionen US-Dollar, die mittlere Zahlung verdoppelte sich von 267.500 auf 500.000 US-Dollar.

Diese Entwicklung hat erhebliche Auswirkungen auf den Datenschutz. Selbst Unternehmen mit robusten Backup- und Recovery-Lösungen – der klassischen Verteidigung gegen Ransomware – sehen sich mit Erpressung durch Datenexponierung konfrontiert. Rund 41 % der Opfer konnten zwar aus Backups wiederherstellen, doch der Druck durch gestohlene Daten blieb bestehen. In 26 % der Erpressungsfälle zielten Angreifer gezielt auf Backup-Systeme.

Die Bedrohung durch Datenexponierung schafft regulatorische und rechtliche Pflichten – unabhängig davon, ob Systeme verschlüsselt wurden. Laut DSGVO, US-Bundesstaatengesetzen und branchenspezifischen Vorgaben löst unautorisierte Exfiltration personenbezogener Daten Meldepflichten, regulatorische Überprüfung und potenzielle Strafen aus – auch wenn kein Ransomware-Angriff oder keine Verschlüsselung erfolgte.

Das datenzentrierte Sicherheitsmodell von Kiteworks ist für diese Realität gebaut. Durch die Durchsetzung von Verschlüsselung, Zugriffskontrollen und Datenklassifizierung auf Inhaltsebene stellt Kiteworks sicher, dass sensible Daten auch bei erfolgreichem Netzwerkzugriff geschützt bleiben. Wird dennoch exfiltriert, dokumentieren umfassende Audit-Trails exakt, was, wann und über welchen Kanal entwendet wurde – und liefern so die forensischen Nachweise, die Aufsichtsbehörden verlangen, und reduzieren den Umfang der Meldepflichten.

Von Exponierung zu Umsetzung: Was Sicherheitsverantwortliche jetzt tun sollten

Der Unit 42-Bericht gibt konkrete Empfehlungen, gegliedert nach drei Prioritäten: Exponierung reduzieren, den Wirkungsbereich begrenzen und Reaktionsfähigkeit auf Maschinengeschwindigkeit aufbauen. Für Verantwortliche in Datensicherheit und Compliance sind folgende Maßnahmen besonders dringend:

Phishing-resistente MFA einführen und Least-Privilege-Zugriff durchsetzen. Priorisieren Sie FIDO2/WebAuthn für privilegierte Rollen. Verzichten Sie auf dauerhafte Admin-Rechte und setzen Sie auf Just-in-Time-Privilegien. Kiteworks erzwingt Least-Privilege-Zugriff auf Datenebene, sodass jede Anfrage unabhängig von Netzwerkberechtigungen anhand aktueller Richtlinien geprüft wird.

Maschinenidentitäten inventarisieren und rotieren. Etablieren Sie kontinuierliche Erkennung für Service-Accounts, Automatisierungsrollen und API-Schlüssel. Rotieren Sie statische Zugangsdaten für privilegierte Service-Accounts, die seit 90 Tagen unverändert sind. Die umfassenden Audit-Trails von Kiteworks bilden die Grundlage für diese Inventarisierung, indem jede Dateninteraktion über alle Kanäle hinweg protokolliert wird.

Kontinuierliches Monitoring für Vendor- und Drittparteienzugriff implementieren. Gehen Sie über punktuelle Bewertungen hinaus. Kiteworks überwacht Vendor-Datenzugriffsmuster kontinuierlich über E-Mail, Filesharing, APIs, SFTP und Managed File Transfer. Ändert sich das Vendor-Verhalten, erkennt Kiteworks die Abweichung und dokumentiert die Beweise.

Telemetrie in einer einheitlichen Ansicht konsolidieren. Fragmentierte Transparenz war 2025 ein Hauptgrund für den Erfolg von Angreifern. Die einheitliche Plattform von Kiteworks konsolidiert Audit-Logging über alle sensiblen Inhaltskanäle hinweg und beseitigt so die isolierten Tools, die eine manuelle Rekonstruktion von Angriffen aus unterschiedlichen Quellen erzwingen.

