Die Cyber-Sicherheit steht an einem Wendepunkt: Angreifer stehlen keine Passwörter mehr, sie kapern komplette digitale Identitäten. Diese Woche offenbarten mehrere Berichte, wie aus simplen Diebstählen eine industrialisierte Schattenwirtschaft wurde. Der Fokus hat sich verschoben – vom knacken technischer Lücken zum Ausnutzen legitimer Zugänge. Das zeigt ein aktueller Branchenreport vom 19. März 2026 besonders deutlich: Der Diebstahl von Maschinen-Identitaten explodiert, und gestohlene Admin-Zugänge legten zuletzt ganze Infrastrukturen lahm.

Anzeige

Angesichts der rasanten Zunahme von Identitätsdiebstahl und Hacker-Angriffen ist ein fundierter Schutz wichtiger denn je. Dieser Experten-Guide zeigt Ihnen in 4 Schritten, wie Sie branchenspezifische Gefahren erkennen und Ihr Unternehmen wirksam vor Phishing schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr: So schützen Sie Ihr Unternehmen vor Phishing

Explosion gestohlener Maschinen-Identitäten

Der am 19. März veröffentlichte Identity Exposure Report 2026 dokumentiert einen strukturellen Wandel. Demnach wächst der globale Pool gestohlener Identitätsdaten auf 65,7 Milliarden Einträge – ein Plus von 23 Prozent binnen eines Jahres. Besorgniserregend ist der Fund von 18,1 Millionen offengelegten API-Schlüsseln und Maschinen-Zugängen. Diese „Non-Human Identities“ (NHI) steuern automatisierten Datenverkehr zwischen Cloud-Diensten und sind oft schlecht geschützt.

„Mit der rasanten Verbreitung von KI und Cloud-Workflows sind diese Maschinen-Identitäten tief in kritische Systeme verwoben“, erklärt ein Analyst. Im Gegensatz zu menschlichen Nutzern fehlt ihnen häufig eine Zwei-Faktor-Authentifizierung (2FA). Noch brisanter: Der Report listet 8,6 Milliarden gestohlene Session-Cookies auf. Damit können Angreifer aktive Sitzungen kapern und so selbst 2FA umgehen – und haben sofort Zugriff auf Plattformen wie Microsoft 365.

Fallstudie Stryker: Eine Admin-Kennwort legt 200.000 Geräte lahm

Die reale Gefahr dieser Methode zeigt der Cyberangriff auf den Medizintechnik-Riesen Stryker. Neue Erkenntnisse vom 18. März legen nahe, dass die iranisch verbundene Gruppe „Handala“ nicht mit High-Tech-Methoden, sondern mit gestohlenen Admin-Zugängen für Microsoft Intune angriff. Diese Plattform verwaltet zehntausende Firmengeräte.

Mit nur einem kompromittierten Intune-Konto schufen die Angreifer neue globale Admin-Identitäten und löschten über 200.000 Geräte – von Smartphones bis Servern. Der Schaden: 50 Terabyte gestohlene Daten und massive Lieferketten-Störungen im Gesundheitswesen. Der Fall unterstreicht einen Trend: Angreifer zielen gezielt auf Management-Tools. Wer diese kontrolliert, kann mit einem einzigen geleakten Passwort ganze Infrastrukturen zerstören.

INTERPOL schlägt zurück: Großrazzia gegen Phishing-Industrie

Als Reaktion auf diese Industrialisierung schlugen Strafverfolgungsbehörden weltweit zu. Die Operation „Synergia III“ (Koordination: INTERPOL, 72 Länder) beendete am 20. März über 45.000 schädliche Server- und IP-Adressen. 94 Verdächtige wurden festgenommen. Das Ziel: Die „Phishing-as-a-Service“-Ökonomie zerschlagen, die auch technisch Unerfahrenen komplexe Angriffe ermöglicht.

