Authentifizierungsrisiken neu erdacht: Erkenntnisse für die Sicherheitsleiter von heute

9. Juni 2025|Frederic Rivain

Vor ein paar Wochen hatte ich die Ehre, auf der ISACA 2025 North America Conference in Orlando zu sprechen.

Als Vertreter von Dashlane habe ich vor mehr als 200 IT- und Sicherheitsfachleuten über die sich entwickelnde Bedrohungslandschaft für Authentifizierung gesprochen und erklärt, wie wir als Branche darauf reagieren müssen.

Bei Dashlane sind wir überzeugt davon, von Kolleginnen und Kollegen zu lernen. Branchenveranstaltungen wie die ISACA dienen nicht nur der Präsentation von Tools oder Richtlinien. Es geht um den Austausch von realen Erfahrungen, Erfolgen und Fehlern, die uns allen helfen, unsere Aktivitäten zu verbessern.

Das Tempo der Veränderungen im Bereich der Cybersicherheit ist unerbittlich, und um einen Schritt voraus zu sein, müssen wir ständig voneinander lernen und Best Practices austauschen.

Ich möchte mit Ihnen durchgehen, was ich in dieser Sitzung besprochen habe, und beginne mit einer Geschichte, die veranschaulicht, was schiefgehen kann, wenn die Sicherheit von Anmeldedaten versagt.

Sagt Ihnen der Name Matthew Van Andel etwas? Er ist ein ehemaliger Disney-Mitarbeiter, der 2024 unfreiwillig zum Ausgangspunkt für eine größere Sicherheitsverletzung der Unternehmenssysteme von Disney, insbesondere der Slack-Umgebung, wurde.

Folgendes hat sich zugetragen:

Van Andel hat ein scheinbar harmloses KI-Tool von GitHub auf seinen privaten Computer heruntergeladen. Dieses Paket war bösartig und enthielt einen Keylogger.

Die Keylogger-Malware überwachte seine Aktivitäten im Hintergrund und exfiltrierte schließlich den Inhalt seines Anmeldedaten-Tresors. Da Van Andel von diesem privaten Computer aus auch Zugriff auf Slack von Disney hatte, nutzte der Angreifer seine Anmeldedaten, um sich seitlich Zugang zu den internen Systemen von Disney zu verschaffen.

Es ist ein Paradebeispiel dafür, wie der Zugriff auf private Geräte, mangelhafte Isolierung und das Fehlen von Endpunktkontrollen zusammenkommen können, um erhebliche Risiken zu schaffen.

Was hätte anders gemacht werden müssen? Es gibt keine einfache Lösung, aber einige Grundlagen fallen auf:

Letztendlich geht es bei Sicherheit um die Reduzierung von Risiken und die Minimierung des Schadensausmaßes. Das ist unsere Aufgabe als IT- und Sicherheitsexperten.

Kein Gespräch über moderne Sicherheitsrisiken ist vollständig ohne KI.

KI hat Phishing verstärkt. Heute können Angreifer hochüberzeugende, personalisierte Phishing-E-Mails in großem Maßstab erstellen. Unser Dashlane Bericht zum Stand der Sicherheit von Anmeldedaten 2025 ergab Folgendes:

Der neueste Verizon Bericht zur Untersuchung von Datenschutzverletzungen zeigt einen ähnlichen Trend. KI gestaltet das Toolkit von Angreifern neu – und zwar schnell.

Der Prozentsatz der KI-gestützten bösartigen E-Mails im Laufe der Zeit, wie im Verizon Bericht zur Untersuchung von Datenschutzverletzungen 2025 dargestellt

Aber das ist nicht das einzige KI-Risiko. Schatten-KI – die nicht genehmigte Verwendung von KI-Tools am Arbeitsplatz – ist eine weitere wachsende Bedrohung. Ein Bericht von Cyberhaven aus dem Jahr 2024 ergab, dass der Großteil der KI-Nutzung in Unternehmen über private Konten erfolgte. Das bedeutet, dass potenziell sensible Anfragen, Daten und Anmeldedaten ohne Aufsicht durch das Unternehmen an verbraucherorientierte KI-Modelle gesendet werden.

In den eigenen aggregierten Daten von Dashlane ist DeepSeek – ein KI-Tool mit einigen besorgniserregenden Auswirkungen auf Lizenzierung und Sicherheit – die zweithäufigste GenAI-Anwendung bei unseren Kunden geworden. Die Geschwindigkeit der Einführung übertrifft die Unternehmensrichtlinien, was gefährlich ist.

Hybride Arbeitsumgebungen nach einer Pandemie erschweren zusätzlich die Sicherheit von Anmeldedaten. Mitarbeiter vermischen jetzt routinemäßig Privat- und Berufsleben auf verschiedenen Geräten und an verschiedenen Standorten. Schatten-IT ist weit verbreitet. Die Verwaltung von Geräten ist uneinheitlich. Zugriffskontrollen bleiben oft hinter der Realität zurück.

Dies führt zu Transparenzslücken, die es für IT- und Sicherheitsteams fast unmöglich machen, riskantes Verhalten zu erkennen – bis es zu spät ist.

Die Überwachung von Authentifizierungsmustern, insbesondere bei Nicht-SSO-Diensten, ist unerlässlich. Proaktive Systeme, die ungewöhnliche Anmeldedatennutzung aufdecken, können Ihnen helfen, Bedrohungen zu erkennen, bevor sie zu Sicherheitsverletzungen werden.

MFA und SSO sind zwar wertvoll, aber nicht umfassend. Unsere Untersuchungen zeigen, dass 37 % der Unternehmensapps immer noch nicht durch SSO geschützt sind. Dies beinhaltet keine Schatten-IT oder Verbraucherdienste, die Mitarbeitende für die Arbeit nutzen.

Selbst Passwort-Manager – obwohl wichtig – können das Problem nicht alleine lösen.

Die Sicherheit von Anmeldedaten steht immer noch im Mittelpunkt der meisten Verletzungen. Und die Situation verbessert sich nicht, da KI, Remote-Arbeit und Ermüdung von Mitarbeitenden das Problem verschlimmern.

Die durchschnittlichen Kosten einer Verletzung und das Volumen von Verletzungen sind laut Daten von IBM und Verizon seit 2015 gestiegen.

Der erste Schritt zur Lösung dieses Problems ist Transparenz. Sie können nicht korrigieren, was Sie nicht sehen. Schatten-IT, Schatten-KI und nicht verwaltete Anmeldedaten müssen ans Licht gebracht werden, nicht nur zur Behebung von Problemen, sondern auch um Ressourcen und Investitionen zu rechtfertigen.

Einer unserer Kunden entdeckte kürzlich mithilfe von Credential Risk Detection von Dashlane, dass sein eigener CEO gefährdete Anmeldedaten auf privaten Websites verwendete. Das war der Moment, in dem die Führung wirklich aktiv wurde. Echte Daten treiben Maßnahmen voran.

Credential Risk Detection von Dashlane bietet Unternehmen Echtzeiteinblick in schwache und gefährdete Passwörter aller Mitarbeitenden, selbst wenn sie Dashlane nicht verwenden, sowie umsetzbare Erkenntnisse.

Darüber hinaus müssen Mitarbeitende in ihrem täglichen Arbeitsablauf automatisierte Warnungen erhalten, die sie über gefährdete, schwache und wiederverwendete Passwörter informieren und ihnen zeigen, wie sie Maßnahmen ergreifen können. Die Funktion Nudges von Dashlane macht es möglich.

Nudges haben echte Auswirkungen gezeigt: 75 % der Unternehmen, die sie verwenden, haben eine verbesserte Passworthygiene und ein reduziertes Risiko für Anmeldedaten festgestellt.

Intern haben wir das Gleiche erlebt. Mitarbeitende von Dashlane hatten, obwohl sie für ein Sicherheitsunternehmen arbeiten, ebenfalls einige schwache oder wiederverwendete Anmeldedaten. Im vergangenen Jahr haben wir aktiv unsere eigenen Nudges sowie die Risikoerkennung von Anmeldedaten genutzt, um die interne Sicherheit drastisch zu verbessern – und wir verfolgen den Fortschritt weiter.

Ich denke nicht, dass KI die perfekte Lösung für Authentifizierung sein wird. Wenn überhaupt, könnten neue autonome KI-Systeme die Angriffsfläche weiter erweitern.

Die wahre Lösung? Eliminieren Sie das schwächste Glied: Passwörter.

Ein passwortloser Ansatz mit phishing-resistenten Lösungen ist der einzig gangbare Weg in die Zukunft. Wir waren begeistert, als Microsoft ankündigte, dass neue Konten standardmäßig passwortlos sein werden.

Als Vorstandsmitglied der FIDO Alliance unterstützt Dashlane nachdrücklich die Einführung von Passkeys: sichere, passwortlose Anmeldedaten, die gegen Phishing und Credential Stuffing resistent sind. Und wir sind nicht allein: 76 % der IT-Führungskräfte geben an, dass ihre C-Suite aktiv die Einführung von Passkeys fördert.

 Wenn Sie noch keine Passkeys eingeführt haben, ist es jetzt Zeit. Sie können auch mit uns gemeinsam das FIDO-Passkey-Versprechen unterzeichnen.

Starke Identitätslösungen reichen nicht aus. Wir benötigen Systeme, die von Natur aus privat und sicher sind.

Das bedeutet, dass sensible Daten nicht nur im Ruhezustand und bei der Übertragung verschlüsselt werden, sondern auch während der Verwendung. Bei Dashlane verwenden wir vertrauliche Datenverarbeitung und sichere Cloud-Enklaven, um sicherzustellen, dass wir niemals Zugriff auf Kundendaten haben, selbst während der Verarbeitung.

Dies ist nicht nur eine gute Praxis, sondern auch ein Wettbewerbsvorteil. Datenschutz durch Technik reduziert die Haftung und trägt zur Erfüllung von Compliance- und behördlichen Erwartungen bei.

Sicherheit bedeutet unterdessen den Aufbau von Leitplanken, die Fehler verhindern, bevor sie passieren, mit Taktiken wie:

Mit anderen Worten: Verlassen Sie sich nicht darauf, dass Mitarbeitende alle Best Practices für Sicherheit befolgen und gelegentlich Sicherheitsschulungen absolvieren. Integrieren Sie Sicherheit in Ihre Systeme.

Sicherheit ist nicht nur ein Technologieproblem, sondern auch ein kulturelles Problem. Sie können das Problem von Benutzerapathie oder versehentlicher Fahrlässigkeit nicht einfach beheben.

Bildung ist nach wie vor wichtig, aber auch Storytelling. Bei Dashlane haben wir über den Disney-Hack gesprochen, um Mitarbeitenden zu zeigen, was auf dem Spiel steht. Die Lektion: Gute Absichten schützen Sie nicht vor Konsequenzen.

Die effektivsten Unternehmen bauen Kulturen auf, bei denen sich alle für die Sicherheit verantwortlich fühlen. Wo Phishing-Versuche frühzeitig erkannt werden. Wo das Finanzteam nicht auf CEO-Betrügereien hereinfällt. Wo Führungskräfte mit gutem Beispiel vorangehen.

Zusammenfassend sind hier die wichtigsten Maßnahmen aufgeführt, zu denen ich das ISACA-Publikum angehalten habe – und zu denen ich Sie ebenfalls ermutige:

Es gibt keine Patentlösung – aber es gibt bewährte Praktiken. Lernen wir weiter voneinander, erhöhen wir die Messlatte und entwickeln wir Systeme, die von vornherein sicher sind.

Frederic Rivain

Frederic Rivain has been Dashlane’s passionate Chief Technology Officer since 2015. He is eager to learn, innovate, and have fun with the engineering team to ensure it efficiently supports Dashlane and offers the best service to all Dashlane users.

Mehr erfahren