--- url: 'https://www.corbado.com/de/blog/risiken-anwendungssicherheit' title: '7 vermeidbare Risiken für die Anwendungssicherheit' description: 'Eine detaillierte Analyse von 7 Risiken für die Anwendungssicherheit mit realen Beispielen für Datenlecks und wie man sie mit moderner Authentifizierung verhindert.' lang: 'de' author: 'Muhammad Aqeel' date: '2026-05-27T10:54:14.072Z' lastModified: '2026-05-27T10:54:55.163Z' keywords: 'Risiken für die Anwendungssicherheit, fehlerhafte Zugriffskontrolle, Cloud-Fehlkonfiguration, Offenlegung sensibler Daten, Datenleck' category: 'Authentication' --- # 7 vermeidbare Risiken für die Anwendungssicherheit ## Key Facts - Datenlecks bei MGM, Uber, CircleCI und Ticketmaster zwischen 2022 und 2024 legten die persönlichen Daten von über **600 Millionen Nutzern** offen und verursachten Schäden in dreistelliger Millionenhöhe. - Das **MGM Resorts Datenleck** von 2023 begann mit einem Vishing-Anruf beim IT-Helpdesk, der das Zurücksetzen von Zugangsdaten und die Bereitstellung von Ransomware ermöglichte, was zu einer siebentägigen Systemunterbrechung führte. - Das **Snowflake-Datenleck** kompromittierte 165 Unternehmen, darunter Ticketmaster (560 Millionen Kundendatensätze) und AT&T, durch gestohlene Zugangsdaten von Infostealer-Malware, die Konten ohne MFA angriff. - **Device Bound Session Credentials (DBSC)** verhindern den Diebstahl von Session-Cookies, indem sie Sitzungen kryptografisch an bestimmte Geräte binden, wodurch gestohlene Cookies von anderen Computern unbrauchbar werden. - Alle von den gemeldeten Datenlecks betroffenen Unternehmen hätten Passkeys einführen können, bevor ihre Systeme kompromittiert wurden: Passkeys waren in den Jahren 2022-2024 bereits eine ausgereifte und verfügbare Technologie. ## 1. Einleitung Große Unternehmen wie Uber, MGM Resorts, CircleCI, Ticketmaster und viele weitere sahen sich zwischen September 2022 und Mai 2024 mit Sicherheitsverletzungen konfrontiert, nachdem Angreifer unbefugten Zugriff auf ihre Benutzerkontensysteme erlangt hatten. Die Angriffe verursachten Schäden von über Hunderten Millionen US-Dollar und legten personenbezogene Daten von mehr als 600 Millionen Nutzern offen. Die veralteten Authentifizierungssysteme jener Zeit hätten diese Sicherheitsverletzungen verhindern können. Es gibt keine Hinweise darauf, dass anspruchsvolle Zero-Day-Exploits oder Cyberangreifer mit unbekannten Schwachstellen agierten. Diese Fälle zeigen vielmehr, wie Unternehmen daran scheiterten, Sicherheitsverletzungen abzuwenden. Die meisten waren sich der MFA-Fatigue-Angriffe bewusst, schützten sich aber nicht davor, und sie erkannten die Schwachstellen passwortbasierter Systeme, nutzten sie aber weiterhin. ## 2. Versagen bei herkömmlicher Authentifizierung Schwache oder veraltete Authentifizierung ist ein häufiger Einstiegspunkt für Angreifer. Die Mehrheit der Datenlecks beginnt damit, dass Angreifer gestohlene oder zuvor verwendete Passwörter erlangen, obwohl Unternehmen Zugang zu etablierten Passkey-Authentifizierungssystemen haben, die Phishing-Schutz bieten. [Das Datenleck bei MGM Resorts 2023](https://www.forbes.com/sites/steveweisman/2025/03/12/mgm-ransomware--attack-update/) begann, als Angreifer per Vishing den IT-Helpdesk kontaktierten, was es ihnen ermöglichte, Zugangsdaten zurückzusetzen, Ransomware einzuschleusen und einen siebentägigen Systemausfall zu