Virtueller Bankraub – Virtual Bank Robbery

Dieser Fall bringt den Strategiewandel von Hackern auf den Punkt: Banküberfälle und Cyberangriffe sind heute keine filmreifen Einbrüche mehr, bei denen Firewalls umgangen, virtuelle Schlösser geknackt oder Bankangestellte am Schalter bedroht werden. Stattdessen bestechen Angreifer Mitarbeiter, erbeuten legitime Zugänge und arbeiten mit den Berechtigungen, die ihnen Unternehmen unbewusst zur Verfügung stellen.

Trotzdem sorgen sich viele Unternehmen vordergründig um den Schutz von Anwendungen, Netzwerken und Endpunkten. Das ist unabdinglich, doch dabei vernachlässigen sie das, was aus Sicht der Angreifer am einfachsten und effektivsten ist: Identitäten und Konten.

Der klassische Weg ist das Knacken und Einschleusen

Noch vor wenigen Jahren bestand ein typischer Angriff meist darin, Schwachstellen in einer Webanwendung oder einem Betriebssystem auszunutzen. Über offene Sicherheitslücken (auch „Exploits” genannt) gelangten Angreifer in interne Systeme, bewegten sich dann laterally durch die Netzwerkumgebung und suchten nach sensiblen Daten oder kompromittierten weitere Systeme.

Diese Methode war aufwendig. Sie erforderte technisches Know-how, Zeit und barg das ständige Risiko, entdeckt zu werden. Moderne Infrastrukturen mit Intrusion Detection, Segmentierung und Patching haben diese Vorgehensweise zwar nicht unmöglich gemacht, aber zumindest deutlich erschwert. Doch Angreifer entdeckten bald einen neuen Ansatz: den Menschen.

Der neue Ansatz: Einloggen statt Einbrechen

Warum also komplizierte Hintertüren aufbrechen, wenn ein einziger Account genügt? Aus Hackersicht gibt es mehrere gute Gründe, den Weg über Benutzerkonten von Mitarbeitern zu wählen:

• Vertrauen: Ein gültiges Konto mit echten Berechtigungen löst kaum Alarm aus. Alles wirkt wie ein normaler Vorgang.
• Automatisierung: Prozesse wie „Zero-Day-Provisioning“ und Self-Service-Accounts sorgen dafür, dass neue Identitäten oft mit minimaler Prüfung entstehen.
• Massive Angriffsfläche: Es gibt weit mehr Konten als Menschen – von Dienstkonten über Bots bis zu vergessenen, alten Accounts. Je mehr Konten, desto mehr potenzielle Einstiegspunkte.
• Weniger technische Hürden: Es reicht, an Zugangsdaten zu gelangen – durch Phishing, Social Engineering oder Datenlecks. Zero-Day-Exploits sind nicht nötig.

Ein besonders perfides Beispiel ist der Missbrauch von HR-Systemen. Dabei schleusen Angreifer fiktive Mitarbeiterprofile ein, die von der Organisation als echte Neueinstellungen behandelt und automatisch mit Zugriffsrechten ausgestattet werden.

Auch Drittdienstleister und Partnernetzwerke bieten eine ideale Angriffsfläche: Externe Konten mit internen Rechten, deren Nutzung oft nicht ausreichend überwacht wird.

Warum Anwendungen besser geschützt sind

Geschäftsanwendungen, Netzwerke und Server sind inzwischen gut bewacht. Sie werden regelmäßig gepatcht, überwacht und durch Security-Layer wie WAFs (Web Application Firewalls) geschützt. Außerdem kommen hier ausgefeilte Anomalieerkennungen und Log-Analysen zum Einsatz.

Beim Identitäts- und Berechtigungsmanagement sieht es hingegen oft anders aus. Noch immer sind Konten mit „temporären” Rechten jahrelang aktiv. Nicht-menschliche Identitäten – Geräte, Bots, APIs – verschwinden aus dem Blickfeld. Entzieht man einem Server das letzte Sicherheitsupdate, schrillen die Alarmglocken und die Sicherheitsteams reagieren. Vergisst man jedoch einen Admin-Account auf einem stillgelegten System, passiert oft nichts – es schrillen keine Glocken und es gibt keine Reaktion. Genau hier setzen Angreifer an.

KI gehört ins Identitätsmanagement, denn Angreifer setzen sie längst ein

Die Angreifer von heute sind nicht nur geduldiger und raffinierter geworden, sondern auch besser ausgerüstet. Mit KI generieren sie täuschend echte Phishing-Mails, fälschen Identitäten in Bild und Ton oder analysieren Zugriffs- und Bewegungsmuster, um unbemerkt zu bleiben. Wer diesem Tempo standhalten will, kann nicht allein auf manuelle Kontrollen und statische Regeln setzen.

Auch Verteidiger müssen die Möglichkeiten von KI konsequent nutzen, um riesige Mengen an Berechtigungs- und Zugriffsdaten auszuwerten, abnormales Verhalten in Echtzeit zu erkennen und Muster zu finden, die dem menschlichen Auge entgehen. Die Verantwortung bleibt dabei trotzdem beim Menschen, aber ohne die Unterstützung von Maschinen lässt sich die Dynamik moderner Angriffe nicht mehr beherrschen. KI ist kein Allheilmittel. Wer sie jedoch ignoriert, verzichtet auf ein wertvolles Werkzeug, das Hacker längst nutzen.

Wie kann man sich schützen?

Der Ausweg liegt in einem Umdenken und einer konsequenten Identitätsstrategie.

• Inventarisieren und kontrollieren: Alle Identitäten – menschliche wie nicht-menschliche – müssen sichtbar gemacht, klassifiziert und regelmäßig überprüft werden.
• Lebenszyklus steuern: Jede Identität benötigt einen klar definierten Lebenszyklus von der Erstellung bis zur Deaktivierung.
• Berechtigungen minimieren: Es sollte nur so viel wie nötig und so wenig wie möglich sein, auch für Maschinenkonten.
• Automatisieren mit Kontrolle: Automatisierte Prozesse zur Kontoerstellung und -entziehung beschleunigen und sichern, aber immer mit eingebauter Überprüfung.
• KI nutzen, aber nicht blind vertrauen. Künstliche Intelligenz kann Anomalien erkennen, Muster analysieren und Prozesse beschleunigen. Die Verantwortung darf aber nicht allein an Maschinen abgegeben werden.
• Kulturwandel: Die Identität muss als kritische Infrastruktur des Unternehmens verstanden werden – von der Geschäftsführung bis in jede Fachabteilung.

Sichere Identitäten ebnen den Weg zur digitalen Transformation

Der gefährlichste Angreifer muss heute nicht mehr durch Sicherheitslücken schleichen oder Firewalls überwinden. Er tritt durch den Haupteingang, mit einem echten Firmenausweis in der Hand. Solange digitale Identitäten nicht als primäre Angriffsfläche verstanden und systematisch gesichert werden, bleibt jeder andere Schutz nur Stückwerk. Sicherheitsverantwortliche, denen es schwerfällt, die Bedeutung des Identitätsmanagements auf der Führungsebene zu vermitteln, sollten Vorstände zu einem Perspektivwechsel ermutigen. Denn Identitäten zu schützen ist nicht nur eine reine Sicherheitsmaßnahme, sondern auch Enabler für Produktivität, zeitgemäße Cloud-Nutzung und digitale Transformation. Wer über Sicherheit spricht, muss endlich auch über Konten sprechen und die Identität in den Mittelpunkt der Cybersicherheit rücken.

This case exemplifies the shift in hackers‘ strategies. Bank robberies and cyberattacks are no longer like the break-ins seen in movies, where firewalls are bypassed, virtual locks are cracked, and bank employees are threatened at the counter. Now, attackers bribe employees, steal legitimate access, and exploit the permissions that companies unknowingly provide.

Nevertheless, many companies primarily concern themselves with protecting applications, networks, and endpoints. While this is essential, they neglect what is easiest and most effective from the attacker’s point of view: identities and accounts.

The classic method is cracking and infiltration.

Just a few years ago, a typical attack usually involved exploiting vulnerabilities in a web application or operating system. Attackers used open security gaps (also known as “exploits”) to gain access to internal systems, then moved laterally through the network environment, searching for sensitive data or compromising other systems.

This method was time-consuming. It required technical expertise, time, and carried the constant risk of being discovered. Modern infrastructures with intrusion detection, segmentation, and patching have not made this approach impossible, but they have made it significantly more difficult. However, attackers soon discovered a new approach: people.

The new approach: log in instead of breaking in

So why break into complicated backdoors when a single account is enough? From a hacker’s perspective, there are several good reasons to choose the route via employee user accounts:

• Trust: A valid account with real permissions hardly raises any alarm bells. Everything looks like a normal process.
• Automation: Processes such as “zero-day provisioning” and self-service accounts ensure that new identities are often created with minimal verification.
• Massive attack surface: There are far more accounts than people – from service accounts to bots to forgotten old accounts. The more accounts, the more potential entry points.
• Fewer technical hurdles: All you need to do is obtain access data – through phishing, social engineering, or data leaks. Zero-day exploits are not necessary.

A particularly insidious example is the misuse of HR systems. Attackers smuggle in fictitious employee profiles, which are treated by the organization as genuine new hires and automatically granted access rights.

Third-party service providers and partner networks also offer an ideal attack surface: external accounts with internal rights, the use of which is often not sufficiently monitored.

Why applications are better protected

Business applications, networks, and servers are now well guarded. They are regularly patched, monitored, and protected by security layers such as WAFs (web application firewalls). Sophisticated anomaly detection and log analysis are also used here.

When it comes to identity and authorization management, however, the situation is often different. Accounts with “temporary” rights are still active for years. Non-human identities – devices, bots, APIs – disappear from view. If a server is deprived of the latest security update, alarm bells ring and security teams respond. However, if an admin account is forgotten on a decommissioned system, nothing often happens – no bells ring and there is no response. This is exactly where attackers come in.

AI belongs in identity management, because attackers have been using it for a long time

Today’s attackers have not only become more patient and sophisticated, but also better equipped. They use AI to generate deceptively real phishing emails, fake identities in image and sound, or analyze access and movement patterns to remain undetected. If you want to keep up with this pace, you can’t rely solely on manual controls and static rules.

Defenders must also consistently use the capabilities of AI to evaluate huge amounts of authorization and access data, detect abnormal behavior in real time, and find patterns that escape the human eye. The responsibility still lies with humans, but without the support of machines, the dynamics of modern attacks can no longer be controlled. AI is not a panacea. However, those who ignore it are foregoing a valuable tool that hackers have long been using.

How can you protect yourself?

The solution lies in a rethink and a consistent identity strategy.

• Inventory and control: All identities – human and non-human – must be made visible, classified, and regularly reviewed.
• Control the lifecycle: Every identity needs a clearly defined lifecycle from creation to deactivation.
• Minimize permissions: Permissions should be as necessary and as few as possible, even for machine accounts.
• Automate with control: Automated processes for account creation and revocation accelerate and secure, but always with built-in verification.
• Use AI, but don’t trust it blindly. Artificial intelligence can detect anomalies, analyze patterns, and accelerate processes. However, responsibility must not be handed over to machines alone.
• Cultural change: Identity must be understood as critical infrastructure for the company—from management to every department.

Secure identities pave the way for digital transformation

Today, the most dangerous attacker no longer has to sneak through security gaps or overcome firewalls. They walk through the front door, with a real company ID card in their hand. As long as digital identities are not understood as the primary target and systematically secured, any other protection remains piecemeal. Security managers who find it difficult to convey the importance of identity management at the executive level should encourage board members to change their perspective. After all, protecting identities is not just a security measure, but also an enabler for productivity, modern cloud usage, and digital transformation. When talking about security, we must finally also talk about accounts and put identity at the center of cybersecurity.