In Prävention investieren, nicht nur in Reaktion. Verlagern Sie Investitionen in Richtung Governance-Reife, Asset-Management, Datenklassifizierung und Lieferkettenüberwachung. Kiteworks liefert die präventive Infrastruktur – automatisierte Richtliniendurchsetzung, Datenklassifizierung, Zugriffskontrollen und Vendor-Monitoring –, die Datenpannen verhindert, statt sie nur im Nachhinein zu dokumentieren.

Bereiten Sie sich auf Exfiltrationszeiten unter einer Stunde vor. Da die schnellsten Angriffe Daten jetzt in 72 Minuten exfiltrieren, müssen Erkennung und Eindämmung in Echtzeit erfolgen. Die automatisierte Alarmierung und Eindämmung von Kiteworks erkennt anomale Datenbewegungen sofort – nicht erst nach forensischer Überprüfung.

Die Exponierungslücke schließt sich nicht von selbst

Der Unit 42 Global Incident Response Report 2026 macht eines unmissverständlich klar: Identität ist das Schlachtfeld – und die meisten Unternehmen verlieren. Nicht, weil die Angreifer brillant sind, sondern weil die Grundlagen nicht konsequent umgesetzt werden. Berechtigungen häufen sich an. Integrationen bleiben unüberwacht. Transparenz bleibt fragmentiert. Und wenn der Angreifer sich mit gültigen Zugangsdaten einloggt, wird das Zeitfenster zwischen Zugriff und Datendiebstahl heute in Minuten gemessen, nicht in Tagen.

Für alle Verantwortlichen für Datensicherheit, Compliance oder Datenschutz gilt: Die Lücke zwischen dem Identitäts-Governance-Programm auf dem Papier und der Realität der Identitätslandschaft in der Produktion ist der Ort, an dem der nächste Vorfall entsteht. Schließen Sie sie, bevor es jemand anderes tut.

Kiteworks liefert die operative Infrastruktur, die diese Lücke schließt. Umfassende Audit-Trails, die den Nachweis der Durchsetzung von Kontrollen liefern. Kontinuierliches Monitoring, das Verhaltensänderungen erkennt, bevor sie zu Compliance-Verstößen werden. Least-Privilege-Zugriffskontrollen, die verhindern, dass kompromittierte Identitäten auf Daten außerhalb ihres autorisierten Zwecks zugreifen. Und eine skalierbare, automatisierte Infrastruktur, die Data Governance auf Enterprise-Niveau für Unternehmen jeder Größe zugänglich macht.

Die Unternehmen, die die nächste Datenpanne vermeiden, sind diejenigen, die über Richtliniendokumente hinaus zur operativen Durchsetzung gegangen sind. Die die Infrastruktur aufgebaut haben, um ihre Governance-Ziele zu erreichen. Die Datensicherheit nicht als Compliance-Checkbox, sondern als geschäftskritische Aufgabe verstanden – und die Plattformen implementiert haben, um dies zu unterstützen.

Erfahren Sie, wie Kiteworks Sie unterstützen kann: Vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

