Die Bedeutung von Identity Threat Detection & Response (ITDR)

Identity Threat Detection & Response (ITDR)

Bei Identity Threat Detection and Response (ITDR) handelt es sich um ein Sicherheitskonzept, das sich auf die Identifizierung, Erkennung, Prävention und Minderung identitätsbezogener Bedrohungen konzentriert. Eine effektive ITDR-Lösung kombiniert viele verschiedene Cybersecurity-Tools im Rahmen eines ganzheitlichen Identitäts- und Defense-in-Depth-Sicherheitsansatzes. ITDR verbessert proaktiv die identitätsbezogene Sicherheitsposition und minimiert die Angriffsfläche, um effektiv in Echtzeit auf Angriffe und andere Bedrohungen reagieren zu können.

Ziel ist es, aktuell drängende Sicherheitsherausforderungen zu bewältigen, indem alle identitätsbezogenen Daten konsolidiert, mit verschiedenen Cybersicherheitstechnologien analysiert und in eine schlüssige, durchgehende Verteidigung gegen identitätsbasierte Bedrohungen umgesetzt werden.

Wichtige Funktionen zur Erkennung und Reaktion auf Identitätsbedrohungen:

Domänenübergreifendes Mapping des gesamten Identitätsbestands, einschließlich der Konten, Privilegien und Zugriffsrechte menschlicher, maschineller und KI-gestützter Identitäten.
Markierung der Bereiche mit schwachen Sicherheitsvorgaben und proaktive Stärkung der Identitätssicherheit.
Erkennung verdächtiger oder ungewöhnlicher Aktivitäten im Zusammenhang mit Identitäten und Initiierung reaktiver Maßnahmen wie stärkere Überwachung, eingeschränkte Zugriffe, Sitzungsabbruch oder andere Remediationsmaßnahmen.
Integration von Bedrohungsdaten und fortschrittlichen Technologien (KI, M/L usw.) zur kontinuierlichen Verbesserung der Identitätssicherheit.
Orchestrierung von Echtzeitreaktionen auf identitätsbasierte Angriffe zur Verhinderung negativer Auswirkungen.

ITDR als Reaktion auf die Erosion des klassischen Netzwerkperimeters gewinnt rasant an Bedeutung, da die Zahl menschlicher und maschineller Identitäten (einschließlich IoT- und KI-Agenten) stark wächst. Daraus ergeben sich massiv steigende Risiken für die Identitätssicherheit (wie unkontrollierte, falsch konfigurierte oder kompromittierte Identitäten).

Durch die explosionsartig gestiegene Anzahl digitaler Identitäten und eingeschränkte Sichtbarkeit haben viele Organisationen keinen Überblick darüber, welche Identitäten mit welchen Privilegien auf verschiedenen Domains eingesetzt werden. ITDR begegnet diesen Herausforderungen, indem domänenübergreifende Transparenz über den gesamten Identitätsbestand hergestellt und zugleich ein End-to-End-Ansatz bei der Prävention und Reaktion auf Bedrohungen ermöglicht wird.

Anstieg identitätsbasierter Angriffe und wachsende Bedeutung für Identity Threat Detection & Response

Identitätsbasierte Angriffe nehmen zu, da sich Bedrohungsakteure die Vielzahl von Identitäten und Berechtigungen zunutze machen, die eine direkte Folge der wachsenden Popularität von Cloud-Strukturen und des Einsatzes maschineller Identitäten sind. BeyondTrust Phantom Labs™ beispielsweise ermittelte, dass in über 70 Prozent der IT-Umgebungen verwaiste Servicekonten mit privilegierten Zugriffsrechten lagern.

Auch aktuelle IBM X-Force-Daten zeigen, dass fast jeder dritte Angriff über gültige Konten erfolgt. Ohne robuste ITDR-Fähigkeiten ist es äußerst schwierig, zwischen legitimen und geraubten Identitäten unterscheiden zu können.

Der Einsatz unterschiedlicher Systeme und Werkzeuge zur Identitätsverwaltung sorgt zudem für Sichtbarkeitslücken, die Angreifer ausnutzen können. Identitätsbasierte Angriffe basieren häufig auf kompromittierten Zugangsdaten, überprivilegierten Nutzern und ausgenutzten Berechtigungen, um Rechte auszuweiten und weitere Domänen infiltrieren zu können.

Die aktive Bedrohungsgruppe „Scattered Spider“ ist ein anschauliches Beispiel dafür, wie identitätsbasierte Infrastrukturlücken gezielt für Angriffe ausgenutzt werden. Die Gruppe nutzt Social Engineering, um IT-Helpdesk-Mitarbeiter zur Deaktivierung von MFA-Schutzmaßnahmen (Multi-Faktor-Authentifizierung, MFA) zu verleiten, um dann eigene Identitätsanbieter hinzuzufügen und Nutzer zu imitieren sowie Privilegien zu erhöhen.

Beispiele für domänenübergreifende Angriffe, die von BeyondTrust Phantom Labs™ aufgedeckt wurden:

Übermäßig berechtigte Entra Service Principals, die mit globalen Administratorrechten ausgestattet werden und Microsoft-365-Umgebungen komplett übernehmen können.
Wiederverwendete Zugangsdaten menschlicher Administratoren über mehrere Service-Konten hinweg, sodass ein kompromittierter Passwortzugang eine Kettenreaktion auslöst.
Nutzer mit niedrigen Privilegien, die über versteckte Berechtigungseskalationspfade (Konfigurationsfehler, Föderation und Synchronisation) administrative Zugriffsrechte über Active Directory, Entra, AWS, Okta und GitHub erhalten können.
Active-Directory-Service-Konten, die On-Premises- und Cloud-Umgebungen mit Active-Directory-Konten verbinden, welche über privilegierte Entra-Rollen verfügen und so plattformübergreifende Angriffsvektoren darstellen.
Ineffektives Zugriffsmanagement für ein GitHub-Repository, was zu unkontrollierten und unbefugten Zugriffen auf sensiblen Code führt — oft über persönliche GitHub-Konten.

Organisationen können zudem nicht genau nachvollziehen, welche Nutzer das größte Risiko darstellen, was wiederum die Priorisierung von Gegenmaßnahmen zusätzlich erschwert.

Identitätsbasierte Angriffe können versteckte Angriffspfade ausnutzen, die schwerer zu erkennen sind als herkömmliche codebasierte Exploits. Die rapide Zunahme von KI-Agenten erhöht die Anzahl verborgener Zugriffswege exponentiell, und mit hohen Privilegien ausgestattete Agentic-AI-Identitäten handeln autonom und im Verborgenen.

Selbst bei regulären Identitäten mangelt es oft an der Sicht auf die zugeordneten Privilegien und Berechtigungen. Dieses Problem verschärft sich in dynamischen Umgebungen, in denen neue Nutzer, Systeme und Integrationen ständig neue Angriffspfade auf bestehenden Fehlkonfigurationen schaffen und die Aktivitäten von Bedrohungsakteuren verschleiern können.

Arbeitsweise von ITDR-Lösungen

Umfassende ITDR-Lösungen erkennen identitätsbasierte Schwachstellen und Bedrohungen und bieten dann reichhaltigen Kontext, um sie zu priorisieren und zu mindern. Minderungsmaßnahmen können eine Verschärfung der Sicherheitsmaßnahmen, Identitätshärtung oder das Abbrechen einer verdächtigen Sitzung im Fall eines möglichen Angriffs umfassen.

Indem es sich in Echtzeit auf Identitätssignale konzentriert und die Berechtigungen, Konfigurationen und Verbindungen zwischen Konten und deren Berechtigungen nachvollzieht, kann ITDR proaktiv die Identitätsangriffsfläche verringern und gleichzeitig laufende Identitätsbedrohungen erkennen und darauf reagieren. Die von ITDR bereitgestellten Erkenntnisse können genutzt werden, um laufende Angriffe zu triagieren und darauf zu reagieren, indem folgendes identifiziert wird:

Kompromittierte Systeme
Offengelegte Identitäten
Wo diese Identitäten verwendet werden können und wurden
Wie man Privilegien widerruft, Zugangsdaten rotiert und weitere Sicherheitsmaßnahmen implementiert, um den Explosionsradius eines Angriffs oder einer Exposition zu minimieren

Visualisierung von Angriffswegen mit ITDR

Ein zentrales Element von ITDR ist die Fähigkeit, Privilegienpfade zu visualisieren und darauf zu reagieren – die versteckten oder indirekten Pfade, die es einem Angreifer ermöglichen könnten, Privilegien zu eskalieren oder seitlich zu bewegen. Die Idee, Bedrohungen durch das Visualisieren von Angriffswegen zu erkennen, ist kein neues Konzept; Werkzeuge wie BloodHound verwenden bereits die Graphentheorie, um Schwächen in Active Directory (AD)-Konfigurationen zu identifizieren. Die Informationen dieses Tools können genutzt werden, um wahrscheinliche Wege der seitlichen Bewegung und der Eskalation von Privilegien nachzuvollziehen und sie dann abzuschalten, um die Sicherheit von Active Directory zu verbessern.

ITDR nutzt dieses Konzept in größerem Maßstab, um zu verstehen, wo die Identitätsangriffsfläche über alle Systeme hinweg liegt. Sie kann aufzeigen, wie ein Angreifer Zugangsdaten, Privilegien und Rechte kompromittieren könnte, um zwischen On-Premises-Systemen in Cloud-Container und Infrastruktur zu wechseln. Dieser Blick auf Privilegienpfade beleuchtet die Identitätsangriffspfade, die das größte Risiko für das Unternehmen darstellen, und ermöglicht es Teams, diese Risiken proaktiv zu mindern.

Abbildung 1: Ein visualisierter Angriffspfad, der mehrere Domänen überquert, um das Privileg zu erhöhen

Technologien zur Unterstützung von ITDR

Ein zentraler Aspekt von ITDR und ein wichtiger Faktor für seine Effektivität ist die Breite und Tiefe, mit der es mit Identity Stores / Identitätsinfrastrukturen (Active Directory, Entra, Okta, Ping usw.), Clouds (AWS, GCP), Identitätssicherheit (IAM, PAM, CIEM usw.) und anderen Cybersicherheitstools (SIEM, SOAR usw.) integriert wird. Je umfangreicher diese Integrationen sind, desto umfassender ist der Kontext, den eine ITDR-Lösung rund um die gesamte Identitätslandschaft einer Organisation erhält. Je besser der Kontext, desto effektiver kann es Prioritäten setzen und Maßnahmen ergreifen.

Hier sind einige Beispiele für Schlüsseltechnologien, die zu ITDR beitragen, und wie ITDR durch Integration die Effektivität dieser Technologien verbessert:

Identity and Access Management (IAM): ITDR verbessert die Hygiene im Identitäts- und Zugriffsmanagement (IAM), indem es verschiedene Identitätsschwachstellen erkennt, wie unzureichende Authentifizierungsrichtlinien, verwaiste Konten oder fehlende MFA für ein privilegiertes Konto. Es kann Schwächen und Risiken im Joiner-Mover-Leaver-Prozess aufzeigen. ITDR empfiehlt oder leitet sogar Maßnahmen zur Minderung der Identitätshygiene ein.
Privileged Access Management (PAM): ITDR stützt sich auf PAM-Datenintelligenz, um Bewusstsein für privilegierte Vermögenswerte, Konten und Identitäten sowie überprivilegierte Konten, Entitlement Creep, potenzielle Wege zu privilegiertem Zugang, privilegierte Aktivitäten usw. zu gewinnen. Anschließend analysiert es diese Signale in einem breiteren Kontext. PAM wiederum kann ITDR-Erkenntnisse operationalisieren, etwa durch die Deaktivierung eines ruhenden Kontos, das durch ITDR entdeckt wurde, das Entfernen des ständigen Zugangs, die Durchsetzung von Least Privilege, das Rotieren veralteter oder potenziell kompromittierter privilegierter Zugangsdaten oder sogar das Pausieren oder Beenden von Aktivitäten aus einer potenziell kompromittierten oder verdächtigen Sitzung.
Cloud Infrastructure Entitlement Management (CIEM): ITDR nutzt CIEM-Lösungen für Cloud-Berechtigungen und Anspruchsdaten. CIEM-Lösungen könnten beispielsweise Einblicke darin geben, wie Berechtigungen in verschiedenen Cloud-Umgebungen verwendet werden. ITDR trägt zu einer dynamischen Verhaltensschicht bei, etwa durch das Erkennen potenziellen Missbrauchs von Anspruchsverwendungen und das Einleiten von Minderungsmaßnahmen über CIEM-Fähigkeiten oder andere Werkzeuge.
Security Information Event Management (SIEM): ITDR-Implementierungen profitieren vom erweiterten Kontext anderer datenreicher Sicherheitsintelligenzlösungen wie SIEMs. ITDR verstärkt auch die Reichweite solcher bestehenden Detektionslösungen. Indem ITDR die Lücke zwischen Identitätsverwaltung und SOC schließt, bringt es wichtigen Kontext, den typische Bedrohungserkennungs- und Reaktionslösungen normalerweise nicht erkennen, wie etwa versteckte Eskalationswege. Dadurch können SOC-Teams anomales Identitätsverhalten besser priorisieren und mit vollständigem Kontext darauf reagieren.

BeyondTrusts ITDR-Ansatz

Unser ITDR-Ansatz basiert auf der Enterprise-Plattform BeyondTrust Pathfinder, die umfassende und domänenübergreifende Transparenz sowie KI-gestützte Erkennungen und Empfehlungen zum Schutz von digitalen Identitäten, Konten, Privilegien und Berechtigungen des gesamten Identitätsbestands einer Organisation bietet. Pathfinder bietet ein einheitliches Benutzererlebnis auf einer benutzerfreundlichen Konsole, mit der alle BeyondTrust-Produkte verwaltet werden können, und unterstützt zudem umfangreiche Integrationen und Webhooks mit Drittanbieter-Tools wie SIEMs.

BeyondTrusts Ansatz für ITDR beinhaltet eine domänenübergreifende Identitätssicherheitsstrategie, die PAM, CIEM und Enterprise Secrets Management auf einer einheitlichen Plattform zusammenfasst. Das bestätigen zahlreiche Auszeichnungen in Analystenberichten wie Gartner® Magic Quadrant™ 2025 for PAM, KuppingerCole Secrets Management Management Leadership Radar 2025, GigaOm CIEM Radar 2025, Forrester PIM Report 2025 oder KuppingerCole ITDR Leadership Compass 2024.

Die kontextuellen Daten aus diesen Disziplinen tragen direkt dazu bei, entscheidende ITDR-Fähigkeiten freizusetzen. Diese Integrationen bieten auch einfache nächste Schritte, um Sicherheitserkenntnisse direkt mit proaktiven Kontrollen zu adressieren.

ITDR-Funktionen von BeyondTrust:

Einsatz KI-basierter Erkennungsfähigkeiten, die alle menschlichen/maschinellen/KI-Agentenidentitäten sowie deren zugehörige Konten, Privilegien, potenzielle Eskalationspfade und Zugriffswege kontextualisieren
Vollständige Sicht auf Identitätsrisiken und umsetzbare Maßnahmen
Kontinuierliche Überwachung der Identitätsinfrastruktur für eine schnelle Reaktion auf riskante Konfigurationen und verdächtige Aktivitäten, die auf Angriffe hinweisen könnten
Identifizierung und Kontrolle nicht verwalteter privilegierter Konten, Zugangsdaten und Secrets
Identifikation und Beseitigung unnötiger Privilegien, Zugriffsmöglichkeiten und Berechtigungen
Erkennung potenziell kompromittierter Konten oder Zugangsdaten, Remediationsmaßnahmen wie Rotation von Secrets, Pausierung oder Beendigung einer Sitzung oder Implementierung zusätzlicher Workflows für den Zugriff
Aufdeckung von Konten, die anfällig für Angriffe wie Kerberoasting sind, und Systemhärtung zur Vermeidung oder Minimierung von Risiken
Anomalie-Erkennung, wie z. B. verwaiste Konten mit Zugriffsprivilegien und Durchsetzung verstärkter Kontrolle oder Zugriffsbeschränkung
Und noch viel mehr…

Ganzheitliche Betrachtung von Konten, Privilegien, potenziellen Eskalationspfaden und Zugriffsmöglichkeiten auf einen Blick.

Häufig gestellte Fragen zu ITDR

ITDR steht für Identity Threat Detection and Response, ein Cybersicherheitskonzept, das sich auf die Identifizierung, Erkennung, Verhinderung und Abschwächung identitätsbezogener Bedrohungen konzentriert.

Bei einer Identitätsbedrohung nutzen Angreifer Schwachstellen oder Fehlkonfigurationen innerhalb der Identitätssysteme einer Organisation aus, um sich unbefugten Zugriff zu verschaffen. Diese Bedrohungen resultieren oft aus unkontrollierten, falsch konfigurierten oder geraubten Identitäten, die versteckte Zugangswege schaffen.

Identitätsbezogene Sicherheitslücken entstehen typischerweise durch fehlende Sichtbarkeit und IT-Governance zwischen menschlichen und maschinellen Identitäten. Häufige Ursachen sind ungenutzte oder verwaiste Konten, fehlgeleitete Gruppenmitgliedschaften, überprivilegierte Nutzer oder eine fehlende Überwachung hybrider Umgebungen. Angreifer nutzen diese Schwachstellen, um Privilegien zu erhöhen und sich seitwärts im Unternehmensnetz zu bewegen.

Während sich das klassische Sicherheits-Monitoring auf den Netzwerkverkehr oder das Endpunktverhalten konzentriert, adressiert ITDR identitätsspezifische Risiken und Angriffsvektoren. So lässt sich der Missbrauch von Zugangsdaten, Berechtigungen oder Vertrauensbeziehungen erkennen, bevor herkömmliche Tools greifen.

ITDR ist wichtig, weil Angreifer sich zunehmend „einloggen“ statt „einzubrechen“, wodurch Identitätssysteme zu Hauptzielen werden. ITDR-Lösungen unterstützen Organisationen dabei, proaktiv identitätsbasierte Schwachstellen aufzudecken, Identitätsmissbrauch zu überwachen und schnell zu reagieren, um negative Auswirkungen zu minimieren.

BeyondTrust stellt ITDR-Fähigkeiten über die integrierte Pathfinder-Plattform für Privileged Access Management (PAM) und Identitätssicherheit zur Verfügung. Durch diesen Plattformansatz können unsere Kunden direkte und indirekte Privilegienpfade kartieren, ungewöhnliche Identitätsaktivitäten erkennen und Empfehlungen zur Minimierung von Gefahren umsetzen, indem beispielsweise Sitzungen pausiert oder ganz beendet, Passwörter/Secrets aktualisiert und verschärfte Zugriffsregeln umgesetzt werden.

Über den Autor

Kyle Benson

Sr Director, Product Marketing

Kyle Benson is a customer-focused Senor Director of Product Marketing at BeyondTrust driven to make complex cybersecurity technologies easy to understand and value. Kyle has over 30 years of IT and cybersecurity experience and is an author of two For DummiesTM books about Application and Identity Security.