Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Sie brechen nicht ein. Sie loggen sich ein. Und das viermal schneller.

Sie brechen nicht ein. Sie loggen sich ein. Und das viermal schneller.

von Patrick Spencer updated Februar 26, 2026 Cybersecurity-Risikomanagement
Lesezeit: 13 Minuten

Im aktuellen Incident-Response-Bericht von Palo Alto Networks findet sich ein Satz, der die Sichtweise jedes Unternehmens auf Cybersicherheit verändern sollte. Sam Rubin, Senior Vice President bei Unit 42, bringt es auf den Punkt: Sobald ein Angreifer über gültige Zugangsdaten verfügt, bricht er nicht mehr ein – er meldet sich an. Wenn sich ein Angreifer im normalen Datenverkehr versteckt, wird die Erkennung selbst für erfahrene Verteidiger extrem schwierig.

Diese Aussage verändert die gesamte Bedrohungslage. Der Angreifer muss keine Zero-Day-Schwachstelle ausnutzen. Er muss keine Firewall umgehen. Er muss keine exotische Malware einsetzen. Er braucht lediglich gestohlene Zugangsdaten. Mit diesen Zugangsdaten ist er von einem autorisierten Anwender nicht mehr zu unterscheiden – er bewegt sich durch Systeme, greift auf Daten zu und schleust sie aus, bevor das Sicherheitsteam überhaupt etwas bemerkt.

Die Zahlen hinter diesem Wandel sind eindeutig. Palo Alto Networks hat mehr als 750 Incident-Response-Fälle weltweit analysiert und festgestellt, dass Bedrohungsakteure inzwischen viermal schneller agieren als noch vor einem Jahr. KI beschleunigt jede Phase des Angriffszyklus: Aufklärung, Phishing und Scripting sowie die operative Ausführung. Bei den effizientesten Angriffen erfolgt die Datenexfiltration bereits 72 Minuten nach dem ersten Zugriff. Gestohlene Identitäten und Tokens tauchen in 90% der Incident-Response-Fälle auf.

Dies ist kein Bericht über zukünftige Bedrohungen. Es geht um das, was bereits passiert – dokumentiert in Hunderten realer Vorfälle – und zeigt ein grundlegendes Missverhältnis zwischen der Geschwindigkeit der Angreifer und der Fähigkeit der meisten Unternehmen, Angriffe zu erkennen und darauf zu reagieren.

