Das Geschäft mit den Logins: Warum Identitätsdiebstahl so profitabel ist

Wer 2026 noch glaubt, dass Hacker sich mühsam durch Firewalls graben, hat die Realität verschlafen.

Der aktuelle Bericht von itwelt.at und führenden Security-Anbietern wie CrowdStrike macht es deutlich: Identität ist der primäre Angriffsvektor.

Es ist viel einfacher, sich mit einem validen Benutzernamen und Passwort einzuloggen, als eine komplexe Schwachstelle im System zu finden.

Die Zahlen sind alarmierend: Bei über 80 % der erfolgreichen Cyberangriffe werden heute legitime, aber kompromittierte Zugangsdaten verwendet.

Cyberkriminelle nutzen diese nicht nur für den Zugriff, sondern machen sie zur Waffe, um lateral im Netzwerk zu wandern, Privilegien zu erhöhen und schlussendlich Ransomware zu zünden.

Warum klassisches MFA wankt

Technisch gesehen erleben wir gerade den Aufstieg von MFA-Exhaustion und Session Hijacking. Angreifer fluten das Smartphone des Opfers mit Login-Anfragen, bis dieses genervt auf „Erlauben“ klickt – oder sie stehlen direkt das Session-Token aus dem Browser. Damit umgehen sie die Passwortabfrage komplett, da das System glaubt, die Sitzung sei bereits legitimiert.

Besonders kritisch ist das Zusammenspiel mit Infostealer-Malware. Diese kleinen Programme graben sich in den Browser-Speicher und exfiltrieren nicht nur Passwörter, sondern auch aktive Cookies. Wer hier noch auf das „digitale Klebeband“ alter Sicherheitsstrategien setzt, wird 2026 gnadenlos aussortiert. Moderne Lösungen müssen auf FIDO2-Standards und Passkeys umstellen, um die physische Anwesenheit des Nutzers sicherzustellen.

Der Faktor Mensch wird zur Ausrede

Meiner Meinung nach ist es ein Armutszeugnis für die Corporate IT, dass wir immer noch über „schwache Passwörter“ diskutieren. Das Problem ist nicht der Nutzer, der sich sein Passwort nicht merken kann, sondern die Systemarchitektur, die solche statischen Geheimnisse überhaupt noch zulässt. Wir geben Milliarden für KI-Abwehr aus, lassen aber die Haustür durch einen simplen Login-Screen offen.

Es ist Zeit für einen radikalen Schnitt: Zero Trust darf kein Marketing-Buzzword mehr sein. Jede Identität, egal ob Mensch oder Maschine, muss bei jeder Aktion neu verifiziert werden. Wenn wir weiterhin zulassen, dass ein gestohlenes Passwort „die Welt brennen lässt“, dann haben wir aus den Vorfällen der letzten Jahre rein gar nichts gelernt. Identitätsschutz ist 2026 kein „Nice-to-have“ mehr, sondern das Fundament jeder digitalen Existenz.

Wenn Benutzername und Passwort zur Waffe werden, müssen wir die Munition entziehen. Der Umstieg auf passwortlose Authentifizierung und eine strikte Überwachung des Nutzerverhaltens (User Entity Behavior Analytics – UEBA) ist die einzige Antwort auf die automatisierte Angriffsflut.

Hast du bereits alle deine kritischen Konten auf Passkeys umgestellt, oder vertraust du noch auf die klassische Kombination aus Passwort und SMS-Code?