Warum Cyberkriege nun ein Sicherheitsproblem für alle Unternehmen darstellen

Publiziert am Juni 08, 2026

Cyberkriege beschränken sich nicht mehr nur auf Geopolitik. Was einst vor allem ein Problem für Regierungsbehörden und Rüstungsunternehmen war, ist heute für Unternehmen aller Branchen Realität. Im März 2026 bekannte sich die mit dem Iran in Verbindung stehende Hackergruppe Handala dazu, über 200.000 Systeme, Server und Mobilgeräte bei Stryker – einem Medizintechnikunternehmen ohne direkten Bezug zu geopolitischen Konflikten – gelöscht zu haben, indem sie ein legitimes Endpunktverwaltungs-Tool innerhalb der Unternehmensumgebung ausnutzten.

Auf diese Realität müssen sich Unternehmen nun einstellen. Unternehmen werden unabhängig von ihrer Nähe zu Konflikten ins Visier genommen, sodass die Annahme, nur staatliche Stellen seien gefährdet, zunehmend gefährlich wird. Die Angriffsoberfläche für Cyberangriffe hat sich vergrößert, die Taktiken entwickeln sich ständig weiter und die Sicherheitsstrategie von Unternehmen muss sich entsprechend anpassen.

So erreichen Cyberkriege Unternehmen

Die Taktiken der modernen Cyberkriegsführung richten sich nicht mehr ausschließlich gegen staatliche Ziele. Staatliche Akteure nehmen Unternehmen zunehmend ins Visier, um damit weitreichende Störungen zu verursachen. Dabei geht es ihnen zum Beispiel darum, Zugriff auf Lieferketten zu erlangen, vertrauliche Daten zu entwenden oder Kollateralschäden in der vernetzten Infrastruktur zu verursachen. Gleichzeitig haben kriminelle Bedrohungen unabhängig davon zugenommen. Durch KI-gestützte Automatisierung lassen sich ausgeklügelte Angriffe kostengünstiger und schneller durchführen, und RaaS-Plattformen (Ransomware-as-a-Service) haben das, was früher erhebliche Ressourcen erforderte, zu einem leicht zugänglichen Playbook gemacht. KI-generierte Phishing-Kampagnen und autonome Angriffstools sind heute Standard und keine Ausnahmen mehr. Unternehmen sehen sich gleichzeitig beiden Bedrohungen gegenüber und die erforderlichen Abwehrmaßnahmen überschneiden sich erheblich.

Aufgrund der Dimension der Lieferkette ist das besonders gefährlich. Ein einziger Sicherheitsvorfall kann sich auf jedes damit verbundene Unternehmen auswirken, und viele dieser Unternehmen hätten sich selbst nie als Angriffsziel gesehen. Genau auf diese Annahme verlassen sich Angreifer. Unternehmen sind keine unbeteiligten Zuschauer; sie sind oft der Weg, über den Angriffe im großen Maßstab gelingen. Der Zugriff auf ein Unternehmensnetzwerk bedeutet Zugriff auf Kunden, Partner, vertrauliche Daten und Finanzsysteme. Jedes Unternehmen, das in eine komplexe Lieferkette eingebunden ist, kann zu einem Angriffsvektor werden.

Unternehmen unterschätzen die Auswirkung von Identität auf die Angriffsoberfläche

Bei den meisten groß angelegten Cyberangriffen sind kompromittierte Identitäten das primäre Ziel. Cyberangreifer nutzen Techniken wie Passwort-Spraying und Zugangsdatendiebstahl, um Unternehmen in verschiedenen Branchen, einschließlich Gesundheitswesen und Finanzdienstleistungen, anzugreifen. In vielen Fällen lässt sich der Angriffspunkt auf eine kompromittierte Identität zurückführen, darunter auch nicht-menschliche Identitäten (NHIs) wie Dienstkonten und KI-Agenten.

Der Forschungsbericht von Keeper Security, Identitätssicherheit in Maschinengeschwindigkeit, bestätigt diesen Trend und kommt zu dem Ergebnis, dass veraltete Tools und die unkontrollierte Einführung von KI identitätsbasierte Angriffe in einem Tempo beschleunigen, mit dem viele Unternehmen nicht Schritt halten können. Tatsächlich nennen 43 % der weltweit befragten 3.200 Entscheidungsträger im Bereich Cybersicherheit die KI-gestützte NHI-Verwaltung als eine der größten Lücken in der Identitäts-Governance. Dienstkonten mit veralteten Berechtigungen, in Code-Repositorys eingebettete API-Schlüssel und KI-Agenten, die außerhalb etablierter Governance-Prozesse bereitgestellt werden, sind allesamt Sicherheitslücken, die Cyberangreifer ausnutzen. Die meisten Unternehmen haben jedoch keinen klaren Überblick darüber, wie viele solcher Schwachstellen in ihren Umgebungen vorhanden sind.

Legacy-PAM wurde nicht für diese Umgebung entwickelt

Die meisten Unternehmen regeln den privilegierten Zugriff nach wie vor mithilfe einer Architektur, die für ein traditionelles Zeitalter mit lokalen Umgebungen, menschlichen Administratoren und festgelegten Netzwerkgrenzen konzipiert wurde. Dieses Modell spiegelt nicht mehr wider, wie moderne Unternehmen tatsächlich arbeiten. Unternehmen müssen heute Cloud-native Umgebungen, verteilte Belegschaften, Integrationen von Drittanbietern und KI-gestützte Workflows berücksichtigen, die die Grenzen aufgelöst haben, für deren Schutz ältere Lösungen für das Privileged Access Management (PAM) ursprünglich konzipiert wurden. KI-Agenten, Dienstkonten und andere Maschinenidentitäten bleiben oft außerhalb ihres Geltungsbereichs.

Die Lücke ist nicht nur technisch, sondern auch strukturell. Unternehmen, die ihre PAM-Architektur in den letzten drei Jahren nicht überarbeitet haben, kontrollieren wahrscheinlich nur einen Bruchteil ihrer tatsächlichen privilegierten Zugriffsrechte.

Was Unternehmen zu ihrem Schutz ändern müssen

Für die meisten Unternehmen ist die Kluft zwischen ihrem derzeitigen Sicherheitsstatus und den Anforderungen der Bedrohungslage größer, als es den Anschein hat. Um diese Lücke zu schließen, muss der Schwerpunkt stärker auf Zero-Trust-Sicherheit, PAM und Least-Privilege-Zugriff liegen.

Einführung der Zero-Trust-Sicherheit

Zero-Trust-Sicherheit basiert auf dem Grundsatz, dass keinem Benutzer, keinem Gerät und keinem System implizit vertraut wird, unabhängig davon, ob es sich innerhalb oder außerhalb des Netzwerkperimeters befindet. Der Zugriff wird durch kontinuierliche Überprüfung von Identität, Kontext und Risiko gewährt und wird widerrufen, sobald die Überprüfung fehlschlägt. Für Unternehmen, die mit Angreifern konfrontiert sind, die sich unter Verwendung legitimer Zugangsdaten lateral durch ihre Umgebungen bewegen, bietet Zero-Trust ein stärkeres Sicherheitsmodell, indem sichergestellt wird, dass jede Authentifizierungsentscheidung kontinuierlich überprüft und nicht einfach als gegeben vorausgesetzt wird.

Ausweitung von PAM auf NHIs

Ein PAM, das sich auf menschliche Benutzer beschränkt, verwaltet nicht alle privilegierten Zugriffe, sondern regelt nur einen Teil davon. Der administrative und maschinelle Zugriff auf KI-Trainingsdaten, Bereitstellungsumgebungen und kritische Produktionssysteme muss mit dem gleichen Maß an Kontrolle verwaltet werden, wie der Zugriff auf privilegierte menschliche Konten. In der Praxis bedeutet das, einzigartige, überprüfbare Identitäten für jedes Dienstkonto und jeden KI-Agenten, strikt durchgesetzte Zugriffsgrenzen und Zero-Standing-Privilegien.