5 wichtige Erkenntnisse

  1. Angreifer agieren 4-mal schneller als vor einem Jahr – und die effizientesten exfiltrieren in 72 Minuten. Die Analyse von über 750 Incident-Response-Fällen durch Palo Alto Networks zeigt, dass Bedrohungsgruppen heute viermal schneller agieren als noch vor einem Jahr. KI beschleunigt jede Phase: Aufklärung, Phishing und Scripting sowie operative Ausführung. Bei den effizientesten Angriffen erfolgt die Datenexfiltration bereits 72 Minuten nach dem ersten Zugriff. Das ist kein theoretischer Wert, sondern die operative Realität, gegen die Sicherheitsteams heute verteidigen müssen.
  2. Identität ist der primäre Angriffsvektor – in 90% der Incident-Response-Fälle. Gestohlene Identitäten und Tokens tauchten in 90% der von Unit 42 analysierten Fälle auf. Angreifer brechen nicht mehr ein – sie melden sich an. Sobald ein Angreifer über gültige Zugangsdaten verfügt, verschmilzt er mit dem normalen Datenverkehr und macht die Erkennung selbst für ausgereifte Sicherheitsoperationen extrem schwierig. Der Perimeter ist nicht mehr der Einstiegspunkt – das Credential ist es.
  3. Angreifer nutzen Schwachstellen innerhalb von 15 Minuten nach CVE-Veröffentlichung aus. Das Zeitfenster zwischen der Veröffentlichung einer Schwachstelle und ihrer aktiven Ausnutzung ist praktisch verschwunden. Angreifer nehmen bekannte Softwarefehler bereits 15 Minuten nach Veröffentlichung einer CVE ins Visier. KI ermöglicht gleichzeitige Aufklärung und erste Zugriffsversuche gegen Hunderte Ziele. Unternehmen, die auf manuelle Patch-Zyklen im Tages- oder Wochenrhythmus setzen, agieren auf einer Zeitschiene, die es nicht mehr gibt.
  4. Vertrauenswürdige Integrationen sind die neue Angriffsfläche für Supply-Chain-Angriffe. Fast ein Viertel der Vorfälle im vergangenen Jahr betraf Angreifer, die vertrauenswürdige Integrationen missbrauchten, um Angriffe auf SaaS-Anwendungen zu starten. Diese Integrationen bieten legitimen, privilegierten Zugriff, der schwer zu verteidigen ist, weil die Verbindung selbst autorisiert ist. Unit 42 von Palo Alto Networks beschreibt dies als strukturellen Wandel im Supply-Chain-Risiko – weg von anfälligem Code hin zum Missbrauch vertrauenswürdiger Verbindungen zwischen Systemen.
  5. Der 42-Tage-Erkennungsdurchschnitt steht im katastrophalen Missverhältnis zu 72 Minuten Exfiltration. Die durchschnittliche Verweildauer von Angreifern liegt branchenweit bei etwa 42 Tagen. Angreifer exfiltrieren Daten in 72 Minuten. Dieses Missverhältnis ist nicht graduell, sondern grundlegend. Wenn herkömmliche Erkennungs- und Reaktionsprozesse einen Vorfall identifizieren, haben Angreifer ihre Mission bereits mehr als 800-mal abgeschlossen. Echtzeitüberwachung des Datenzugriffs und automatisierte Richtliniendurchsetzung sind keine Wunschvorstellung mehr, sondern die Mindestanforderung gegen KI-beschleunigte Bedrohungen.

Das 72-Minuten-Fenster hat das Erkennungsmodell zerstört

Die durchschnittliche Verweildauer – also die Zeit zwischen Erstkompromittierung und Erkennung – liegt weiterhin bei etwa 42 Tagen. Angreifer exfiltrieren Daten heute in 72 Minuten. Das ist keine Lücke, sondern ein Abgrund. Bis herkömmliche Sicherheitsoperationen einen Vorfall erkennen, ist der Angreifer längst verschwunden. Die Daten sind bereits exfiltriert, der Schaden ist angerichtet.

Die vierfache Beschleunigung resultiert aus KI in allen Phasen des Angriffszyklus. KI-gestützte Aufklärung identifiziert Ziele, kartiert Datenbestände und entdeckt Schwachstellen mit Maschinengeschwindigkeit. KI-generierte Phishing-Kampagnen erzeugen überzeugende Social-Engineering-Angriffe in großem Maßstab und erreichen Klickraten, die menschliche Kampagnen nicht erzielen. KI-unterstütztes Scripting automatisiert Ausnutzung und Persistenz. KI-gesteuerte operative Ausführung koordiniert gleichzeitige Angriffe auf mehrere Ziele.

Das 72-Minuten-Exfiltrationsfenster bedeutet, dass jede Erkennungsmethode, die auf menschlichen Zeitmaßstäben basiert – periodische Log-Reviews, manuelle Alarmbearbeitung, wöchentliche Threat Hunts – strukturell nicht in der Lage ist, den Angriff vor Abschluss zu erkennen. Bis ein Analyst den Alarm prüft, mit anderen Signalen korreliert, den Umfang untersucht und an das Incident-Response-Team eskaliert, ist die Exfiltration längst passiert. Das Erkennungsmodell, das für eine Welt entwickelt wurde, in der Angreifer wochen- oder monatelang unentdeckt blieben, ist katastrophal ungeeignet gegen Angreifer, die ihre Mission in gut einer Stunde abschließen.

Echtzeitüberwachung des Datenzugriffs ist keine Option mehr, sondern eine Notwendigkeit. Unternehmen müssen in der Lage sein, anomale Datenzugriffsmuster innerhalb von Sekunden zu erkennen, nicht erst nach Stunden. Sie benötigen automatisierte Richtliniendurchsetzung, die verdächtige Aktivitäten blockiert, ohne auf menschliche Analyse zu warten. Sie brauchen Verhaltens-Benchmarks für jeden Anwender und jeden KI-Agenten, die Abweichungen im Moment ihres Auftretens erkennen. Das 72-Minuten-Fenster lässt keinen Raum für manuelle Prozesse.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber können Sie es nachweisen?

