Rein hypothetisch: Wo würden Sie als Cyberkriminelle:r Ihren Angriff starten? Mit Sicherheit dort, wo der Aufwand klein und die Wirkung gross ist. Die meisten Angriffe entstehen nicht aus hochspezialisierten Einzeloperationen, sondern aus Opportunitäten. Cyberkriminelle suchen skalierbare Eintrittspunkte, automatisieren die Suche und verwerten erfolgreiche Zugänge weiter. So wird ein kompromittierter Unternehmenszugang zum verwertbaren Einstiegspunkt.

Angriffsflächen 2025 in Zahlen: von Phishing bis zur Supply ChainPhishing ungeschlagen: 43 % aller Angriffe beginnen hier

Cyberkriminelle versuchen durch kompromittierte E-Mail-Accounts, weitere Benutzer:innen zu phishen. Mit LLMs lassen sich Phishing-Szenarien mit geringem Aufwand skalieren. So sind die meisten Phishingangriffe weniger gezielt als opportunistisch: Entscheidend ist die Quantität der versendeten E-Mails.

25 % schlecht geschützte Remote Services

Angreifer testen exponierte Login Prompts systematisch mit Brute Force oder Password Spraying. Dabei nutzen sie bekannte Benutzername-Passwort-Kombinationen, geleakte Passwörter, typische Varianten und erkennbare Muster in der Passwortwahl von Mitarbeitenden. Entsprechend zählen Brute Force und Password Spraying zu den häufigen Angriffsvektoren, die 2025 im InfoGuard Security Operations Center (SOC) als True Positive erkannt wurden.

20 % exponierte Schwachstellen: Patchfenster schrumpfen weiter!

Gemäss Zerodayclock werden Schwachstellen 2026 im Schnitt bereits nach 2,1 Tagen ausgenutzt gegenüber 21,5 Tagen im Vorjahr. Diese Beschleunigung setzt klassische Patchprozesse massiv unter Druck. Ein wesentlicher Treiber sind KI-Tools, die sowohl die Erkennung von Schwachstellen als auch die Entwicklung von Exploits erleichtern.

12 % Supply Chain: Wenn Vertrauen zur Angriffsfläche wird

Partner und Lieferanten stellen Software, Services und Hardware bereit, warten Systeme über Remotezugänge oder unterstützen geschäftskritische Prozesse. Genau dadurch wird die eigene Sicherheit zunehmend von der Sicherheit Dritter abhängig. Supply-Chain-Risiken entstehen dort, wo Vertrauen, technische Abhängigkeiten und externe Zugriffe zusammenkommen.

Krimineller Markt: Wenn Unternehmenszugänge handelbar werden

Die häufigsten Eintrittspunkte zeigen: Der erste Zugriff auf eine Unternehmensumgebung ist längst nicht mehr nur ein technisches Problem, sondern Teil eines kriminellen Markts. Initial Access Broker beschaffen, prüfen und verkaufen solche Zugänge weiter. Was früher der Auftakt eines einzelnen Cyberangriffs war, ist heute Teil der cyberkriminellen Wertschöpfungskette.

Dabei zählt Skalierbarkeit. Cyberkriminelle sammeln möglichst viele Zugänge, bewerten deren Schadenpotenzial und verkaufen besonders lohnende Einstiege weiter. Ein kompromittiertes VPN-Konto, ein gültiger Remote-Zugang, ein gekaperter Cloud-Account oder Zugriff auf ein internes System kann bereits genügen – etwa für Ransomware, Datendiebstahl, Erpressung oder Spionage.

Für Unternehmen bedeutet das: Der eigentliche Angriff beginnt oft lange bevor Ransomware ausgeführt oder Daten gestohlen werden – nämlich dann, wenn ein Zugang unbemerkt kompromittiert und in kriminellen Lieferketten weitergereicht wird.

«Gehandelt werden nicht blosse Logins, sondern Zugriffschancen und damit die Möglichkeit, ein Unternehmen für Erpressung, Betrug oder Spionage verwertbar zu machen.»

Gestohlene Zugangsdaten: Warum die Rolle über den Schaden entscheidet

Welche Zugänge abfliessen und wie sie missbraucht werden, hängt vom Kompromittierungsweg und der betroffenen Rolle ab.

