Der Report „State of Identity Security 2026“ von Sophos kommt zu dem Ergebnis, dass menschliches Versagen und mangelhaftes Identitätsmanagement bei nicht-menschlichen Akteuren die Hauptursachen für die meisten Angriffe sind, während autonome KI das Risiko weiter erhöht. Die Umfrage zeigt, dass 71 Prozent der Unternehmen (Deutschland: 62 Prozent) im vergangenen Jahr mindestens einen identitätsbezogenen Sicherheitsvorfall erlitten haben, wobei die Organisationen im Durchschnitt drei separate Vorfälle meldeten. Besonders auffällig war die hohe Zahl mehrfach betroffener Unternehmen: 5 Prozent berichten sogar von sechs oder mehr Sicherheitsverletzungen. Diese Angriffe werden hauptsächlich durch menschliche Fehler und ein schwaches Management nicht-menschlicher Identitäten (Non-Human Identities, NHIs) begünstigt – eine Herausforderung, die sich durch agentische KI und die dadurch beschleunigten Angriffsprozesse rasant verschärft.Zwei Drittel der von Ransomware betroffenen Unternehmen (67 Prozent), die an der Umfrage teilnahmen, bestätigen, dass ihr Ransomware-Vorfall auf einen identitätsbasierten Angriff zurückzuführen war. Damit etabliert sich die Kompromittierung von Identitäten als primärer Angriffsvektor für Ransomware. Forscher von Sophos-X-Ops beobachten dieses Muster bereits seit dem vergangenen Jahr kontinuierlich. Die finanziellen Folgen sind erheblich: Die durchschnittlichen Wiederherstellungskosten beliefen sich im vergangenen Jahr auf 1,64 Millionen US-Dollar, der Median lag bei 750.000 US-Dollar, und 73 Prozent der Betroffenen hatten Kosten von mindestens 250.000 US-Dollar zu tragen.
„Identitäten sind zur wichtigsten Angriffsfläche in der modernen Cybersicherheit geworden, und diese Daten zeigen, dass die meisten Unternehmen zunehmend an Boden verlieren“, sagte Ross McKerchar, Chief Information Security Officer bei Sophos. „Besonders dringlich ist das Problem der nicht-menschlichen Identitäten. KI-Agenten erhalten schneller Berechtigungen, als Sicherheitsteams sie nachverfolgen können. Unternehmen, die diesem Problem nicht proaktiv begegnen, werden feststellen, dass diese Sicherheitslücke zunehmend kostspieliger zu schließen ist.“
Weitere zentrale Erkenntnisse aus dem Report „State of Identity Security 2026“:
- Daten- und Finanzdiebstahl dominieren die Folgen von Sicherheitsverletzungen: Insgesamt berichten 10 Prozent der Unternehmen von einer identitätsbezogenen Sicherheitsverletzung mit geschäftlichen Auswirkungen im vergangenen Jahr. Die wichtigsten Folgen sind Datendiebstahl (49 Prozent), Ransomware (48 Prozent) und finanzieller Diebstahl (47 Prozent).
- Mangelnde Transparenz bleibt eine kritische Schwachstelle: Nur 24 Prozent der Unternehmen überwachen kontinuierlich ungewöhnliche Anmeldeversuche, während mehr als die Hälfte entsprechende Prüfungen nur vierteljährlich oder noch seltener durchführen.
- Erkennungslücken bestehen weiterhin: 14 Prozent der betroffenen Unternehmen (Deutschland: 17,4 Prozent) können ihren schwerwiegendsten identitätsbasierten Angriff nicht erkennen und stoppen, bevor Schaden entsteht. Kleinere Unternehmen (100–250 Mitarbeitende) versagen bei der Angriffserkennung nahezu doppelt so häufig wie mittelgroße Unternehmen.
- Kritische Infrastrukturen sind besonders gefährdet: Unternehmen aus den Bereichen Energie, Öl/Gas und Versorgungswirtschaft (80 Prozent) sowie Bundes- und Zentralbehörden (78 Prozent) melden die höchsten Sicherheitsverletzungsraten aller untersuchten Branchen.
- Compliance-Probleme deuten auf ein erhöhtes Gesamtrisiko hin: Unternehmen, die Compliance-Anforderungen als sehr herausfordernd empfinden, verzeichnen eine Sicherheitsverletzungsrate von 82,4 Prozent. Das sind 14 Prozentpunkte mehr als bei Unternehmen mit geringeren Compliance-Schwierigkeiten (68,3 Prozent).
Menschliches Versagen – etwa Mitarbeitende, die zur Preisgabe von Zugangsdaten verleitet wurden – werden in nahezu 43 Prozent der Vorfälle als Ursache genannt. Schwaches Management nicht-menschlicher Identitäten, darunter im Code gespeicherte API-Schlüssel, statische Zugangsdaten und verwaiste Servicekonten, werden in 41 Prozent der Fälle genannt. Unternehmen mit unzureichendem NHI-Management haben ein um 22 Prozent höheres Risiko für finanziellen Diebstahl und zahlen durchschnittlich rund 150.000 US-Dollar mehr für die Wiederherstellung als andere Unternehmen.
Das Problem des NHI-Managements verschärft sich weiter. KI-Agenten können autonom Unteragenten erstellen, die jeweils neue Zugangsdaten mit weitreichenden, dauerhaften Zugriffsrechten generieren – häufig ohne konsistente menschliche Kontrolle. Bestehende Identitätsframeworks wurden für dieses Szenario nicht entwickelt, und viele Unternehmen liegen bereits zurück: Nur jedes dritte Unternehmen rotiert oder überprüft regelmäßig Servicekonten und nicht-menschliche Identitäten, und lediglich 11 Prozent tun dies kontinuierlich.
Empfehlungen zur Reduzierung identitätsbasierter Risiken
Um die Gefährdung durch identitätsbezogene Angriffe zu reduzieren, sollten Unternehmen einen mehrschichtigen Ansatz implementieren, der sowohl menschliche als auch nicht-menschliche Identitäten umfasst. Zu den wesentlichen Maßnahmen zählen die verpflichtende Einführung von Multi-Faktor-Authentifizierung (MFA) für alle Benutzerkonten, die Anwendung des Least-Privilege-Prinzips sowie die zeitnahe Deaktivierung oder Entfernung inaktiver Identitäten.
Speziell für nicht-menschliche Identitäten sollten Unternehmen alle NHIs inventarisieren und klassifizieren, langlebige Zugangsdaten durch kurzlebige Alternativen ersetzen und Plattformen für das Secrets Management einsetzen, um NHI-Zugangsdaten in großem Maßstab zu verwalten. Da agentische KI die Verbreitung von NHIs beschleunigt, werden Funktionen zur Identity Threat Detection and Response (ITDR) sowie die Einführung eines Zero-Trust-Sicherheitsmodells zu immer wichtigeren Verteidigungsebenen.
Info: Über den Report „State of Identity Security 2026“
Der Report „State of Identity Security 2026“ basiert auf einer herstellerunabhängigen Umfrage, die im ersten Quartal 2026 unter 5.000 IT- und Cybersicherheitsverantwortlichen in 17 Ländern durchgeführt wurde, darunter die USA, das Vereinigte Königreich, Deutschland, Frankreich, Australien, Japan, Indien und Brasilien. Befragt wurden Unternehmen mit 100 bis 5.000 Mitarbeitenden aus 14 verschiedenen Branchen. Der vollständige Bericht ist hier verfügbar: https://www.sophos.com/en-us/resources/report/the-state-of-identity-security-2026
#Sophos