Jetzt lesen

Das Identitätsproblem ist ein Datenexfiltrationsproblem

Neunzig Prozent der Incident-Response-Fälle betrafen gestohlene Identitäten und Tokens. Diese Zahl verlangt nach einem Umdenken. Sie bedeutet: Der Hauptweg, wie Angreifer auf Unternehmensdaten zugreifen, ist nicht technische Ausnutzung, sondern Credential-Diebstahl. Phishing, Token-Hijacking, Credential-Stuffing, Session-Replay – die Methoden variieren, das Ergebnis bleibt gleich. Der Angreifer erhält eine gültige Identität und nutzt sie, um auf Daten zuzugreifen, als wäre er der autorisierte Anwender.

Traditionelle Perimeter-Schutzmaßnahmen wurden entwickelt, um interne von externen Nutzern zu unterscheiden. Firewalls, Intrusion-Detection-Systeme, Netzwerksegmentierung – all das basiert auf der Annahme, dass die Bedrohung von außen kommt und beim Übertreten des Vertrauensperimeters erkannt werden muss. Wenn sich der Angreifer jedoch mit gültigen Zugangsdaten anmeldet, bricht diese Annahme zusammen. Er befindet sich vom ersten Moment an innerhalb des Vertrauensbereichs, nutzt eine autorisierte Identität. Sein Datenverkehr erscheint legitim, weil er aus Sicht des Systems legitim ist.

Deshalb sind identitätsbasierte Angriffe so effektiv und die 90%-Zahl so gravierend. Die Handlungen des Angreifers sind von normalem Nutzerverhalten nicht zu unterscheiden, sofern das Unternehmen keine Kontrollen hat, die den Kontext über die Identität hinaus bewerten. Woher stammt der Zugriff? Zu welcher Zeit? Auf welche Datenklassifizierung wird zugegriffen? Wie viel Daten werden angefordert? Entsprechen Volumen, Geschwindigkeit und Muster dem bisherigen Verhalten des Kontos? Das sind Fragen auf Datenebene, nicht auf Infrastrukturebene – und die meisten Unternehmen stellen sie nicht.

Die Konsequenz ist eindeutig: Selbst wenn das Identity Management stark ist, selbst bei Multi-Faktor-Authentifizierung und regelmäßiger Credential-Rotation, kann ein Angreifer mit gültigem Session-Token Daten exfiltrieren. Identitätsprüfung beim Login ist notwendig, aber nicht ausreichend. Unternehmen benötigen eine kontinuierliche Verifizierung beim Datenzugriff – jede Anfrage, jede Abfrage, jeder Download muss am Nutzer-Benchmark, an der Sensitivitätsklassifizierung der Daten und am aktuellen Risikokontext gemessen werden.

15 Minuten von Offenlegung bis Ausnutzung

Der Bericht zeigt, dass Angreifer bekannte Schwachstellen bereits 15 Minuten nach Veröffentlichung einer CVE ins Visier nehmen. Das ist kein Tippfehler. Fünfzehn Minuten nach öffentlicher Bekanntgabe einer Schwachstelle scannen Bedrohungsgruppen bereits nach Zielen und versuchen, sie auszunutzen.

KI macht das möglich. Automatisierte Systeme analysieren CVE-Meldungen, identifizieren betroffene Software, generieren Exploit-Skripte und starten Scan-Kampagnen gegen Hunderte Ziele gleichzeitig. Der menschliche Patch-Management-Zyklus – Schwachstelle bewerten, Patch testen, Wartungsfenster planen, Update ausrollen – läuft im Tages- oder Wochenrhythmus. Der KI-beschleunigte Exploit-Zyklus läuft im Minutenbereich.

