SpyCloud-Bericht: Zwei Drittel der Unternehmen sind äußerst besorgt über Identitätsangriffe, doch es bestehen weiterhin große Schwachstellen

Austin, Texas, USA, 23. September 2025, CyberNewsWire

Der neue SpyCloud 2025 Identity Threat Report enthüllt eine gefährliche Diskrepanz zwischen der wahrgenommenen Sicherheitsbereitschaft und der operativen Realität.

SpyCloud , der führende Anbieter im Bereich Schutz vor Identitätsbedrohungen, hat heute den SpyCloud Identity Threat Report 2025 veröffentlicht. Darin heißt es, dass 86 % der Sicherheitsverantwortlichen zwar Vertrauen in ihre Fähigkeit haben, identitätsbasierte Angriffe zu verhindern, 85 % der Organisationen im vergangenen Jahr jedoch mindestens einmal von einem Ransomware-Vorfall betroffen waren – über ein Drittel davon sogar sechs- bis zehnmal.

Die Marktumfrage unter über 500 Sicherheitsverantwortlichen in Nordamerika und Großbritannien verdeutlicht die Kluft zwischen wahrgenommenem Vertrauen und tatsächlicher Gefährdung. Sie ergab, dass über zwei Drittel der Unternehmen erhebliche oder extreme Bedenken hinsichtlich identitätsbasierter Cyberangriffe haben. Allerdings können nur 38 % historische Identitätslücken erkennen, die aufgrund mangelnder Cyberhygiene, wie etwa der Wiederverwendung von Anmeldeinformationen, ein Risiko darstellen. Da Unternehmen mit der Verbreitung digitaler Identitäten auf SaaS-Plattformen, nicht verwalteten Geräten und Drittanbieter-Ökosystemen zu kämpfen haben, nutzen Angreifer diese Lücken aus.

„Von Phishing und Infostealer-Infektionen bis hin zu wiederverwendeten Anmeldeinformationen und unkontrolliertem Zugriff nutzen die heutigen Bedrohungsakteure unbeachtete Identitätsrisiken aus“, so Damon Fleury, Chief Product Officer von SpyCloud. „Diese Taktiken ermöglichen es Angreifern, traditionelle Abwehrmaßnahmen zu umgehen und sich unbemerkt Zugang zu verschaffen, was zu Folgeangriffen wie Ransomware, Account-Übernahme, Session-Hijacking und Betrug führen kann. Dieser Bericht bringt die entscheidende Wahrheit ans Licht: Viele Unternehmen fühlen sich zwar vorbereitet, ihre Abwehrmaßnahmen reichen jedoch nicht bis an die Orte, an denen die Angreifer aktiv sind.“

Identitätsausbreitung vergrößert die Angriffsfläche

Die Identität ist zum zentralen Thema moderner Cyberbedrohungen geworden. Die digitale Identität einer Person umfasst mittlerweile Hunderte von Kontaktpunkten, darunter Unternehmens- und persönliche Anmeldeinformationen, Sitzungscookies, Finanzdaten und personenbezogene Daten (PII) auf SaaS-Plattformen, verwalteten und nicht verwalteten Geräten sowie Anwendungen von Drittanbietern.

Wenn diese Elemente im Darknet offengelegt werden, entsteht eine riesige, vernetzte Angriffsfläche, die nur darauf wartet, ausgenutzt zu werden. SpyCloud hat 63,8 Milliarden unterschiedliche Identitätsdatensätze aus dem Darknet zurückgewonnen – ein Anstieg von 24 % im Vergleich zum Vorjahr. Dies verdeutlicht das beispiellose Ausmaß der Daten, die im kriminellen Untergrund zirkulieren. Unternehmen sind dadurch gefährdet, da ihnen die nötige Transparenz und Automatisierung fehlt, um diese Schwachstellen zu beseitigen, bevor sie zu weiteren Einfallstoren für nachfolgende identitätsbasierte Angriffe werden.

Dieser Anstieg der Gefährdung löst allgemeine Besorgnis aus. Fast 40 % der befragten Unternehmen gaben an, dass vier oder mehr identitätsbezogene Bedrohungen „extreme“ Bedenken hervorrufen. Phishing (40 %), Ransomware (37 %), staatliche Angriffe (36 %) und nicht verwaltete oder nicht autorisierte Geräte (36 %) stehen dabei an der Spitze.

Insider-Bedrohungen beginnen mit Identitätskompromittierung

Der Bericht hebt außerdem hervor, dass Insider-Bedrohungen , ob böswillig oder unabsichtlich, oft einen gemeinsamen Ursprung haben: die Kompromittierung der Identität.

Staatliche Akteure, darunter nordkoreanische IT-Agenten, nutzen gestohlene oder synthetische Identitäten, um sich als legitime Auftragnehmer oder Mitarbeiter auszugeben und in Unternehmen einzudringen. Die Untersuchungsergebnisse von SpyCloud zeigen, dass Angreifer mithilfe von Phishing-Cookies, durch Malware exfiltrierten API-Schlüsseln und wiederverwendeten Anmeldeinformationen synthetische Identitäten erstellen, um Hintergrundüberprüfungen und schwache Screening-Prozesse zu bestehen. Dieser Punkt wird noch dadurch unterstrichen, dass frühere Untersuchungen von SpyCloud ergaben, dass 60 % der Unternehmen immer noch auf manuelle Ad-hoc-Kommunikation zwischen Personal- und Sicherheitsteams angewiesen sind. Ohne verstärkte Sicherheitsüberprüfungen, die Unternehmen Einblick in den früheren Identitätsmissbrauch von Kandidaten und ihre Verbindungen zur kriminellen Infrastruktur geben, können diese Akteure unentdeckt bleiben, bis es zu spät ist.

Gleichzeitig können legitime Mitarbeiter, Auftragnehmer oder Partner unwissentlich ein Risiko darstellen, wenn ihre Identität kompromittiert wird. Diese ahnungslosen Insider werden häufig Opfer von Phishing- und Infostealer-Malware. Dies führt zu gestohlenen Anmeldeinformationen und Sitzungscookies, die dauerhaften Zugriff auf interne Systeme ermöglichen.

Insbesondere Phishing wurde als der häufigste Einstiegspunkt für Ransomware im Jahr 2025 genannt und machte 35 % der Vorfälle aus – ein Anstieg um 10 Prozentpunkte gegenüber dem Vorjahr.

Abwehrmaßnahmen reichen nicht aus, um auf identitätsbasierte Bedrohungen zu reagieren

Trotz des wachsenden Bewusstseins für identitätsbasierte Bedrohungen sind die meisten Organisationen nicht in der Lage, wirksam darauf zu reagieren:

• 57 % verfügen nicht über die nötigen Fähigkeiten, um exponierte Sitzungen ungültig zu machen
• Fast zwei Dritteln fehlen wiederholbare Abhilfe-Workflows
• Etwa zwei Drittel verfügen nicht über formelle Untersuchungsprotokolle
• Weniger als 20 % können die Identitätsbereinigung systemübergreifend automatisieren

Nur 19 % der Unternehmen verfügen über automatisierte Prozesse zur Identitätsbereinigung. Der Rest verlässt sich auf Einzelfalluntersuchungen oder unvollständige Playbooks, die Lücken hinterlassen, die Angreifer ausnutzen können.

„Die Verteidigungsstrategie hat sich geändert“, sagte Trevor Hilligoss, Leiter der Sicherheitsforschung bei SpyCloud. „Angreifer agieren opportunistisch und nutzen gestohlene Identitätsdaten, um jeden verfügbaren Zugangspunkt zu finden. Traditionelle Abwehrmaßnahmen konzentrieren sich jedoch weiterhin auf Verhalten und Endpunkte – und übersehen die Identitätsrisiken, die einen dauerhaften, unentdeckten Zugriff ermöglichen. Die Daten zeigen, dass Unternehmen ihren Schutz auf die Identitätsebene ausweiten und die Risiken und deren Beseitigung kontinuierlich im Auge behalten müssen, um Bedrohungen zu stoppen, bevor Folgeangriffe erfolgen können.“

Schließen von Identitätslücken, bevor Insider-Bedrohungen eskalieren

Der Bericht unterstreicht die Notwendigkeit eines ganzheitlichen Ansatzes zum Identitätsschutz. Dies bedeutet, die Gefährdungen des gesamten digitalen Fußabdrucks der Nutzer – einschließlich früherer und aktueller, persönlicher und Unternehmensidentitäten – kontinuierlich zu korrelieren und die Behebung kompromittierter Anmeldeinformationen, Cookies, personenbezogener Daten und Zugriffstoken zu automatisieren. Dadurch gehen Unternehmen über den Schutz auf Kontoebene hinaus und erhalten Einblick in Identitätsrisiken, die zuvor von Angreifern ausgenutzt wurden.

Die ganzheitliche Identitätsintelligenz von SpyCloud ermöglicht es Unternehmen, identitätsbasierte Bedrohungen zu verhindern, indem sie:

• Erkennen betrügerischer Bewerber, bevor der Zugriff gewährt wird
• Identifizierung gefährdeter Mitarbeiter und Benutzer auf allen Geräten und in allen Umgebungen
• Ungültigmachen offengelegter Sitzungen und Anmeldeinformationen im großen Maßstab
• Beschleunigung von Ermittlungen durch automatisierte Korrelation von Darknet-Exposure-Daten

„Teams, die sich durch herausragende Identitätssicherheit auszeichnen, wissen genau, wo Schwachstellen bestehen, können diese im großen Maßstab angehen, mit klar definierten Verantwortlichkeiten arbeiten und sich kontinuierlich anpassen, anstatt nur zu reagieren“, fügte Fleury hinzu. „Die Zukunft gehört denen, die Identität als erfolgskritisch betrachten – indem sie Systeme entwickeln, die Gefährdungen frühzeitig erkennen, entschlossen reagieren und Bedrohungsakteure von weiteren Angriffen abhalten, während sie gleichzeitig eine starke und sichere Belegschaft gewährleisten.“

Benutzer können hier klicken, um auf den vollständigen Bericht zuzugreifen, oder sich an SpyCloud wenden, um mehr zu erfahren.

Über SpyCloud

SpyCloud transformiert wiedererlangte Darknet-Daten, um Cyberkriminalität zu unterbinden. Die automatisierten Lösungen zum Schutz vor Identitätsbedrohungen nutzen fortschrittliche Analysen und KI, um Ransomware und Kontoübernahmen proaktiv zu verhindern, Insider-Bedrohungen zu erkennen, die Identität von Mitarbeitern und Verbrauchern zu schützen und Ermittlungen in Cyberkriminalität zu beschleunigen. Die Daten von SpyCloud aus Sicherheitsverletzungen, mit Malware infizierten Geräten und erfolgreichen Phishing-Angriffen bilden auch die Grundlage für viele beliebte Darknet-Überwachungs- und Identitätsdiebstahlschutzangebote. Zu den Kunden zählen sieben der Fortune 10 sowie Hunderte von globalen Unternehmen, mittelständischen Firmen und Regierungsbehörden weltweit. SpyCloud hat seinen Hauptsitz in Austin, Texas, und beschäftigt mehr als 200 Cybersicherheitsexperten, deren Aufgabe es ist, Unternehmen und Verbraucher vor gestohlenen Identitätsdaten zu schützen, die Kriminelle aktuell nutzen, um sie ins Visier zu nehmen.

Um mehr zu erfahren und Einblicke in die offengelegten Daten Ihres Unternehmens zu erhalten, können Benutzer spycloud.com besuchen.

Emily Brown REQ im Namen von SpyCloud [email protected]