Authentifizierungsrisiken neu erdacht: Erkenntnisse für die Sicherheitsleiter von heute

Vor ein paar Wochen hatte ich die Ehre, auf der ISACA 2025 North America Conference in Orlando zu sprechen.
Als Vertreter von Dashlane habe ich vor mehr als 200 IT- und Sicherheitsfachleuten über die sich entwickelnde Bedrohungslandschaft für Authentifizierung gesprochen und erklärt, wie wir als Branche darauf reagieren müssen.

Bei Dashlane sind wir überzeugt davon, von Kolleginnen und Kollegen zu lernen. Branchenveranstaltungen wie die ISACA dienen nicht nur der Präsentation von Tools oder Richtlinien. Es geht um den Austausch von realen Erfahrungen, Erfolgen und Fehlern, die uns allen helfen, unsere Aktivitäten zu verbessern.
Das Tempo der Veränderungen im Bereich der Cybersicherheit ist unerbittlich, und um einen Schritt voraus zu sein, müssen wir ständig voneinander lernen und Best Practices austauschen.
Ich möchte mit Ihnen durchgehen, was ich in dieser Sitzung besprochen habe, und beginne mit einer Geschichte, die veranschaulicht, was schiefgehen kann, wenn die Sicherheit von Anmeldedaten versagt.
Der Hackerangriff auf Disney: Ein Weckruf
Sagt Ihnen der Name Matthew Van Andel etwas? Er ist ein ehemaliger Disney-Mitarbeiter, der 2024 unfreiwillig zum Ausgangspunkt für eine größere Sicherheitsverletzung der Unternehmenssysteme von Disney, insbesondere der Slack-Umgebung, wurde.
Folgendes hat sich zugetragen:

Van Andel hat ein scheinbar harmloses KI-Tool von GitHub auf seinen privaten Computer heruntergeladen. Dieses Paket war bösartig und enthielt einen Keylogger.
Die Keylogger-Malware überwachte seine Aktivitäten im Hintergrund und exfiltrierte schließlich den Inhalt seines Anmeldedaten-Tresors. Da Van Andel von diesem privaten Computer aus auch Zugriff auf Slack von Disney hatte, nutzte der Angreifer seine Anmeldedaten, um sich seitlich Zugang zu den internen Systemen von Disney zu verschaffen.
Es ist ein Paradebeispiel dafür, wie der Zugriff auf private Geräte, mangelhafte Isolierung und das Fehlen von Endpunktkontrollen zusammenkommen können, um erhebliche Risiken zu schaffen.
Was hätte anders gemacht werden müssen? Es gibt keine einfache Lösung, aber einige Grundlagen fallen auf:
- Überwachen und kontrollieren Sie auf Arbeitsgeräten installierte Anwendungen und Pakete.
- Stellen Sie Endpunktschutz bereit, der Malware und verdächtiges Verhalten erkennen kann.
- Setzen Sie MFA durch, insbesondere bei sensiblen Tools wie Anmeldedatenverwaltungsprogrammen.
- Beschränken Sie den Zugriff auf sensible Unternehmenssysteme von nicht verwalteten privaten Geräten aus.
Letztendlich geht es bei Sicherheit um die Reduzierung von Risiken und die Minimierung des Schadensausmaßes. Das ist unsere Aufgabe als IT- und Sicherheitsexperten.
Die expandierende Bedrohungslandschaft: Authentifizierung im Zeitalter der KI
Kein Gespräch über moderne Sicherheitsrisiken ist vollständig ohne KI.
KI hat Phishing verstärkt. Heute können Angreifer hochüberzeugende, personalisierte Phishing-E-Mails in großem Maßstab erstellen. Unser Dashlane Bericht zum Stand der Sicherheit von Anmeldedaten 2025 ergab Folgendes:
- 74 % der IT-Führungskräfte sind der Ansicht, dass KI erhöhte Sicherheit für Anmeldedaten verursacht hat.
- 88 % der Mitarbeitenden berichten von einem Anstieg der Phishing-Versuche
- 84 % der IT-Führungskräfte berichten von einem kürzlichen Anstieg des Phishing-Volumens, der Komplexität oder von beidem
Der neueste Verizon Bericht zur Untersuchung von Datenschutzverletzungen zeigt einen ähnlichen Trend. KI gestaltet das Toolkit von Angreifern neu – und zwar schnell.