Diese Beschleunigung hat zwei Folgen. Erstens: Unternehmen können sich nicht mehr allein auf Patch-Management verlassen, um bekannte Schwachstellen abzusichern. Das Zeitfenster zwischen Offenlegung und Ausnutzung ist kürzer als die Zeit, die für Bewertung und Rollout der meisten Patches benötigt wird. Kompensierende Maßnahmen – Netzwerksegmentierung, virtuelle Patches, datenorientierte Zugriffsbeschränkungen – müssen sofort einsetzbar sein, während der Patch-Zyklus läuft. Zweitens: Das 15-Minuten-Fenster unterstreicht die Bedeutung, den Schaden eines erfolgreichen Angriffs zu begrenzen. Gelingt einem Angreifer die Ausnutzung und der Zugang zu einem System, entscheidet die Least-Privilege-Datenzugriffskontrolle, ob er sensible Daten erreichen kann. Kompartimentierung begrenzt seine Bewegungsfreiheit. Anomalieerkennung identifiziert Abweichungen vom Normalverhalten. Die Ausnutzung mag gelingen, aber die Exfiltration muss es nicht.

Vertrauenswürdige Integrationen: Die Supply-Chain-Attacke, die Sie bereits autorisiert haben

Fast ein Viertel der Vorfälle im vergangenen Jahr betraf Angreifer, die vertrauenswürdige Integrationen missbrauchten, um Angriffe auf SaaS-Anwendungen zu starten. Es handelt sich nicht um Zero-Day-Exploits unbekannter Schwachstellen, sondern um Angriffe, die Verbindungen ausnutzen, die das Unternehmen selbst eingerichtet hat – OAuth-Tokens, API-Integrationen, Service-Accounts und plattformübergreifende Datenflüsse mit privilegiertem Zugriff.

Sam Rubin von Unit 42 beschreibt dies als strukturellen Wandel im Supply-Chain-Risiko, der über anfälligen Code hinausgeht und den Missbrauch vertrauenswürdiger Verbindungen in den Fokus rückt. Das ist entscheidend. Traditionelle Supply-Chain-Sicherheit konzentriert sich darauf, ob der konsumierte Code oder Komponenten Schwachstellen enthalten. Das neue Supply-Chain-Risiko besteht darin, dass die vertrauenswürdigen Verbindungen zwischen Ihren Systemen – jede davon autorisiert und privilegiert – Angreifern seitliche Bewegungswege bieten, die keine Alarme auslösen, weil sie als autorisiert gelten.

Das Angriffsmuster ist trügerisch einfach: Ein Angreifer kompromittiert einen Anbieter oder Partner mit vertrauenswürdigem Zugang zu Ihrer SaaS-Umgebung. Er nutzt diese Verbindung, um auf Ihre Daten zuzugreifen. Aus Sicht Ihrer Sicherheitstools wirkt der Zugriff legitim, weil die Integration selbst legitim ist. Das OAuth-Token ist gültig. Der API-Aufruf ist autorisiert. Der Datentransfer folgt etablierten Mustern – bis er es nicht mehr tut.

Um sich dagegen zu schützen, müssen Unternehmen die Datenzugriffsmuster jeder Integration überwachen, nicht nur die Identitäten menschlicher Anwender. Wenn eine vertrauenswürdige Integration beginnt, Daten in Mengen, Geschwindigkeiten oder Mustern abzurufen, die von ihrem Benchmark abweichen, muss diese Abweichung dieselben Alarme und automatisierten Reaktionen auslösen wie anomales menschliches Verhalten. Unternehmen benötigen umfassende Audit-Trails, die dokumentieren, welche Daten jede Integration wann, in welchem Umfang und zu welchem Zweck abruft. Und sie brauchen die Möglichkeit, Integrationszugriffe sofort zu entziehen, sobald die Anomalieerkennung einen möglichen Kompromiss feststellt – ohne auf die Bestätigung des Anbieters zu warten.