OAuth-Token-Missbrauch und unrechtmäßige Grant-Angriffe gehören zu den effektivsten identitätsbasierten Techniken, da sie die Autorisierungsebene und nicht die Authentifizierungsebene angreifen – MFA greift hier also nicht. Typischerweise bringt ein Angreifer einen Anwender dazu, einer bösartigen Anwendung im legitimen OAuth-Consent-Flow Zugriff zu gewähren, oder kompromittiert eine Vendor-Plattform, die bereits gültige OAuth-Tokens für nachgelagerte SaaS-Umgebungen hält. Sobald der Angreifer ein gültiges Zugriffstoken besitzt, kann er APIs abfragen, sensible Daten lesen und sich lateral bewegen, ohne Authentifizierungsalarme auszulösen – denn aus Sicht des Systems ist jede Anfrage legitim autorisiert. Die Untersuchung von Unit 42 fand fast 100 inaktive, unüberwachte Drittanbieter-Integrationen an einer einzigen Salesforce-Instanz. Um dies zu stoppen, braucht es drei voneinander unabhängige Kontrollen: kontinuierliche Inventarisierung und Überprüfung aller OAuth-Grants und Drittanbieter-Integrationen mit Entzug inaktiver Grants; Verhaltensüberwachung, die Baselines für jede Integration erstellt und Abweichungen bei Volumen, Abfragearten oder Datenklassifizierung erkennt; und Audit-Trails, die jeden API-Call und Datenzugriff über jede Integration dokumentieren, sodass unautorisierter Zugriff sofort sichtbar wird – und nicht erst Wochen später bei der forensischen Analyse.

Die Erkenntnis von Unit 42, dass 99 % der Cloud-Nutzer, -Rollen und -Services zu weitreichende Berechtigungen haben – manche davon seit 60 Tagen oder länger ungenutzt –, zeigt ein strukturelles Problem, das punktuelle Zugriffsüberprüfungen nicht lösen können. Berechtigungen häufen sich durch Rollenerbschaften, Ausnahmegenehmigungen ohne Ablauf und Altberechtigungen von ehemaligen Mitarbeitenden oder abgeschalteten Systemen. Effektive Remediation im großen Maßstab erfordert drei Dinge: Erstens kontinuierliche Erkennung statt periodischer Audits – automatisierte Tools, die jede IAM-Identität (Nutzer, Service-Accounts, API-Keys, Automatisierungsrollen) erfassen und abgleichen, was tatsächlich in den letzten 30, 60 und 90 Tagen genutzt wurde versus was die Berechtigungen erlauben. Zweitens Durchsetzung auf Datenebene als kompensierende Kontrolle – auch wenn IAM-Bereinigung unvollständig ist, erzwingen attributbasierte Zugriffskontrollen auf Datenebene, was eine Identität tatsächlich erreichen darf, und entkoppeln so den Datenzugriff von Infrastruktur-Berechtigungen. Drittens Just-in-Time-Privilegien – keine dauerhaften Admin-Rechte mehr, sondern zeitlich begrenzte, automatisch ablaufende Rechte. Das beseitigt angesammelte Privilegien, die kompromittierte Zugangsdaten für Angreifer so wertvoll machen – ein gestohlenes Konto mit JIT-Zugriff bietet keine dauerhafte Erhöhung.

Eine Medianzeit von zwei Tagen bis zur bestätigten Exfiltration schafft akute Meldepflichten, weil die meisten regulatorischen Rahmenwerke die Meldefrist ab dem Zeitpunkt des Bekanntwerdens einer Datenschutzverletzung starten – nicht erst bei forensischer Bestätigung. Nach DSGVO müssen Unternehmen ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden eines Vorfalls mit personenbezogenen Daten informieren. Erfolgt die Exfiltration am ersten Tag und die Erkennung am zweiten, läuft das 72-Stunden-Fenster bereits. US-Bundesstaatengesetze – darunter solche nach dem CCPA-Modell – verlangen Meldepflichten innerhalb von 30 bis 72 Stunden für bestimmte sensible Daten. Das Compliance-Problem wird durch die Telemetrie-Lücke verschärft: In 87 % der Unit 42-Fälle mussten die Ermittler Ereignisse aus mindestens zwei isolierten Quellen rekonstruieren. Ohne einheitliche Audit-Trails, die jeden Datenzugriff über E-Mail, SFTP, APIs und Managed File Transfer erfassen, können Unternehmen nicht schnell genug bestimmen, welche Daten betroffen waren – was zu einer zusätzlichen regulatorischen Verletzung neben dem eigentlichen Vorfall führt.