Die folgenden Beispiele zeigen, wie unterschiedlich das Schadenspotenzial je nach Funktion ausfällt:

Mitarbeitende

• E-Mail-Konten: Business E-Mail Compromise, internes Phishing, Zugriff auf vertrauliche Kommunikation, Passwort-Resets
• M365/Google Workspace Account: SharePoint, OneDrive, Teams/Chat, Kalender, interne Dokumente
• Session Cookies und Browser Tokens: Zugriff ohne Passwort ohne erneute MFA-Abfrage
• VPN-Konten: Einstieg ins interne Netzwerk
• Passwort-Manager-Inhalt: Zugriff auf weitere interne und externe Dienste

Vertrieb/Verkauf

• CRM-Zugänge: Kundendaten, Pipeline, Verträge, Kontaktlisten
• E-Mail-Konten: Rechnungsbetrug
• Signierungs-Lösungen: Manipulation oder Missbrauch von Vertragsprozessen
• Kundenportal-Zugang: Kundendaten, Servicefälle, Bestellungen

Helpdesk/IT-Support

• Helpdesk-Accounts: Passwort-Resets, Account-Recovery, Benutzerinformationen
• Ticketing-System: interne Probleme, Systemnamen, laufende Projekte
• Remote-Support-Zugänge: Direkt-Zugriff auf Endgeräte und Server
• MDM- und Endpoint-Management-Zugänge: Geräteverwaltung, Softwareverteilung, Policy-Änderungen
• MFA-Reset oder MFA-Registrierungsrechte: Übernahme fremder Accounts

Engineering / IT-Betrieb

• VPN- und Jumphost-Zugänge: Zugriff auf interne Administrationszonen
• SSH-Keys: Zugriff auf Linux-Server, Netzwerkgeräte, Appliances
• Domänen-Admin: Vollständige Kompromittierung der Windows-Umgebung
• Cloud-Admin-Zugänge: Zugriffe auf virtuelle Geräte, Storage, IAM, Datenbanken, Backup
• Kubernetes-Admin-Zugänge: Zugriff auf Cluster, Secrets, Workloads, Container

Softwareentwicklung / DevOps

• GitHub-/GitLab-/Bitbucket-Zugänge: Quellcode-Diebstahl, Suche nach Secrets, Codemanipulation
• CI/CD-Secrets: Manipulation von Builds und Deployments
• Deployment Tokens: Veröffentlichung manipulierte Software in Produktion
• Container-Registry-Zugänge: Einschleusen bösartiger Images
• Package-Registry-Zugänge: Supply-Chain Angriffe über manipulierte Pakete
• Signing-Zertifikate: Signieren manipulierte Software
• Secrets auf lokalen Entwicklermaschinen: Seiteneinstieg in Build-, Test-, Produktionsumgebungen
• Webhook-Secrets: Manipulation von Integrationen und Automationen

Identitäten härten und überwachen: 7 Massnahmen gegen kompromittierte Identitäten

Identitäten gehören heute zu den wichtigsten Angriffszielen. Oft brauchen Angreifer keine Malware und keine komplexe Schwachstelle. Ein gültiges Passwort, ein gestohlener Session-Cookie oder ein manipulierter MFA-Prozess genügt. Identitätsschutz muss deshalb als eigene Sicherheitsdisziplin verstanden werden, nicht als reine IT-Administrationsaufgabe.

Folgende sieben Massnahmen zeigen, wie Organisationen Identitäten, Zugriffe und Sessions wirksam absichern:

1. Benutzerkonten mit phishing-resistenter MFA absichern 
   Alle Benutzerkonten brauchen starke Authentifizierung. MFA ist Pflicht, aber nicht jede MFA ist phishing-resistent: SMS-Codes und einfache Push-Bestätigungen lassen sich umgehen. Wirksamer sind FIDO2 Security Keys, Passkeys oder zertifikatsbasierte Verfahren – besonders für privilegierte Konten, Helpdesk-Rollen sowie Zugriffe auf Cloud-, VPN- und Remote-Access-Systeme.
2. Anmeldungen mit Conditional Access bewerten 
   Conditional Access bewertet nicht nur Benutzername, Passwort und MFA, sondern auch den Kontext der Anmeldung: Gerät, Standort, Browser, Zugriffsmuster und Sensibilität der Daten. So lassen sich riskante Logins blockieren, zusätzliche Prüfungen erzwingen oder Zugriffe auf vertrauenswürdige Geräte beschränken.
3. Privilegierte Identitäten streng kontrollieren 
   Admin-Konten brauchen getrennte Zugänge, starke MFA, «Just-in-Time»-Zugriff, rollenbasierte Berechtigungen und lückenloses Logging. Dauerhaft aktive Global-Admin-, Domain-Admin- oder Cloud-Admin-Rechte erhöhen das Risiko unnötig. Privilegien sollten nur bei Bedarf vergeben und danach automatisch wieder entzogen werden.
4. Passwörter nicht unterschätzen
   Passwörter bleiben relevant, besonders ohne phishing-resistente Authentifizierung. Entscheidend sind starke Passwörter oder Passphrases, keine Wiederverwendung, keine geleakten oder Standard-Passwörter und keine gemeinsam genutzten Konten. Passwortmanager helfen bei der sicheren Verwaltung; langfristig sollten passwortlose Verfahren zum Zielbild werden.
5. Session-Schutz: MFA endet nicht nach dem Login 
   Angreifer stehlen zunehmend Browser-Cookies und Tokens, um MFA zu umgehen. Deshalb sollten Unternehmen riskante Sessions erkennen, Token-Lebenszeiten begrenzen, Re-Authentication bei sensiblen Aktionen verlangen und Zugriffe von nicht verwalteten Geräten einschränken. Der Schutz endet nicht nach dem Login
6. Helpdesk-Prozesse absichern
   Cyberkriminelle umgehen technische Schutzmassnahmen oft über den Support, etwa durch manipulierte MFA-Resets, neue Geräte-Registrierungen oder Passwortänderungen. Helpdesk-Prozesse brauchen deshalb klare Identitätsprüfungen, Vier-Augen-Prinzipien und Alarme bei sensiblen Änderungen. Ein schwach abgesicherter Helpdesk kann selbst starke MFA aushebeln.
7. Identity Use Cases für Monitoring und Detection definieren
   Logs allein reichen nicht. Entscheidend sind konkrete Identity-Use-Cases für Monitoring und Detection: unmögliche Reisebewegungen, ungewöhnliche Herkunftsländer, gehäufte Login-Fehler, unübliche MFA-Registrierungen, neue Geräte, verdächtige OAuth-Freigaben, Passwort-Reset-Anomalien, privilegierte Rollenänderungen oder massenhafte Dateizugriffe. Identitäten müssen geschützt und laufend überwacht werden.

«Nicht jede Anmeldung ist vertrauenswürdig, nur weil das Passwort stimmt.»

Eine starke Identity-Sicherheitsstrategie wirkt erst im Zusammenspiel: robuste Authentifizierung, kontextbasierte Zugriffe, minimale Rechte, sichere Admin-Prozesse, Session-Schutz, laufendes Monitoring und schnelle Reaktion bei verdächtigen Anmeldungen.

Wie stark Identitäten 2025 ins Zentrum realer Cybervorfälle gerückt sind, zeigt das Whitepaper «InfoGuard Threat Intelligence Insights 2025». Es ordnet aktuelle Angriffsmuster ein und zeigt, welche Massnahmen Organisationen priorisieren sollten, um Account Takeover früher zu erkennen und gezielter zu verhindern.

Whitepaper jetzt downloaden

Endpunkte und Server überwachen: Angriffe erkennen, bevor sie eskalieren

Auch starke Identity Security schliesst nicht jede Lücke. Angreifer können über Schwachstellen, gestohlene Sessions, kompromittierte Lieferanten oder bereits vorhandene Zugänge in eine Umgebung gelangen. Ab diesem Moment entscheidet Sichtbarkeit darüber, ob ein Angriff früh erkannt wird oder ob sich Angreifer ungestört weiterbewegen.

EDR-Abdeckung: Sensorik auf den entscheidenden Systemen

Systeme mit Zugriff auf Unternehmensdaten oder interne Infrastrukturen brauchen eine möglichst vollständige EDR-Abdeckung: Arbeitsplätze, Notebooks, Server, virtuelle Maschinen, Terminalserver, Admin-Systeme und kritische Applikationsserver. Besonders wichtig sind Systeme, auf denen privilegierte Benutzer:innen arbeiten oder über die auf geschäftskritische Daten zugegriffen wird.

EDR ist dabei nicht einfach ein weiteres Tool, sondern die Sensorik auf dem System selbst. Sie erkennt verdächtige Prozessketten, ungewöhnliche Skriptausführung, Credential Dumping, laterale Bewegung, Ransomware-Verhalten oder Manipulationen an Sicherheitstools. Ohne diese Sichtbarkeit erkennt ein Unternehmen oft nur noch die Folgen – nicht aber den eigentlichen Ablauf des Angriffs.

Wenn EDR nicht möglich ist: Sichtbarkeit anders herstellen

Nicht jedes System lässt sich mit einem EDR-Agenten ausstatten. Legacy-Systeme, Produktionsanlagen, Appliances, Netzwerkgeräte, Mainframes, OT-Systeme oder hochkritische Plattformen mit Stabilitätsanforderungen brauchen kompensierende Kontrollen. Wo EDR nicht möglich ist, müssen mindestens administrative Zugriffe kontrolliert, protokolliert und überwacht werden – etwa über gehärtete Jump Hosts oder Admin Workstations mit EDR-Abdeckung.

Zusätzlich braucht es Netzwerksichtbarkeit durch Network Detection and Response (NDR) sowie zentrale Logs im SIEM. NDR hilft, laterale Bewegung, ungewöhnliche Verbindungen, Command-and-Control-Kommunikation, Scans oder Datenabfluss zu erkennen. Gerade dort, wo kein Endpoint-Agent installiert werden kann.

Kritische Server: Keine blinden Flecken in der Eskalationszone

Besonders kritisch ist die Überwachung von Servern mit hoher Bedeutung. Domain Controller, Identity-Systeme, Backup-Server, Virtualisierungsplattformen, File Server, Datenbanken, Applikationsserver, CI/CD-Systeme, Management-Server, EDR-/SIEM-Komponenten und Cloud Connectoren. Wer nur Benutzer-Endgeräte überwacht, aber Server, Linux-Systeme, virtuelle Umgebungen oder Admin-Infrastruktur vernachlässigt, erkennt möglicherweise den Einstieg –verpasst aber die Eskalation.

Der entscheidende Punkt: Jede Ausnahme braucht Transparenz. Unternehmen müssen wissen, welche Systeme existieren, welche davon EDR haben, welche Ausnahmen bestehen und welche kompensierenden Kontrollen greifen. «Fast überall» reicht nicht, wenn ausgerechnet kritische Systeme blind bleiben.

Managed Risk Exposure: Welche Risiken zuerst reduziert werden müssen

Neben Identitätsschutz sowie Endpunkt- und Server-Monitoring braucht es eine dritte zentrale Fähigkeit, die eigene Angriffsfläche kontinuierlich zu prüfen. Denn viele Angriffe beginnen nicht mit hochkomplexen Exploits, sondern damit, was nach aussen sichtbar, falsch konfiguriert, vergessen oder nicht sauber verantwortet ist.

Dazu gehören unmanaged Assets, exponierte Systeme, Shadow IT, Fehlkonfigurationen, ungepatchte Schwachstellen und technische Angriffspfade, die Angreifer schneller finden als die eigene Organisation. Genau hier entsteht ein gefährlicher blinder Fleck: Organisationen schützen häufig, was sie kennen – kompromittiert werden sie über das, was niemand mehr auf dem Radar hatte.

Von Schwachstellenlisten zu echten Cyberrisiken

Managed Risk Exposure erweitert klassisches Vulnerability Management um den entscheidenden Kontext: Es geht nicht nur darum, CVEs zu scannen und Tickets zu erstellen. Entscheidend ist die tatsächliche Angriffsfläche: Welche Systeme sind von aussen erreichbar? Welche Identitäten haben kritische Rechte? Welche Cloud-Ressourcen sind falsch konfiguriert? Welche Lieferanten- oder Remote-Zugänge existieren? Welche Schwachstellen lassen sich realistisch zu einem Angriffspfad kombinieren?

Der wichtigste Punkt: Nicht alles kann gleichzeitig behoben werden. Deshalb braucht es risikobasierte Priorisierung. Eine kritische Schwachstelle auf einem isolierten Testsystem ist nicht automatisch wichtiger als eine mittlere Schwachstelle auf einem exponierten System mit Zugriff auf produktive Daten. Entscheidend sind Erreichbarkeit, Kritikalität, vorhandene Kontrollen, mögliche Auswirkungen und Wahrscheinlichkeit zur Ausnutzung.

Identifizierte Risiken sollten deshalb laufend priorisiert werden. Diese Liste ist kein statisches Reporting-Artefakt, sondern ein operatives Steuerungsinstrument. Sie zeigt, welche Risiken mit den verfügbaren Ressourcen zuerst reduziert werden müssen und welche Massnahmen den grössten Sicherheitsgewinn bringen.

Die typischen Bereiche sind:

• Unmanaged Assets: Systeme ohne Besitzer, EDR, Patch-Prozess oder Inventarisierung
• Exposed Assets: Internet-erreichbare Server, VPN-Portale, Remote-Zugänge, Admin-Oberflächen, Cloud-Dienste
• Shadow IT: Nicht freigegebene SaaS-Dienste, private Cloud-Ressourcen, vergessene Subdomains, inoffizielle Tools
• Fehlkonfigurationen: Offene Storage Buckets, zu breite Firewall-Regeln, schwache IAM-Rollen, unsichere Standardkonfigurationen
• Schwachstellen: Ungepatchte Systeme, veraltete Software, bekannte Exploit-Pfade, fehlende Härtung
• Angriffspfade: Kombinationen aus Exponierung, Identitäten, Berechtigungen, Netzwerkzugriff und Schwachstellen

Findings übersetzen: Was technisch auffällt, muss geschäftlich relevant sein

Besonders wertvoll wird dieser Ansatz, wenn technische Findings nicht isoliert betrachtet werden. Ein offener Port ist noch kein Risiko in verständlicher Sprache. Ein exponiertes Admin-Interface ohne MFA auf einem geschäftskritischen System dagegen schon. Genau diese Übersetzung ist entscheidend: Aus technischen Findings werden priorisierte Risiken, die Management und Technik gemeinsam verstehen und bearbeiten können.

Cyberresilienz beginnt mit einem realistischen Lagebild

Ein jährlicher Blick auf die Angriffsfläche reicht nicht. Neue Systeme, Cloud-Projekte, Lieferanten, Software-Releases, Berechtigungen, Akquisitionen oder Schatten-IT verändern die Sicherheitslage laufend. Wer seine Angriffsfläche nur einmal jährlich prüft, ist praktisch immer zu spät. Entscheidend ist ein wiederkehrender Prozess: Risiken identifizieren, bewerten, priorisieren, Massnahmen umsetzen und deren Wirkung überprüfen.

Das InfoGuard Whitepaper «Threat Intelligence Insights 2025» vertieft diese Perspektive auf Basis von über 350 realen Cybervorfällen, die wir im Jahr 2025 bearbeitet haben. Es zeigt, welche Angriffspfade besonders relevant sind, warum Identitäten, Sichtbarkeit und Reaktionsfähigkeit 2026 weiter an Bedeutung gewinnen. Im Mittelpunkt stehen konkrete Erkenntnisse aus realen Angriffsmustern. So entsteht ein Lagebild, das nicht bei der Analyse stehen bleibt, sondern hilft, Monitoring gezielt auszubauen, Prozesse zu testen und Entscheidungen fundierter zu treffen.

Nutzen Sie das Whitepaper «InfoGuard Threat Intelligence Insights 2025» als Realitätscheck: Prüfen Sie, welche Angriffsmuster jetzt besonders relevant sind – und welche Massnahmen für Ihre Organisation Priorität haben.

Whitepaper jetzt downloaden

Ein Angriff. Ein blinder Fleck. Eine Chance, das zu ändern.

Sandro Bachmann, Principal Threat Intelligence Analyst, weiss aus täglicher Praxis: Ein Angriff läuft selten so ab, wie man ihn erwartet.

Im «Cyber Threat Intelligence Webinar» vom 27. Mai 2026 zeigt er, wie moderne Bedrohungen wirklich funktionieren und woran Organisationen Risikoexpositionen frühzeitig erkennen. 

• Wann: Mittwoch, 27. Mai 2026 | 10.00 – 10.45 Uhr
• Wo: virtuell

Sind Sie dabei? Einfach anmelden und teilnehmen. Wir freuen uns auf Sie!

Anmelden und teilnehmen