Warum traditionelle Verteidigungsarchitekturen gegen KI-beschleunigte Angriffe scheitern

Der Bericht von Palo Alto Networks zeigt eine Reihe von Angriffsmerkmalen, die traditionelle Verteidigungsarchitekturen insgesamt unzureichend machen: Vierfache Geschwindigkeit, 72-Minuten-Exfiltrationsfenster, 90% identitätsbasierte Zugriffe, 15-Minuten-Schwachstellenausnutzung, Missbrauch vertrauenswürdiger Integrationen. Jedes dieser Merkmale stellt herkömmliche Sicherheit vor Herausforderungen – zusammen beschreiben sie eine Bedrohungslandschaft, die sich der Kontrolle menschzentrierter, perimeterorientierter, periodisch überprüfter Sicherheitsoperationen entzieht.

Traditionelle Erkennung basiert auf der Korrelation von Signalen aus verschiedenen Datenquellen – SIEM-Logs, Endpoint-Telemetrie, Netzwerkflüsse – und darauf, dass Analysten die Alarme untersuchen. Früher, als Angreifer wochenlang unentdeckt blieben, funktionierte dieses Modell, weil die Zeit auf Seiten der Verteidiger war. Mit dem 72-Minuten-Fenster ist die Zeit ausschließlich auf Seiten der Angreifer. Die Korrelationsengine mag den Alarm auslösen, aber der Analyst sieht ihn oft erst, wenn die Exfiltration längst abgeschlossen ist.

Traditionelle Prävention setzt darauf, Angreifer außerhalb des Perimeters zu halten. Wenn aber 90% der Angriffe gestohlene Zugangsdaten nutzen, ist der Angreifer ab dem ersten Zugriff bereits hinter dem Perimeter. Firewalls, Intrusion-Prevention-Systeme und Netzwerkzugriffskontrollen lösen ein Problem, das der Angreifer bereits umgangen hat.

Traditionelle Reaktion setzt auf die Identifikation des Kompromittierungsumfangs, die Eindämmung betroffener Systeme und die Behebung. Wenn Angreifer in 72 Minuten exfiltrieren, gibt es nichts mehr einzudämmen – die Daten sind weg. Die Reaktion wird zur forensischen Untersuchung und zur Meldung des Vorfalls – nicht zur aktiven Verteidigung.

Das Verteidigungsmodell, das diesen Angriffsmerkmalen gerecht wird, erfordert drei Fähigkeiten, die gleichzeitig greifen: Echtzeitüberwachung des Datenzugriffs zur Erkennung anomaler Muster innerhalb von Sekunden, automatisierte Richtliniendurchsetzung, die verdächtigen Zugriff ohne menschliches Eingreifen blockiert, und kontinuierliche Verifizierung, die jede Datenzugriffsanfrage am Nutzer-Benchmark, an der Datenklassifizierung und am aktuellen Bedrohungskontext misst. Das ist kein Perimeter-Modell, sondern ein datenorientiertes Modell – eines, das davon ausgeht, dass der Angreifer bereits im System ist, und sich auf die Verhinderung der Exfiltration statt des Erstzugriffs konzentriert.

Was Unternehmen tun müssen, um mit KI-Angriffsgeschwindigkeit mitzuhalten

Der Bericht von Palo Alto Networks basiert auf mehr als 750 realen Vorfällen. Die Erkenntnisse verlangen nach operativen Maßnahmen, nicht nach strategischen Planungsübungen. Das sollten Unternehmen jetzt tun:

Echtzeitüberwachung des Datenzugriffs mit automatisierter Anomalieerkennung implementieren. Das 72-Minuten-Exfiltrationsfenster macht periodische Log-Reviews und manuelle Alarmbearbeitung obsolet. Unternehmen benötigen kontinuierliches Monitoring, das anomale Datenzugriffsmuster innerhalb von Sekunden erkennt – ungewöhnliche Download-Volumina, untypische Datenklassifizierungen, Zugriffe von unbekannten Standorten oder Geräten, schnelle Abfragefolgen. Die Anomalieerkennung muss mit Maschinengeschwindigkeit arbeiten, weil auch die Angriffe mit Maschinengeschwindigkeit ablaufen.

Automatisierte Richtliniendurchsetzung einführen, die Exfiltration ohne menschliches Eingreifen blockiert. Erkennt die Anomalieerkennung verdächtigen Datenzugriff, muss die Reaktion automatisiert erfolgen: Zugriff einschränken, zusätzliche Authentifizierung verlangen, Downloads blockieren, Sessions beenden. Das 72-Minuten-Fenster lässt keine Zeit, bis ein Analyst den Alarm erhält, den Kontext prüft, die Schwere einschätzt und eine Blockierungsentscheidung trifft. Die automatisierte Durchsetzung muss in Millisekunden erfolgen und gleichzeitig das Sicherheitsteam zur Untersuchung alarmieren.

Über die Identitätsprüfung hinaus zu kontinuierlichen, kontextbasierten Datenzugriffskontrollen gehen. Authentifizierung an der Eingangstür reicht nicht mehr, wenn 90% der Angriffe gestohlene Zugangsdaten nutzen. Jede Datenzugriffsanfrage muss im Kontext bewertet werden: angeforderte Datenklassifizierung, bisheriges Nutzerverhalten, Zugriffsstandort und -gerät, Volumen und Geschwindigkeit der Anfragen. Gültige Zugangsdaten dürfen nicht ausreichen, um auf hochsensible Daten zuzugreifen, wenn zusätzliche kontextbasierte Faktoren nicht passen. Hier ersetzt attributbasierte Zugriffskontrolle – Bewertung von Identität, Datenklassifizierung, Kontext und Risiko gleichzeitig – das statische „authentifiziert/nicht authentifiziert“.

Least-Privilege-Datenzugriff für jeden Anwender, KI-Agenten und jede Integration durchsetzen. Der Schaden eines erfolgreichen Credential-Diebstahls oder Integrationskompromisses hängt davon ab, auf wie viele Daten die kompromittierte Identität zugreifen kann. Least-Privilege-Datenzugriff – jede Identität ist auf die minimal nötigen Datenklassifizierungen für ihre Funktion beschränkt – ist die effektivste Kontrolle zur Schadensbegrenzung bei identitätsbasierten Angriffen. Prüfen Sie für jeden Anwender, Agenten und jede Integration, auf welche Daten sie tatsächlich zugreifen müssen. Das Private Data Network von Kiteworks setzt diese Grenzen durch ein gesteuertes Gateway durch, das sicherstellt, dass keine Identität – weder Mensch noch KI – auf Daten außerhalb ihres autorisierten Zwecks zugreifen kann.

Vertrauenswürdige Integrationen mit derselben Sorgfalt überwachen wie menschliche Anwender. Fast ein Viertel der Vorfälle betraf Missbrauch vertrauenswürdiger Integrationen. Die Datenzugriffsmuster jeder Integration müssen kontinuierlich überwacht werden. Für jede Integration sollten Verhaltens-Benchmarks festgelegt werden. Abweichungen – ungewöhnliche Volumina, neue Datenkategorien, Zugriffe außerhalb des Zeitplans – müssen dieselben automatisierten Reaktionen auslösen wie anomales menschliches Verhalten. Unternehmen müssen Integrationszugriffe sofort entziehen können, sobald ein Kompromiss vermutet wird.

Audit-Trails aufbauen, die Incident Response in 72 Minuten ermöglichen – nicht erst nach 42 Tagen. Umfassende Audit-Trails müssen jeden Datenzugriff über alle Kanäle dokumentieren – E-Mail, Filesharing, SFTP, Managed File Transfer, APIs. Diese Trails müssen in Echtzeit durchsuchbar sein, nicht erst nach Batch-Verarbeitung. Wird ein Vorfall erkannt, muss der Audit-Trail sofort zeigen, welche Daten von wem, wann, von wo und zu welchem Zweck abgerufen wurden. Die forensische Zeitleiste muss in Minuten verfügbar sein, nicht erst nach Wochen – denn der Angriff war ebenfalls in Minuten abgeschlossen.

Die Angriffszeitleiste hat sich verändert. Ihre Verteidigungszeitleiste muss sich mit verändern.

Der Bericht von Palo Alto Networks dokumentiert einen grundlegenden Wandel im Angriffszeitplan. Angreifer sind viermal schneller. Datenexfiltration erfolgt in 72 Minuten. Gestohlene Zugangsdaten tauchen in 90% der Fälle auf. Schwachstellen werden innerhalb von 15 Minuten nach Veröffentlichung ausgenutzt. Vertrauenswürdige Integrationen werden als seitliche Bewegungswege missbraucht.

