Erkennung und Reaktion auf Identitätsbedrohungen (ITDR): Der umfassende Leitfaden

Wichtige Erkenntnisse

Identität ist mittlerweile der vorherrschende Angriffsvektor. Neunzig Prozent der Einsätze zur Reaktion auf Sicherheitsvorfälle im Jahr 2025 betrafen Schwachstellen im Bereich der Identitätsverwaltung, weshalb ITDR für jedes moderne Sicherheitsprogramm unverzichtbar ist.
ITDR ergänzt IAM, PAM, EDR und XDR, ersetzt diese jedoch nicht. Es bietet eine identitätsspezifische Verhaltenserkennung, über die andere Tools nicht verfügen.
Nicht-menschliche Identitäten stellen einen neuen Schwachpunkt dar. Angesichts von 18,1 Millionen offengelegten API-Schlüsseln und 6,2 Millionen im Jahr 2025 wiedererlangten Anmeldedaten für KI-Tools erfordern Bedrohungen durch maschinelle Identitäten dieselbe Aufmerksamkeit wie solche durch menschliche Identitäten.
Eine effektive ITDR erfordert eine schrittweise Umsetzung und messbare KPIs – darunter die durchschnittliche Zeit bis zur Erkennung, die Falsch-Positiv-Rate und die Abdeckung der Identitäts-Angriffsfläche.
Vorfälle aus der Praxis belegen dies. Die Vorfälle bei Snowflake, Midnight Blizzard und FICOBA zeigen jeweils, wie identitätsbasierte Angriffe dort erfolgreich sind, wo herkömmliche Sicherheitsmaßnahmen versagen.

Identitäten sind zur primären Angriffsfläche geworden. Im Jahr 2025 betrafen 90 % der Untersuchungen im Rahmen der Incident Response Schwachstellen bei Identitäten, und 65 % der Erstzugriffe erfolgten über Identitäten – durch phishing, gestohlene Anmeldedaten oder Brute-Force-Angriffe – laut dem Global Incident Response Report 2026 von Unit 42. Gleichzeitig wurden im selben Jahr fast zwei Milliarden Anmeldedaten aus malware indexiert. Herkömmliche Perimeter- und endpoint waren nie dafür ausgelegt, Angreifer zu erkennen, die mit gültigen Anmeldedaten durch die Vordertür hereinkommen. Identity Threat Detection and Response (ITDR) wurde entwickelt, um diese Lücke zu schließen.

Dieser Leitfaden erläutert, was ITDR ist, wie es funktioniert, welche Angriffe es erkennt, wie es sich im Vergleich zu anderen Sicherheitstools schlägt und wie man es effektiv implementiert – untermauert durch Fallstudien zu realen Sicherheitsverletzungen und eine Übersicht über die Einhaltung gesetzlicher Vorschriften, die jede Aussage belegen.

Was ist die Erkennung und Reaktion auf Identitätsbedrohungen (ITDR)?

Identity Threat Detection and Response (ITDR) ist ein Sicherheitsansatz, der Bedrohungen für Benutzer- und Maschinenidentitäten in lokalen und cloud erkennt, analysiert und darauf reagiert. Dabei werden Verhaltensanalysen und künstliche Intelligenz eingesetzt, um den Missbrauch von Anmeldedaten, die Ausweitung von Berechtigungen sowie identitätsbasierte laterale Bewegungen zu identifizieren, die herkömmliche Perimeter-Abwehrmaßnahmen umgehen.

Gartner hat ITDR erstmals im Jahr 2022 als einen der wichtigsten Trends im Bereich Sicherheit und Risikomanagement identifiziert und es als eigenständige Kategorie hervorgehoben, die sich vom Identitäts- und Zugriffsmanagement (IAM) unterscheidet. Diese Unterscheidung ist von Bedeutung. IAM regelt, wer Zugriff erhält. ITDR erkennt, wenn dieser Zugriff unterlaufen, missbraucht oder gestohlen wird.

Der Markt hat darauf reagiert. Laut Fortune Business Insights und MarketsandMarkets wächst der ITDR-Markt mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von etwa 22,6 bis 22,9 %. Dieses Wachstum spiegelt eine Tatsache wider, die Sicherheitsverantwortliche bereits kennen: Angreifer haben ihren Fokus von der Ausnutzung der Infrastruktur auf die Ausnutzung von Identitäten verlagert.

ITDR arbeitet Hand in Hand mit dem Identity Security Posture Management (ISPM), seinem präventiven Pendant. Während sich ISPM darauf konzentriert, Identitätskonfigurationen zu sichern, Berechtigungen anzupassen und inaktive Konten zu löschen, bevor Angreifer sie ausnutzen können, überwacht ITDR aktive Bedrohungen in Echtzeit. Zusammen bilden sie eine umfassende Strategie für die Identitätssicherheit, die sowohl auf Prävention als auch auf Erkennung basiert. Die Identitätsanalyse liefert die Verhaltensdaten, die beide Bereiche unterstützen.

Warum Identität der neue Perimeter ist

Das Ausmaß der Identitätsrisiken ist erschreckend. Laut der Studie „2024 Trends in Securing Digital Identities“ der IDS Alliance waren 90 % der Unternehmen im vergangenen Jahr von einer Identitätsverletzung betroffen. Der „SpyCloud 2026 Identity Exposure Report“ ergab, dass im Jahr 2025 65,7 Milliarden Identitätsdatensätze erneut erfasst wurden – ein Anstieg von 23 % gegenüber dem Vorjahr.

Diese Zahlen verdeutlichen, warum identitätsbasierte Angriffe mittlerweile den Großteil der Vorfälle im Bereich Incident Response ausmachen. Angreifer müssen keine Sicherheitslücken ausnutzen, wenn sie sich mit gültigen Anmeldedaten einloggen können. Jede cloud , jede SaaS-Plattform und jeder Anbieter von Verbundidentitäten vergrößert die Angriffsfläche für Identitätsangriffe. Und herkömmliche Sicherheitstools – Firewalls, endpoint , Netzwerküberwachung – wurden nicht dafür entwickelt, einen Angreifer zu erkennen, der wie ein legitimer Benutzer wirkt.

So funktioniert ITDR

ITDR funktioniert nach einem kontinuierlichen Zyklus aus Datenerfassung, Verhaltensanalyse, Erkennung von Bedrohungen und automatisierter Reaktion. Das Betriebsmodell lässt sich wie folgt aufschlüsseln.

Das vierphasige ITDR-Betriebsmodell

Identitätsdaten erfassen. Erfassen Sie Authentifizierungsprotokolle und Identitätsdaten aus Active Directory, cloud (wie Entra ID), SaaS-Anwendungen, PAM-Tools und Verbunddiensten.
Legen Sie Verhaltens-Baselines fest. Erfassen Sie die üblichen Verhaltensmuster – Anmeldezeiten, geografische Standorte, Nutzung von Berechtigungen, Authentifizierungsmethoden und Zugriffshäufigkeit – für jede Benutzer- und Maschinenidentität.
Erkennen Sie Anomalien und Bedrohungen. Nutzen Sie die verhaltensbasierte Bedrohungserkennung, um Abweichungen wie unmögliche Reisewege, ungewöhnliche Berechtigungserweiterungen, abnormale OAuth-Zustimmungserteilungen und Muster von Passwort-Spraying zu identifizieren.
Automatisieren Sie die Eindämmung und Reaktion. Führen Sie automatisierte Reaktionen durch, darunter verstärkte MFA-Prüfungen, die Deaktivierung von Konten, die Rotation von Anmeldedaten und die Isolierung von Sitzungen, je nach Schweregrad der Bedrohung.
Identitätsdaten aus verschiedenen Quellen miteinander verknüpfen. Identitätssignale aus lokalen und cloud zusammenführen, um einen einheitlichen Kontext für die Erkennung von Bedrohungen zu schaffen.
Anpassen und optimieren. Verfeinern Sie die Erkennungsschwellenwerte kontinuierlich, reduzieren Sie Fehlalarme und erweitern Sie die Abdeckung, während sich die Angriffsfläche für Identitätsangriffe weiterentwickelt.

Dieser Zyklus läuft kontinuierlich ab. Im Gegensatz zu punktuellen Audits bietet ITDR eine kontinuierliche Überwachung, die sich an veränderte Benutzerverhalten anpasst – neue Rollen, neue Anwendungen und neue Standorte lösen jeweils eine Neukalibrierung der Basiswerte aus.

Management der Identitätssicherheit (ISPM)

ISPM ist das präventive Gegenstück zur detektiven und reaktiven Funktion von ITDR. Während ITDR fragt: „Verhält sich diese Identität gerade böswillig?“, fragt ISPM: „Berufen unsere Identitätskonfigurationen unnötige Risiken herauf?“

Zu den wichtigsten Funktionen von ISPM gehören die Bestandsaufnahme von Identitäten, die Anpassung von Berechtigungen, die Erkennung von Fehlkonfigurationen und die Identifizierung inaktiver Konten. Der Bedarf ist dringend. Laut einer Studie von Unit 42 aus dem Jahr 2026 verfügten 99 % der analysierten cloud über übermäßige Berechtigungen – eine riesige, ausnutzbare Angriffsfläche, die ISPM verringern soll, bevor ITDR überhaupt einen Angreifer erkennen muss, der diese Berechtigungen ausnutzt.

Unternehmen, die sowohl ITDR als auch ISPM gemeinsam einsetzen, schaffen ein mehrschichtiges Sicherheitsmodell für Identitäten. ISPM verringert das Schadensausmaß, indem es unnötige Zugriffsrechte unterbindet. ITDR fängt die Bedrohungen ab, die die präventiven Kontrollen umgehen.

Arten von identitätsbasierten Angriffen, die ITDR erkennt

Identitätsbasierte Angriffe umfassen eine Vielzahl von Techniken, die sowohl auf menschliche als auch auf maschinelle Identitäten abzielen. ITDR wurde entwickelt, um diese Angriffe anhand von Verhaltensanalysen statt anhand statischer Regeln zu erkennen.

Tabelle: Identitätsbasierte Angriffe und ITDR-Erkennungsmethoden

Angriffstyp	Wie ITDR erkennt	Beispiel aus der Praxis
Angriffe unter Verwendung von Anmeldedaten (Password Spraying, Credential Stuffing, Brute-Force-Angriffe)	Erkennt ungewöhnlich hohe Fehlerraten bei der Authentifizierung, Anomalien bei der Zugriffsfrequenz sowie verteilte Anmeldeversuche über verschiedene Konten hinweg	Midnight Blizzard setzte „Password Spraying“ gegen ein älteres Testkonto ohne MFA ein
Erweiterung von Berechtigungen (unzulässige Rollenzuweisungen, Einrichtung von Schattenadministratoren)	Markiert unerwartete Rollenänderungen, die Erstellung neuer Administratorkonten und Änderungen an Berechtigungen außerhalb der üblichen Änderungsfenster	Angreifer erstellen geheime Administratorkonten, um nach dem anfänglichen Einbruch ihre Präsenz aufrechtzuerhalten
Seitwärtsbewegung (Pass-the-Hash, Pass-the-Ticket, Token-Replay)	Erkennt ungewöhnliche Authentifizierungsmuster zwischen Systemen, abnormale Service-Ticket-Anfragen und Kerberos-Anomalien	„Pass-the-Ticket“-Angriffe, die Bewegungen zwischen Systemen ermöglichen, die einer Domäne angehören
Kontoübernahme (Session-Hijacking, Umgehung der Zwei-Faktor-Authentifizierung, SIM-Swapping)	Erkennt gleichzeitige Sitzungen von unterschiedlichen Standorten, die Wiederverwendung von Sitzungscookies und Änderungen der MFA-Methode	Die 2FA-Plattform von Tycoon ermöglichte es Angreifern, Sitzungen in großem Umfang durch Man-in-the-Middle-Angriffe zu kapern
OAuth und Missbrauch von Tokens (böswillige Einwilligungserteilungen, Token-Diebstahl)	Überwacht ungewöhnliche Registrierungen von OAuth-Anwendungen, übermäßige Berechtigungserteilungen und Anomalien bei der Token-Nutzung	Midnight Blizzard nutzte ältere OAuth-Apps mit erweiterten Exchange Online-Berechtigungen
Bedrohungen durch nicht-menschliche Akteure (Kompromittierung von API-Schlüsseln, Missbrauch von Dienstkonten)	Erfasst das normale Verhalten von Maschinenidentitäten und weist auf Abweichungen bei API-Aufrufmustern, der Nutzung von Dienstkonten und den Zugriffszeiten auf Anmeldedaten hin	malware vom Typ „Infostealer“, die API-Schlüssel und Sitzungstoken von Entwickler-Arbeitsplätzen malware

Weitere Informationen zu bestimmten Angriffsarten finden Sie in den entsprechenden Leitfäden zu den Themen Identitätsdiebstahl, Rechteausweitung, laterale Bewegung, Kontoübernahme und Kerberoasting.

Bedrohungen durch nicht-menschliche Identitäten (NHI)

Nicht-menschliche Identitäten – API-Schlüssel, Dienstkonten, OAuth-Token und Anmeldedaten für KI-Agenten – übersteigen in den meisten Unternehmen mittlerweile die Zahl der menschlichen Identitäten um mehr als das Zehnfache. Sie stellen einen rasant wachsenden blinden Fleck dar.

Der „SpyCloud 2026 Identity Exposure Report“ ergab, dass im Jahr 2025 18,1 Millionen offengelegte API-Schlüssel und -Token sowie 6,2 Millionen Anmeldedaten für KI-Tools, die über malware offengelegt wurden, wiedererobert wurden. Diese Anmeldedaten für Maschinen verfügen oft über weitreichende Berechtigungen, lange oder gar keine Ablaufdaten und werden nur begrenzt überwacht – was sie zu besonders attraktiven Zielen macht.

Zu den wichtigsten Angriffsvektoren bei NHI-Bedrohungen zählen der Missbrauch von OAuth-Tokens, die Kompromittierung von Dienstkonten, der Diebstahl von API-Schlüsseln und das Replay von Sitzungs-Cookies. ITDR-Lösungen begegnen NHI-Bedrohungen, indem sie das Verhalten von Maschinenidentitäten als Referenzwert erfassen und Abweichungen kennzeichnen – beispielsweise wenn ein API-Schlüssel plötzlich von einem unbekannten IP-Bereich aus verwendet wird, ein Dienstkonto auf Ressourcen außerhalb seines normalen Geltungsbereichs zugreift oder die Anmeldedaten eines KI-Agenten zu ungewöhnlichen Zeiten genutzt werden.

ITDR im Vergleich zu anderen Sicherheitstools

Sicherheitsteams setzen bereits IAM-, PAM-, EDR-, XDR- und SIEM-Plattformen ein. ITDR ersetzt keine dieser Lösungen. Es schließt eine spezifische Lücke – die identitätsspezifische Verhaltenserkennung –, für deren Bewältigung keines dieser Tools konzipiert wurde.

Tabelle: Wie sich ITDR in bestehende Sicherheitswerkzeuge einfügt

Werkzeug	Primäre Funktion	Identitätsschutz	Bezug zum ITDR
IAM	Verwaltet Zugriffsrichtlinien, Authentifizierung und Autorisierung	Legt fest, wer Zugriff erhält	ITDR erkennt, wenn IAM-Richtlinien umgangen oder missbraucht werden
PAM	Steuert und überwacht privilegierten Zugriff	Verwaltet privilegierte Konten	ITDR erkennt anomales Verhalten innerhalb privilegierter Sitzungen. Gartner und KuppingerCole empfehlen die Konvergenz von PAM und ITDR
EDR	Überwacht Endgeräte auf schädliche Prozesse und Verhaltensweisen	Beschränkt auf den Benutzerkontext endpoint	ITDR überwacht Identitätssignale, die EDR nicht erfassen kann (OAuth-Berechtigungen, föderierte Authentifizierung, Aktivitäten cloud )
XDR	Stellt eine Korrelation der Telemetriedaten über Endgeräte, Netzwerk und cloud hinweg her	Breit gefächert, aber oberflächlich in Bezug auf die Identität	ITDR bietet eine spezialisierte Identitätssignaltiefe, die XDR-Plattformen erweitert
SIEM	Führt Protokolle für Korrelation, Alarmierung und Compliance zusammen	Transparenz der Identitäten anhand von Protokollen	ITDR bietet identitätsspezifische Verhaltensanalysen, die im Vergleich zur Korrelation von Rohprotokollen das Ausmaß an Fehlalarmen reduzieren

Der entscheidende Unterschied liegt in der Tiefe der Verhaltensanalyse. IAM und PAM setzen Richtlinien durch. EDR überwacht Endgeräte. SIEM korreliert Protokolle. Keines dieser Systeme wendet kontinuierliche Verhaltensanalysen gezielt auf Identitätssignale über die gesamte Angriffsfläche hinweg an – also gleichzeitig auf lokales Active Directory, cloud , SaaS-Anwendungen und Verbunddienste.

Identitätsangriffe in der Praxis

Vorfälle aus der Praxis zeigen besser als jede theoretische Diskussion, warum ITDR so wichtig ist. In jedem der folgenden Fälle handelte es sich um identitätsbasierte Angriffe, die herkömmliche Sicherheitsmaßnahmen umgangen haben – und jeder Fall verdeutlicht, an welchen konkreten Stellen ITDR die Bedrohung erkannt hätte.

Datenschutzverletzungen bei Snowflake-Kunden (2024)

Der Cyberkriminelle UNC5537 nutzte durch Infostealer erbeutete Zugangsdaten – von denen einige bereits aus dem Jahr 2020 stammten –, um auf etwa 165 Kundeninstanzen auf der cloud zuzugreifen. Zu den betroffenen Unternehmen zählten große Telekommunikations-, Unterhaltungs- und Finanzdienstleister.

Drei Faktoren haben den Angriff ermöglicht. Die Kundenkonten verfügten nicht über eine Zwei-Faktor-Authentifizierung. Gültige Anmeldedaten aus jahrelang zurückliegenden Infostealer-Angriffen funktionierten weiterhin. Es gab keine Richtlinien für den Netzwerkzugriff, die die Anmeldequellen einschränkten.

Lehrstunde aus dem ITDR. Mithilfe von Verhaltensanalysen wären ungewöhnliche Anmeldemuster – neue Standorte, unbekannte Geräte und bekanntermaßen kompromittierte Anmeldedaten – erkannt worden, wodurch die Zugriffsversuche bereits vor Beginn der Datenexfiltration als verdächtig markiert worden wären. Quelle: Cloud Alliance.

Mitternachtsblizzard (2024)

APT29 nutzte „Password Spraying“, um ein älteres Testkonto ohne MFA zu kompromittieren. Von dort aus nutzte der Angreifer ältere OAuth-Anwendungen mit erweiterten Berechtigungen, um bösartige OAuth-Apps zu erstellen und diesen uneingeschränkten Zugriff auf Exchange Online zu gewähren – wodurch er schließlich E-Mails der Führungsspitze auslesen konnte.

ITDR-Lektion. ITDR hätte das Muster des „Password Spraying“ erkannt, die Erstellung der OAuth-Anwendung aus einer ungewöhnlichen Quelle markiert und eine Warnung bezüglich der ungewöhnlichen Rollenzuweisung ausgegeben, die Zugriff auf Exchange Online gewährte. Entlang der gesamten Kill Chain gab es mehrere Erkennungsmöglichkeiten. Quelle: MSTIC-Leitfaden zu Vorfällen.

Datenschutzverletzung beim französischen FICOBA-Register (2026)

Ein Angreifer nutzte gestohlene Zugangsdaten eines Beamten, um sich Zugang zum nationalen Bankkontenregister (FICOBA) zu verschaffen, wodurch Finanzdaten von etwa 1,2 Millionen Personen offengelegt wurden. PAM allein konnte den Missbrauch nicht erkennen, da der Angreifer gültige Zugangsdaten mit autorisierten Zugriffsrechten verwendete.

ITDR-Lektion. Die Verhaltensanalyse hätte auffällige Zugriffsmuster erkannt – ungewöhnliches Datenvolumen, untypische Zeitpunkte der Abfragen und eine Zugriffshäufigkeit, die weit über die historische Basislinie des Benutzers hinausging. Quelle: The Hacker News.

Identitätsbasierte Sicherheitsverletzungen und ITDR-Erkennung

Identitätsbedrohungen erkennen und verhindern

Eine effektive Erkennung von Identitätsbedrohungen erfordert eine schrittweise Umsetzung, messbare KPIs und eine bewusste Entscheidung zwischen selbstverwalteten und verwalteten Ansätzen. Hier finden Sie bewährte Verfahren und einen praktischen Leitfaden.

Bewährte Verfahren für ITDR:

Alle Identitätsquellen (Active Directory, cloud , SaaS, PAM) kontinuierlich überwachen
Integrieren Sie ITDR in bestehende SIEM- und XDR-Plattformen, um Zusammenhänge zu erkennen
Das Prinzip der geringsten Berechtigungen umsetzen und Just-in-Time-Zugriff durchsetzen
Setzen Sie eine auf Täuschung basierende Erkennung mithilfe von Honeypot-Konten und Honeytokens ein
Erstellung von identitätsspezifischen Leitfäden für die Reaktion auf Vorfälle
Proaktive threat hunting mit Fokus auf Identitätssignale

Umsetzungsplan für ITDR

Tabelle: Roadmap für die schrittweise Einführung von ITDR

Phase	Aktionen	Erfolgskriterien	Zeitachse
1. Bewerten	Bestandsaufnahme der Identitätsquellen, Lückenanalyse, Überprüfung der Voraussetzungen	Vollständige Bestandsaufnahme aller Identitätsquellen (AD, cloud , SaaS, PAM)	Wochen 1–4
2. Ausgangswert	Verhaltensbaselines für alle überwachten Identitäten festlegen	Stabile Ausgangswerte mit dokumentierten Erwartungen hinsichtlich der Einarbeitungszeit	Wochen 5–10
3. Integrieren	Verbindung zu IAM-, PAM-, SIEM- und Identitätsanbieter-Quellen herstellen	Bidirektionaler Datenfluss über alle Quellen hinweg bestätigt	Wochen 8–14
4. Erkennen	Identitätsspezifische Erkennungsregeln und Verhaltensanalysen aktivieren	Erkennungsregeln, die im Rahmen des Workflows zur ersten Alarmtriage aktiv sind	Wochen 12–18
5. Antworten	Konfigurieren Sie Playbooks für automatisierte Reaktionen (zweistufige MFA, Kontosperrung, regelmäßige Änderung von Anmeldedaten)	Automated containment for critical identity alerts <1 hour	Wochen 16–22
6. Optimieren	Schwellenwerte für die Erkennung anpassen, Fehlalarme reduzieren, Erfassungsbereich erweitern	False positive rate <10%, identity attack surface coverage >95%	Laufend

ITDR Kennzahlen und KPIs , die während der gesamten Implementierung zu verfolgen sind:

MTTI (mean time to identify identity incidents): Target <1 hour for critical identity alerts
MTTC (mean time to contain identity-based intrusions): Target <4 hours
Abdeckung der Angriffsfläche für Identitäten: Überwachung von mehr als 95 % der Identitätsquellen
False positive rate: Target <10% of total identity alerts
Lücke zwischen Erkennung und Eindämmung: Ein jährlicher Bedrohungsbericht der Branche ergab, dass 68 % der Unternehmen Identitätsbedrohungen innerhalb von 24 Stunden erkennen, diese jedoch nur zu 55 % wirksam eindämmen – eine Lücke von 13 Prozentpunkten, die durch die Automatisierung von ITDR geschlossen werden soll.

Verwaltete ITDR für Teams mit begrenzten Ressourcen

Nicht jedes Unternehmen verfügt über die personellen Ressourcen, um ITDR intern aufzubauen und zu betreiben. Managed Detection and Response-Dienste bieten ausgelagerte Lösungen zur Erkennung und Bekämpfung von Identitätsbedrohungen für Teams, die eine Rund-um-die-Uhr-Betreuung benötigen, ohne ihren Personalbestand aufstocken zu müssen.

Wann sollte man Managed ITDR in Betracht ziehen:

Sicherheitsteams mit weniger als fünf Vollzeitkräften
Eingeschränkte Überwachung rund um die Uhr
Mangelnde interne Fachkenntnisse im Bereich Identitätssicherheit

Zu bewertende Aspekte: Umfang der Abdeckung (AD + cloud SaaS), Reaktions-SLAs, Integration in die bestehende Infrastruktur und transparente Berichterstattung. Der Markt für Managed ITDR wächst rasant, wobei zahlreiche Anbieter ihre Managed-ITDR-Kapazitäten ausbauen, um der Nachfrage von MSPs und MSSPs gerecht zu werden.

ITDR und Compliance

Die Funktionen von ITDR entsprechen direkt den identitätsbezogenen Kontrollmaßnahmen der wichtigsten regulatorischen Compliance- Rahmenwerke. Die Abstimmung von ITDR auf diese Rahmenwerke vereinfacht die Erfassung von Prüfungsnachweisen und belegt eine proaktive Governance im Bereich der Identitätssicherheit.

Zuordnung von Identitätstechniken im MITRE ATT&CK -Modell

Tabelle: Von ITDR abgedeckte MITRE ATT&CK

Taktik	Technik-ID	Technikname	ITDR-Erkennung
Erster Zugang	T1078	Gültige Konten	Erkennt ungewöhnliche Anmeldemuster, unmögliche Reisen und die Wiederverwendung von Anmeldedaten aus bekanntermaßen kompromittierten Quellen
Zugang zu Anmeldeinformationen	T1110	Brachiale Gewalt	Erkennt ungewöhnlich hohe Fehlerquoten bei der Authentifizierung und verteiltes Password-Spraying
Zugang zu Anmeldeinformationen	T1558	Kerberos-Tickets stehlen oder fälschen	Markiert ungewöhnliche Kerberos-Ticket-Anfragen sowie Muster bei der Verwendung von Golden- und Silver-Tickets
Seitliche Bewegung	T1550	Alternatives Authentifizierungsmaterial verwenden	Erkennt „Pass-the-Hash“, „Pass-the-Ticket“ und Token-Replay über Domänengrenzen hinweg
Persistenz	T1098	Konto-Manipulation	Überwacht unbefugte Rollenänderungen, die Erstellung neuer Administratorkonten und Änderungen an Berechtigungen

Einen umfassenderen Überblick über das Framework finden Sie im MITRE ATT&CK Themenseite.

Übersicht über die Compliance-Rahmenbedingungen

Tabelle: Zuordnung von ITDR zu Compliance-Rahmenwerken

Rahmenwerk	Kontroll-ID	ITDR-Kartierung
NIST CSF 2.0	ID.AM, PR.AA, DE.CM, DE.AE, RS.AN, RS.MI	Bestandsaufnahme der Identitäten, Zugriffsüberwachung, Erkennung von Anomalien, Untersuchung, Abhilfe
ISO 27001	A.9, A.12.4, A.16	Überwachung der Zugriffskontrolle, Protokollierung von Sicherheitsereignissen, Vorfallmanagement
CIS Controls Version 8	5, 6, 8	Kontoverwaltung, Zugriffskontrolle, Verwaltung von Prüfprotokollen
PCI DSS 4.0	Anforderungen 7, 8, 10	Zugriff einschränken, identifizieren und authentifizieren, protokollieren und überwachen
HIPAA	45 CFR 164.312	Zugriffskontrollen, Prüfkontrollen, Integritätskontrollen, Übertragungssicherheit
NIS2	Artikel 21	Risikomanagementmaßnahmen, einschließlich Identitäts- und Zugriffsmanagement
DORA	Kap. II, §§ 5–15	Rahmenkonzept für das IKT-Risikomanagement einschließlich Identitätssicherheit

Künftige Trends und neue Überlegungen

Die Bedrohungslage im Bereich der Identitätssicherheit entwickelt sich schneller, als sich die meisten Sicherheitsprogramme anpassen können. In den nächsten 12 bis 24 Monaten werden verschiedene Entwicklungen die Herangehensweise von Unternehmen an ITDR grundlegend verändern.

Durch KI beschleunigte Angriffe verkürzen die Reaktionsfristen. Die Studie von Unit 42 aus dem Jahr 2026 ergab, dass bei KI-gestützten Angriffssimulationen die vollständige Datenexfiltration in nur 25 Minuten erreicht wurde, wobei die schnellste in der Praxis beobachtete Exfiltration 72 Minuten dauerte. Diese Zeitrahmen lassen keinen Spielraum für manuelle Untersuchungen. ITDR-Lösungen, die Erkennung und Reaktion automatisieren, werden zur Grundvoraussetzung und nicht mehr zum Alleinstellungsmerkmal.

Die Konvergenz von PAM und ITDR schreitet immer schneller voran. Sowohl Gartner als auch KuppingerCole empfehlen mittlerweile einheitliche Identitätsschutzebenen, die die Kontrolle privilegierter Zugriffe mit der Erkennung von Identitätsbedrohungen vereinen. Unternehmen, die diese Funktionen weiterhin isoliert betreiben, werden mit Sicherheitslücken konfrontiert sein, die Angreifer bereits auszunutzen wissen.

Sitzungsbasierte Angriffe nehmen durch phishing immer größere Ausmaße an. Die 2FA-Plattform „Tycoon“ – die Europol im Rahmen einer koordinierten Aktion zerschlagen hat – ermöglichte Man-in-the-Middle-Angriffe, mit denen die Multi-Faktor-Authentifizierung (MFA) in großem Umfang umgangen wurde. Trotz dieser Zerschlagung war die Plattform innerhalb weniger Wochen wieder verfügbar, was die Widerstandsfähigkeit der phishing verdeutlicht. ITDR muss Sitzungsentführungen und das Wiederverwenden von Tokens erkennen, unabhängig davon, wie die ursprünglichen Anmeldedaten kompromittiert wurden.

Der Schutz nicht-menschlicher Identitäten wird zu einer gesetzlichen Vorschrift werden. Angesichts der zunehmenden Verbreitung von API-Schlüsseln, Dienstkonten und Anmeldedaten für KI-Agenten ist davon auszugehen, dass Compliance-Rahmenwerke die Überwachung und das Lebenszyklusmanagement für maschinelle Identitäten vorschreiben werden. Unternehmen sollten bereits jetzt damit beginnen, ihre Angriffsfläche im Bereich der nicht-menschlichen Identitäten zu erfassen.

Moderne Ansätze zur Erkennung von Identitätsbedrohungen

Die derzeit effektivsten ITDR-Programme gehen über eine isolierte Identitätsüberwachung hinaus. Sie verbinden Identitätssignale mit Netzwerküberwachung und -reaktion, cloud sowie endpoint , um einen einheitlichen Überblick über das Verhalten von Angreifern über die gesamte Angriffsfläche hinweg zu schaffen.

Cloud ITDR erweitert die Erkennung auf cloud Identitätsanbieter, SaaS-Plattformen undcloud , in denen herkömmliche On-Premises-Tools keine Sichtbarkeit bieten. KI-Sicherheitsfunktionen – einschließlich KI-gestützter Bedrohungsinformationen und Verhaltensmodellierung – ermöglichen es ITDR-Lösungen, mit Angreifern Schritt zu halten, die selbst KI einsetzen, um Angriffe zu beschleunigen.

Die Integration von ITDR mit zero trust stellt eine natürliche Weiterentwicklung dar. Zero trust eine kontinuierliche Überprüfung. ITDR liefert die Identitäts- und Verhaltensdaten, die eine kontinuierliche Überprüfung sinnvoll machen, anstatt sie nur als Alibimaßnahme zu betrachten.

Wie Vectra AI der Erkennung von Identitätsbedrohungen Vectra AI

Der Ansatz Vectra AI zur Erkennung von Identitätsbedrohungen basiert auf Attack Signal Intelligence, einer Methode, bei der Verhaltensanalysen auf Identitätssignale aus lokalen Active Directory-Umgebungen, cloud und SaaS-Anwendungen angewendet werden. Durch die Korrelation von Identitätsverhalten mit Netzwerktelemetriedaten identifiziert diese Methode echte Angriffe, die sich hinter normal erscheinenden Identitätsaktivitäten verbergen, anstatt weitere Warnmeldungen zu generieren, die von Analysten geprüft werden müssen. Das Ziel ist es, Signale von Rauschen zu unterscheiden – damit Sicherheitsteams die Klarheit erhalten, auf das Wesentliche zu reagieren, und das Selbstvertrauen, Unwichtiges zu ignorieren.

Schlussfolgerung

Identitätsbasierte Angriffe sind kein Trend. Sie sind der vorherrschende Angriffsvektor – verantwortlich für den Großteil der Erstzugriffe in bestätigten Vorfällen und die Hauptursache für hochkarätige Sicherheitsverletzungen in Unternehmen jeder Größe und Branche. Die Fälle Snowflake, Midnight Blizzard und FICOBA erzählen jeweils dieselbe Geschichte: gültige Anmeldedaten, unzureichende Überwachung und Präventivmaßnahmen, die nie darauf ausgelegt waren, einen Angreifer zu erkennen, der wie ein legitimer Benutzer wirkt.

ITDR schließt diese Lücke. Es erweitert die Angriffsfläche für Identitätsangriffe um eine kontinuierliche Verhaltenserkennung, erkennt Bedrohungen, die IAM, PAM und EDR nicht erkennen können, und automatisiert die Eindämmung, bevor Angreifer ihre Ziele erreichen. In Kombination mit ISPM für das präventive Sicherheitsmanagement und abgestimmt auf Frameworks wie MITRE ATT&CK NIST CSF bietet ITDR Sicherheitsteams die Transparenz und Geschwindigkeit, die sie benötigen, um die am stärksten angegriffene Angriffsfläche in modernen Unternehmen zu verteidigen.

Unternehmen, die bereit sind, ihre Fähigkeiten zur Erkennung von Identitätsbedrohungen zu bewerten, sollten sich damit befassen, wie Vectra AI den ITDR-Ansatz mithilfe von Attack Signal Intelligence Vectra AI .

Häufig gestellte Fragen

Was ist die Erkennung und Reaktion auf Identitätsbedrohungen (ITDR)?

Identity Threat Detection and Response (ITDR) ist ein Sicherheitsbereich, der Bedrohungen, die auf Benutzer- und Maschinenidentitäten abzielen, erkennt, analysiert und darauf reagiert. Dabei werden Verhaltensanalysen und künstliche Intelligenz eingesetzt, um den Missbrauch von Anmeldedaten, die Ausweitung von Berechtigungen sowie identitätsbasierte laterale Bewegungen in lokalen und cloud zu identifizieren.

Im Gegensatz zum Identitäts- und Zugriffsmanagement (IAM), das regelt, wer Zugriff erhält, konzentriert sich ITDR darauf, zu erkennen, wann dieser Zugriff missbraucht wird. Es überwacht Authentifizierungsvorgänge, Autorisierungsmuster und Identitätsverhalten in Active Directory, bei cloud und in SaaS-Anwendungen, um Bedrohungen zu erkennen, die herkömmliche Perimeter- und endpoint übersehen.

Gartner hat ITDR erstmals im Jahr 2022 als eigenständige Sicherheitskategorie anerkannt, und seitdem ist der Markt mit einer durchschnittlichen jährlichen Wachstumsrate von über 22 % gewachsen. Dieser Bereich ist mittlerweile unverzichtbar geworden, da identitätsbasierte Angriffe mittlerweile den Großteil der Erstzugriffe bei bestätigten Vorfällen ausmachen.

Inwiefern unterscheidet sich ITDR von EDR?

Endpoint and Response (EDR) überwacht Endgeräte – Workstations, Server und mobile Geräte – auf schädliche Prozesse, Änderungen am Dateisystem und ungewöhnliches Verhalten auf Geräteebene. ITDR überwacht Identitätssignale über die gesamte Identitätsinfrastruktur hinweg – Active Directory, cloud , SaaS-Anwendungen und Verbunddienste –, um den Missbrauch von Anmeldedaten und identitätsbasierte Angriffe zu erkennen.

Der entscheidende Unterschied liegt darin, was die einzelnen Tools erkennen können. Wenn sich ein Angreifer mit gültigen Anmeldedaten, die er über einen Infostealer gestohlen hat, von einem neuen Gerät aus anmeldet, erkennt EDR ein normales Authentifizierungsereignis auf dem endpoint. ITDR erkennt hingegen eine anomale Anmeldung – neue geografische Position, unbekannter Geräte-Fingerabdruck, Anmeldedaten, die in Datenbanken bekannter Sicherheitsverletzungen markiert sind – und löst einen Alarm aus. Viele moderne Angriffe sind darauf ausgelegt, endpoint vollständig zu umgehen, und genau deshalb dient ITDR als ergänzende Schutzebene.

Warum ist ITDR wichtig?

Angriffe, die auf Identitätsdaten abzielen, dominieren mittlerweile die Bedrohungslandschaft. Im Jahr 2025 betrafen 90 % der Einsätze im Bereich Incident Response Schwachstellen bei Identitäten, und 65 % der Erstzugriffe erfolgten identitätsbasiert, so der Global Incident Response Report 2026 von Unit 42. Herkömmliche Tools wie IAM setzen Zugriffsrichtlinien durch, können jedoch nicht erkennen, wenn diese Richtlinien umgangen werden. EDR überwacht Endpunkte, bietet jedoch nur begrenzte Transparenz hinsichtlich cloud , OAuth-Zustimmungserteilungen und föderierten Authentifizierungsabläufen.

ITDR schließt diese Lücke durch die kontinuierliche Verhaltensanalyse von Identitätssignalen. Es erkennt Bedrohungen, die präventive Kontrollen umgehen – gestohlene Anmeldedaten, die die MFA umgehen, kompromittierte Dienstkonten, den Missbrauch von OAuth-Tokens sowie die Ausweitung von Berechtigungen durch scheinbar legitime administrative Aktionen. Ohne ITDR sind Unternehmen auf forensische Untersuchungen nach einem Vorfall angewiesen, anstatt auf Echtzeit-Erkennung.

Was ist Identity Security Posture Management (ISPM)?

ISPM ist das präventive Pendant zu ITDR. Während ITDR aktive Identitätsbedrohungen in Echtzeit erkennt und darauf reagiert, identifiziert und behebt ISPM proaktiv Fehlkonfigurationen bei Identitäten, übermäßige Berechtigungen und inaktive Konten, bevor Angreifer diese ausnutzen können.

Zu den wichtigsten Funktionen von ISPM gehören die Verwaltung von Identitätsbeständen, die Anpassung von Berechtigungen, die Erkennung von Fehlkonfigurationen und die Identifizierung inaktiver Konten. Die Unit-42-Studie aus dem Jahr 2026 ergab, dass 99 % der analysierten cloud übermäßige Berechtigungen aufwiesen – eine enorme Angriffsfläche, die ISPM reduzieren soll. In Kombination mit ITDR schaffen Unternehmen ein mehrschichtiges Verteidigungsmodell, bei dem ISPM die angreifbare Fläche verkleinert und ITDR Bedrohungen abfängt, die die präventiven Kontrollen umgehen.

Was ist Managed ITDR?

Managed ITDR ist ein ausgelagerter Sicherheitsdienst, bei dem ein Anbieter im Auftrag eines Unternehmens die Erkennung und Bekämpfung von Identitätsbedrohungen übernimmt. Er richtet sich an Teams mit weniger als fünf Vollzeitmitarbeitern im Sicherheitsbereich, die eine Überwachung von Identitätsbedrohungen rund um die Uhr benötigen, ohne eigene Kapazitäten aufbauen zu müssen.

Anbieter von Managed-ITDR-Lösungen decken in der Regel Active Directory, cloud und SaaS-Anwendungen ab. Bei der Bewertung von Managed-ITDR-Diensten sollten Unternehmen die Breite des Leistungsumfangs, die Reaktions-SLAs, die Integration in ihre bestehende Sicherheitsinfrastruktur sowie die Transparenz der Berichts- und Untersuchungsabläufe prüfen. Der Markt für Managed-ITDR wächst rasant, da MSPs und MSSPs ihr Angebot im Bereich Identitätssicherheit ausweiten, um der Nachfrage von Unternehmen mit begrenzten Ressourcen gerecht zu werden.

Was sind die wichtigsten ITDR-Kennzahlen?

Zu den wichtigsten ITDR-Kennzahlen zählen die durchschnittliche Zeit bis zur Erkennung von Identitätsvorfällen (MTTI), die durchschnittliche Zeit bis zur Eindämmung identitätsbasierter Angriffe (MTTC), die Falsch-Positiv-Rate bei Identitätswarnungen, der Prozentsatz der abgedeckten Angriffsfläche für Identitäten sowie die Lücke zwischen Erkennung und Eindämmung. Branchenstudien zeigen, dass 68 % der Unternehmen Identitätsbedrohungen innerhalb von 24 Stunden erkennen, aber nur 55 % diese effektiv eindämmen – eine Lücke von 13 Prozentpunkten, die durch ITDR-Automatisierung geschlossen werden soll.

Zu den empfohlenen Zielwerten zählen eine MTTI von unter einer Stunde für kritische Identitätswarnungen, eine MTTC von unter vier Stunden, eine Falsch-Positiv-Rate von unter 10 % und eine Abdeckung der Identitäts-Angriffsfläche von über 95 %. Diese KPIs sollten ab der Bewertungsphase verfolgt und der Sicherheitsleitung regelmäßig gemeldet werden.

Inwiefern entspricht ITDR dem MITRE ATT&CK-Modell?

ITDR deckt MITRE ATT&CK ab, die für identitätsbasierte Angriffe relevant sind. Im Bereich „Initial Access“ erkennt ITDR T1078 (Gültige Konten) durch die Erkennung ungewöhnlicher Anmeldemuster. In „Credential Access“ erkennt es T1110 (Brute-Force-Methode) und T1558 (Kerberos-Tickets stehlen oder fälschen). Bei der lateralen Bewegung erkennt es T1550 (Verwendung alternativer Authentifizierungsdaten), einschließlich „Pass-the-Hash“ und Token-Replay. Im Bereich „Persistenz“ erkennt es T1098 (Manipulation von Benutzerkonten) durch die Überwachung unbefugter Rollenänderungen und Berechtigungsänderungen.

Diese Übersicht bietet Sicherheitsverantwortlichen einen Rahmen, um Lücken in der ITDR-Abdeckung zu bewerten und die Erkennungsfunktionen auf die spezifischen Techniken abzustimmen, die Angreifer gegen die Identitätsinfrastruktur einsetzen.