Was ist Identity Security? Bestandteile, Bedrohungen & Benefits erklärt!
Angreifer brechen nicht mehr ein, sie loggen sich ein. Im Kampf gegen Hacker und Cyberkriminelle bilden Identitäten die Frontlinie. Wer sich vor modernen Bedrohungen und dem Zuwachs identitätsbasierter Angriffe schützen will, braucht neue Strategien. Mit Identity Security rückt die Absicherung digitaler Identitäten ins Zentrum.
Was ist Identity Security?
Der Begriff Identity Security beschreibt ein Framework aus Technologien und Prozessen, die darauf abzielen, digitale Identitäten vor Cyberattacken und Insider Threats zu schützen. Identity Security ist ein Strategiewechsel, mit dem die IT-Sicherheit auf zwei wichtige Trends reagiert:
Die zunehmende Auflösung von Netzwerkgrenzen durch Cloud-Apps, Remote Work und hybride Umgebungen, welche Identitäten nicht nur leichter angreifbar macht sondern auch über zahllose Systeme verstreut.
Der enorme Anstieg von identitätsbasierten Angriffen, bei denen Cyberkriminelle versuchen, über kompromittierte Konten in IT-Systeme einzudringen und an sensible Daten zu gelangen.
Identity Security hat das Ziel, digitale Identitäten trotz der schwierigen Rahmenbedingungen durch steigende Komplexität und wachsende Bedrohungen effektiv zu schützen. Dazu gehört Benutzer sicher zu authentifizieren, mit den richtigen Berechtigungen zu autorisieren, diese Privilegien regelmäßig zu auditieren und relevante IT-Events zu überwachen, um Gefahren rechtzeitig zu erkennen.
Zu diesem Zweck verbindet Identity Security Elemente des Identity & Access Management mit dem neu entstandenen Feld Identity Threat Detection & Response. Während IAM darauf abzielt, Risiken zu minimieren, indem Organisationen Best Practices wie das Least Privilege Prinzip einhalten, hilft ITDR Organisationen dabei, Angriffe proaktiv zu erkennen und abzuwehren, indem es verdächtige Aktivität in Echtzeit sichtbar macht.
Identity Security setzt sich also aus mehreren Kategorien und Produkten zusammen, die jeweils unterschiedliche Features zu einer ganzheitlichen Security-Strategie beisteuern. Dazu zählen:
Identity Provider (IdP): Access Management, Mulit-Faktor-Authentifizierung (MFA), Single Sign-On (SSO), Conditional Access
Identity Governance & Administration (IGA): Rollenbasierter Zugriff, Lifecycle Management, Self-Service Requests, Access Reviews
Data Access Governance (DAG): Berechtigungsreporting auf Objekt-Ebene, Change Tracking, Änderungshistorie
Privileged Access Management (PAM): Passwort-Vaults für privilegierte Konten, Session Aufzeichnung und Überwachung
Identity Threat Detection & Response (ITDR): Event-Überwachung, Erkennen von Bedrohungen, Behavioral Analytics, automatische Reaktion
Warum ist Identity Security wichtig?
Identitätsbasierte Angriffe sind die häufigste Angriffsmethode, mit der Organisationen zu kämpfen haben. Der Grund dafür ist einfach: Im Gegensatz zu Software-Schwachstellen und Sicherheitslücken sind identitätsbasierte Methoden meist sehr simpel: Phishing-Mails, Links zu gefälschten Anmelde-Seiten oder Malware im Email-Anhang.
Diese simple Herangehensweise hat für Angreifer den Vorteil, dass identitätsbasierte Methoden leicht zu automatisieren sind. Cyberkriminelle können so mit einfachen Mitteln riesige Kampagnen starten, die zehntausende Accounts auf einmal angreifen. Bei dieser hohen Frequenz genügt auch eine geringe Erfolgsrate, damit den Hackern früher oder später ein unachtsamer User ins Netz geht.
Für Organisationen ist es nahezu unmöglich, diesem konstanten Bombardement auf Dauer standzuhalten. Nach einer Auswertung der Identity Security Alliance aus dem Jahr 2025 hatten unter den befragten Unternehmen 86% einen Sicherheitsvorfall, der auf eine kompromittierte Identität zurückging. Da diese Attacken automatisiert ablaufen, ist dabei keine Firma zu klein, um zum Ziel zu werden.
Security Teams befinden sich also in einer schwierigen Lage: IT-Umgebungen werden immer komplexer und dadurch schwerer abzusichern. Identitäten sind auf mehr und mehr Cloud-Apps und SaaS-Anwendungen verstreut. Die Angriffsfläche wächst und klassische, perimeter-basierte Sicherheit reicht nicht mehr aus, um Unternehmen zu schützen. Entsprechend war ein neuer Ansatz erforderlich, der Identitäten in allen Systemen schützt: Identity Security.
Was ist der Unterschied zwischen Identität und Account?
Eine Identität ist die virtuelle Repräsentation eines Benutzers, Geräts oder Dienstes in einem digitalen System. Identitäten bilden sozusagen eine Meta-Ebene hinter den einzelnen Accounts: Jeder Account gehört zu einer bestimmten Identität, aber Identitäten können selbst mehrere Accounts haben. Zum Beispiel hat ein Mitarbeiter in einer Organisation (die Identität) meist einen Account im Active Directory, einen E-Mail-Account, einen Account in Geschäftsanwendungen, etc.
Durch eine übergeordnete Identität können Accounts nicht nur schneller bereitgestellt, sondern sind auch einfacher zu verwalten und kontrollieren. Identitäten sind also ein wichtiges Konzept, das die Verwaltung von IT-Umgebungen erleichtert.
Was ist der Unterschied zwischen Identity Security und IAM?
Identity und Access Management (IAM) ist ein zentraler Bestandteil von Identity Security. Allerdings umfasst Identity Security mehr als nur IAM. Der wesentliche Unterschied liegt dabei in der Integration von Identity Threat Detection & Response (ITDR), um Organisationen Echtzeit-Einblicke in User- und Zugriffsevents zu geben.
Was ist der Unterschied zwischen Identity Security und Zero Trust?
Sowohl Zero Trust als auch Identity Security zielen darauf ab, das Risiko und die möglichen Folgen eines gestohlenen Benutzerkontos zu minimieren. Entsprechend gibt es große Überschneidungen zwischen beiden Strategien.
Zero Trust basiert auf dem Grundsatz, dass jedes Konto potentiell kompromittiert sein könnte, und setzt daher vor jedem Zugriff starke und kontinuierliche Authentifizierung voraus. Neben der Bestätigung der Identität des Users werden dabei auch Faktoren wie Standort und Hardware überprüft, Privilegien nach dem Least-Privilege-Modell eingeschränkt und das Netzwerk durch Mikro-Segmentierung unterteilt, um die laterale Ausbreitung einzuschränken.
Identity Security setzt ebenso auf sichere Authentifizierung und Governance nach dem Least-Privilege-Grundsatz. Allerdings liegt der Fokus hier durch die Integration von ITDR noch stärker auf der kontinuierlichen Überwachung relevanter IT-Events, auch abseits der wiederholten Identitätsprüfung.
Der Unterschied zwischen Zero Trust und Identity Security liegt also darin, dass Zero Trust auch Netzwerksegmentierung mit einschließt während Identity Security einen stärkeren Fokus auf die Überwachung von IT-Events (auch abseits von Zugriffsversuchen) legt.
Was sind identitätsbasierte Angriffe?
Unter einem identitätsbasierten Angriff versteht man grundsätzlich jede Angriffsmethode, die darauf abzielt, in das Konto eines Benutzers, Dienstes oder Gerätes einzudringen und es so für die eigenen Zwecke zu missbrauchen.
Dabei greifen Cyberkriminelle auf eine Vielzahl an Methoden zurück, die von simplen Spam-Mails bis zu personalisiertem Social Engineering reichen. Die häufigsten Arten identitätsbasierter Angriffe, die Organisationen kennen sollten, sind:
Phishing: Beim Phishing versuchen Angreifer, durch das Nachahmen vertrauenswürdiger Sender oder das Vortäuschen falscher Tatsachen User dazu zu bringen, auf Links zu klicken oder Dateien zu öffnen. Die Verbreitung von KI-Tools macht es dabei zunehmend einfacher, sprachlich überzeugende Nachrichten zu formulieren. Auch neue Angriffswege wie Voice Phishing durch künstlich nachgestellte Stimmen werden so möglich.
Social Engineering: Social Engineering zielt darauf ab, Benutzer zu manipulieren indem langsam ihr Vertrauen erschlichen wird oder man sie mit plötzlichen Stresssituationen konfrontiert (etwa eine Anweisung vom vermeintlichen CEO). Vorgehensweisen können sich stark unterscheiden und reichen von plumpen Drohungen zu lange vorbereiteten Kampagnen, bei denen zur besseren Glaubwürdigkeit im Vorfeld persönliche Details ausgeforscht werden.
Credential Stuffing: Beim Credential Stuffing probieren Angreifer etliche gestohlene oder geleakte Passwörter durch und hoffen darauf, dass User ein gängiges Kennwort verwenden oder dieses über mehrere Dienste hinweg nutzen. Neben starken und einzigartigen Passwörtern helfen Zeitlimits für wiederholten Anmeldeversuche dabei, diese Technik auszubremsen.
Password Spraying: Ähnlich zum Credential Stuffing versuchen Angreifer beim Password Spraying häufig genutzte Passwörter zu erraten. Anstelle viele Passwörter bei einem Account durchzuprobieren testet man dabei allerdings eine kleine Zahl an Passwörtern bei so vielen Accounts wie möglich. Dieser niederschwellige Zugang soll Gegenmaßnahmen wie zeitliche Sperren oder die Benachrichtigung von Admins unterlaufen.
Brute-Force Attacks: Statt dem Durchprobieren bekannter Passwörter versuchen Brute-Force-Methoden die Zugangsdaten durch das Austesten jeder möglichen Zeichenkombination zu erraten. Aufgrund der hohen Zahl fehlgeschlagener Versuche sind diese Angriffe meist sehr auffällig, dennoch können gerade schwache Passwörter auf nicht ausreichend gesicherten Systemen so geknackt werden.
Session Hijacking: Indem der Session Cookie eines Benutzers gestohlen wird, können Angreifer eine bereits eingeloggte Session im Browser weiterverwenden. Das Ziel dabei ist, die Zugangsdaten des Users zu ändern um dauerhaft die Kontrolle über den Account zu erlangen. Aus diesem Grund ist die Änderung wichtiger Einstellungen wie Zugangsdaten und MFA auch für eingeloggte User mit zusätzlichen Kontrollen verbunden.
Insider Threats: Nicht alle Angreifer befinden sich außerhalb der Organisation. Benutzer, die sich schlecht behandelt oder übergangen fühlen, richten ihren Groll zum Teil gegen ihren Arbeitgeber. Bekannte Fälle sind etwa die Sabotage von Systemen in Reaktion auf die eigene Kündigung oder der Diebstahl von geschäftlichen Daten vor dem Wechsel zur Konkurrenz. Die Überwachung von IT-Ereignissen sowie umgehendes und vollständiges Offboarding können derartige Vorfälle vermeiden.
Bestandteile von Identity Security
Das Ziel von Identity Security ist es, digitale Identitäten vor Gefahren jeglicher Art zu schützen. Dazu braucht es umfassende Sicherheitsmaßnahmen, die unmittelbare Bedrohungen wie gehackte Konten oder Insider Threats ebenso abwehren, wie strukturelle Risiken durch Privilege Creep und veraltete Konten.
Die wichtigsten Komponenten einer erfolgreichen Identity-Security-Strategie sind:
Authentifizierung
Authentifizierung bildet die erste Hürde, die ein Angreifer auf dem Weg in Ihr Netzwerk überwinden muss. Hier ist Multi-Faktor Authentifizierung ein Must-Have, um Attacken möglichst schon am Tor zur eigenen IT aufzuhalten. Angriffsmethoden, die auf dem Ausnutzen schwacher oder häufiger Passwörter basieren, lassen sich so effektiv ausbremsen.
MFA alleine ist jedoch nicht unfehlbar: Angreifer können diese zusätzliche Kontrolle umgehen, indem sie User dazu bringen, den MFA-Prompt an ihrer Stelle auszufüllen. In der Praxis erfolgt dies oft über gefälschte Anmeldeseiten oder sogenannte MFA-Fatigue-Angriffe.
Organisationen können die mehrstufige Authentifizierung zusätzlich durch Policies für bedingten Zugriff (Conditional Access) untermauern. Anmeldungen werden dabei auf Faktoren wie Standort, Zeitpunkt und Gerätetyp überprüft, um verdächtige Logins herauszufiltern – zum Beispiel aus dem Ausland und außerhalb der Bürozeiten.
Um Sicherheit und Produktivität unter einen Hut zu bringen, helfen Lösungen für das Single Sign-On (SSO) dabei, die Arbeitszeit, die Benutzer durch das Anmelden in IT-Systemen verlieren, möglichst gering zu halten.
Autorisierung
Die Autorisierung bestimmt, welche Berechtigungen ein angemeldeter Benutzer innerhalb eines Systems erhält. User müssen dabei mit genau den Berechtigungen ausgestattet werden, die sie für ihre Arbeit brauchen. Hat ein Benutzer zu wenig Zugriff, kann er seine Aufgaben nicht abschließen. Umgekehrt bedeutet zu viel Zugriff ein Sicherheitsrisiko, da im Fall eines Angriffs umso mehr Daten durch ein Konto gefährdet sind.
Um jedem Benutzer die richtigen Privilegien zuzuweisen, braucht es ab einer gewissen Userzahl strukturierte Methoden wie rollenbasierten Zugriff. Dabei werden die Zugriffsrechte für bestimmte Standorte, Abteilungen und Positionen gebündelt und den entsprechenden Personen gesammelt zugewiesen.
Administration
Der Zugriff von Mitarbeitenden verändert sich im Laufe der Zeit. Neue Benutzer durchlaufen ihr Onboarding, bestehende User wechseln die Abteilung, andere verlassen die Organisation. Man spricht bei diesen Veränderung deshalb häufig von Joiner-Mover-Leaver-Prozessen (JML), die gemeinsam den sogenannten User Lifecycle bilden.
Die Verwaltung dieser Lebenszyklen bildet nicht nur wegen der Vielzahl einzelner Änderungen eine Herausforderung, sondern auch aufgrund der oft holprigen Kommunikation zwischen HR und IT. Wird die IT-Abteilung nicht rechtzeitig über personelle Veränderungen informiert, sind Konten zum Arbeitsbeginn noch nicht eingerichtet oder bleiben lange über die Kündigung hinaus aktiv.
Identity Governance & Administration automatisiert den User Lifecycle, indem Veränderungen in der HR-Datenbank erkannt und Zugriffe entsprechend angepasst werden. Vom Anlegen neuer Konten bis zum Löschen nicht mehr benötigter Berechtigungen sorgt IGA dadurch für korrekte Zugriffsrechte bei minimalem Aufwand.
Access Governance: Best Pratices für Microsoft-Umgebungen
Ein umfassender Leitfaden zur Umsetzung bewährter Best Practices für die Zugriffsverwaltung in Microsoft-Umgebungen.
Auditing
Um sicherzustellen, dass Konten und Zugriffsrechte auch langfristig den Sicherheitsanforderungen entsprechen, braucht es mehr als nur automatisiertes On- und Offboarding. Organisationen benötigen dazu weiters detailliertes Berechtigungsreporting sowie die Möglichkeit, alle Zugriffsrechte regelmäßig auf Aktualität zu prüfen.
Um diese sogenannten Access Reviews in Ihre Identity-Security-Strategie zu integrieren, sind zwei Faktoren entscheidend:
Eine aktuelle Übersicht, wer Zugriff worauf hat, die Berechtigungen im Detail und bis auf die Objektebene auflistet.
Die Einbindung der Fachbereiche in den Review-Prozess, da die jeweils Verantwortlichen am besten einschätzen können, wer Zugriff auf ihre Systeme benötigt.
Viele Governance-Lösungen gehen hier nicht tief genug, da sie zwar Gruppenzuweisungen und App-Lizenzen überprüfen, aber keinen Einblick in Objektberechtigungen bieten. Überflüssige Berechtigungen, die im Ernstfall sensible Daten gefährden, werden so nicht erkannt und nicht entfernt. Nur tiefgehende Kontrollen, wie sie etwa Lösungen für Data Access Governance (DAG) bieten, schaffen hier Abhilfe.
tenfold ist die erste IGA-Lösung, die Access Reviews für geteilte Inhalte in Microsoft 365 anbietet. Neben detaillierten Reviews für lokale Daten können Sie so genau nachvollziehen, wer welche Dateien mit wem teilt.
Alerting & Event Monitoring
Durch die Echtzeitauswertung von IT-Events können Organisationen Bedrohungen erkennen, aufhalten und somit eine weitere Eskalation verhindern. Lösungen für das Event-Monitoring machen verdächtige Aktivität sichtbar, wie etwa ein plötzlicher Anstieg an Logins, ungewöhnliche Zugriffe oder die Anlage neuer Konten.
Dank automatischer Alerts können Admins schneller auf diese Warnsignale reagieren. Ebenso lässt sich im Vorfeld festlegen, wie die Plattform bei bestimmten Mustern handeln soll, um etwa Konten bei Verdacht auf einen Angriff unmittelbar zu sperren oder aktive Sessions zu beenden.
Identity Threat Detection & Response (ITDR) spielt hier eine Schlüsselrolle. ITDR ergänzt klassische Governance-Lösungen um die dringend benötigte Echtzeitauswertung von Events. Während IGA also einschränkt, was User dürfen, zeigt ITDR, was User tatsächlich tun. Das macht Alerting und Event Monitoring zu wichtigen Komponenten einer umfassenden Identity-Security-Strategie.
tenfold: Governance & Visibility in einer Lösung
Es ist wichtig zu verstehen, dass Identity Security keine Produktkategorie ist. Identity Security ist eine neue Strategie, mit der sich Organisationen vor dem Anstieg identitätsbasierter Angriffe schützen können. Um diese Strategie in die Tat umzusetzen, braucht es den richtigen Mix an Lösungen, um alle relevanten Aspekte abzudecken.
In der Praxis kombinieren Unternehmen dazu häufig drei verschiedene Produkte: Einen Identity Provider, eine Identity-Governance-Lösung und eine Event-Monitoring-Plattform.
Der Kauf mehrere Produkte treibt jedoch schnell die Kosten nach oben – insbesondere in mittelgroßen Organisationen, für die Lösungen aus dem Enterprise-Segment nicht nur teuer, sondern auch aufwändig zu nutzen sind.
Glücklicherweise gibt es eine Möglichkeit, den eigenen Stack klein und Kosten gering zu halten: tenfold verbindet mehrere der zentralen Säulen von Identity Security in einer einzelnen Lösung!
Umfassende Identity Governance, von Lifecycle Management und rollenbasiertem Zugriff bis hin zu Self-Service Requests, Funktionstrennung und Access Reviews.
Tiefgreifende Data Access Governance mit Berechtigungsreporting bis auf die Objektebene, für Fileserver ebenso wie für Microsoft 365 und geteilte Daten in Teams, OneDrive & SharePoint.
Event Auditing und Log Analyse dank der zentralen Auswertung von Windows-Events und umfangreichen Filtermöglichkeiten, um verdächtige Aktivität schnell aufzuspüren.
Das Beste daran? Dank fertiger Schnittstellen und No-Code Konfiguration ist tenfold in wenigen Wochen betriebsbereit, wo konventionelle Lösungen Monate bis Jahre brauchen. So können Sie Ihre Identity Security nicht nur schnell verbessern, sondern ersparen sich hohe Setup- und Wartungskosten.
Gerne stellen wir Ihnen unsere No-Code IGA Lösung samt der Event Auditing Features in einer persönlichen Demo vor.