Alle diese Erkenntnisse weisen in dieselbe Richtung: Verteidigung muss auf Datenebene, mit Maschinengeschwindigkeit, in Echtzeit erfolgen. Das Perimeter-Modell, das Angreifer außerhalb vermutet, ist gegen credential-basierte Zugriffe gescheitert. Das Erkennungsmodell, das auf menschzentrierter Analyse basiert, versagt gegen 72-Minuten-Exfiltration. Das Reaktionsmodell, das auf Eindämmung setzt, scheitert an Angriffen, die abgeschlossen sind, bevor die Eindämmung beginnt.

Was bleibt, ist ein datenorientiertes Verteidigungsmodell: kontinuierliche Überwachung jedes Datenzugriffs, automatisierte Durchsetzung, die verdächtigen Zugriff in Millisekunden blockiert, kontextbasierte Kontrollen, die jede Anfrage an Verhaltens-Benchmarks und Datensensitivität messen, Least-Privilege-Zugriff, der den Schaden bei Kompromittierung begrenzt, und umfassende Audit-Trails, die Vorfälle sichtbar machen, sobald sie beginnen – nicht erst Wochen später.

Die Angreifer haben ihre Zeitleiste geändert. Unternehmen, die ihre nicht anpassen, werden beim nächsten Vorfall erleben, was 72 Minuten unerkannter Zugriff bedeuten.

Erfahren Sie, wie Kiteworks Sie unterstützen kann – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Gestohlene Zugangsdaten und Session-Tokens tauchen in 90% der Incident-Response-Fälle von Palo Alto Networks auf – das bedeutet, der Angreifer hat die Authentifizierungsschranke bereits überwunden. Im System ähneln seine Zugriffsmuster denen legitimer Anwender, bis eine Abweichung auftritt. Standardmäßige Multi-Faktor-Authentifizierung und Identity-Management-Kontrollen prüfen die Identität beim Login, bewerten aber nicht kontinuierlich, was die authentifizierte Session danach tut. Um credential-basierte Exfiltration zu stoppen, ist eine kontinuierliche Verifizierung beim Datenzugriff erforderlich: Jede Anfrage wird anhand der Sensitivitätsklassifizierung der Daten, des bisherigen Nutzerverhaltens, des Zugriffsstandorts und -geräts sowie des Volumens und der Geschwindigkeit bewertet. Gültige Zugangsdaten dürfen nicht ausreichen, um auf hochsensible Daten zuzugreifen, wenn das Kontextprofil nicht passt. Hier liegt die Lücke zwischen Perimeter-Sicherheit und datenorientierter Sicherheit.

Ein SIEM-basiertes Erkennungsmodell korreliert Signale und generiert Alarme, die von menschlichen Analysten untersucht werden. Mit einem 72-Minuten-Exfiltrationsfenster ist der Angriff abgeschlossen, bevor ein Analyst reagieren kann. Ein datenorientiertes Verteidigungsmodell ersetzt den Menschen in der Durchsetzungsentscheidung durch drei automatisierte Fähigkeiten, die gleichzeitig greifen: Echtzeit-Anomalieerkennung, die Abweichungen innerhalb von Sekunden erkennt, automatisierte Richtliniendurchsetzung, die verdächtigen Zugriff ohne menschliche Analyse blockiert, und attributbasierte Zugriffskontrolle, die jede Datenanfrage anhand von Identität, Datenklassifizierung, Verhaltens-Benchmark und aktuellem Risikokontext bewertet. Der entscheidende Unterschied ist der Durchsetzungszeitpunkt – nicht am Netzwerkperimeter oder nachträglich in der SIEM-Konsole, sondern beim Datenzugriff, bevor Exfiltration stattfindet.

Erhält ein Angreifer gültige Zugangsdaten – durch Phishing, Token-Hijacking oder Session-Replay – übernimmt er alle Datenzugriffsrechte dieser Identität. Hat die kompromittierte Identität weitreichenden Zugriff auf sensible Systeme, ist auch der Exfiltrationsumfang groß. Least-Privilege-Datenzugriff beschränkt jede Identität auf die minimal nötigen Datenklassifizierungen für ihre definierte Funktion, unabhängig davon, auf welche Systeme sie sich technisch authentifizieren kann. Ein gestohlenes Credential für ein HR-Systemkonto kann nur auf HR-Daten zugreifen – nicht auf Finanzdaten, Entwicklungsunterlagen oder Kundendaten. Diese Kompartimentierung verhindert nicht den Erstzugriff, macht aber den Unterschied zwischen einem begrenzten Vorfall und einer Katastrophe. In Kombination mit DLP-Kontrollen, die Massendownloads verhindern, und Anomalieerkennung, die ungewöhnliches Zugriffsvolumen meldet, ist Least-Privilege-Zugriff die effektivste Einzelmaßnahme zur Schadensbegrenzung bei identitätsbasierten Angriffen, die heute die Bedrohungslandschaft dominieren.

Vertrauenswürdige Integrationen – OAuth-Tokens, API-Verbindungen und Service-Accounts – stellen vorab autorisierten privilegierten Zugriff dar, den Angreifer bei Kompromittierung eines Anbieters oder Partners übernehmen. Traditionelle Zugriffskontrollen erkennen diese Aktivitäten nicht als verdächtig, weil die Verbindung per Design legitim ist. Effektive Steuerung erfordert, jede Integration als eigene Identität mit individuellem Verhaltens-Benchmark zu behandeln: erwartetes Zugriffsvolumen, abgerufene Datenkategorien, Zugriffszeitplan und Zielmuster. Jede Abweichung – ungewöhnliche Datenmengen, Zugriff auf neue Datentypen, Abfragen außerhalb des Zeitplans, Datenabfluss an unerwartete Ziele – muss dieselben automatisierten Reaktionen auslösen wie anomales menschliches Verhalten. Unternehmen müssen Integrationszugriffe sofort entziehen können, ohne auf die Bestätigung des Anbieters zu warten, und umfassende Audit-Trails führen, die jeden Integrationsdatenzugriff für Supply-Chain-Risikoprüfung und Nachweis im Vorfallbericht dokumentieren.

Ein Audit-Trail für Echtzeit-Incident-Response muss sechs Elemente für jedes Datenzugriffsereignis erfassen: die Identität (Anwender, KI-Agent oder Integration), die Datenklassifizierung und die spezifisch abgerufenen Datensätze, Zeitstempel und Sitzungsdauer, Quellstandort und -gerät, die durchgeführte Aktion (Lesen, Download, Teilen, Übertragen) und das Ziel, falls Daten die kontrollierte Umgebung verlassen. Entscheidend ist, dass diese Aufzeichnungen in Echtzeit abfragbar sind – nicht erst nach nächtlicher Batch-Verarbeitung. Wenn eine Anomalie einen Alarm auslöst, muss das Sicherheitsteam sofort die vollständige Zugriffschronik der verdächtigen Session einsehen können, nicht erst nach Stunden der Log-Aggregation. Vollständige Abdeckung aller Kanäle – Managed File Transfer, SFTP, E-Mail, APIs und Webanwendungen – stellt sicher, dass keine blinden Flecken entstehen, in denen Exfiltration außerhalb des forensischen Protokolls stattfinden kann. Unter der 72-Stunden-Benachrichtigungspflicht der DSGVO und vergleichbaren Vorgaben in HIPAA und branchenspezifischen Rahmenwerken ist diese forensische Fähigkeit auch die Grundlage für Compliance – nicht nur für die operative Verteidigung.

Weitere Ressourcen

  • Blogbeitrag Zero Trust Architecture: Never Trust, Always Verify
  • Video Microsoft GCC High: Nachteile, die Verteidigungsunternehmen zu intelligenteren Lösungen bewegen
  • Blogbeitrag Wie man klassifizierte Daten sichert, nachdem DSPM sie erkannt hat
  • Blogbeitrag Vertrauen in generative KI aufbauen mit einem Zero-Trust-Ansatz
  • Video Der definitive Leitfaden für die sichere Speicherung sensibler Daten für IT-Leiter

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks