Ressourcen · Leitfaden · MDR · 1 Min. Lesezeit

Warum Identitätsschutz (ITDR) Priorität hat

Kurz gesagt

In der Cloud ist der Perimeter nicht mehr das Netzwerk: Es ist die Identität. Angreifer haben aufgehört, die Firewall zu durchbrechen, und begonnen, sich zu authentifizieren, Sessions und Token zu stehlen, die klassische MFA umgehen. ITDR (Identity Threat Detection and Response) verteidigt, was heute wirklich zählt: wer zugreift, wie, und ob dieser Zugang nach der Authentifizierung kompromittiert oder missbraucht wurde. Ohne ITDR spaziert der Angreifer mit gültigen Zugangsdaten durch die Vordertür.

Die These

Jahrelang verteidigte Security den Netzwerkperimeter. Aber Daten und Anwendungen wanderten in die Cloud, und mit ihnen der Schwachpunkt: Heute durchbricht der Angreifer nicht die Firewall, er authentifiziert sich. Identität ist der neue Perimeter, und ITDR ist die Verteidigung dieses Perimeters.

Die Kosten, Identität nicht zu verteidigen

Eine gestohlene Zugangsdatei oder Session ist mehr wert als ein Exploit: Sie gewährt legitimen, stillen Zugang, den das EDR nicht sieht und die Firewall durchlässt. Von dort kommen BEC, Betrug, Exfiltration, alles mit legitimen APIs und Token. Ohne ITDR sieht die Intrusion aus wie ein normaler Login.

Was ITDR liefert

Detection und Response auf Identitäten: Überwachung von Active Directory und Entra ID, Post-Authentifizierungs-Anomalieerkennung, Blockierung von Zugangsdaten- und Session-Missbrauch, schneller Widerruf. Es ist das, was den Angreifer abfängt, sobald MFA bereits umgangen wurde, wie der Fall Kali365 zeigt.

Wann es wirklich zählt (und wann weniger genügt)

Sobald Sie Microsoft 365, Entra ID oder verbreiteten Cloud-Zugriff nutzen, ist Identität die Hauptfront: ITDR hat Priorität. In einer winzigen, vollständig On-Premise-Umgebung mit sehr wenigen Konten kann die Priorität anderswo liegen (Backups, Patching, grundlegendes Hardening). Aber für die große Mehrheit moderner Unternehmen ist die Verteidigung der Identität nicht optional. Siehe auch Microsoft 365 Sicherheit.

Vergleich

Klassische Perimeterverteidigung vs Identitätsverteidigung

Klassischer PerimeterITDR
AnnahmeDie Bedrohung ist außenDie Bedrohung authentifiziert sich
Klassische MFAAls ausreichend betrachtetDurch Session-Diebstahl umgangen
AbdeckungNetzwerk, FirewallAD, Entra ID, Sessions, Zugriff
ErkenntNetzwerk-IntrusionZugangsdaten- und Token-Missbrauch post-auth
Feldbeobachteter Nachweis · die Session ist die neue Zugangsdatei

Die Analyse der PhaaS-Plattform Kali365 (800 Domains kartiert) zeigt, wie OAuth-Token-Diebstahl nach legitimer Authentifizierung klassische MFA umgeht: der Beweis, dass sich die Verteidigung zur Post-Authentifizierungs-Identität verschieben muss, wo der Endpoint nichts sieht.

Zur Analyse →
FAQ

Häufige Fragen.

Reicht MFA nicht, um Identitäten zu schützen?

Nein, nicht für sich allein. AiTM-Angriffe und Session-Token-Diebstahl stehlen den Zugang nach der Authentifizierung: MFA löst aus, aber die Session ist bereits kompromittiert. Man braucht FIDO2/Passkey, AiTM-Anti-Phishing und ITDR, das Missbrauch nach der Authentifizierung erkennt.

Was erkennt ITDR, das EDR nicht erkennt?

Missbräuche auf Active Directory und Entra ID: Kerberoasting, Pass-the-Hash, DCSync, Golden Ticket, Privilegieneskalation, anomale Session-Nutzung. Das sind Angriffe, die oft den Endpoint nicht berühren und deshalb EDR allein entgehen.

Warum ist «Identität der neue Perimeter»?

Weil Daten und Anwendungen in der Cloud leben: Die einzige konstante Grenze ist, wer zugreift. Ist die Identität einmal kompromittiert, bewegt sich der Angreifer wie ein legitimer Nutzer. Deshalb ist Identität das erste zu verteidigende Asset.

Wann ist ITDR weniger dringend?

In sehr kleinen, On-Premise-Umgebungen mit sehr wenigen Identitäten kann die Priorität anderswo liegen (Backups, Patching). Aber sobald es Microsoft 365, Entra ID oder verbreiteten Cloud-Zugriff gibt, wird Identität zur Hauptfront.

Wie Fortgale es liefert

Von der Theorie zum realen Einsatz.

Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: Identitätsschutz · ITDR.

Verwandte Ressourcen: Microsoft 365 Sicherheit · Was ist MDR · Was ist ein EDR

Mit einem Analysten vertiefen?

Ein technisches Gespräch, kein Funnel.

Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.

Antwortzeit: < 1 Werktag.