Das aktuelle SANS Whitepaper von Joshua Wright — „Authorization Sprawl: The Vulnerability Reshaping Modern Attacks” (Oktober 2025) — dokumentiert, wie sich die unkontrollierte Ausbreitung von Zugriffsrechten zum größten Risiko moderner IT-Landschaften entwickelt hat.

Was Authorization Sprawl bedeutet

Unter Authorization Sprawl versteht man die unkontrollierte Ausbreitung von Zugriffsrechten über Systeme, Cloud-Dienste, SaaS-Anwendungen und Identitätsplattformen hinweg. Durch die zunehmende Integration von SSO, API-Tokens und föderierten Identitäten entstehen unzählige Seitentüren ins Unternehmensnetz.

Während Authentifizierung (Login, MFA, EDR) in den letzten Jahren stark verbessert wurde, hinkt die Kontrolle der Autorisierung weit hinterher. Angreifer nutzen diese Asymmetrie gezielt aus: Ein kompromittierter Account, ein offener Token, ein vergessenes Servicekonto — und der Weg ist frei für Datenexfiltration, Lateral Movement und Privilegienausweitung.

Wer diese Schwäche ausnutzt

Bekannte Gruppen wie Scattered Spider, LAPSUS$ und ShinyHunters setzen Authorization Sprawl inzwischen systematisch ein. Ihre Methode: Social Engineering, gestohlene OAuth-Tokens und API-Schlüssel mit SaaS-Schwachstellen kombinieren — und dabei klassische Schutzsysteme vollständig umgehen.

Der Angriffsvektor ist besonders tückisch, weil er innerhalb legitimer Prozesse stattfindet. Es gibt keine Malware, kein verdächtiges Binary, keinen fehlgeschlagenen Login. Der Angreifer nutzt die Berechtigungen, die das System ihm gewährt — nur eben nicht in der Art, wie es vorgesehen war.

Der blinde Fleck: Fokus auf Technik statt auf Autorisierung

Die Untersuchung von SANS identifiziert drei kritische Schwachpunkte in der Verteidigung:

• EDR erkennt diese Angriffe nicht: Die Aktivitäten finden innerhalb legitimer Prozesse statt — Browser, AWS-Sessions, Microsoft-365-Anwendungen. Kein Endpoint-Agent schlägt Alarm, wenn ein Nutzer über die Teams-API auf SharePoint-Daten zugreift — auch wenn er das normalerweise nie tut
• VPNs und Residential Proxies umgehen Geo-Detection: Impossible-Travel-Erkennung versagt, wenn Angreifer lokale Proxy-Dienste nutzen, die IPs im Zielland bereitstellen
• SaaS-Logging ist unzureichend: Viele SaaS-Anbieter bieten nur rudimentäres oder kostenpflichtiges Logging. Ohne vollständige Audit-Logs ist Incident Response nach einem Authorization-Sprawl-Angriff praktisch unmöglich

Wright bringt es auf den Punkt: Wir haben gelernt, wer sich anmeldet — aber nicht, was er danach tut.

Warum Autorisierung das nächste große Schlachtfeld ist

Die Verschiebung von Authentifizierung zu Autorisierung als primärem Angriffsvektor hat strukturelle Ursachen:

• Cloud und SaaS: Jede neue SaaS-Anwendung bringt eigene Berechtigungsmodelle mit. Die Summe aller Berechtigungen über alle Dienste hinweg ist für niemanden mehr überschaubar
• Nicht-menschliche Identitäten: Service-Accounts, API-Keys, OAuth-Tokens und Bot-Accounts wachsen schneller als menschliche Identitäten — und werden seltener überprüft
• Föderierte Identitäten: Ein kompromittierter Identity Provider (Okta, Azure AD, Google Workspace) kompromittiert alle angeschlossenen Dienste gleichzeitig

Handlungsempfehlungen

• Least Privilege konsequent durchsetzen: Regelmäßige Access Reviews für alle Benutzer, Service-Accounts und API-Tokens. Berechtigungen, die länger als 90 Tage nicht genutzt wurden, automatisch entziehen
• SaaS-Audit-Logging aktivieren und zentralisieren: Alle SaaS-Dienste müssen vollständige Audit-Logs liefern — und diese müssen in ein zentrales SIEM fließen
• Post-Authentication-Monitoring: Nicht nur überwachen, wer sich anmeldet, sondern was nach der Anmeldung passiert. Ungewöhnliche API-Aufrufe, Massenzugriffe auf Dateien und neue OAuth-App-Registrierungen sind starke Indikatoren
• Non-Human Identity Management: Service-Accounts und API-Keys inventarisieren, mit Ablaufdaten versehen und regelmäßig rotieren
• Conditional Access für SaaS: Zugriff auf kritische SaaS-Dienste nur von verwalteten Geräten und aus genehmigten Netzwerken erlauben