Fragmentierte Telemetrie verschafft Angreifern Vorteile, weil Verteidiger nur mit Teilinformationen arbeiten, während Angreifer die volle Übersicht über die kompromittierte Umgebung haben. In 87 % der Unit 42-Fälle mussten zur Rekonstruktion der Ereignisse Beweise aus mindestens zwei unterschiedlichen Quellen herangezogen werden; komplexe Fälle nutzten bis zu zehn. Jede Quellgrenze ist eine Lücke, in der Angreiferaktivitäten nicht erfasst, nicht alarmiert oder nicht mit anderen Signalen verbunden werden. Eine einheitliche Audit-Infrastruktur, die diese Lücke schließt, braucht fünf Fähigkeiten: umfassende Abdeckung aller Kanäle, über die sensible Daten laufen – E-Mail, Filesharing, SFTP, APIs, MFT und Web-Formulare –, damit kein Exfiltrationsweg außerhalb des forensischen Protokolls existiert; Echtzeit-Durchsuchbarkeit statt Batch-Verarbeitung, damit forensische Timelines bei Verdacht in Minuten verfügbar sind; konsistente Datenklassifizierung, die Datensätze kanalübergreifend nach Sensitivität taggt, um sofort zu erkennen, welche Kategorien betroffen sind; Identitätskorrelation, die Service-Accounts, API-Tokens und menschliche Nutzer einer gemeinsamen Identität zuordnet; und DLP-Integration, die Richtlinienverstöße sofort meldet statt sie erst im Nachhinein zu entdecken. Ohne diese fünf Punkte rekonstruieren Ermittler Angriffe immer aus Fragmenten – nachdem sie bereits erfolgreich waren.

Der Trend zu Erpressung ohne Verschlüsselung – 2025 nur noch in 78 % der Fälle, nach über 90 % in den Vorjahren – widerlegt die Annahme, dass Backup- und Recovery-Fähigkeiten eine vollständige Ransomware-Abwehr bieten. Wenn 41 % der Opfer aus Backups wiederherstellen können, aber dennoch durch gestohlene Daten erpresst werden, hat der Angriff sein Ziel bereits vor der Lösegeldforderung erreicht. Für Datenschutz und Compliance ist die Konsequenz klar: Unautorisierte Exfiltration personenbezogener Daten löst DSGVO-, HIPAA-, US-Bundesstaaten- und branchenspezifische Meldepflichten aus – unabhängig davon, ob Ransomware eingesetzt oder Systeme verschlüsselt wurden. Unternehmen, die Ransomware nur als Recovery-Problem betrachten, übersehen die Melde-, regulatorischen und Reputationsrisiken, die Datendiebstahl unabhängig von Verschlüsselung verursacht. Gefordert ist der Wechsel von Backup-zentrierter Verteidigung zu datenorientierter Prävention: Zugriffskontrollen und DLP auf Inhaltsebene, damit Angreifer auch bei Netzwerkzugriff keine Daten außerhalb des kompromittierten Identitätsbereichs erreichen, sowie umfassende Audit-Trails, die sofort den Umfang eines Exfiltrationsvorfalls abbilden – und so eine belastbare Meldepflicht ermöglichen statt Worst-Case-Offenlegungen.

Weitere Ressourcen

  • Blogbeitrag Zero Trust Architecture: Never Trust, Always Verify
  • Video Microsoft GCC High: Nachteile, die Verteidigungsunternehmen zu intelligenteren Lösungen bewegen
  • Blogbeitrag Wie Sie klassifizierte Daten nach DSPM-Flagging absichern
  • Blogbeitrag Vertrauen in Generative KI mit einem Zero-Trust-Ansatz aufbauen
  • Video Der ultimative Leitfaden für sichere Speicherung sensibler Daten für IT-Verantwortliche

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks