Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Authentifizierung verschafft Ihnen Zugang. Governance entscheidet über das Ausmaß des Schadens.

Authentifizierung verschafft Ihnen Zugang. Governance entscheidet über das Ausmaß des Schadens.

von Patrick Spencer updated Juni 1, 2026 Cybersecurity-Risikomanagement
Lesezeit: 7 Minuten

Einundsiebzig Prozent. So hoch ist der Anteil der Unternehmen, die laut neuer Sophos-Studie im Jahr 2025 eine identitätsbezogene Sicherheitsverletzung erlebten. Mehr als zwei Drittel der Unternehmen hatten innerhalb eines Jahres ihre Identitätssysteme kompromittiert. 67 % der Ransomware-Angriffe in der Studie begannen mit einer Identitätskompromittierung. Und als die Forscher die Ursachen untersuchten, fanden sie etwas, das mehr Aufmerksamkeit verdient: Nicht-menschliche Identitäten – API-Schlüssel, Servicekonten und OAuth-Tokens – waren in 41 % der Vorfälle die Hauptursache.

Im Gegensatz zu menschlichen Zugangsdaten werden nicht-menschliche Identitäten selten in vierteljährlichen Rezertifizierungszyklen überprüft, kaum regelmäßig rotiert und selten widerrufen, wenn sich die Beziehung oder der Workflow, für den sie erstellt wurden, ändert. Sie vermehren sich schneller, als es Programme zum Identitätsmanagement für Menschen bewältigen können – jede Applikationsintegration erzeugt mindestens eine Zugangsdaten, jeder automatisierte Workflow weitere. In einer ausgereiften Multi-Cloud-Umgebung kann ein Unternehmen Tausende nicht-menschlicher Identitäten haben, von denen viele für die Identitäts-Governance-Programme, die menschliche Konten überwachen, unsichtbar bleiben.

Der CrowdStrike Global Threat Report 2026 bringt zusätzliche Geschwindigkeit ins Spiel: Im Durchschnitt gelingt es eCrime-Akteuren, sich in nur 29 Minuten – vom Erstzugriff bis zur lateralen Bewegung – auszubreiten, wobei der schnellste dokumentierte Ausbruch bei 27 Sekunden lag. Die Reaktionszeit des Sicherheitsteams auf eine kompromittierte nicht-menschliche Identität wird fast immer in Stunden oder Tagen gemessen, nicht in Sekunden.

5 Wichtige Erkenntnisse

1. Identitätsverletzungen sind heute Standardrisiko, kein Ausnahmefall mehr.

Neue Sophos-Daten zeigen: 71 % der Unternehmen erlebten 2025 eine identitätsbezogene Sicherheitsverletzung, 67 % der Ransomware-Angriffe begannen mit einer Identitätskompromittierung. Der durchschnittliche Schaden pro Vorfall lag bei 1,64 Millionen US-Dollar – ein Wert, der die Kosten der Eindämmung abbildet, bevor das gesamte Ausmaß klar ist. Die architektonische Frage lautet nicht mehr, wie sich jeder Vorfall verhindern lässt, sondern wie die Umgebung aussieht, wenn es passiert. Zero-trust-Datenschutz ist die Antwort.

2. Nicht-menschliche Identitäten sind die untergeschützte Angriffsfläche.

API-Schlüssel, Servicekonten und OAuth-Tokens waren laut Sophos in 41 % der Identitätsverletzungen die Hauptursache. Maschinelle Zugangsdaten verbreiten sich schneller als menschliche, werden selten überprüft und sind oft mit weitreichenderen Zugriffsrechten ausgestattet, als notwendig. Drittanbieter-API-Integrationen verschärfen das Problem – jede Verbindung erzeugt Zugangsdaten, die oft lange nach Beziehungsende bestehen bleiben.

3. Authentifizierung ist ein Tor, keine Grenze.

Ein kompromittierter API-Schlüssel verschafft Angreifern sofort alle Zugriffsrechte des zugehörigen Servicekontos – ohne weitere Ausnutzung. Starke Authentifizierung senkt die Wahrscheinlichkeit von Credential-Diebstahl, ändert aber nichts daran, worauf gestohlene Zugangsdaten zugreifen können. Der CrowdStrike Global Threat Report 2026 fand heraus: Die durchschnittliche eCrime-Ausbreitungszeit beträgt 29 Minuten – das Reaktionsfenster für Unternehmen nach Kompromittierung einer nicht-menschlichen Identität ist meist um ein Vielfaches länger.

4. Content-Governance bestimmt das Schadensausmaß nach Authentifizierungsversagen.

Zero-trust-Content-Governance stellt sicher, dass selbst authentifizierte Zugriffe auf vertrauliche Inhalte nur mit expliziter Richtlinienfreigabe und revisionssicherer Protokollierung möglich sind. Das Schadensausmaß jeder Identitätskompromittierung – ob menschlich oder maschinell – hängt direkt von der Zugriffssteuerung ab, nicht von der Stärke der Authentifizierung. Laut Kiteworks Prognose 2026 können 55 % der Unternehmen einen kompromittierten automatisierten Prozess nicht isolieren – das heißt, die meisten können den Schaden nicht stoppen, sobald Zugangsdaten missbraucht werden.

5. Die durchschnittlichen 1,64 Millionen US-Dollar pro Vorfall begründen die Governance-Investition.

Unternehmen, die Vorfälle innerhalb von 30 Tagen eindämmen, verursachen laut DTEX-Studie durchschnittlich 14,2 Millionen US-Dollar jährliche Insider-Risiko-Kosten; bei mehr als 90 Tagen sind es 21,9 Millionen – ein Unterschied von 7,7 Millionen, der direkt die Governance-Reife widerspiegelt. Die Frage ist nicht, ob jeder Vorfall verhindert werden kann, sondern ob sich begrenzen lässt, worauf kompromittierte Identitäten zugreifen können, wenn Authentifizierung versagt.

Sie vertrauen auf die Sicherheit Ihres Unternehmens. Aber können Sie es auch nachweisen?

Jetzt lesen

Warum Authentifizierung notwendig, aber nicht ausreichend ist

Authentifizierung sagt Ihnen, wer (oder was) an der Tür steht. Sie steuert aber nicht, was nach dem Zutritt möglich ist. Ein kompromittierter API-Schlüssel gibt Angreifern sofort die Zugriffsrechte des zugehörigen Servicekontos – vollständig und unmittelbar, ohne weitere Ausnutzung. Kann dieses Servicekonto Finanzdaten lesen, kann der Angreifer das auch. Hat es Zugriff auf regulierte Inhalte, erhält auch der Angreifer diesen Zugriff.

Starke Authentifizierung – MFA, kurzlebige Tokens, zertifikatsbasierte Identität – erschwert das Erlangen oder Fälschen von Zugangsdaten. Sie ändert aber nichts daran, worauf ein legitim erworbener Zugang zugreifen kann. Findet ein Angreifer einen gültigen API-Schlüssel in einem öffentlichen Repository, hat er die Authentifizierung nicht umgangen. Er hat sich authentifiziert – und wird dies weiter tun, bis der Schlüssel rotiert oder widerrufen wird.

Servicekonten erhalten oft weitreichende Berechtigungen, weil dies automatisierte Workflows flexibel macht. OAuth-Tokens übernehmen die Rechte des autorisierenden Nutzers, die meist deutlich umfangreicher sind als für die jeweilige Anwendung nötig. Das Ergebnis ist eine Vielzahl von Zugangsdaten – 41 % der Ursachen für Identitätsverletzungen laut Sophos – die sowohl unterreguliert als auch zu weit gefasst sind.

Anatomie einer nicht-menschlichen Identitätsverletzung

Ein Angreifer erlangt einen API-Schlüssel für ein Servicekonto, das zur Integration eines Dokumentenmanagementsystems mit einer Workflow-Automatisierungsplattform genutzt wird. Der Schlüssel wurde vor 18 Monaten bei der Integration erstellt und nie rotiert, da dies die Abstimmung zweier Teams erfordert hätte. Das Servicekonto erhielt Lesezugriff auf das gesamte Dokumentenmanagementsystem – nicht, weil es alles benötigt, sondern weil eine gezielte Einschränkung auf bestimmte Ordner eine komplexere Umsetzung verlangt hätte.

Der Angreifer authentifiziert sich am Dokumentenmanagementsystem. Er hat Lesezugriff auf alle Dokumente – Verträge, Finanzberichte, regulierte Daten, vertrauliche Informationen. Er lädt herunter, was er will. Die Authentifizierungsprotokolle zeigen normale Aktivitäten eines bekannten Servicekontos. Nichts im Aktivitätsmuster löst einen Alarm aus. Der Vorfall wird erst Wochen später im Rahmen einer anderen Incident-Response erkannt. Zu diesem Zeitpunkt wurden Daten bereits exfiltriert und die Eindämmungskosten sind erheblich.

Laut Kiteworks Prognose 2026 können 55 % der Unternehmen ein KI-System oder einen automatisierten Prozess, der sich unerwartet verhält, nicht isolieren – eine Kontrolllücke, die direkt auf Szenarien mit nicht-menschlichen Identitätsverletzungen zutrifft. Können Sie das missbrauchte Servicekonto nicht isolieren, während Sie untersuchen, behält der Angreifer weiterhin Zugriff während Ihrer gesamten Reaktion.

