So schützen Zugriffskontrollen vor Ransomware

Ransomware bleibt eine der größten Gefahren für Unternehmen – trotz wachsender Investitionen in IT-Sicherheit. Die Ursache: Der Erstzugriff gelingt Angreifern erschreckend häufig über kompromittierte Identitäten. Aktuelle Analysen zeigen, dass in rund drei Viertel der Fälle gestohlene oder missbrauchte Zugangsdaten das Einfallstor sind. Nicht der technische Exploit, sondern der Login ist das Problem. Wer dieses Risiko unterschätzt, setzt nicht nur Daten und Systeme aufs Spiel, sondern auch Betriebsfähigkeit, Ruf und Regeltreue.

Moderne Angreifer agieren automatisiert, arbeitsteilig und strategisch. Der Einstieg erfolgt häufig über öffentlich zugängliche Angriffsflächen: Remote-Logins, APIs, Schnittstellen von Drittsystemen. Sobald ein initialer Zugang gelingt – sei es durch Phishing, Credential Stuffing oder aus öffentlich bekannten Leaks – beginnt die stille Ausbreitung. Über unzureichend abgesicherte Konten oder nicht mehr überwachte Service-Accounts verschaffen sich Angreifer höhere Rechte, bewegen sich seitlich durchs Netzwerk und bereiten die eigentliche Erpressung vor. In dieser Phase bleibt der Angriff oft unentdeckt – bis es zu spät ist.

Wo Unternehmen angreifbar sind

Viele Sicherheitsstrategien setzen nach wie vor auf Schutz der Infrastruktur, nicht der Identität. Dabei entstehen Lücken: Externe Zugriffe werden nicht ausreichend begrenzt, privilegierte Konten bleiben dauerhaft aktiv, veraltete Login-Verfahren ohne Multi-Faktor-Authentifizierung (MFA) sind im Einsatz. Besonders kritisch wird es, wenn Sichtbarkeit fehlt – also nicht klar ist, wer wann auf welche Systeme zugreift, mit welchen Rechten und über welchen Kanal. Das macht es nahezu unmöglich, Angriffe frühzeitig zu erkennen oder im Nachgang zu rekonstruieren.

Moderne Verteidigungsstrategien setzen an der Identität an

Zero Trust hat sich als Leitmodell für resiliente Sicherheitsarchitekturen etabliert – gerade in Umgebungen, in denen klassische Netzgrenzen längst verschwimmen. Für CISOs bedeutet das: Der Schutz digitaler Identitäten muss systematisch in alle Schichten der Verteidigung integriert werden. Das beginnt mit der Etablierung eines rollenbasierten Zugriffskonzepts (RBAC), das mit kontextsensitiver Authentifizierung ergänzt wird. Jedes System – ob intern, in der Cloud oder beim externen Dienstleister – muss dabei identitätsbasiert angesteuert werden. Die technologische Umsetzung kann in Etappen erfolgen: zunächst über MFA bei privilegierten Zugängen, dann durch Einführung adaptiver Login-Verfahren und schließlich durch die vollständige Trennung sensibler Ressourcen nach Zero-Trust-Prinzipien. Entscheidend ist, dass jede Maßnahme strategisch in das bestehende Sicherheitsmodell eingebettet wird.

Sicherheit, die nicht stört – sondern schützt

Gerade in dynamischen IT-Umgebungen mit vielen externen Partnern, Kunden oder Dienstleistern stößt klassische Zugangssicherheit schnell an Grenzen. Sicherheitsmechanismen müssen flexibel, aber wirksam sein. Gerade für CISOs steht oft der Spagat im Raum: Sicherheitsmaßnahmen sollen wirksam sein – aber keine Friktion erzeugen, die Prozesse lähmt oder Nutzer umgeht. Adaptive Authentifizierung bietet hier eine Lösung: Sie bewertet jede Zugriffsanfrage anhand kontextueller Parameter wie Gerät, Standort und Nutzungsverhalten. In der Praxis bedeutet das: Zugriff über bekannte, vertrauenswürdige Geräte bleibt einfach – bei Abweichungen wird automatisch eine zusätzliche Authentifizierung verlangt. CISOs können diese Mechanismen nutzen, um gezielt risikobasierte Policies zu etablieren, die sich ins Tagesgeschäft integrieren lassen. Besonders sinnvoll ist dies bei hybriden Belegschaften, mobilen Teams und beim Zugriff durch externe Dienstleister.

Passwörter: Der Klassiker unter den Schwachstellen

Trotz aller Entwicklungen bleibt das Passwort ein Dauerproblem. Es ist anfällig für Phishing, schwierig zu verwalten und wird oft mehrfach verwendet. Moderne Verfahren setzen deshalb auf passwortlose Authentifizierung: biometrisch, über FIDO2-Schlüssel oder über verifizierte Apps. Das senkt nicht nur das Risiko, sondern reduziert auch IT-Kosten – etwa durch weniger Supportanfragen. Ergänzend unterstützen Systeme mit Anomalieerkennung: Sie analysieren Login-Verhalten in Echtzeit und schlagen Alarm, wenn Muster auf einen Angriff hindeuten.

Regulatorischer Druck macht Zugriffssicherheit zur Pflicht

Mit der steigenden Bedrohungslage wächst auch der Druck von regulatorischer Seite. Die EU-Richtlinie NIS2, der Digital Operational Resilience Act (DORA) und nationale Anforderungen wie das IT-Sicherheitsgesetz 2.0 fordern nachvollziehbare, auditierbare Zugriffskontrollen – und zwar für alle Nutzergruppen. Unternehmen müssen nicht nur schützen, sondern dokumentieren: Wer hatte wann Zugriff? Mit welchen Rechten? Wurde der Zugriff überprüft? Wer hier frühzeitig auf transparente Identitäts- und Berechtigungsmodelle setzt, ist regulatorisch auf der sicheren Seite.

Zwischen Anspruch und Realität: Wo Sicherheitsarchitektur oft scheitert

Trotz klarer Empfehlungen und verfügbarer Technologien fällt es vielen Organisationen schwer, identitätsbasierte Sicherheit durchgängig umzusetzen. Gründe dafür sind meist historisch gewachsene IT-Landschaften, heterogene Systemarchitekturen und organisatorische Silos zwischen Security, Infrastruktur und Fachbereichen. Auch der kulturelle Faktor ist nicht zu unterschätzen: Sicherheit wird oft als Einschränkung wahrgenommen, nicht als Enabler.

Hinzu kommt, dass Verantwortlichkeiten für Identitäts- und Zugriffsmanagement in vielen Unternehmen unklar verteilt sind. Während technische Aspekte in der IT verortet sind, bleiben strategische Entscheidungen über Rollenmodelle, Berechtigungskonzepte oder Drittzugriffe häufig undefiniert – oder werden im Projektgeschäft ad hoc gelöst. Das erschwert nicht nur die Umsetzung eines Zero-Trust-Modells, sondern verhindert auch eine nachhaltige Resilienzstrategie.

Wer Ransomware wirksam abwehren will, muss daher nicht nur in Technologien investieren, sondern auch Zuständigkeiten schärfen, Prozesse standardisieren und Sicherheitsarchitektur als fortlaufenden Transformationsprozess begreifen. Nur so wird Identitätsschutz zur tragenden Säule der Cyberabwehr – nicht als Zusatzmodul, sondern als strategischer Kern.

Identität als Schlüssel zur nachhaltigen Sicherheitsstrategie

Ransomware-Angriffe beginnen nicht mit Verschlüsselung, sondern mit dem ersten Login. Deshalb muss die Verteidigung genau dort ansetzen. Wer digitale Identitäten konsequent schützt, reduziert nicht nur die Angriffsfläche, sondern schafft zugleich die Grundlage für Compliance, Nutzerfreundlichkeit und nachhaltige Resilienz. In einer zunehmend vernetzten und dynamischen IT-Landschaft wird die Absicherung von Identitäten zur Schlüsselaufgabe moderner Sicherheitsstrategien – nicht als technisches Detail, sondern als zentrales Steuerungselement. (jm)