Cyber Threat Intelligence: Risikoexpositionen erkennen, bevor Angreifer es tun
Rein hypothetisch: Wo würden Sie als Cyberkriminelle:r Ihren Angriff starten? Mit Sicherheit dort, wo der Aufwand klein und die Wirkung gross ist. Die meisten Angriffe entstehen nicht aus hochspezialisierten Einzeloperationen, sondern aus Opportunitäten. Cyberkriminelle suchen skalierbare Eintrittspunkte, automatisieren die Suche und verwerten erfolgreiche Zugänge weiter. So wird ein kompromittierter Unternehmenszugang zum verwertbaren Einstiegspunkt.
Angriffsflächen 2025 in Zahlen: von Phishing bis zur Supply ChainPhishing ungeschlagen: 43 % aller Angriffe beginnen hier
Cyberkriminelle versuchen durch kompromittierte E-Mail-Accounts, weitere Benutzer:innen zu phishen. Mit LLMs lassen sich Phishing-Szenarien mit geringem Aufwand skalieren. So sind die meisten Phishingangriffe weniger gezielt als opportunistisch: Entscheidend ist die Quantität der versendeten E-Mails.
25 % schlecht geschützte Remote Services
Angreifer testen exponierte Login Prompts systematisch mit Brute Force oder Password Spraying. Dabei nutzen sie bekannte Benutzername-Passwort-Kombinationen, geleakte Passwörter, typische Varianten und erkennbare Muster in der Passwortwahl von Mitarbeitenden. Entsprechend zählen Brute Force und Password Spraying zu den häufigen Angriffsvektoren, die 2025 im InfoGuard Security Operations Center (SOC) als True Positive erkannt wurden.
20 % exponierte Schwachstellen: Patchfenster schrumpfen weiter!
Gemäss Zerodayclock werden Schwachstellen 2026 im Schnitt bereits nach 2,1 Tagen ausgenutzt gegenüber 21,5 Tagen im Vorjahr. Diese Beschleunigung setzt klassische Patchprozesse massiv unter Druck. Ein wesentlicher Treiber sind KI-Tools, die sowohl die Erkennung von Schwachstellen als auch die Entwicklung von Exploits erleichtern.
12 % Supply Chain: Wenn Vertrauen zur Angriffsfläche wird
Partner und Lieferanten stellen Software, Services und Hardware bereit, warten Systemeüber Remotezugänge oder unterstützen geschäftskritische Prozesse. Genau dadurch wird die eigene Sicherheit zunehmend von der Sicherheit Dritter abhängig. Supply-Chain-Risiken entstehen dort, wo Vertrauen, technische Abhängigkeiten und externe Zugriffe zusammenkommen.
Krimineller Markt: Wenn Unternehmenszugänge handelbar werden
Die häufigsten Eintrittspunkte zeigen: Der erste Zugriff auf eine Unternehmensumgebung ist längst nicht mehr nur ein technisches Problem, sondern Teil eines kriminellen Markts. Initial Access Broker beschaffen, prüfen und verkaufen solche Zugänge weiter. Was früher der Auftakt eines einzelnen Cyberangriffs war, ist heute Teil der cyberkriminellen Wertschöpfungskette.
Dabei zählt Skalierbarkeit. Cyberkriminelle sammeln möglichst viele Zugänge, bewerten deren Schadenpotenzial und verkaufen besonders lohnende Einstiege weiter. Ein kompromittiertes VPN-Konto, ein gültiger Remote-Zugang, ein gekaperter Cloud-Account oder Zugriff auf ein internes System kann bereits genügen – etwa für Ransomware, Datendiebstahl, Erpressung oder Spionage.
Für Unternehmen bedeutet das: Der eigentliche Angriff beginnt oft lange bevor Ransomware ausgeführt oder Daten gestohlen werden – nämlich dann, wenn ein Zugang unbemerkt kompromittiert und in kriminellen Lieferketten weitergereicht wird.
«Gehandelt werden nicht blosse Logins, sondern Zugriffschancen und damit die Möglichkeit, ein Unternehmen für Erpressung, Betrug oder Spionage verwertbar zu machen.»
Gestohlene Zugangsdaten: Warum die Rolleüber den Schaden entscheidet
Welche Zugänge abfliessen und wie sie missbraucht werden, hängt vom Kompromittierungsweg und der betroffenen Rolle ab.