Was 1,64 Millionen US-Dollar im Incident Response bringen

Die durchschnittlichen 1,64 Millionen US-Dollar pro identitätsbezogenem Vorfall bilden den finanziellen Rahmen für Governance-Investitionen. Dieser Betrag umfasst direkte Incident-Response-Kosten – Forensik, Eindämmung, Wiederherstellung, Benachrichtigung – sowie operative Störungen und regulatorische Risiken. Die DTEX-Studie quantifiziert den Reifegrad der Governance genau: Unternehmen, die Vorfälle innerhalb von 30 Tagen eindämmen, verursachen durchschnittlich 14,2 Millionen US-Dollar jährliche Insider-Risiko-Kosten; Unternehmen mit mehr als 90 Tagen benötigen 21,9 Millionen. Ein jährlicher Unterschied von 7,7 Millionen, der direkt die Governance-Reife widerspiegelt.

Die Governance-Investitionsrechnung lautet nicht: „Was kostet es, jede Verletzung zu verhindern?“ Sondern: „Was kostet es, das Schadensausmaß so zu begrenzen, dass ein kompromittierter API-Schlüssel zu einem eingedämmten und nicht zu einem katastrophalen Vorfall führt?“ Content-Governance auf Zugriffsebene – Definition, worauf ein Zugangsdaten zugreifen darf, revisionssichere Protokollierung jedes Zugriffs und schnelle Isolierung bei Anomalien – verändert die Wirtschaftlichkeit von Identitätsverletzungen grundlegend.

Governance auf der Content-Ebene

Das zero-trust-Modell schließt die Lücke zwischen Authentifizierung und Governance direkt. Zero-trust bedeutet: Authentifizierung ist notwendig, aber nicht ausreichend – jede Anfrage, von jeder Identität (menschlich oder maschinell), wird vor Freigabe gegen explizite Richtlinien geprüft.

Content-Governance auf der Zugriffsebene stellt sicher, dass selbst ein vollständig authentifizierter API-Schlüssel keine sensiblen Dateien öffnen, regulierte Dateiübertragungen initiieren oder Daten außerhalb genehmigter Grenzen senden kann, sofern dies nicht explizit erlaubt, revisionssicher protokolliert und widerrufbar ist. Nicht weil Authentifizierung versagt hat – sondern weil Authentifizierung allein nicht das letzte Tor ist.

Das Kiteworks Private Data Network setzt Content-Governance auf der gesamten Kommunikations-Stack für sensible Inhalte um – Managed File Transfer, Secure Email, sicheres Filesharing, SFTP und die API-Ebene, die automatisierte Prozesse und KI-Systeme für den programmatischen Zugriff nutzen. Jede Zugriffsanfrage – ob von einem menschlichen Anwender oder einer Maschinenidentität – wird vor Freigabe gegen explizite Richtlinien geprüft. Jede Zugangsdaten kann bei Anomalien schnell isoliert werden, ohne das Gesamtsystem zu stören. FIPS 140-3-validierte Verschlüsselung schützt Daten im ruhenden Zustand und während der Übertragung. Manipulationssichere Prüfprotokolle werden in Echtzeit mit voller Zuordnung zum menschlichen Autorisierer jeder Maschinenanfrage an SIEM gestreamt.

Für KI-Agents und automatisierte Workflows, die über den Kiteworks Secure MCP Server und das AI Data Gateway auf regulierte Inhalte zugreifen, gilt die gleiche Governance: Jede Anfrage wird authentifiziert, gegen attributbasierte Zugriffskontrollen autorisiert, zweckgebunden und protokolliert. Ein kompromittierter API-Schlüssel authentifiziert – und erreicht nur, was explizit erlaubt wurde.

Das Zero-Trust-Content-Modell für identitätskompromittierte Umgebungen

Die 71-%-Sophos-Erkenntnis bedeutet: Identitätskompromittierung ist Standardrisiko, kein Ausnahmefall. Die architektonische Frage ist nicht: „Wie verhindern wir jede Identitätsverletzung?“ Sondern: „Wie sieht unsere Umgebung aus, wenn eine Identität kompromittiert wird?“

In einer zero-trust-Content-Umgebung lautet die Antwort: Die kompromittierte Zugangsdaten authentifiziert und erreicht nur, was explizit erlaubt wurde. Der Zugriff wird mit ausreichender Granularität protokolliert, um Anomalien zu erkennen. Die Zugangsdaten kann bei Anomalien widerrufen oder isoliert werden, ohne legitime Workflows anderer Zugangsdaten zu stören.