Durchsetzung des Least-Privilege-Zugriffs

Zu weitreichende Zugriffsrechte werden in der Regel nachträglich im Rahmen regelmäßiger Zugriffsprüfungen korrigiert. Least-Privilege-Zugriff sollte stattdessen von Anfang an direkt in Entwicklungs- und Bereitstellungspipelines eingebettet werden, sodass menschlichen und maschinellen Identitäten nur die für eine bestimmte Aufgabe erforderlichen Zugriffsrechte bereitgestellt werden – nicht mehr. Die Verhinderung unbefugter Zugriffe bereits bei der Bereitstellung ist wesentlich wirksamer als der Versuch, eine Kompromittierung der Lieferkette im Nachhinein einzudämmen.

Überwachung und Überprüfung aller Aktivitäten

Vollständige Transparenz ist unverzichtbar, wenn Cyberangreifer sich in Umgebungen bewegen können, indem sie kompromittierte, aber dennoch gültige Zugangsdaten nutzen. Menschliche und NHI-Aktivitäten müssen kontinuierlich überwacht, aufgezeichnet und in allen privilegierten Sitzungen und automatisierten Workflows protokolliert werden. Das Ziel ist die Erkennung von Missbrauch von Zugriffsrechten, Datenlecks und verdächtigem Verhalten, bevor Vorfälle eskalieren und größeren Schaden anrichten.

Anforderung einer Lieferantengarantie

Die Sicherheit eines Unternehmens ist nur so stark wie das schwächste Glied in seiner Lieferkette. Jeder Anbieter mit Zugriff auf Ihre Infrastruktur durch Daten, Software oder Integrationen kann zu einem Einstiegspunkt für Angreifer werden. Eine Selbstauskunft reicht nicht aus. Lieferanten müssen die Einhaltung der Vorschriften durch unabhängige Bewertungen und überprüfbare Kontrollen nachweisen.

Vorbereitung auf die Kollateralschäden von Cyberkriegen

Cyberkriege gegen Unternehmen sind nichts Neues. Geändert hat sich jedoch der Automatisierungsgrad dieser Angriffe und das Ausmaß, in dem sie nun operieren können. Aus praktischen Gründen ist nicht davon auszugehen, dass ein Unternehmen übersehen wird. Unternehmen müssen prüfen, ob ihre derzeitige Sicherheitsstrategie den modernen Cyberbedrohungen gewachsen ist. Wenn Ihr Unternehmen nach wie vor mit Tools arbeitet, die nie für Cloud-native Umgebungen oder NHIs im großen Maßstab konzipiert wurden, ist die Governance-Lücke im Bereich der Identitäts- und Lieferkettensicherheit möglicherweise größer, als es den Anschein hat. KeeperPAM ist auf die Schließung dieser Lücke ausgelegt.

Darren Guccione

Von Darren Guccione

Darren Guccione ist Geschäftsmann, Unternehmensführer sowie CEO und Mitbegründer von Keeper Security, dem führenden Anbieter von Zero-Trust- und Zero-Knowledge-Cybersicherheitssoftware, die weltweit von Millionen von Menschen und Tausenden von Unternehmen verwendet wird. Er ist schon jahrzehntelang ein Visionär im Technologiesektor. Vor der Mitbegründung von Keeper arbeitete Guccione als Berater für NinthDecimal, sowie als CFO und Mitbegründer von Apollo Solutions, Inc. Er ist ein Evans-Stipendiat, erhielt einen Distinguished Alumnus Award von der University of Illinois, ist Ingenieur und CPA. Darren setzt sich aktiv für die Förderung einer Innovationskultur in seinem Fachgebiet ein und war in zahlreichen Gremien und Ausschüssen sowie in technologischen Beratungsfunktionen für den öffentlichen und privaten Sektor tätig. Er wird regelmäßig in den Medien als Fachexperte vorgestellt, der Einblicke in die Cybersicherheit teilt.