Unternehmen unterschätzen oft nicht den großen Breach, sondern die vielen kleineren Folgevorfälle dazwischen: kompromittierte Accounts, wiederverwendete Zugangsdaten, gestohlene Session-Cookies und offengelegte Secrets in Code und Tools. Genau diese Kette aus wiederkehrenden Identitätsvorfällen entwickelt sich 2026 immer stärker zu einem operativen und finanziellen Dauerproblem für IT-Organisationen.
Identitätsdaten sind längst ein eigenständiger Angriffsvektor
SpyCloud beschreibt in seinem aktuellen 2026 Identity Exposure Report eine deutlich wachsende Angriffsfläche rund um Identitäten. Das Unternehmen meldet für das vergangene Jahr 13,2 Millionen Infostealer-Infektionen, die 642,4 Millionen Zugangsdaten offengelegt haben. Zusätzlich verweist der Report darauf, dass kompromittierte Identitätsartefakte heute weit über klassische Benutzerkonten hinausgehen und auch Session-Cookies, API-Keys, Tokens und andere nicht-menschliche Identitäten umfassen.
Auch IBM bestätigt die Verschiebung: Im 2025 X-Force Threat Intelligence Index berichtet IBM, dass groß angelegter Credential-Diebstahl zunimmt und Identity Abuse zum bevorzugten Einstiegspunkt geworden ist. IBM beobachtete zudem einen Anstieg um 84 Prozent bei E-Mails, die Infostealer ausliefern.
Das Problem endet nicht beim Passwort
Besonders kritisch ist, dass Angreifer nicht nur mit gestohlenen Passwörtern arbeiten. Dark Reading berichtet unter Berufung auf aktuelle Recorded-Future-Daten, dass 276 Millionen der 2025 analysierten, malwarebasiert gestohlenen Zugangsdaten aktive Session-Cookies enthielten. Das ist brisant, weil sich damit bestehende Sitzungen kapern lassen, ohne das Passwort erneut eingeben zu müssen — und damit unter Umständen auch MFA umgangen wird.
Selbst eine stärkere Passwortdisziplin allein reicht nicht mehr aus. Wenn gültige Sessions, Tokens oder Service-Zugänge kompromittiert werden, verlagert sich das Risiko von der reinen Anmeldung hin zur laufenden Identitätsüberwachung. Genau diesen Punkt betonen auch aktuelle Fachberichte: Angreifer „brechen“ immer seltener klassisch ein, sondern loggen sich mit legitim wirkenden, gestohlenen Artefakten ein.
Secrets Sprawl verschärft die Lage
Parallel wächst ein zweites Problemfeld: geleakte Zugangsdaten in Entwicklungs- und Kollaborationsumgebungen. Help Net Security verweist auf GitGuardians State of Secrets Sprawl 2026 und berichtet von 28,65 Millionen neuen hardcodierten Secrets in öffentlichen GitHub-Commits allein im Jahr 2025. Zusätzlich hebt der Bericht hervor, dass sich die Exponierung längst nicht mehr auf öffentliche Repositories beschränkt, sondern auch interne Umgebungen, Self-Hosted-Infrastruktur sowie Tools wie Slack, Jira oder Confluence betrifft.
Schon im Vorjahr war die Tendenz alarmierend: Laut Help Net Security blieben 70 Prozent der 2022 geleakten Secrets auch zwei Jahre später noch aktiv. Das zeigt, wie aus einem einmaligen Exposure ein lang anhaltendes Betriebs- und Sicherheitsrisiko werden kann.
Die wirtschaftliche Relevanz ist längst da
Dass Identitätsvorfälle auch wirtschaftlich relevant sind, zeigen aktuelle IBM-Daten. Der Cost of a Data Breach Report 2025 beziffert die durchschnittlichen globalen Kosten eines Data Breach auf 4,44 Millionen US-Dollar. IBM nennt zugleich starke Kontrollen für nicht-menschliche Identitäten und phishing-resistente Authentifizierung wie Passkeys als konkrete Hebel, um Missbrauch von Zugangsdaten zu reduzieren.
Wichtig ist dabei: Diese Zahl beschreibt den Schaden eines Breach. Die vielen kleineren, wiederkehrenden Credential-Vorfälle davor — etwa kompromittierte Sessions, exponierte Secrets oder missbrauchte Service-Zugänge — tauchen in solchen Summen oft nur indirekt auf, verursachen aber bereits operativen Aufwand, Risiko und Kontrollverlust. Diese Einordnung ist eine Ableitung aus den vorliegenden Reports, nicht deren wörtliche Aussage.
Alte Passwortregeln greifen zu kurz
Auch regulatorisch und methodisch ist die Richtung klarer geworden. NIST hält in SP 800-63B fest, dass Anbieter Nutzer nicht zu periodischen Passwortwechseln zwingen sollen. Ein Passwortwechsel soll erzwungen werden, wenn es Hinweise auf eine Kompromittierung gibt. Ebenso empfiehlt NIST, keine klassischen Komplexitätsregeln für verschiedene Zeichentypen vorzuschreiben.
Für Unternehmen bedeutet das: Starre Passwortwechselzyklen allein sind keine zeitgemäße Antwort mehr auf moderne Identitätsangriffe. Entscheidend sind heute kompromissgetriebene Reaktionen, Sichtbarkeit über exponierte Identitäten und der Schutz von Sessions, Tokens und nicht-menschlichen Zugängen.
Was IT-Entscheider jetzt daraus ableiten sollten
Die aktuelle Datenlage spricht eine klare Sprache: Das Credential-Problem ist 2026 kein reines Passwortthema mehr, sondern ein umfassendes Identitätsproblem. Es betrifft Benutzerkonten ebenso wie Session-Cookies, API-Schlüssel, Tokens und Service-Identitäten. Wer nur auf Passwortregeln schaut, greift zu kurz. Wer dagegen kompromittierte Identitätsartefakte früh erkennt, nicht-menschliche Identitäten kontrolliert und moderne, phishing-resistente Verfahren einführt, reduziert nicht nur das Breach-Risiko, sondern auch die alltägliche operative Reibung im Unternehmen.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.