Die folgenden Beispiele zeigen, wie unterschiedlich das Schadenspotenzial je nach Funktion ausfällt:
Mitarbeitende
E-Mail-Konten: Business E-Mail Compromise, internes Phishing, Zugriff auf vertrauliche Kommunikation, Passwort-Resets
M365/Google Workspace Account: SharePoint, OneDrive, Teams/Chat, Kalender, interne Dokumente
Session Cookies und Browser Tokens: Zugriff ohne Passwort ohne erneute MFA-Abfrage
VPN-Konten: Einstieg ins interne Netzwerk
Passwort-Manager-Inhalt: Zugriff auf weitere interne und externe Dienste
Vertrieb/Verkauf
CRM-Zugänge: Kundendaten, Pipeline, Verträge, Kontaktlisten
E-Mail-Konten: Rechnungsbetrug
Signierungs-Lösungen: Manipulation oder Missbrauch von Vertragsprozessen
Kundenportal-Zugang: Kundendaten, Servicefälle, Bestellungen
Helpdesk/IT-Support
Helpdesk-Accounts: Passwort-Resets, Account-Recovery, Benutzerinformationen
Ticketing-System: interne Probleme, Systemnamen, laufende Projekte
Remote-Support-Zugänge: Direkt-Zugriff auf Endgeräte und Server
MDM- und Endpoint-Management-Zugänge: Geräteverwaltung, Softwareverteilung, Policy-Änderungen
MFA-Reset oder MFA-Registrierungsrechte: Übernahme fremder Accounts
Engineering / IT-Betrieb
VPN- und Jumphost-Zugänge: Zugriff auf interne Administrationszonen
SSH-Keys: Zugriff auf Linux-Server, Netzwerkgeräte, Appliances
Domänen-Admin: Vollständige Kompromittierung der Windows-Umgebung
Cloud-Admin-Zugänge: Zugriffe auf virtuelle Geräte, Storage, IAM, Datenbanken, Backup
Kubernetes-Admin-Zugänge: Zugriff auf Cluster, Secrets, Workloads, Container
Softwareentwicklung / DevOps
GitHub-/GitLab-/Bitbucket-Zugänge: Quellcode-Diebstahl, Suche nach Secrets, Codemanipulation
CI/CD-Secrets: Manipulation von Builds und Deployments
Deployment Tokens: Veröffentlichung manipulierte Software in Produktion
Container-Registry-Zugänge: Einschleusen bösartiger Images
Package-Registry-Zugänge: Supply-Chain Angriffe über manipulierte Pakete
Signing-Zertifikate: Signieren manipulierte Software
Secrets auf lokalen Entwicklermaschinen: Seiteneinstieg in Build-, Test-, Produktionsumgebungen
Webhook-Secrets: Manipulation von Integrationen und Automationen
Identitäten härten und überwachen: 7 Massnahmen gegen kompromittierte Identitäten
Identitäten gehören heute zu den wichtigsten Angriffszielen. Oft brauchen Angreifer keine Malware und keine komplexe Schwachstelle. Ein gültiges Passwort, ein gestohlener Session-Cookie oder ein manipulierter MFA-Prozess genügt. Identitätsschutz muss deshalb als eigene Sicherheitsdisziplin verstanden werden, nicht als reine IT-Administrationsaufgabe.
Folgende sieben Massnahmen zeigen, wie Organisationen Identitäten, Zugriffe und Sessions wirksam absichern:
Benutzerkonten mit phishing-resistenter MFA absichern
Alle Benutzerkonten brauchen starke Authentifizierung. MFA ist Pflicht, aber nicht jede MFA ist phishing-resistent: SMS-Codes und einfache Push-Bestätigungen lassen sich umgehen. Wirksamer sind FIDO2 Security Keys, Passkeys oder zertifikatsbasierte Verfahren – besonders für privilegierte Konten, Helpdesk-Rollen sowie Zugriffe auf Cloud-, VPN- und Remote-Access-Systeme.
Anmeldungen mit Conditional Access bewerten
Conditional Access bewertet nicht nur Benutzername, Passwort und MFA, sondern auch den Kontext der Anmeldung: Gerät, Standort, Browser, Zugriffsmuster und Sensibilität der Daten. So lassen sich riskante Logins blockieren, zusätzliche Prüfungen erzwingen oder Zugriffe auf vertrauenswürdige Geräte beschränken.
Privilegierte Identitäten streng kontrollieren
Admin-Konten brauchen getrennte Zugänge, starke MFA, «Just-in-Time»-Zugriff, rollenbasierte Berechtigungen und lückenloses Logging. Dauerhaft aktive Global-Admin-, Domain-Admin- oder Cloud-Admin-Rechte erhöhen das Risiko unnötig. Privilegien sollten nur bei Bedarf vergeben und danach automatisch wieder entzogen werden.
Passwörter nicht unterschätzen
Passwörter bleiben relevant, besonders ohne phishing-resistente Authentifizierung. Entscheidend sind starke Passwörter oder Passphrases, keine Wiederverwendung, keine geleakten oder Standard-Passwörter und keine gemeinsam genutzten Konten. Passwortmanager helfen bei der sicheren Verwaltung; langfristig sollten passwortlose Verfahren zum Zielbild werden.
Session-Schutz: MFA endet nicht nach dem Login
Angreifer stehlen zunehmend Browser-Cookies und Tokens, um MFA zu umgehen. Deshalb sollten Unternehmen riskante Sessions erkennen, Token-Lebenszeiten begrenzen, Re-Authentication bei sensiblen Aktionen verlangen und Zugriffe von nicht verwalteten Geräten einschränken. Der Schutz endet nicht nach dem Login
Helpdesk-Prozesse absichern
Cyberkriminelle umgehen technische Schutzmassnahmen oftüber den Support, etwa durch manipulierte MFA-Resets, neue Geräte-Registrierungen oder Passwortänderungen. Helpdesk-Prozesse brauchen deshalb klare Identitätsprüfungen, Vier-Augen-Prinzipien und Alarme bei sensiblen Änderungen. Ein schwach abgesicherter Helpdesk kann selbst starkeMFA aushebeln.
Identity Use Cases für Monitoring und Detection definieren
Logs allein reichen nicht. Entscheidend sind konkrete Identity-Use-Cases für Monitoring und Detection: unmögliche Reisebewegungen, ungewöhnliche Herkunftsländer, gehäufte Login-Fehler, unübliche MFA-Registrierungen, neue Geräte, verdächtige OAuth-Freigaben, Passwort-Reset-Anomalien, privilegierte Rollenänderungen oder massenhafte Dateizugriffe.Identitäten müssen geschützt und laufend überwacht werden.
«Nicht jede Anmeldung ist vertrauenswürdig, nur weil das Passwort stimmt.»
Eine starke Identity-Sicherheitsstrategie wirkt erst im Zusammenspiel: robuste Authentifizierung, kontextbasierte Zugriffe, minimale Rechte, sichere Admin-Prozesse, Session-Schutz, laufendes Monitoring und schnelle Reaktion bei verdächtigen Anmeldungen.
Wie stark Identitäten 2025 ins Zentrum realer Cybervorfälle gerückt sind, zeigt das Whitepaper«InfoGuard Threat Intelligence Insights 2025». Es ordnet aktuelle Angriffsmuster ein und zeigt, welche Massnahmen Organisationen priorisieren sollten, um Account Takeover früher zu erkennen und gezielter zu verhindern.
Endpunkte und Serverüberwachen: Angriffe erkennen, bevor sie eskalieren
Auch starke Identity Security schliesst nicht jede Lücke. Angreifer können über Schwachstellen, gestohlene Sessions, kompromittierte Lieferanten oder bereits vorhandene Zugänge in eine Umgebung gelangen. Ab diesem Moment entscheidet Sichtbarkeit darüber, ob ein Angriff früh erkannt wird oder ob sich Angreifer ungestört weiterbewegen.
EDR-Abdeckung: Sensorik auf den entscheidenden Systemen
Systeme mit Zugriff auf Unternehmensdaten oder interne Infrastrukturen brauchen eine möglichst vollständige EDR-Abdeckung: Arbeitsplätze, Notebooks, Server, virtuelle Maschinen, Terminalserver, Admin-Systeme und kritische Applikationsserver. Besonders wichtig sind Systeme, auf denen privilegierte Benutzer:innen arbeiten oder über die auf geschäftskritische Daten zugegriffen wird.
EDR ist dabei nicht einfach ein weiteres Tool, sondern die Sensorik auf dem System selbst. Sie erkennt verdächtige Prozessketten, ungewöhnliche Skriptausführung, Credential Dumping, laterale Bewegung, Ransomware-Verhalten oder Manipulationen an Sicherheitstools. Ohne diese Sichtbarkeit erkennt ein Unternehmen oft nur noch die Folgen – nicht aber den eigentlichen Ablauf des Angriffs.
Wenn EDR nicht möglich ist: Sichtbarkeit anders herstellen
Nicht jedes System lässt sich mit einem EDR-Agenten ausstatten. Legacy-Systeme, Produktionsanlagen, Appliances, Netzwerkgeräte, Mainframes, OT-Systeme oder hochkritische Plattformen mit Stabilitätsanforderungen brauchen kompensierende Kontrollen. Wo EDR nicht möglich ist, müssen mindestens administrativeZugriffe kontrolliert, protokolliert und überwacht werden – etwa über gehärtete Jump Hosts oder Admin Workstationsmit EDR-Abdeckung.
Zusätzlich braucht es Netzwerksichtbarkeit durch Network Detection and Response (NDR) sowie zentrale Logs im SIEM. NDR hilft, laterale Bewegung, ungewöhnliche Verbindungen, Command-and-Control-Kommunikation, Scans oder Datenabfluss zu erkennen. Gerade dort, wo kein Endpoint-Agent installiert werden kann.
Kritische Server: Keine blinden Flecken in der Eskalationszone
Besonders kritisch ist dieÜberwachung von Servern mit hoher Bedeutung. Domain Controller, Identity-Systeme, Backup-Server, Virtualisierungsplattformen, File Server, Datenbanken, Applikationsserver, CI/CD-Systeme, Management-Server, EDR-/SIEM-Komponenten und Cloud Connectoren. Wer nur Benutzer-Endgeräte überwacht, aber Server, Linux-Systeme, virtuelle Umgebungen oder Admin-Infrastruktur vernachlässigt, erkennt möglicherweise den Einstieg –verpasst aber die Eskalation.
Der entscheidende Punkt: Jede Ausnahme braucht Transparenz. Unternehmen müssen wissen, welche Systeme existieren, welche davon EDR haben, welche Ausnahmen bestehen und welche kompensierenden Kontrollen greifen. «Fast überall» reicht nicht, wenn ausgerechnet kritische Systeme blind bleiben.
Managed Risk Exposure: Welche Risiken zuerst reduziert werden müssen
Neben Identitätsschutz sowie Endpunkt- und Server-Monitoring braucht es eine dritte zentrale Fähigkeit, die eigene Angriffsfläche kontinuierlich zu prüfen. Denn viele Angriffe beginnen nicht mit hochkomplexen Exploits, sondern damit, was nach aussen sichtbar, falsch konfiguriert, vergessen oder nichtsauber verantwortet ist.
Dazu gehören unmanaged Assets, exponierte Systeme, Shadow IT, Fehlkonfigurationen, ungepatchte Schwachstellen und technische Angriffspfade, die Angreifer schneller finden als die eigene Organisation. Genau hier entsteht ein gefährlicher blinder Fleck: Organisationen schützen häufig, was sie kennen – kompromittiert werden sie über das, was niemand mehr auf dem Radar hatte.
Von Schwachstellenlisten zu echten Cyberrisiken
Managed Risk Exposure erweitert klassisches Vulnerability Management um den entscheidenden Kontext: Es geht nicht nur darum, CVEs zu scannen und Tickets zu erstellen. Entscheidend ist die tatsächliche Angriffsfläche: Welche Systeme sind von aussen erreichbar? Welche Identitäten haben kritische Rechte? Welche Cloud-Ressourcen sind falsch konfiguriert? Welche Lieferanten- oder Remote-Zugänge existieren? Welche Schwachstellen lassen sich realistisch zu einem Angriffspfad kombinieren?
Der wichtigste Punkt: Nicht alles kann gleichzeitig behoben werden. Deshalb braucht es risikobasierte Priorisierung. Eine kritische Schwachstelle auf einem isolierten Testsystem ist nicht automatisch wichtiger als eine mittlere Schwachstelle auf einem exponierten System mit Zugriff auf produktive Daten. Entscheidend sind Erreichbarkeit, Kritikalität, vorhandene Kontrollen, mögliche Auswirkungen und Wahrscheinlichkeit zur Ausnutzung.
Identifizierte Risiken sollten deshalb laufend priorisiert werden. Diese Liste ist kein statisches Reporting-Artefakt, sondern ein operatives Steuerungsinstrument. Sie zeigt, welche Risiken mit den verfügbaren Ressourcen zuerst reduziert werden müssen und welche Massnahmen den grössten Sicherheitsgewinn bringen.
Die typischen Bereiche sind:
Unmanaged Assets: Systeme ohne Besitzer, EDR, Patch-Prozess oder Inventarisierung
Exposed Assets: Internet-erreichbare Server, VPN-Portale, Remote-Zugänge, Admin-Oberflächen, Cloud-Dienste
Shadow IT: Nicht freigegebene SaaS-Dienste, private Cloud-Ressourcen, vergessene Subdomains, inoffizielle Tools
Fehlkonfigurationen: Offene Storage Buckets, zu breite Firewall-Regeln, schwache IAM-Rollen, unsichere Standardkonfigurationen
Schwachstellen: Ungepatchte Systeme, veraltete Software, bekannte Exploit-Pfade, fehlende Härtung
Angriffspfade: Kombinationen aus Exponierung, Identitäten, Berechtigungen, Netzwerkzugriff und Schwachstellen
Findingsübersetzen: Was technisch auffällt, muss geschäftlich relevant sein
Besonders wertvoll wird dieser Ansatz, wenn technische Findings nicht isoliert betrachtet werden. Ein offener Port ist noch kein Risiko in verständlicher Sprache. Ein exponiertes Admin-Interface ohne MFA auf einem geschäftskritischen System dagegen schon. Genau diese Übersetzung ist entscheidend: Aus technischen Findings werden priorisierte Risiken, die Management und Technik gemeinsam verstehen und bearbeiten können.
Cyberresilienz beginnt mit einem realistischen Lagebild
Ein jährlicher Blick auf die Angriffsfläche reicht nicht. Neue Systeme, Cloud-Projekte, Lieferanten, Software-Releases, Berechtigungen, Akquisitionen oder Schatten-IT verändern die Sicherheitslage laufend. Wer seine Angriffsfläche nur einmal jährlich prüft, ist praktisch immer zu spät. Entscheidend ist ein wiederkehrender Prozess: Risiken identifizieren, bewerten, priorisieren, Massnahmen umsetzen und deren Wirkung überprüfen.
Das InfoGuard Whitepaper «Threat Intelligence Insights 2025» vertieft diese Perspektive auf Basis von über 350 realen Cybervorfällen, die wir im Jahr 2025 bearbeitet haben. Es zeigt, welche Angriffspfade besonders relevant sind, warum Identitäten, Sichtbarkeit und Reaktionsfähigkeit 2026 weiter an Bedeutung gewinnen. Im Mittelpunkt stehen konkrete Erkenntnisse aus realen Angriffsmustern. So entsteht ein Lagebild, das nicht bei der Analyse stehen bleibt, sondern hilft, Monitoring gezielt auszubauen, Prozesse zu testen und Entscheidungen fundierter zu treffen.
Nutzen Sie das Whitepaper«InfoGuard Threat Intelligence Insights 2025» als Realitätscheck: Prüfen Sie, welche Angriffsmuster jetzt besonders relevant sind – und welche Massnahmen für Ihre Organisation Priorität haben.
Ein Angriff. Ein blinder Fleck. Eine Chance, das zuändern.
Sandro Bachmann, Principal Threat Intelligence Analyst, weiss aus täglicher Praxis: Ein Angriff läuft selten so ab, wie man ihn erwartet.
Im «Cyber Threat Intelligence Webinar» vom 27. Mai 2026 zeigt er, wie moderne Bedrohungen wirklich funktionieren und woran Organisationen Risikoexpositionen frühzeitig erkennen.
Wann: Mittwoch, 27. Mai 2026 | 10.00 – 10.45 Uhr
Wo: virtuell
Sind Sie dabei? Einfach anmelden und teilnehmen. Wir freuen uns auf Sie!
Categories: Allgemein
No Responses Yet
You must be logged in to post a comment.