verursachen. Die Sicherheitssysteme von MGM und anderen Organisationen nutzten Passwörter in Kombination mit SMS-basierter Zwei-Faktor-Authentifizierung, die keinen ausreichenden Schutz vor Social-Engineering-Angriffen und dem Diebstahl von Zugangsdaten bot. Die Unternehmen versäumten es, bessere Authentifizierungssysteme zu etablieren, da ihre aktuellen Systeme und Arbeitsprozesse sie an Veränderungen hinderten, obwohl sie die Sicherheitsbedrohungen verstanden. Passkeys, die auf Public-Key-Kryptografie und biometrischer Identifikation basieren, hätten das Risiko erfolgreicher Angriffe deutlich reduziert. Passkeys sind sicherer als Passwörter, da Nutzer sie nicht über Fernzugriff oder den Helpdesk durch Weitergabe von Reset-Codes zurücksetzen können, was vor Social-Engineering-Angriffen schützt. Die Sicherheit von Passkeys bleibt jedoch anfällig für bestimmte Angriffsmethoden, die auftreten, wenn Kontowiederherstellungsprozesse nicht ordnungsgemäß gesichert sind und wenn Geräte mit Malware infiziert werden. ## 3. Sitzungs- und Cookie-basierte Angriffe Angreifer konzentrieren sich darauf, Cookies zu erbeuten, da diese helfen, Systemzugriff zu erlangen und sämtliche Authentifizierungsverfahren zu umgehen. [Das Datenleck bei CircleCI 2022](https://thehackernews.com/2023/01/malware-attack-on-circleci-engineers.html) unterstreicht dies und zeigt, wie eine Infostealer-Malware auf dem Laptop eines Mitarbeiters problemlos aktive Session-Cookies stehlen kann. Mit diesen umgingen die Angreifer die Zwei-Faktor-Authentifizierung und verschafften sich Zugang zu den Produktionssystemen. Session-Cookies dienen als Mittel zur Umgehung von Zugriffskontrollen mit ihren Bearer-Tokens und erleichtern so die Offenlegung sensibler Daten. Um solche Vorfälle zu verhindern, können Unternehmen Device Bound Session Credentials (DBSC) implementieren, die Nutzer vor Sitzungsdiebstahl schützen, indem sie kryptografische Methoden verwenden, um Sitzungen an bestimmte Geräte zu binden. Dies macht gestohlene Cookies von anderen Computern unbrauchbar. Das DBSC-System bietet wirksamen Schutz vor Infostealer-Malware auf verschiedenen Geräten, kann aber Angriffe nicht stoppen, wenn die Malware das ursprünglich registrierte Gerät infiziert. ## 4. Fehlerhafte Autorisierung Wenn Angreifer die Zugriffskontrolle der Anwendung durchbrechen, können sie sich unabhängig von ihren eigentlichen Berechtigungen lateral im System bewegen. Das Sicherheitsrisiko durch Autorisierungsschwachstellen bleibt hoch, da Angreifer bei zahlreichen Netzwerkverletzungen erfolgreich unzureichende Zugriffskontrollen nutzten, um zwischen Systemkomponenten zu navigieren. Um IDOR-Schwachstellen (Insecure Direct Object Reference) zu identifizieren, sollten Anwendungsentwickler konzeptbasiertes Threat Modeling verwenden, um grundlegende Zugriffsverwaltungsstrukturen zu erkennen und Code-Review-Prozesse zur Validierung von Service-Account-Berechtigungen implementieren. Die Entscheidung für komplexe Rollenzuweisungen und Berechtigungsverwaltungen anstelle eines Least-Privilege-Modells kann Unternehmen anfällig für Autorisierungsprobleme machen. Komplexe Rollenzuweisungen können zu unbefugtem Zugriff auf sensible Informationen und Funktionen in kundenorientierten Anwendungen führen. Unternehmen ohne ein sicheres Autorisierungs-Framework können ihre Daten nicht vor unbefugtem Zugriff und Operationen schützen. Angesichts der Zunahme von B2C-Sicherheitsproblemen kann ein einziges kompromittiertes Konto erheblichen Schaden an mehreren Benutzerkonten anrichten. Durch die Implementierung von Privileged Access Management können Unternehmen ihren Mitarbeitern und Kunden genau die minimalen Zugriffsrechte erteilen, die zur Erledigung ihrer Aufgaben erforderlich sind. Darüber hinaus können regelmäßiges konzeptbasiertes Threat Modeling und Code Reviews dabei helfen, Risiken und Schwachstellen leicht aufzudecken. ## 5. Unsichere KI-Integrationen Die rasante Integration von GenAI und LLMs in Anwendungen hat die Fähigkeit traditioneller Kontrollen, diese Änderungen zu erkennen, überholt, was zu einem unsichtbaren Sicherheitsrisiko führt. [Das Datenleck bei Snowflake 2024](https://en.wikipedia.org/wiki/Snowflake_data_breach) zeigt, wie Bedrohungsakteure gestohlene Zugangsdaten aus Infostealer-Malware-Angriffen nutzten, um in Snowflake-Kundenumgebungen einzudringen, bei denen keine Multi-Faktor-Authentifizierung implementiert war. Der Angriff kompromittierte mehr als 165 Unternehmen, darunter Ticketmaster mit 560 Millionen Kundendatensätzen sowie AT&T und Santander Bank. Unternehmen versäumen es oft, KI als Kernbestandteil der IT-Umgebung anzuerkennen, wodurch KI-Ressourcen wie Modelle, vektorisierte Datenspeicher und KI-Pipelines anfällig für Fehlkonfigurationen und Cyberangriffe bleiben. Den meisten Unternehmen fällt es aufgrund von "Schatten-KI" schwer, KI-Systeme effektiv zu überwachen, da Unbefugte hier zugangsbasierten Angriffen nachgehen können, ohne intern entdeckt zu werden. Hätten Unternehmen grundlegende Kontrollen wie Eingabevalidierung, Isolierung und kontinuierliche Überwachung auf ihre KI-Systeme angewandt, so wie sie es bei anderer IT-Infrastruktur tun, wären diese Sicherheitsvorfälle vermeidbar gewesen. Unternehmen können die Identifizierung und Behebung von Fehlkonfigurationen durch [KI-Sicherheitstools](https://www.wiz.io/academy/ai-security-solutions) automatisieren, die ein vollständiges Inventar aller KI-Ressourcen bereitstellen. ## 6. Cloud- und Runtime-Fehlkonfigurationen Fehlkonfigurationen in der Cloud, darunter ungeschützte Storage-Buckets, zu freizügige Sicherheitsgruppen und exponierte Container, können zu Sicherheitsvorfällen führen. Das [ePallet-Datenleck](https://www.websiteplanet.com/blog/epallet-leak-report/) aus dem Jahr 2022 hat gezeigt, dass ein falsch konfigurierter Amazon S3-Bucket sensible Kundendaten anderer Unternehmen offenlegen kann, die dieses Tool nutzen. Angreifer verwendeten zwei Hauptvektoren, um auf sensible Informationen zuzugreifen: ungeschützte Speicher-Buckets und Sicherheitsgruppen mit ineffektiven Zugriffskontrollen. Grundlegende Compliance-Scans zeigen, dass diese Angriffe von zwei Hauptquellen ausgehen: öffentlich zugänglicher Speicher mit benutzerspezifischen Daten und exponierte virtuelle Management-Ports. Unternehmen betrachten diese Fehlkonfigurationen möglicherweise als kurzfristige Lösungen für die Compliance, aber die meisten werden zu Einfallstoren für Sicherheitsverletzungen. Das Identifizieren und Beheben von Fehlkonfigurationen sollte kontinuierlich durch Cloud Security Posture Management oder Runtime-Sicherheitsprüfungen erfolgen, was das Risiko von Exploits deutlich senkt. Unternehmen können automatisierte Scan- und Monitoring-Tools nutzen, um Fehlkonfigurationen zu