Schwachstellen & Exploits

Wenn Berechtigung zur Schwachstelle wird – Das Zeitalter des Authorization Sprawl

Das aktuelle SANS Whitepaper von Joshua Wright — „Authorization Sprawl: The Vulnerability Reshaping Modern Attacks” (Oktober 2025) — dokumentiert, wie sich die unkontrollierte Ausbreitung von Zugriffsrechten zum größten Risiko moderner IT-Landschaften entwickelt hat.

Was Authorization Sprawl bedeutet

Unter Authorization Sprawl versteht man die unkontrollierte Ausbreitung von Zugriffsrechten über Systeme, Cloud-Dienste, SaaS-Anwendungen und Identitätsplattformen hinweg. Durch die zunehmende Integration von SSO, API-Tokens und föderierten Identitäten entstehen unzählige Seitentüren ins Unternehmensnetz.

Während Authentifizierung (Login, MFA, EDR) in den letzten Jahren stark verbessert wurde, hinkt die Kontrolle der Autorisierung weit hinterher. Angreifer nutzen diese Asymmetrie gezielt aus: Ein kompromittierter Account, ein offener Token, ein vergessenes Servicekonto — und der Weg ist frei für Datenexfiltration, Lateral Movement und Privilegienausweitung.

Wer diese Schwäche ausnutzt

Bekannte Gruppen wie Scattered Spider, LAPSUS$ und ShinyHunters setzen Authorization Sprawl inzwischen systematisch ein. Ihre Methode: Social Engineering, gestohlene OAuth-Tokens und API-Schlüssel mit SaaS-Schwachstellen kombinieren — und dabei klassische Schutzsysteme vollständig umgehen.

Der Angriffsvektor ist besonders tückisch, weil er innerhalb legitimer Prozesse stattfindet. Es gibt keine Malware, kein verdächtiges Binary, keinen fehlgeschlagenen Login. Der Angreifer nutzt die Berechtigungen, die das System ihm gewährt — nur eben nicht in der Art, wie es vorgesehen war.

Der blinde Fleck: Fokus auf Technik statt auf Autorisierung

Die Untersuchung von SANS identifiziert drei kritische Schwachpunkte in der Verteidigung:

EDR erkennt diese Angriffe nicht: Die Aktivitäten finden innerhalb legitimer Prozesse statt — Browser, AWS-Sessions, Microsoft-365-Anwendungen. Kein Endpoint-Agent schlägt Alarm, wenn ein Nutzer über die Teams-API auf SharePoint-Daten zugreift — auch wenn er das normalerweise nie tut
VPNs und Residential Proxies umgehen Geo-Detection: Impossible-Travel-Erkennung versagt, wenn Angreifer lokale Proxy-Dienste nutzen, die IPs im Zielland bereitstellen
SaaS-Logging ist unzureichend: Viele SaaS-Anbieter bieten nur rudimentäres oder kostenpflichtiges Logging. Ohne vollständige Audit-Logs ist Incident Response nach einem Authorization-Sprawl-Angriff praktisch unmöglich

Wright bringt es auf den Punkt: Wir haben gelernt, wer sich anmeldet — aber nicht, was er danach tut.

Warum Autorisierung das nächste große Schlachtfeld ist

Die Verschiebung von Authentifizierung zu Autorisierung als primärem Angriffsvektor hat strukturelle Ursachen:

Cloud und SaaS: Jede neue SaaS-Anwendung bringt eigene Berechtigungsmodelle mit. Die Summe aller Berechtigungen über alle Dienste hinweg ist für niemanden mehr überschaubar
Nicht-menschliche Identitäten: Service-Accounts, API-Keys, OAuth-Tokens und Bot-Accounts wachsen schneller als menschliche Identitäten — und werden seltener überprüft
Föderierte Identitäten: Ein kompromittierter Identity Provider (Okta, Azure AD, Google Workspace) kompromittiert alle angeschlossenen Dienste gleichzeitig

Handlungsempfehlungen

Least Privilege konsequent durchsetzen: Regelmäßige Access Reviews für alle Benutzer, Service-Accounts und API-Tokens. Berechtigungen, die länger als 90 Tage nicht genutzt wurden, automatisch entziehen
SaaS-Audit-Logging aktivieren und zentralisieren: Alle SaaS-Dienste müssen vollständige Audit-Logs liefern — und diese müssen in ein zentrales SIEM fließen
Post-Authentication-Monitoring: Nicht nur überwachen, wer sich anmeldet, sondern was nach der Anmeldung passiert. Ungewöhnliche API-Aufrufe, Massenzugriffe auf Dateien und neue OAuth-App-Registrierungen sind starke Indikatoren
Non-Human Identity Management: Service-Accounts und API-Keys inventarisieren, mit Ablaufdaten versehen und regelmäßig rotieren
Conditional Access für SaaS: Zugriff auf kritische SaaS-Dienste nur von verwalteten Geräten und aus genehmigten Netzwerken erlauben

Dr. Anatolii Nazarko

Sichtbarkeit und Kontrolle sind die neuen Firewalls.

Authorization Sprawl ist der blinde Fleck moderner IT-Sicherheit. Er entsteht nicht aus Nachlässigkeit, sondern aus Effizienzstreben: Wir vernetzen Systeme, zentralisieren Identitäten – und verlieren dabei den Überblick, wer worauf Zugriff hat.

Die größten Herausforderungen für Unternehmen:

Zugriffsrechte wachsen schneller als ihre Kontrolle.
Jede neue Integration schafft potenziell einen neuen lateral move.
Tokens leben zu lange.
Langzeit-Personal-Access-Tokens oder API-Schlüssel bleiben oft monatelang gültig – auch nach Mitarbeiterwechseln.
Browser sind Blackboxes.
Innerhalb einer autorisierten Session findet kein Monitoring statt.
SaaS-Logging ist unzureichend.
Fehlende Protokolle verhindern forensische Analysen und Reaktionsschnelligkeit.
Security-Stacks sind fragmentiert.
Keine zentrale Sicht auf hybride Autorisierungsflüsse über AD, Entra ID, Okta, GitHub, AWS & Co.
Incident-Response-Playbooks fehlen.
Klassische Notfallverfahren greifen bei autorisierten, aber missbrauchten Sitzungen nicht.

Was Unternehmen jetzt tun müssen

Sichtbarkeit und Kontrolle sind die neuen Firewalls. Wer heute gegen Authorization Sprawl bestehen will, braucht:

Vulnerability & Authorization Mapping: Tools wie BloodHound oder Microsoft Security Exposure Management (MSEM) visualisieren Berechtigungswege quer durch On-Prem und Cloud.
Token Lifecycle Management: Maximale Lebensdauer < 90 Tage, automatische Rotation und Just-in-Time-Zugriff.
Browser Monitoring: Spezialisierte Lösungen zur Erkennung von Anomalien in autorisierten Sitzungen.
Vendor Accountability: Logging-Pflichten und Session-Revocation müssen in Verträgen mit SaaS-Anbietern festgeschrieben werden.
Neue Incident-Response-Playbooks: Orientierung an SANS-Empfehlungen – Fokus auf Token-Revocation, SSO-Überwachung, Cloud-Forensik.

Wie Neosec unterstützt

Neosec integriert diese Anforderungen in eine ganzheitliche MDR-Strategie:

Kombination aus Managed Detection & Response und Attack Surface & Authorization Management.
Permanente Korrelation von Logdaten aus AD, Entra, Okta, Cloud und SaaS.
Forschungsgestützte Detection Logiken (Blue Team + Data Science) zur Erkennung von Anomalien im Autorisierungskontext.

Authorization Sprawl ist kein theoretisches Risiko – er ist der Alltag moderner Angriffe.
Unternehmen, die ihre Berechtigungslandschaft nicht verstehen, verlieren nicht durch Malware – sondern durch Missbrauch ihrer eigenen Identitäten.

Neosec hilft Ihnen, diese Unsichtbarkeit zu durchbrechen. Vereinbaren Sie jetzt ein kostenloses Strategiegespräch.

SANS Institute – Authorization Sprawl: The Vulnerability Reshaping Modern Attacks (Oktober 2025) (abgerufen am 21.10.2025)
NSA – Cloud Logs for Effective Threat Hunting (2024) (abgerufen am 17.10.2025)
Microsoft Security Exposure Management (MSEM) – Produktinformationen (abgerufen am 17.10.2025)
SpecterOps – BloodHound OpenGraph Framework (abgerufen am 21.10.2025)

[„Microsoft“, „Entra ID“ und „Azure“ sind eingetragene Marken der Microsoft Corporation]
[„GitHub“ ist eine eingetragene Marke der GitHub Inc.]
[„AWS“ ist eine eingetragene Marke der Amazon Technologies Inc.]

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

AI Security

Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert

J. Benjamin Espagné 10. April 20268. April 2026

Security Operations Center stehen unter Druck. Die Alert-Volumen steigen, die Angriffstechniken werden komplexer, und qualifizierte Analysten sind Mangelware. KI wird oft als…

lesen Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert
AI Security

40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist

J. Benjamin Espagné 9. April 20268. April 2026

Im Jahr 2024 wurden über 40.000 neue CVEs veröffentlicht — ein Anstieg von 38 Prozent gegenüber dem Vorjahr. Die CISA führte davon…

lesen 40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist
NIS-2 & Compliance

BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit

J. Benjamin Espagné 9. April 20269. April 2026

Das BSI hat den C5:2026 veröffentlicht — die zweite substanzielle Revision des Cloud Computing Compliance Criteria Catalogue. Mit 258 Seiten, 17 Kriterienbereichen…

lesen BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit
In eigener Sache

10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo

J. Benjamin Espagné 8. April 20268. April 2026

NEOSEC wird zehn Jahre alt. Ein Jahrzehnt in der Cybersicherheit — das sind ungefähr sieben Generationen in Menschenjahren. Technologien, die bei unserer…

lesen 10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo
Wissen & Praxis

XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht

J. Benjamin Espagné 8. April 20268. April 2026

Splunk ist der Platzhirsch im SIEM-Markt. Seit über 20 Jahren das Standardwerkzeug in Enterprise-SOCs, mittlerweile Teil des Cisco-Portfolios, mit einem Ökosystem aus…

lesen XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht
Schwachstellen & Exploits

Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?

J. Benjamin Espagné 8. April 20268. April 2026

Die meisten Unternehmen mit SIEM-System gehen davon aus, dass sie Angriffe erkennen. Die wenigsten können sagen, welche. Detection Coverage — die systematische…

lesen Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?