Ein Erfolg war die Abschaltung der Plattform „Tycoon 2FA“. Dieses „Adversary-in-the-Middle“-Kit kaperte selbst geschützte Konten: Bei 59 Prozent der erfolgreich kompromittierten Accounts war 2FA aktiv. Die Methode? Sie leitet die Login-Daten in Echtzeit durch einen Proxy des Angreifers. Das zeigt: Herkömmliche Zwei-Faktor-Authentifizierung stößt bei modernem Phishing an Grenzen.

Anzeige

Da herkömmliche Sicherheitsmechanismen oft an ihre Grenzen stoßen, müssen Unternehmen proaktiv aufrüsten. Erfahren Sie in diesem kostenlosen Report, welche fiesen Hacker-Methoden aktuell Rekord-Schäden verursachen und wie Sie sich effektiv zur Wehr setzen. Diese fiesen Hacker-Methoden führen aktuell zu Rekord-Schäden in deutschen Unternehmen

Angriffsfläche Entwickler: Malware im Code-Editor

Eine weitere Front eröffneten Angreifer diese Woche in der Software-Lieferkette. Zwei parallele Kampagnen mit den Namen „GlassWorm“ und „ForceMemo“ attackierten ab dem 20. März Entwickler über bösartige Erweiterungen für Code-Editoren wie VS Code und Cursor.

Die Malware erntete GitHub-Tokens direkt von den lokalen Rechnern der Programmierer. Mit diesen gestohlenen Identitäten führten die Angreifer „Force-Push“-Aktionen durch: Sie spritzten Schadcode in Hunderte Python-Repositories, während sie Commit-Historie und Autoren-Daten zum Tarnen beibehielten. Allein bei „ForceMemo“ wurden über 240 Repositories kompromittiert. Der Angriff verlagert die Gefahr vom Code selbst auf die Identität und Konfiguration der Entwicklungsumgebung.

Analyse: Das Zeitalter der „untrusted systems“ bricht an

Die Ereignisse der letzten 72 Stunden markieren den Übergang in eine Ära „untrustiger Systeme“. Die größte Bedrohung ist nicht mehr der Eindringling, der einbricht, sondern der Angreifer, der sich einfach als berechtigter Nutzer anmeldet. Fast 54 Prozent aller Ransomware-Angriffe im März 2026 starteten mit Identitätsdiebstahl-Malware, nicht mit Phishing-Links.

Jüngste Datenschutzvorfälle bei Aura (900.000 betroffene Datensätze) und Navia Benefit Solutions (2,7 Millionen Betroffene) zeigen das Ausmaß. In beiden Fällen führte unbefugter Zugriff Dritter auf sensible Konten zur Offenlegung von Sozialversicherungsnummern und Finanzdaten. Ein Hauptrisiko bleibt die Wiederverwendung von Passwörtern: Schätzungsweise die Hälfte aller genutzten Logins sind bereits in früheren Datenlecks öffentlich geworden.

Ausblick: Passkeys und Überwachung legitimer Sitzungen

Die Verteidigung muss sich neu ausrichten. Da traditionelle 2FA gegen moderne Phishing-Kits versagt, wächst der Bedarf an phishing-resistenter Authentifizierung. FIDO2-konforme Passkeys und hardwarebasierte Sicherheitsschlüssel werden zum neuen Standard.

Unternehmen werden zudem stärker in den Schutz von Sitzungstokens investieren, etwa durch Device Binding. Gleichzeitig rücken Lösungen zur „Identity Threat Detection and Response“ (ITDR) in den Fokus, die anomalies Verhalten innerhalb legitimer Sitzungen erkennen. Die Entwickler-Angriffe erzwingen einen Wechsel von langlebigen API-Schlüsseln zu kurzlebigen, bereichsbegrenzten Tokens. Die INTERPOL-Razzien bieten nur eine Atempause. Das „Cybercrime-as-a-Service“-Modell ist zählebig – die Verteidiger müssen wachsam bleiben.