Stellen Sie sich einen Dienstagmorgen vor. Kein Alarm, kein Bildschirm mit Totenkopf, kein erpresserisches Pop-up. Stattdessen: ein ganz normaler Login. Um 02:47 Uhr meldet sich der Buchhaltungsleiter eines mittelstaendischen Maschinenbauers in Microsoft 365 an - von einer IP-Adresse in einem osteuropaeischen Rechenzentrum, mit gueltigem Benutzernamen, gueltigem Passwort und einem frisch bestaetigten Multifaktor-Code. Aus Sicht des Systems ist alles korrekt. Aus Sicht des Unternehmens hat gerade die schlimmste Woche seiner Geschichte begonnen. Nur weiss das zu diesem Zeitpunkt noch niemand.

Dieses Szenario ist keine Ausnahme mehr, sondern das statistische Normal. Der Sophos Active Adversary Report 2026 zieht eine unbequeme Bilanz: 67 Prozent aller untersuchten Sicherheitsvorfaelle hatten eine identitaetsbezogene Ursache. Nicht eine ausgefeilte Zero-Day-Schwachstelle, nicht ein hochkomplexer Exploit - sondern schlicht eine Identitaet, die in die falschen Haende geriet. Und besonders bitter fuer den Mittelstand: 84 Prozent dieser Faelle betrafen Organisationen mit weniger als 1.000 Mitarbeitenden. Der Mittelstand ist nicht Kollateralschaden, er ist das Hauptziel.

Dieser Beitrag erklaert, warum sich die Logik von Cyberangriffen verschoben hat, wie ein identitaetsbasierter Angriff in der Praxis ablaeuft - erzaehlt am realistischen Beispiel eines mittelstaendischen Maschinenbauers - und welche konkreten Schritte ein Unternehmen heute gehen sollte, um nicht die naechste Statistik zu werden.

Anatomie eines Angriffs, der wie ein normaler Arbeitstag aussieht

Um zu verstehen, warum Identitaet zur kritischsten Verteidigungslinie geworden ist, lohnt ein Blick auf die Mechanik. Klassische Angriffe brachen durch eine technische Luecke ein - eine ungepatchte Schwachstelle, ein offener Port, ein verwundbarer Dienst. Identitaetsbasierte Angriffe gehen den umgekehrten Weg: Sie nutzen die legitimen Zugaenge, die ein Unternehmen ohnehin bereitstellt. Der Angreifer bricht nicht ein, er loggt sich ein. Und ein gueltiger Login loest keinen Alarm aus - das ist der entscheidende Unterschied.

Die Zahlen des Sophos-Reports zeichnen ein praezises Bild der Einfallstore. Kompromittierte Anmeldedaten waren mit 42,06 Prozent die mit Abstand haeufigste Grundursache. Das bedeutet, dass ein gueltiges Nutzername-Passwort-Paar bereits im Besitz des Angreifers war, bevor der Vorfall ueberhaupt begann. Dahinter folgen Brute-Force-Angriffe mit 15,58 Prozent, die damit fast gleichauf mit der klassischen Ausnutzung technischer Schwachstellen (rund 16 Prozent) liegen. Phishing traegt weitere 6,35 Prozent bei. Anders gesagt: Die Mehrheit der Angriffe beginnt mit einem Schluessel, nicht mit einem Brecheisen.

Woher stammen diese Schluessel? Aus einem riesigen, staendig wachsenden Fundus. Untersuchungen zeigen, dass 63 Prozent aller Logins Anmeldedaten verwenden, die anderswo bereits kompromittiert wurden - durch fruehere Datenlecks, durch Infostealer-Malware auf privaten Geraeten, durch die Wiederverwendung desselben Passworts ueber Dutzende Dienste hinweg. Jede wiederverwendete Zugangsdatenkombination ist eine offene Flanke, die nur darauf wartet, ausprobiert zu werden.

Warum klassische Multifaktor-Authentifizierung nicht mehr genuegt

An dieser Stelle widersprechen viele IT-Verantwortliche reflexhaft: Wir haben doch MFA. Das ist richtig und wichtig - aber 2026 nicht mehr ausreichend. Der Sophos-Report zeigt, dass in 59 Prozent der Faelle MFA schlicht fehlte. Doch selbst dort, wo sie vorhanden ist, wird sie zunehmend ausgehebelt. MFA-Fatigue-Angriffe - bei denen Angreifer das Opfer so lange mit Push-Benachrichtigungen bombardieren, bis es genervt auf Bestaetigen tippt - stiegen laut Verizon Data Breach Investigations Report 2025 um 217 Prozent gegenueber dem Vorjahr.

Noch gefaehrlicher sind Adversary-in-the-Middle-Angriffe (AiTM). Hier schaltet sich der Angreifer ueber eine taeuschend echte Phishing-Seite zwischen Nutzer und echten Dienst. Der Nutzer gibt Passwort und MFA-Code ein - beides wird in Echtzeit an den echten Dienst weitergereicht. Was der Angreifer dabei abgreift, ist nicht nur das Passwort, sondern das fertige Sitzungs-Token: jener digitale Ausweis, der dem Browser signalisiert, dieser Nutzer sei bereits angemeldet. Mit diesem Token umgeht der Angreifer die MFA vollstaendig, weil er den Anmeldevorgang gar nicht mehr durchlaufen muss. Genau hier schliesst sich der Kreis zu serverseitigen Schwachstellen wie der juengsten Exchange-OWA-Luecke, bei der ebenfalls Sitzungen und Anmeldedaten das eigentliche Ziel sind. Ob die Sitzung ueber eine Phishing-Seite oder ueber eine Cross-Site-Scripting-Luecke gekapert wird, ist aus Sicht des Verteidigers fast zweitrangig - das Resultat ist dasselbe: ein Fremder handelt unter legitimer Identitaet.

Die Geschichte der Bodensee Antriebs- und Steuerungstechnik Maierhofer GmbH

Die Maierhofer GmbH - Name und Details bilden ein realistisches Szenario, kein konkretes Unternehmen - baut Antriebs- und Steuerungssysteme fuer Sondermaschinen. 240 Mitarbeitende, drei Standorte rund um den Bodensee, ein solider Ruf bei Automobilzulieferern und in der Verpackungsindustrie. IT-seitig ist das Haus ordentlich aufgestellt: Microsoft 365, eine Firewall vom Markenhersteller, regelmaessige Backups, MFA per Authenticator-App fuer alle Mitarbeitenden. Geschaeftsfuehrer Andreas Maierhofer war ueberzeugt, sein Unternehmen sei gut geschuetzt. Und nach den Massstaeben von 2021 war es das auch.

Es begann an einem Freitagnachmittag. Die kaufmaennische Leiterin, Frau Brandt, erhielt eine E-Mail, die scheinbar von einem langjaehrigen Lieferanten stammte: eine ausstehende Rechnung, hinterlegt in einem vertraut aussehenden Dokumentenportal, ein Klick zur Freigabe. Die Seite, die sich oeffnete, war eine perfekte Kopie der Microsoft-Anmeldemaske - inklusive korrektem Logo, korrekter Schriftart, korrekter URL-Struktur auf den ersten Blick. Frau Brandt gab ihre Zugangsdaten ein. Sekunden spaeter erschien die gewohnte MFA-Push-Benachrichtigung auf ihrem Smartphone. Sie tippte auf Bestaetigen. Schliesslich hatte sie sich ja gerade angemeldet.

Was Frau Brandt nicht wusste: Im Hintergrund hatte eine AiTM-Infrastruktur ihre Eingaben in Echtzeit an den echten Microsoft-Dienst weitergereicht und das zurueckkommende Sitzungs-Token abgefangen. Der Angreifer besass nun einen gueltigen, bereits durch MFA legitimierten Zugang - ganz ohne ihr Passwort dauerhaft zu kennen und ohne jede weitere Huerde.

Das Wochenende verging ohne Auffaelligkeiten. Genau das ist Teil des Musters: Laut den Daten des Sophos-Reports werden 88 Prozent der Ransomware-Nutzlasten ausserhalb der regulaeren Geschaeftszeiten ausgerollt, und 79 Prozent der Datenabfluesse finden in diesen Randzeiten statt. Angreifer arbeiten dann, wenn niemand auf die Protokolle schaut.

Der Angreifer meldete sich am Samstagmorgen an - von einer auslaendischen IP-Adresse. Eine Conditional-Access-Regel haette diese Anmeldung blockieren oder zumindest eine erneute, phishing-resistente Bestaetigung verlangen koennen. Bei Maierhofer gab es keine solche Regel. Der Eindringling bewegte sich in Ruhe durch das Postfach, las monatelange Korrespondenz, verstand die Freigabeprozesse und identifizierte die wirklich wertvollen Konten. Dabei stiess er auf ein Dienstkonto eines IT-Administrators, dessen Passwort - aus Bequemlichkeit - mit einem privaten Account uebereinstimmte, der Jahre zuvor in einem fremden Datenleck aufgetaucht war. Ein einziger Abgleich genuegte, und aus dem Zugriff auf ein Buchhaltungspostfach wurde Administratorgewalt ueber weite Teile der Umgebung.

Von dort verlief alles nach Drehbuch: Ausweitung der Rechte, leises Deaktivieren einzelner Schutzmechanismen, Abfluss sensibler Konstruktions- und Vertragsdaten und schliesslich die Vorbereitung der Verschluesselung. Am Montagmorgen um 06:30 Uhr - die ersten Mitarbeitenden trudelten ein - waren die zentralen Dateifreigaben verschluesselt. Auf den Bildschirmen lag eine Loesegeldforderung. Die Backups existierten zwar, doch der Abfluss der Daten war laengst geschehen. Aus einem Verschluesselungsvorfall wurde damit zugleich ein meldepflichtiger Datenschutzvorfall und ein Fall doppelter Erpressung.

Die entscheidende Erkenntnis im spaeteren forensischen Bericht war so simpel wie ernuechternd: Es hatte nie einen technischen Einbruch gegeben. Keine ausgenutzte Server-Schwachstelle, keine durchbrochene Firewall. Es hatte einen Login gegeben. Einen einzigen, scheinbar legitimen Login an einem Freitagnachmittag.

Der Wiederaufbau - und was sich aenderte

Maierhofer holte sich externe Unterstuetzung und baute die Identitaetssicherheit von Grund auf neu. Der wichtigste Schritt: die Einfuehrung phishing-resistenter Authentifizierung auf Basis von FIDO2 und Passkeys - zuerst fuer Administratoren und die Finanzabteilung, also die Konten mit dem hoechsten Schadenpotenzial, danach schrittweise fuer die gesamte Belegschaft. Parallel kamen Conditional-Access-Regeln hinzu, die Anmeldungen aus untypischen Laendern und von nicht verwalteten Geraeten unterbinden. Privilegierte Konten wurden getrennt, mit dem Prinzip der minimalen Rechte versehen und ueber ein Verfahren zur kontrollierten Rechtevergabe abgesichert. Und schliesslich wurde eine kontinuierliche Ueberwachung der Identitaetsebene etabliert, die genau die Anomalie meldet, die damals niemandem auffiel: eine erfolgreiche Anmeldung zur Unzeit, vom falschen Ort.

Die breitere Einordnung: Warum 2026 zum Jahr der Identitaet wird

Der Fall Maierhofer ist exemplarisch, aber er steht in einem groesseren Kontext, der drei Entwicklungen zusammenfuehrt.

Erstens: Das klassische Perimeter ist verschwunden. Cloud-Dienste, Homeoffice, mobile Endgeraete und eine wachsende Zahl von SaaS-Anwendungen haben die alte Vorstellung einer schuetzenden Mauer um das Firmennetz aufgeloest. Es gibt kein Innen und Aussen mehr, das sich an der Firewall festmachen liesse. Was bleibt, ist die Identitaet als einzige verbindende Konstante ueber alle Systeme hinweg. Genau deshalb gilt heute der Leitsatz: Identitaet ist das neue Perimeter.

Zweitens: Kuenstliche Intelligenz hat die Angriffsseite industrialisiert. Das Bundesamt fuer Sicherheit in der Informationstechnik und mehrere Branchenauswertungen zeichnen ein klares Bild. Ein Grossteil der Phishing-Nachrichten - Schaetzungen reichen bis ueber 80 Prozent - wird inzwischen KI-gestuetzt erzeugt. Die frueher verlaesslichen Warnsignale wie holpriges Deutsch oder plumpe Anrede sind verschwunden. Deepfake-Angriffe auf Unternehmen haben sich vervielfacht. Gleichzeitig registriert das BSI im Schnitt rund 119 neue Schwachstellen pro Tag, ein Anstieg von etwa 24 Prozent. Die Angriffsflaeche waechst also, waehrend die Taeuschung perfekter wird. Wer verstehen will, wie sich KI sowohl als Risiko als auch als Verteidigungswerkzeug einordnen laesst, findet auf unserer KI-Seite und in unserem Beitrag zur KI-Strategie eine vertiefte Perspektive.

Drittens: Der Schaden ist real und messbar. Die durchschnittlichen Kosten eines Datenlecks in Deutschland liegen bei rund 3,87 Millionen Euro. Fuer einen Mittelstaendler mit 240 Mitarbeitenden ist das keine Zeile in der Konzernbilanz, sondern eine existenzielle Bedrohung. Hinzu kommt die regulatorische Dimension: Rahmenwerke wie NIS2 und DORA verlangen ausdruecklich ein belastbares Management von Zugriffs- und Identitaetsrisiken samt Nachweispflichten. Identitaetssicherheit ist damit nicht mehr nur eine technische, sondern auch eine Compliance-Frage - mehr dazu auf unserer Seite zur Compliance.

Was Sie konkret tun koennen

Die gute Nachricht inmitten der Bedrohungslage: Identitaetssicherheit ist beherrschbar, und die wirksamsten Massnahmen sind bekannt. Sie muessen umgesetzt, nicht erfunden werden.

1. Phishing-resistente Authentifizierung einfuehren. Dies ist die mit Abstand wirkungsvollste Einzelmassnahme. FIDO2, WebAuthn und Passkeys binden die Anmeldung kryptografisch an das Geraet und an die echte Domain - eine AiTM-Phishing-Seite kann das abgefangene Geheimnis schlicht nicht weiterverwenden, weil es keines mehr gibt, das sich stehlen liesse. Beginnen Sie bei den Konten mit dem hoechsten Risiko: Administratoren, Geschaeftsfuehrung, Finanzwesen. Weiten Sie den Schutz danach ueber das Jahr auf die gesamte Organisation aus.

2. Conditional Access etablieren. Definieren Sie Regeln, die Anmeldungen anhand von Kontext bewerten: Standort, Geraetezustand, Risikobewertung. Eine Anmeldung eines Buchhalters um drei Uhr nachts aus dem Ausland sollte nicht einfach durchgehen - sie sollte blockiert oder einer erneuten, starken Pruefung unterzogen werden.

3. Privilegien minimieren und trennen. Niemand sollte dauerhaft mehr Rechte besitzen als noetig. Trennen Sie administrative von normalen Konten, vergeben Sie erhoehte Rechte nur auf Zeit und kontrolliert und verhindern Sie, dass ein einziges kompromittiertes Konto die gesamte Umgebung aufschliesst - genau dieser Dominoeffekt machte den Fall Maierhofer so verheerend.

4. Passwort-Wiederverwendung beenden. Fuehren Sie einen Passwort-Manager ein, erzwingen Sie einzigartige Zugangsdaten und gleichen Sie Ihre Konten regelmaessig gegen bekannte Leak-Datenbanken ab. Jedes wiederverwendete Passwort ist eine tickende Zeitbombe.

5. Die Identitaetsebene aktiv ueberwachen. Sogenannte Identity Threat Detection and Response (ITDR) erkennt genau jene Anomalien, die ein gueltiger Login verschleiert: ungewoehnliche Anmeldemuster, verdaechtige Token-Nutzung, das heimliche Anlegen von Postfachregeln. Ergaenzen Sie dies durch besondere Aufmerksamkeit fuer Aktivitaeten ausserhalb der Geschaeftszeiten.

6. Awareness staerken - aber nicht als alleinige Verteidigung. Schulungen sind sinnvoll, doch sie duerfen niemals die letzte Verteidigungslinie sein. Frau Brandt war keine fahrlaessige Mitarbeiterin; sie wurde von einer technisch ueberlegenen Taeuschung ueberlistet. Technische Schutzmechanismen muessen so gebaut sein, dass auch ein einzelner Fehlklick nicht zur Katastrophe fuehrt.

Diese Bausteine greifen ineinander und entfalten ihre Wirkung erst im Zusammenspiel. Wie sich daraus eine tragfaehige Gesamtstrategie formen laesst, die zu Groesse, Branche und Risikoprofil Ihres Unternehmens passt, zeigen wir auf unserer Seite zur Informationssicherheit und in unserer Leistungsuebersicht. Gern analysieren wir mit Ihnen gemeinsam, wo Ihre Identitaetsebene heute steht - der Einstieg gelingt unkompliziert ueber unser Kontaktformular.

Ausblick: Die Identitaet bleibt das Schlachtfeld

Die Entwicklung, die der Fall Maierhofer illustriert, wird sich 2026 und darueber hinaus nicht abschwaechen, sondern verschaerfen. Drei Linien zeichnen sich ab.

Zum einen wird die passwortlose Zukunft vom Versprechen zur Realitaet. Passkeys verbreiten sich rasant ueber Betriebssysteme und grosse Plattformen hinweg; der Komfortgewinn ist betraechtlich, und der Sicherheitsgewinn ist es ebenso. Unternehmen, die jetzt umstellen, sammeln einen Vorsprung, den Nachzuegler teuer bezahlen werden.

Zum anderen ruecken nicht-menschliche Identitaeten in den Mittelpunkt. Dienstkonten, API-Schluessel, Automatisierungs- und KI-Agenten besitzen oft weitreichende Rechte, werden aber selten ueberwacht und noch seltener mit phishing-resistenter Authentifizierung versehen. Mit dem Vormarsch agentischer KI-Workflows entsteht hier die naechste grosse Angriffsflaeche - die Maschinenidentitaet wird zum Erben der menschlichen.

Und schliesslich wird der regulatorische Druck die Identitaetssicherheit endgueltig aus der freiwilligen Kuer in die Pflicht ueberfuehren. NIS2, DORA und verwandte Rahmenwerke verlangen nachweisbare Kontrollen ueber Zugriffe und Identitaeten. Wer hier investiert, schuetzt sich also doppelt: vor Angreifern und vor den Konsequenzen mangelnder Compliance.

Die Kernbotschaft bleibt einfach. Solange Angreifer mit einem gestohlenen Schluessel durch die Vordertuer spazieren koennen, ist jede noch so dicke Mauer zweitrangig. Die wichtigste Investition in die Sicherheit eines mittelstaendischen Unternehmens im Jahr 2026 ist nicht die naechste Firewall - es ist die Gewissheit, dass jeder Login wirklich von der Person stammt, die er vorgibt zu sein. Der Fall Maierhofer haette an genau einer Stelle anders verlaufen koennen: an der Anmeldemaske. Sorgen Sie dafuer, dass es bei Ihnen nicht so weit kommt.