Aber das ist nicht das einzige KI-Risiko. Schatten-KI – die nicht genehmigte Verwendung von KI-Tools am Arbeitsplatz – ist eine weitere wachsende Bedrohung. Ein Bericht von Cyberhaven aus dem Jahr 2024 ergab, dass der Großteil der KI-Nutzung in Unternehmen über private Konten erfolgte. Das bedeutet, dass potenziell sensible Anfragen, Daten und Anmeldedaten ohne Aufsicht durch das Unternehmen an verbraucherorientierte KI-Modelle gesendet werden.
In den eigenen aggregierten Daten von Dashlane ist DeepSeek – ein KI-Tool mit einigen besorgniserregenden Auswirkungen auf Lizenzierung und Sicherheit – die zweithäufigste GenAI-Anwendung bei unseren Kunden geworden. Die Geschwindigkeit der Einführung übertrifft die Unternehmensrichtlinien, was gefährlich ist.
Die unscharfen Grenzen von hybrider Arbeit
Hybride Arbeitsumgebungen nach einer Pandemie erschweren zusätzlich die Sicherheit von Anmeldedaten. Mitarbeiter vermischen jetzt routinemäßig Privat- und Berufsleben auf verschiedenen Geräten und an verschiedenen Standorten. Schatten-IT ist weit verbreitet. Die Verwaltung von Geräten ist uneinheitlich. Zugriffskontrollen bleiben oft hinter der Realität zurück.
Dies führt zu Transparenzslücken, die es für IT- und Sicherheitsteams fast unmöglich machen, riskantes Verhalten zu erkennen – bis es zu spät ist.
Die Überwachung von Authentifizierungsmustern, insbesondere bei Nicht-SSO-Diensten, ist unerlässlich. Proaktive Systeme, die ungewöhnliche Anmeldedatennutzung aufdecken, können Ihnen helfen, Bedrohungen zu erkennen, bevor sie zu Sicherheitsverletzungen werden.
Die Sicherheit von Anmeldedaten bleibt das Kernproblem
MFA und SSO sind zwar wertvoll, aber nicht umfassend. Unsere Untersuchungen zeigen, dass 37 % der Unternehmensapps immer noch nicht durch SSO geschützt sind. Dies beinhaltet keine Schatten-IT oder Verbraucherdienste, die Mitarbeitende für die Arbeit nutzen.
Selbst Passwort-Manager – obwohl wichtig – können das Problem nicht alleine lösen.
Die Sicherheit von Anmeldedaten steht immer noch im Mittelpunkt der meisten Verletzungen. Und die Situation verbessert sich nicht, da KI, Remote-Arbeit und Ermüdung von Mitarbeitenden das Problem verschlimmern.

Zuerst Transparenz, dann Maßnahmen
Der erste Schritt zur Lösung dieses Problems ist Transparenz. Sie können nicht korrigieren, was Sie nicht sehen. Schatten-IT, Schatten-KI und nicht verwaltete Anmeldedaten müssen ans Licht gebracht werden, nicht nur zur Behebung von Problemen, sondern auch um Ressourcen und Investitionen zu rechtfertigen.
Einer unserer Kunden entdeckte kürzlich mithilfe von Credential Risk Detection von Dashlane, dass sein eigener CEO gefährdete Anmeldedaten auf privaten Websites verwendete. Das war der Moment, in dem die Führung wirklich aktiv wurde. Echte Daten treiben Maßnahmen voran.

Darüber hinaus müssen Mitarbeitende in ihrem täglichen Arbeitsablauf automatisierte Warnungen erhalten, die sie über gefährdete, schwache und wiederverwendete Passwörter informieren und ihnen zeigen, wie sie Maßnahmen ergreifen können. Die Funktion Nudges von Dashlane macht es möglich.
Nudges haben echte Auswirkungen gezeigt: 75 % der Unternehmen, die sie verwenden, haben eine verbesserte Passworthygiene und ein reduziertes Risiko für Anmeldedaten festgestellt.
Intern haben wir das Gleiche erlebt. Mitarbeitende von Dashlane hatten, obwohl sie für ein Sicherheitsunternehmen arbeiten, ebenfalls einige schwache oder wiederverwendete Anmeldedaten. Im vergangenen Jahr haben wir aktiv unsere eigenen Nudges sowie die Risikoerkennung von Anmeldedaten genutzt, um die interne Sicherheit drastisch zu verbessern – und wir verfolgen den Fortschritt weiter.
KI wird KI-induzierte Authentifizierungsrisiken nicht lösen.
Ich denke nicht, dass KI die perfekte Lösung für Authentifizierung sein wird. Wenn überhaupt, könnten neue autonome KI-Systeme die Angriffsfläche weiter erweitern.
Die wahre Lösung? Eliminieren Sie das schwächste Glied: Passwörter.
Ein passwortloser Ansatz mit phishing-resistenten Lösungen ist der einzig gangbare Weg in die Zukunft. Wir waren begeistert, als Microsoft ankündigte, dass neue Konten standardmäßig passwortlos sein werden.
Als Vorstandsmitglied der FIDO Alliance unterstützt Dashlane nachdrücklich die Einführung von Passkeys: sichere, passwortlose Anmeldedaten, die gegen Phishing und Credential Stuffing resistent sind. Und wir sind nicht allein: 76 % der IT-Führungskräfte geben an, dass ihre C-Suite aktiv die Einführung von Passkeys fördert.
Wenn Sie noch keine Passkeys eingeführt haben, ist es jetzt Zeit. Sie können auch mit uns gemeinsam das FIDO-Passkey-Versprechen unterzeichnen.
Datenschutz und Sicherheit als Grundprinzip
Starke Identitätslösungen reichen nicht aus. Wir benötigen Systeme, die von Natur aus privat und sicher sind.
Das bedeutet, dass sensible Daten nicht nur im Ruhezustand und bei der Übertragung verschlüsselt werden, sondern auch während der Verwendung. Bei Dashlane verwenden wir vertrauliche Datenverarbeitung und sichere Cloud-Enklaven, um sicherzustellen, dass wir niemals Zugriff auf Kundendaten haben, selbst während der Verarbeitung.
Dies ist nicht nur eine gute Praxis, sondern auch ein Wettbewerbsvorteil. Datenschutz durch Technik reduziert die Haftung und trägt zur Erfüllung von Compliance- und behördlichen Erwartungen bei.
Sicherheit bedeutet unterdessen den Aufbau von Leitplanken, die Fehler verhindern, bevor sie passieren, mit Taktiken wie:
- Zugriff mit geringsten Privilegien
- Starke Authentifizierung (SSO + MFA + Passwortverwaltung)
- Klare Onboarding- und Offboarding-Workflows
- Geräterichtlinien, die die Arbeit von der privaten Nutzung trennen
Mit anderen Worten: Verlassen Sie sich nicht darauf, dass Mitarbeitende alle Best Practices für Sicherheit befolgen und gelegentlich Sicherheitsschulungen absolvieren. Integrieren Sie Sicherheit in Ihre Systeme.
Kultur ist die letzte Ebene.
Sicherheit ist nicht nur ein Technologieproblem, sondern auch ein kulturelles Problem. Sie können das Problem von Benutzerapathie oder versehentlicher Fahrlässigkeit nicht einfach beheben.
Bildung ist nach wie vor wichtig, aber auch Storytelling. Bei Dashlane haben wir über den Disney-Hack gesprochen, um Mitarbeitenden zu zeigen, was auf dem Spiel steht. Die Lektion: Gute Absichten schützen Sie nicht vor Konsequenzen.
Die effektivsten Unternehmen bauen Kulturen auf, bei denen sich alle für die Sicherheit verantwortlich fühlen. Wo Phishing-Versuche frühzeitig erkannt werden. Wo das Finanzteam nicht auf CEO-Betrügereien hereinfällt. Wo Führungskräfte mit gutem Beispiel vorangehen.
Abschließende Erkenntnisse
Zusammenfassend sind hier die wichtigsten Maßnahmen aufgeführt, zu denen ich das ISACA-Publikum angehalten habe – und zu denen ich Sie ebenfalls ermutige:
- Behandeln Sie die Sicherheit von Anmeldedaten als ein vorrangiges unternehmensweites Risiko.
- Verschaffen Sie sich vollständige Transparenz über die Verwendung von Anmeldedaten, die über SSO hinausgehen.
- Beheben Sie Ursachen, anstatt sich auf reaktives Patching zu beschränken.
- Wechseln Sie zu einer phishing-resistenten, passwortlosen Authentifizierung.
- Integrieren Sie Privatsphäre und Sicherheit von Anfang an, nicht im Nachhinein.
Es gibt keine Patentlösung – aber es gibt bewährte Praktiken. Lernen wir weiter voneinander, erhöhen wir die Messlatte und entwickeln wir Systeme, die von vornherein sicher sind.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten