Sichere Identitäten, weniger Risiko: Wie Identitätsschutz hilft, Ransomware effektiv zu stoppen

Ransomware-Angriffe haben sich in den letzten Jahren zu einer der gefährlichsten Bedrohungen für Unternehmen aller Größenordnungen entwickelt. Dabei rückt ein Faktor zunehmend in den Fokus: die Sicherheit von Identitäten. Denn moderne Angriffe zielen nicht nur auf Schwachstellen in Software oder Netzwerken, sondern nutzen gezielt kompromittierte Konten, um sich unbemerkt seitlich im Unternehmensnetzwerk auszubreiten.

Im Rahmen der LSZ IT-Security CYBER Lounge „Sichere Identitäten, weniger Risiko“ präsentierte Martin Menzer, Sales Engineer EMEA bei Silverfort, einen praxisnahen und technisch fundierten Einblick in die aktuellen Herausforderungen der Identitätssicherheit – und wie diese mit einem modernen, ganzheitlichen Ansatz gelöst werden können. Das Ziel: Laterale Bewegungen stoppen, bevor aus einem einzelnen Vorfall eine unternehmensweite Krise wird.

„Man kann nur schützen, was man sieht – und Active Directory ist oft eine Blackbox.“
(Martin Menzer, Silverfort)

Auch wenn viele Unternehmen mittlerweile Cloud-Dienste nutzen, bleibt Active Directory (AD) oft ein zentrales Element der Infrastruktur – und gleichzeitig ein kritischer Schwachpunkt. Veraltete Protokolle wie NTLMv1 oder Kerberos bieten Angreifern Angriffsfläche, weil ihnen moderne Schutzmechanismen fehlen. Nur wer genau weiß, welche Identitäten mit welchen Rechten aktiv sind, kann gezielt gegensteuern.

Während MFA für SaaS-Dienste wie Office 365 mittlerweile Standard ist, bleibt der Zugriff auf viele andere Systeme ungeschützt: darunter Legacy-Systeme, lokale File Shares oder Remote-Desktop-Verbindungen. Ein umfassender Ansatz zur Absicherung von Authentifizierungen – unabhängig vom Protokoll oder Einsatzort – wird zur Pflicht.

„Viele wissen nicht, welche Maschinenidentitäten Zugriff auf welche Resourcen haben. Genau das nutzen Angreifer aus.“ (Martin Menzer, Silverfort)

Service- und Maschinenkonten spielen in über 80 % der beobachteten Ransomware-Angriffe eine Rolle. Dennoch fehlt in vielen Unternehmen ein Überblick: Wer oder was greift wann, von wo und auf welche Systeme zu? Häufig sind diese Accounts überprivilegiert, nicht dokumentiert und können leicht missbraucht werden. Moderne Lösungen analysieren das Verhalten dieser Konten und ermöglichen es, Abweichungen automatisiert zu erkennen und zu blockieren.

Domain-Admins, Applikations-Administratoren oder technische Servicekonten sind beliebte Ziele von Angreifern. Häufig kommen hier klassische Privileged Access Management (PAM)-Lösungen zum Einsatz – doch diese sind oft komplex, ressourcenintensiv und bieten Angriffsfläche, wenn sie nicht durchgängig umgesetzt werden.

Ein alternativer Weg führt über Just-in-Time-Freigaben, Zugriffsbeschränkung nach Quelle/Ziel und Kontextprüfung (z. B. Risikobasierung). Dabei sollen privilegierte Konten nur dann aktiv sein, wenn sie auch tatsächlich gebraucht werden – nicht dauerhaft.

Ein Highlight des Webinars war die Live-Demo, in der Martin Menzer zeigte, wie Authentifizierungsversuche protokolliert und bewertet werden können - auch bei klassischer Infrastruktur.

Beispielhafte Schutzmaßnahmen waren unter anderem:

• Zugriffskontrolle auf Dateifreigaben über zusätzliche MFA-Schritte
• Analyse von Remote-Logins in Realtime
• Integration mit bestehenden Identity Providern wie Microsoft Entra oder Okta

Dabei wurde deutlich: Technische Sicherheit kann auch benutzerfreundlich sein – sofern klar geregelt ist, welche Zugriffe erlaubt sind und wann eine zusätzliche Verifikation notwendig ist.

„Der Angreifer ist wahrscheinlich schon in Ihrem Netzwerk. Die Frage ist: Können Sie ihn aufhalten?“ (Martin Menzer, Silverfort)

Identitätssicherheit ist längst keine Zusatzoption mehr, sondern gehört ins Zentrum jeder IT-Sicherheitsstrategie. Wer Angreifer wirksam stoppen will, muss davon ausgehen, dass diese bereits im Netzwerk aktiv sind – und entsprechend handeln.

Es braucht:

• Transparenz über alle Identitäten – menschlich wie maschinell
• kontextbasierte Zugriffskontrolle
• durchgängige MFA auch für „unsichtbare“ Bereiche

Denkanstöße & Empfehlungen

• Identität ist die neue Angriffsfläche: Unternehmen müssen Identitätsmanagement und -schutz als zentrales Element ihrer IT-Security betrachten.
• Nicht nur Cloud schützen: On-Prem-Umgebungen sind nicht veraltet – sie sind verwundbar.
• Service Accounts sind keine Nebensache: Wer hier den Überblick verliert, verliert die Kontrolle.
• Künstliche Intelligenz kann helfen, verdächtiges Verhalten zu erkennen – auch ohne vollständiges Wissen über Berechtigungsstrukturen.

Tipp: Beim Cyber Crime Forum am 12. Juni in Wien haben Sie die Gelegenheit, Expert:innen persönlich zu treffen und tiefer ins Thema einzutauchen.