Sie haben Fragen zu Produkte und Dienstleistungen?
IT Security Blog abonnieren um immer auf dem neuesten Stand zu bleiben.
Managed Security
Weitere IT-Sicherheitslösungen
Managed Services
Weitere IT-Servicelösungen
Unsere KI-Lösungen
Karriere bei BRANDMAUER IT
Kostenlose Downloads
Weiterbildungen
Kostenlose Webinaraufzeichnungen
Unser Blog
Kundenstimmen und Partner
Coworking bei uns
Software-Lösungen
4 Min. Lesezeit
Volker Bentz
:
17.06.2026 15:20:09
Ein Mitarbeiter loggt sich morgens mit seinem normalen Passwort ein. Die Firewall lässt ihn durch, der Virenscanner schlägt nicht an, alles sieht aus wie immer. Nur dass es nicht der Mitarbeiter ist, sondern jemand, der sein Passwort vor drei Wochen im Darknet gekauft hat. Genau für diesen Fall gibt es ITDR.
ITDR steht für Identity Threat Detection and Response. Übersetzt: Erkennen und Reagieren auf Angriffe über Benutzeridentitäten. Klingt erstmal sperrig, ist aber eines der wichtigsten Sicherheitsthemen der letzten Jahre, weil sich die Art verändert hat, wie Angreifer überhaupt in Unternehmen eindringen.
Früher haben Angreifer gezielt nach Schwachstellen in Software gesucht. Heute ist es oft leichter, sich einfach die Zugangsdaten zu beschaffen. Beispielsweise durch Phishing, den Kauf gestohlener Passwörter oder schlicht weil ein Mitarbeiter dasselbe Passwort mehrfach verwendet.
Die Zahlen dahinter sind eindeutig. 90 Prozent der Unternehmen hatten im letzten Jahr mindestens einen identitätsbezogenen Sicherheitsvorfall. 79 Prozent aller Datenschutzverletzungen lassen sich auf kompromittierte Identitäten zurückführen. Und die Zahl gestohlener Zugangsdaten, die auf Darknet-Marktplätzen zum Kauf stehen, hat sich innerhalb eines Jahres mehr als verdoppelt.
Das Problem dabei: Klassische Sicherheitswerkzeuge wie Firewalls oder Virenscanner sind für diese Art von Angriff blind. Sie prüfen, ob ein Programm schädlich ist oder ob eine Verbindung verdächtig aussieht. Sie prüfen nicht, ob die Person, die sich gerade mit echten Zugangsdaten anmeldet, wirklich die ist, für die sie sich ausgibt.
ITDR ist keine einzelne Funktion, sondern eine Kombination aus mehreren Bausteinen, die zusammen die Identitätsebene überwachen.
Identitätskatalog: Eine zentrale Übersicht aller Benutzerkonten in der Umgebung. Wer hat Zugriff worauf, welche Konten sind aktiv, welche längst verwaist. Diese Transparenz fehlt in vielen mittelständischen Unternehmen schlicht, weil über Jahre Konten angelegt wurden, ohne dass jemand sie wieder aufgeräumt hat.
Kontinuierliches Sicherheits-Assessment: Die Identitätsumgebung, meist Microsoft Entra ID, wird laufend auf Fehlkonfigurationen geprüft. Das ist relevanter, als es klingt: 95 Prozent aller Entra ID-Umgebungen haben mindestens eine kritische Fehlkonfiguration, über die sich Berechtigungen ausweiten lassen. Verwaiste Admin-Konten, zu großzügige Rechte, Lücken in Zugriffsrichtlinien.
Darknet-Überwachung: Bekannte Darknet-Marktplätze und Datenbanken mit geleakten Zugangsdaten werden kontinuierlich nach den Domains und Mitarbeitenden des eigenen Unternehmens durchsucht. Taucht ein Treffer auf, kommt sofort eine Meldung, bevor jemand diese Daten für einen Angriff nutzen kann.
Verhaltensanalyse: Ungewöhnliche Anmeldemuster werden erkannt. Ein Login aus einem Land, in dem das Unternehmen keine Niederlassung hat. Eine Anmeldung um drei Uhr nachts von einem Mitarbeitenden, der sonst nie außerhalb der Bürozeiten arbeitet. Solche Auffälligkeiten sind oft das erste Zeichen, dass ein Konto kompromittiert wurde.
Reaktionsmaßnahmen: Wird ein Risiko erkannt, folgen konkrete Schritte. Passwort zurücksetzen, Konto sperren, aktive Sitzungen beenden. Je schneller das passiert, desto kleiner der Schaden.
Diese vier Begriffe tauchen in der IT-Sicherheit ständig gemeinsam auf und werden trotzdem häufig verwechselt, weil sie sich inhaltlich überlappen, aber unterschiedliche Aufgaben haben.
| Begriff | Was es macht | Beispiel |
|---|---|---|
| IAM Identity and Access Management |
Verwaltet, wer welche Zugriffsrechte bekommt | Microsoft Entra ID legt fest, dass ein Mitarbeiter Zugriff auf das CRM hat |
| PAM Privileged Access Management |
Kontrolliert besonders kritische, privilegierte Konten | Admin-Zugänge zu Servern werden zeitlich begrenzt und protokolliert |
| ITDR Identity Threat Detection and Response |
Erkennt Missbrauch und Angriffe auf Identitäten | Erkennt, dass ein Login mit gestohlenem Passwort erfolgt |
| XDR Extended Detection and Response |
Erkennt Bedrohungen über Endpoints, Netzwerk und Cloud hinweg | Verknüpft einen verdächtigen Login mit einer ungewöhnlichen Datei-Aktivität |
| MDR Managed Detection and Response |
Der durchgehend betreute Service, der XDR und ITDR auswertet und darauf reagiert | Ein Security-Team prüft Alarme rund um die Uhr und greift im Ernstfall ein |
Der entscheidende Unterschied liegt zwischen Verwalten und Erkennen. IAM und PAM verwalten Zugriffsrechte, sie legen die Regeln fest. ITDR prüft, ob diese Regeln gerade missbraucht werden. Ein Unternehmen kann ein technisch einwandfreies IAM-System haben und trotzdem Opfer eines identitätsbasierten Angriffs werden, wenn niemand überwacht, ob die vergebenen Zugänge gerade von der richtigen Person genutzt werden.
XDR und MDR sind die nächste Ebene darüber. XDR bündelt Sicherheitssignale aus verschiedenen Quellen, ITDR ist dabei die Quelle für alles, was die Identität betrifft. MDR ist der Service, der diese Signale auswertet und im Ernstfall handelt. In der Praxis wird ITDR deshalb selten isoliert betrieben, sondern als Baustein innerhalb von XDR oder MDR.
ITDR lohnt sich besonders für Unternehmen, die Microsoft Entra ID oder eine vergleichbare Cloud-Identitätslösung nutzen, mehrere Drittanbieter-Anwendungen im Einsatz haben und keine eigene Security-Abteilung, die Identitätsrisiken Vollzeit überwacht.
Das betrifft praktisch jeden Mittelständler ab etwa 25 Mitarbeitenden. Kleinere Unternehmen mit einer Handvoll Mitarbeitenden und überschaubarer IT-Landschaft haben oft ein geringeres Risiko, einfach weil weniger Konten, Anwendungen und Berechtigungen existieren, die aus dem Blick geraten können. Sinnvoll wird ITDR meist genau dann, wenn die Komplexität der eigenen IT-Umgebung schneller wächst, als die interne IT sie noch manuell überblicken kann.
Ob und wie ITDR für Ihr Unternehmen sinnvoll ist, hängt von Ihrer aktuellen IT-Umgebung ab. In unserem Managed ITDR-Service übernehmen wir die Überwachung Ihrer Identitäten vollständig, inklusive Darknet-Monitoring und automatisierter Reaktion auf Vorfälle.
Nein. Gerade kleinere und mittelständische Unternehmen sind oft ein leichteres Ziel, weil sie selten eine eigene Security-Abteilung haben, die Identitätsrisiken kontinuierlich überwacht.
Nein. Selbst starke Passwörter helfen nicht, wenn sie durch Phishing oder ein Datenleck bei einem Drittanbieter ohnehin in falsche Hände geraten. ITDR erkennt genau diesen Fall, nämlich wenn gestohlene, aber technisch korrekte Zugangsdaten verwendet werden.
Eine Firewall kontrolliert, welcher Netzwerkverkehr erlaubt ist. Sie unterscheidet nicht zwischen einem legitimen Login und einem Login mit gestohlenen, aber gültigen Zugangsdaten. ITDR setzt genau an diesem blinden Fleck an.
Die meisten aktuellen ITDR-Lösungen sind primär auf Microsoft Entra ID ausgelegt, weil es die am weitesten verbreitete Cloud-Identitätslösung im Mittelstand ist. Unterstützung für weitere Identitätsanbieter wird von den Herstellern laufend ausgebaut.
Je nach Konfiguration werden automatisierte Maßnahmen ausgelöst, etwa das Zurücksetzen eines Passworts oder die Sperrung eines Kontos. Wird ITDR im Rahmen eines Managed Service betrieben, übernimmt zusätzlich ein Security-Team die Bewertung und Reaktion.
Eric Weis : 01.06.2026 10:44:12
Jeden Tag werden Unternehmen im Mittelstand Opfer von Cyberangriffen die niemand bemerkt hat, bis es zu spät war. Nicht weil keine Schutzmaßnahmen...
Volker Bentz : 06.11.2024 16:45:09
Der Anstieg von Sicherheitsvorfällen aufgrund unzureichender IT-Sicherheit hat auch 2024 verheerende Folgen für Unternehmen. Laut aktuellen...
Volker Bentz : 01.06.2026 11:59:34
Der Moment in dem ein Mitarbeiter merkt dass sein Computer sich seltsam verhält, ist kritischer als die meisten denken. Was in den nächsten Minuten...