Identity Hardening – stärkere MFA, kürzere Lebensdauer von Zugangsdaten, besseres Secret Management – senkt die Wahrscheinlichkeit von Kompromittierungen. Content-Governance auf Zugriffsebene begrenzt den Schaden, wenn es doch passiert. Beide Investitionen sind notwendig. Angesichts der 71-%-Grundrate verdient die Schadensbegrenzung mindestens ebenso viel Aufmerksamkeit wie die Prävention.

Authentifizierung verschafft Zutritt. Governance bestimmt das Ausmaß des Schadens.

Erfahren Sie mehr über den Schutz Ihrer sensiblen Daten über die Authentifizierung hinaus – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Eine nicht-menschliche Identität ist eine Zugangsdaten, die von einem automatisierten System, einer Anwendung oder einem KI-Agenten zur Authentifizierung bei einem anderen System verwendet wird – API-Schlüssel, Servicekonto-Zugangsdaten, OAuth-Tokens, Zertifikate. Nicht-menschliche Identitäten verbreiten sich schneller, sind selten durch Zugriffsrezertifizierung abgedeckt, oft überprovisioniert und werden selten widerrufen, wenn sich die zugrunde liegende Beziehung ändert. Das Kiteworks AI Data Gateway und der Secure MCP Server wenden Content-Governance auf beide – menschliche und maschinelle – Identitätszugriffe an.

Zero-trust-Governance begrenzt das Schadensausmaß, indem sie sicherstellt, dass authentifizierte Zugriffe nicht automatisch Zugriff auf vertrauliche Inhalte bedeuten. Ein kompromittierter API-Schlüssel kann sich authentifizieren, aber nicht auf Inhalte außerhalb seines explizit definierten Rahmens zugreifen, keine Dateiübertragungen an nicht genehmigte Ziele initiieren und jeder Zugriff wird zur Anomalieerkennung protokolliert. Das Kiteworks Private Data Network setzt dies über MFT, sicheres Filesharing, Secure Email und die API-Ebene um – eine Policy-Engine, ein Audit-Trail.

Vier Anforderungen: explizite Zugriffsbeschränkung (Zugangsdaten greifen nur auf das zu, was ihr spezifischer Workflow benötigt), verpflichtende Audit-Protokollierung mit gleicher Granularität wie bei menschlichem Zugriff, Rotationsrichtlinien mit Durchsetzung und schnelle Widerrufbarkeit. 55 % der Unternehmen können laut Kiteworks Prognose 2026 einen kompromittierten automatisierten Prozess nicht isolieren – die Fähigkeit zum Widerruf und zur Isolierung ist die Lücke, die die meisten Unternehmen zuerst schließen müssen.

Der Schaden ist die Obergrenze dessen, was durch Governance-Investitionen vermieden wird – aber die DTEX-Studie präzisiert die Rechnung: Unternehmen, die Vorfälle innerhalb von 30 Tagen eindämmen, verursachen durchschnittlich 14,2 Mio. US-Dollar jährliche Insider-Risiko-Kosten, gegenüber 21,9 Mio. US-Dollar bei mehr als 90 Tagen. Diese Differenz von 7,7 Mio. US-Dollar misst direkt die Governance-Reife. Eng gefasste Zugangsdaten, Anomalieerkennung und schnelle Isolierung sind die spezifischen Kontrollen, die die Eindämmungszeit verkürzen.

Branchen, in denen auf vertrauliche Inhalte programmatisch zugegriffen wird, sind besonders exponiert: Rüstungsunternehmen, bei denen automatisierte Systeme auf CUI zugreifen, Gesundheitsorganisationen, in denen Datenpipelines auf PHI zugreifen, und Finanzdienstleister, bei denen automatisierte Prozesse auf Kundendaten zugreifen. FIPS 140-3-validierte Verschlüsselung, ABAC-Durchsetzung und manipulationssichere Audit-Trails erfüllen gleichzeitig HIPAA-, CMMC– und PCI DSS-Anforderungen für maschinellen und menschlichen Zugriff.

Weitere Ressourcen

  • Blogbeitrag Wie Sie Studiendaten in internationalen Forschungsprojekten schützen
  • Blogbeitrag Der CLOUD Act und der britische Datenschutz: Warum der Gerichtsstand zählt
  • Blogbeitrag Zero Trust Data Protection: Implementierungsstrategien für mehr Sicherheit
  • Blogbeitrag Datenschutz durch Technikgestaltung: Wie Sie DSGVO-Kontrollen in Ihr MFT-Programm integrieren
  • Blogbeitrag Wie Sie Datenpannen mit sicherem Filesharing über Ländergrenzen hinweg verhindern

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks