IT-Security · Identity & Access

Identität ist der neue Perimeter: Warum Angreifer sich heute einloggen, statt einzubrechen

🕑 Lesezeit: ca. 8 Minuten | Stand: Juni 2026

Jahrzehntelang drehte sich IT-Sicherheit um Mauern: Firewall außen, vertrautes Netz innen. Dieses Bild stimmt nicht mehr. Moderne Angreifer brechen nicht durch die Wand – sie melden sich mit gültigen Zugangsdaten an der Vordertür an. Die wichtigste Verteidigungslinie ist heute nicht das Netzwerk, sondern die Identität.

Der Paradigmenwechsel

Statt Schwachstellen auszunutzen, setzen Angreifer zunehmend auf gestohlene Anmeldedaten, gekaperte Session-Tokens und missbrauchte API-Keys. Wer sich als legitimer Benutzer ausgibt, löst keinen Alarm aus – die klassische Perimeter-Firewall sieht nur einen erfolgreichen Login. Der Effekt: Eine kompromittierte Identität ist leiser, schneller und oft folgenreicher als jeder technische Exploit. Genau deshalb verschiebt sich der Fokus 2026 von der Netzwerksicherheit zur Identitätssicherheit.

„Die Firewall bewacht weiter den Zaun – während der Angreifer mit gültigem Schlüssel durch die Haustür geht.“

Zwei aktuelle Beispiele aus der Praxis

Wie real diese Bedrohung ist, zeigen zwei Vorfälle rund um Microsoft Entra ID, die hybride Umgebungen direkt betreffen:

Vorfall

Mechanismus

Folge

SyncJacking

Übernahme des Entra-Connect-Sync-Servers, Aushebeln der AD↔Entra-Authentifizierung

Kontoübernahme in der Cloud

CVE-2025-55241

Undokumentierte „Actor Tokens” über die veraltete Azure AD Graph API

Vollständige Tenant-Übernahme inkl. Global Admin

SyncJacking ist besonders brisant, weil es den Dreh- und Angelpunkt jeder hybriden Umgebung trifft: den Synchronisierungsserver. Gelingt es einem Angreifer, über laterale Bewegung die Kontrolle über diesen Server zu erlangen, lassen sich Kontenzuordnungen manipulieren und Cloud-Identitäten übernehmen. Microsoft hat das Risiko anerkannt, Schutzmaßnahmen in Entra Connect implementiert und beginnt mit deren vollständiger Durchsetzung – abhängig von Tenant-Konfiguration und Entra-Connect-Version.

Die Actor-Token-Lücke (CVE-2025-55241) war ein Weckruf: Über interne, eigentlich nur für die dienstübergreifende Kommunikation gedachte Tokens und eine veraltete API ließ sich potenziell jeder Mandant vollständig übernehmen – ohne dass im Zielmandanten selbst eine Schwachstelle vorhanden sein musste. Microsoft hat die Lücke kurz nach der Meldung geschlossen, doch das zugrundeliegende Muster bleibt: Wer Tokens kontrolliert, kontrolliert die Identität.

⚠ Jetzt prüfen: Entra-Connect-Durchsetzung

Die SyncJacking-Schutzmaßnahmen greifen nur mit einer aktuellen, unterstützten Entra-Connect-Version. Wer eine veraltete Version betreibt, profitiert nicht von der Härtung. Die derzeit wirksamste Gegenmaßnahme ist, MFA für alle synchronisierten Benutzer zu erzwingen – insbesondere für privilegierte Konten in AD und Entra ID.

Warum hybride Umgebungen besonders gefährdet sind

In hybriden Setups verschmelzen zwei Welten mit unterschiedlichen Sicherheitsmodellen. Der Sync-Server ist dabei faktisch ein Tier-0-System – mit demselben Schutzbedarf wie ein Domänencontroller. In der Praxis wird er aber oft wie ein gewöhnlicher Server behandelt: gemeinsam administriert, unzureichend überwacht, selten gehärtet. Genau diese Lücke nutzen Angreifer aus.

Die dreistufige Antwort

1. Vektor eliminieren: Passkeys

Passwortlose, phishing-resistente Anmeldung entzieht gestohlenen Credentials die Grundlage. Es gibt schlicht kein Passwort mehr zum Abgreifen.

2. Übergang sichern: AiTM-resistente MFA

Solange noch Passwörter im Einsatz sind, schützt MFA, die gegen Adversary-in-the-Middle-Angriffe gehärtet ist – etwa FIDO2 statt SMS-Codes.

3. Erkennen: ITDR

Identity Threat Detection & Response erkennt verdächtige Anmeldemuster und Rechteausweitungen – das, was trotz aller Prävention durchkommt.

Flankierend: Credential-Monitoring

Eigene Domains regelmäßig gegen Breach-Datenbanken prüfen, um kompromittierte Zugangsdaten früh zu entdecken.

Die Maßnahmen-Checkliste

✓ Entra Connect aktualisieren auf eine unterstützte Version, damit die SyncJacking-Härtung greift.

✓ MFA für alle synchronisierten Konten erzwingen – ohne Ausnahme für privilegierte Benutzer.

✓ Sync-Server als Tier-0 behandeln: dediziertes Admin-Konto, kein gemeinsames Management, isoliertes Netzsegment.

✓ Veraltete APIs abschalten – insbesondere Restbestände der Azure AD Graph API.

✓ Passkeys / FIDO2 ausrollen und SMS-/Voice-MFA schrittweise ablösen.

✓ ITDR evaluieren – prüfen, ob die bestehende Architektur identitätsbasierte Anomalien überhaupt erkennt.

✓ Privilegierte Rollen und ACLs regelmäßig auditieren – in AD wie in Entra ID.

✓ Credential-Exposure überwachen und auf Leaks reagieren.

ℹ Praxistipp

Identitätssicherheit beginnt mit Transparenz. Wer nicht weiß, welche Konten privilegiert sind, welche ACLs zu weit gefasst wurden und wo Kerberos- oder NTLM-Altlasten schlummern, kann nicht gezielt härten. Ein regelmäßiges Audit von Berechtigungen, privilegierten Gruppen und Authentifizierungsprotokollen ist die Grundlage jeder identitätszentrierten Verteidigung.

Fazit

Die Mauer ist gefallen. Wer 2026 noch primär in Netzwerksicherheit investiert, sichert weiter den Zaun, während der Angreifer mit gültigem Schlüssel durch die Haustür geht. Der wirksamste Schutz liegt in der Identität: phishing-resistente Anmeldung mit Passkeys, AiTM-resistente MFA für die Übergangszeit und ITDR für das, was trotzdem durchkommt – flankiert von einem konsequent gehärteten Sync-Server und regelmäßigen Berechtigungs-Audits. Identität ist der neue Perimeter. Behandeln Sie sie auch so.

Sysmon Analyzer Pro „Angriffe hinterlassen Spuren. Wir finden sie.”