Cloud Security 2026 – Warum deine digitale Identität die letzte Verteidigungslinie gegen KI-Angriffe ist

mittelständischen Maschinenbauunternehmen mit Sitz im Rheinland nimmt die Leitung der Finanzabteilung an einer kurzfristig anberaumten Videokonferenz teil. Auf den Bildschirmen erscheinen der CEO, der CFO und ein externer Anwalt. Es geht um eine vertrauliche Übernahme. Die Zahlung von 8,4 Millionen Euro muss noch heute auf ein Treuhandkonto fließen, sonst platzt der Deal. Jede Stimme klingt wie immer, jedes Gesicht ist vertraut. Die Überweisung wird ausgelöst.

Eine Stunde später meldet sich der echte CFO. Er hat von keiner Videokonferenz gewusst. Keine der Personen im Call war real. Drei Sekunden Audio aus einem öffentlichen Interview hatten gereicht, um die Stimmen täuschend echt zu klonen. Die 8,4 Millionen sind weg.

Dieser Fall ist konstruiert – die Mechanik nicht. Im vergangenen Jahr traf genau dieses Angriffsmuster mehrere Unternehmen schwer, vom DACH-Mittelstand bis zu global tätigen Konzernen, mit Schäden in zweistelliger Millionenhöhe.

Genau hier liegt die neue Realität der Cloud-Sicherheit. Angreifer hacken sich heute nicht mehr durch Firewalls und VPN-Tunnel. Sie loggen sich ein. Mit gefälschten Stimmen, geklonten Gesichtern und KI-Agenten, die schneller agieren, als jedes Security Operations Center reagieren kann. Wenn menschliches Vertrauen massenhaft aushebelbar wird und der klassische Perimeter in Multi-Cloud-Umgebungen ohnehin kollabiert, bleibt eine letzte echte Verteidigungslinie: die digitale Identität.

In diesem ersten Teil der Serie erfährst du, warum klassische Identity-and-Access-Management-Konzepte 2026 nicht mehr genügen, was eine Identity Security Fabric leistet und welche konkreten Schritte du jetzt gehen solltest.

Das Wichtigste vorab

• Angriffe sind dramatisch schneller geworden. Die Zeit vom ersten Zugriff bis zum Datenabfluss ist bei den schnellsten Einbrüchen von 4,8 Stunden auf 1,2 Stunden geschrumpft. In KI-assistierten Simulationen reicht sogar knapp eine halbe Stunde.
• Multi-Faktor-Authentifizierung allein schützt nicht mehr. Über 60 Prozent der erfolgreichen Phishing-Angriffe hebeln klassische MFA mittels Adversary-in-the-Middle-Taktiken aus.
• Maschinelle Identitäten dominieren. Auf einen menschlichen Zugang kommen heute durchschnittlich 144 nicht-menschliche Identitäten in der Cloud – oft mit Admin-Rechten, häufig ohne MFA.
• Die Antwort heißt Identity Security Fabric. Sie vernetzt isolierte IAM-Silos und überwacht Identitäten – Mensch wie Maschine – kontinuierlich und verhaltensbasiert.

Wie KI den Angriff in 25 Minuten abschließt

Die klassische Prämisse, ein Unternehmensnetzwerk durch einen starken Perimeter aus Firewalls und VPN-Tunneln zu schützen, ist in Multi-Cloud-Umgebungen kollabiert. Treiber dieser Entwicklung ist die Künstliche Intelligenz – allerdings auf Seiten der Angreifer.

Wie radikal sich die Lage zugespitzt hat, zeigt der Global Incident Response Report 2026 von Unit 42 (Palo Alto Networks). Die Zeit vom ersten Zugriff bis zum Datenabfluss ist bei den schnellsten 25 Prozent aller untersuchten Einbrüche binnen eines Jahres von 4,8 Stunden auf 1,2 Stunden geschrumpft. In Extremfällen reichten den Angreifern 72 Minuten. Eine KI-assistierte Angriffssimulation aus dem gleichen Bericht knackte sogar die 25-Minuten-Marke.

Für die Verteidigung bedeutet das eine unangenehme Wahrheit: Menschliche Reaktionszeiten sind obsolet. Wer keine automatisierte Echtzeit-Erkennung und -Reaktion betreibt, hat die Daten verloren, bevor das erste Ticket im Service-Desk eintrifft.

Deepfakes und autonome Angreifer-Agenten

Parallel zur Beschleunigung hat sich die Qualität der Angriffe massiv verschärft. Holprige Grammatik in Phishing-Mails – ein Relikt der Vergangenheit. Viel kritischer ist der Fortschritt bei Stimme und Bild.

Drei Sekunden Audio aus einem öffentlichen Interview reichen heute, um eine Stimme so präzise zu klonen, dass selbst Vertraute den Unterschied akustisch nicht mehr hören. Voice Phishing (Vishing) stieg im ersten Quartal 2025 um über 1.600 Prozent – Überweisungsbetrügereien wie im Eingangsbeispiel sind kein Ausnahmefall mehr.

Noch fundamentaler wirkt der Aufstieg von Agentic AI – autonom agierenden KI-Systemen. Wie Anthropic Ende 2025 dokumentierte, brechen solche Agenten nach dem ersten Zugriff selbstständig weiter in Systeme ein, passen ihre Taktik in Echtzeit an Abwehrmaßnahmen an und benötigen keine menschliche Steuerung. Signaturbasierte Sicherheitssysteme sind hier blind.

Wenn MFA bröckelt und Maschinen-Identitäten explodieren

Da der Netzwerk-Perimeter weggebrochen ist, wurde die digitale Identität zum neuen Verteidigungsmittel. Das Problem: Auch die traditionellen Schutzmaßnahmen für Identitäten geraten unter Druck.

Multi-Faktor-Authentifizierung (MFA) – also die Bestätigung des Logins über einen zweiten Faktor wie Code, Push-Nachricht oder Hardware-Token – galt bislang als belastbare Hürde. Sogenannte Adversary-in-the-Middle-Angriffe (AitM) hebeln sie inzwischen systematisch aus. Dabei schaltet sich ein Angreifer-Server zwischen die anwendende Person und die echte Anmeldeseite, fängt Zugangsdaten und das anschließend bestätigte Session-Token ab und nutzt das Token für den eigenen Zugriff – ganz ohne Passwort. Laut 1Kosmos Modern Authentication Trends 2026 hebeln solche Taktiken inzwischen über 60 Prozent der erfolgreichen Phishing-Angriffe klassische MFA aus.

Gleichzeitig wächst still und unbeobachtet eine zweite Identitätsklasse: nicht-menschliche Identitäten (Non-Human Identities, NHIs). API-Schlüssel, Service-Accounts, KI-Agenten, Bots. Der Trendbericht von Clarity Security 2026 belegt: Auf einen menschlichen Zugang kommen heute durchschnittlich 144 maschinelle Identitäten, ein Plus von 44 Prozent gegenüber dem Vorjahr. Diese NHIs besitzen häufig Admin-Rechte, nutzen keine MFA und werden nach Projektende selten konsequent stillgelegt. Sie verwaisen als tickende Zeitbomben in der Cloud.

Identity Security Fabric: ein neuer Architektur-Standard

Diese Bedrohungslage lässt sich nicht mit einem weiteren Tool oder einer härteren MFA-Konfiguration lösen. Sie verlangt einen Architekturwechsel.

Stell dir traditionelles Identity- and Access-Management (IAM) wie separate Türsteher an verschiedenen Clubeingängen vor – jede Tür hat eine eigene Wachperson, die nichts von den anderen weiß. So funktionieren in vielen Unternehmen heute IAM, Identity Governance, Privileged Access Management und Cloud-Berechtigungen: nebeneinander, ohne gemeinsames Lagebild.

Eine Identity Security Fabric (ISF) ist der Gegenentwurf. Sie vernetzt diese Silos zu einer einheitlichen Steuerungsebene über alle Clouds, Anwendungen und Identitätsklassen hinweg. Statt nur am Login zu prüfen, ob jemand zugreifen darf, überwacht die ISF jede aktive Sitzung kontinuierlich und verhaltensbasiert – ein Prinzip, das auch als Continuous Adaptive Trust bezeichnet wird. Verhält sich eine Identität ungewöhnlich, etwa durch Zugriff aus einer fremden Geografie oder ungewöhnliche Datenabfragen, kann das System die Sitzung in Echtzeit beenden oder zusätzliche Verifikation anfordern.

Eng verzahnt mit der ISF ist Identity Threat Detection and Response (ITDR), eine Disziplin, die Gartner inzwischen als Kernkomponente moderner Sicherheitsarchitekturen einstuft. ITDR ergänzt die ISF um gezielte Bedrohungserkennung auf Identitätsebene: Wer hat sich wann womit angemeldet, welches Token wurde wo verwendet, welche Privilegien wurden eskaliert? Erst die Kombination aus ISF und ITDR liefert die Sichtbarkeit, die nötig ist, um KI-getriebene Angriffe in Echtzeit zu erkennen und einzudämmen.

So funktioniert ein AitM-Angriff in der Praxis

Wie verwundbar klassische MFA tatsächlich ist, zeigt der typische Ablauf eines AitM-Angriffs in vier Schritten.

Zuerst der Köder: Eine täuschend echte, KI-generierte Login-Seite, kaum vom Original zu unterscheiden – etwa die Anmeldeseite einer Microsoft-365-Umgebung. Per Phishing-Mail landet die anwendende Person darauf. Zweitens übernimmt der Proxy-Dienst der Angreifer: Zugangsdaten und MFA-Prompt werden in Echtzeit an die echte Anmeldeseite weitergeleitet. Drittens bestätigt die anwendende Person ahnungslos den zweiten Faktor – und der Angreifer-Server fängt das resultierende Session-Token ab. Viertens nutzt der Angriff dieses Token für eine eigene Sitzung mit vollem Zugriff, ohne je das Passwort einzutippen.

Wirksame Gegenmaßnahmen setzen genau hier an. Phishing-resistente MFA-Verfahren wie FIDO2-Sicherheitsschlüssel oder Passkeys binden die Authentifizierung kryptografisch an die echte Domain – ein gefälschter Proxy bekommt schlicht keine gültige Antwort. Ergänzend liefert Conditional Access, eine Richtlinien-Engine, die jeden Zugriff abhängig vom Kontext bewertet, die zweite Verteidigungsschicht. Geräte-Compliance, Standort, Risiko-Score und Sensitivität der Anwendung fließen in jede Anmeldeentscheidung ein. Plattformen wie Microsoft Entra ID Protection setzen diesen Ansatz beispielhaft um, andere Anbieter ziehen nach.

Genauso wichtig ist der zweite blinde Fleck: maschinelle Identitäten. Typisches Bild aus Beratungsprojekten: Ein Service-Account, vor drei Jahren für eine Migration angelegt, hat noch immer Admin-Rechte. Das aktuelle Admin-Team kennt ihn nicht, niemand hat ihn rotiert, eine MFA-Pflicht greift ohnehin nicht. Solche verwaisten NHIs sind das bevorzugte Einfallstor nach einer Erstkompromittierung. Konsequente Inventarisierung, kurzlebige Token statt Langzeit-Credentials und automatisierte Stilllegung sind Pflicht.

Cloud Security 2026 verlangt einen Architekturwechsel. Die digitale Identität ist nicht mehr eine Sicherheitsdisziplin unter vielen, sondern das Fundament. Phishing-resistente MFA, eine Identity Security Fabric mit kontinuierlicher Verhaltensanalyse und Hygiene bei maschinellen Identitäten sind das Mindestmaß einer modernen Cloud-Umgebung. In einem adesso Identity Assessment finden wir mit deinem Admin-Team die wichtigsten Lücken und priorisieren konkrete Schritte. Teil zwei der Serie zeigt, was die Identitäten eigentlich schützen sollen: deine Daten – Shadow AI, Data Security Posture Management und der regulatorische Druck durch NIS-2.

Wann hast du deine Identity-Architektur zuletzt ehrlich gegen AitM und verwaiste Maschinen-Identitäten geprüft? Sprich uns an – wir nehmen die toten Winkel mit dir auseinander.