finden, die dann von der Monitoring-Plattform behoben werden können. ## 7. Fehlende Sicherheit im SDLC Schwachstellen gelangen in die Produktion, wenn Sicherheitsfunktionen nicht ordnungsgemäß in den Softwareentwicklungsprozess integriert sind. Eine [falsch konfigurierte GitHub Action in der CI/CD-Pipeline](https://infosecwriteups.com/day-16-the-ci-cd-betrayal-how-a-tiny-github-action-misconfiguration-led-to-a-800-cloud-breach-05a229c0684d) eines Krypto-Startups gab heimlich AWS-Anmeldeinformationen preis, wodurch Angreifer Kryptowährungen im Wert von 800 US-Dollar schürfen konnten. SAST/DAST, sichere Code-Reviews und Dependency Scanning können gängige Sicherheitslücken erkennen. Diese reichen von Injection-Angriffen über unsichere Deserialisierung bis hin zu Insecure Direct Object References, bleiben jedoch bestehen, wenn der Sicherheit keine Beachtung geschenkt wird. Die Integration von Sicherheit in den Software Development Lifecycle (SDLC) ermöglicht es Entwicklern, Schwachstellen zu identifizieren und zu beheben, bevor sie in Webanwendungen in der Produktion bereitgestellt werden. Zur Vermeidung dieser Probleme müssen Unternehmen drei grundlegende Sicherheitspraktiken implementieren: automatisiertes Scanning, Dependency Management und sichere Code-Reviews. ## 8. Unzureichende Überwachungs- und Behebungsprozesse Unternehmen erleben weiterhin Datenlecks, vor allem weil sie Warnindikatoren nicht erkennen und keine definierten Prozesse zur Behebung von Systemanomalien haben. Sie sollten ihre Computersysteme konsequent überwachen und ein klares Reaktionsverfahren für Sicherheitsverletzungen etablieren, das aktuellen Branchenstandards im Lichte des [Datenlecks bei Uber 2022](https://www.researchgate.net/publication/383425090_Dissecting_The_Uber_Security_Breach_Root_Cause_Analysis_and_Mitigation_Strategies) folgt. Ohne umfassende Protokollierung von Sicherheitsereignissen haben Unternehmen Schwierigkeiten, auf Credential Stuffing, ungewöhnliche Gerätezugriffe oder anormale Token-Transaktionen zu achten. Unternehmen finden es schwierig, Authentifizierungs- und Anmeldeversuche zu erkennen oder Benutzerregistrierungen aufzuzeichnen, da die gesammelten Informationen nicht detailliert genug sind, um den Missbrauch von Sicherheitsrechten frühzeitig zu erkennen. Die Systeme der Organisation können abnormale Ereignisse durch datenschutzfreundliche Telemetrie und automatisierte, algorithmische Reaktionsverfahren identifizieren und verwalten. KI-Erkennungs- und Reaktionsfähigkeiten helfen Unternehmen dabei, Zusammenhänge zwischen Sicherheitsereignissen zu erkennen und das Eintreten von Datenlecks zu stoppen. ## 9. Fazit Der frustrierendste Aspekt bei der Analyse der Vorfälle von MGM, Snowflake, Uber und CircleCI ist die Erkenntnis, dass diese Vorfälle hätten vermieden werden können. Sie wurden unausweichlich, weil der damaligen Technologie die notwendigen Fähigkeiten fehlten, die sicherheitsbewusste Unternehmen bereits für ihre Authentifizierungssysteme nutzten. Alle in diesem Bericht genannten Unternehmen hatten die Möglichkeit, Passkeys einzuführen, bevor ihre Systeme kompromittiert wurden. Während Passkeys in den Jahren 2022-2024 bereits eine verfügbare und ausgereifte Technologie waren, waren Device Bound Session Credentials (DBSC) bis 2024 noch nicht flächendeckend verfügbar. Das System umfasste mehrere Cloud-Sicherheitskontrollen, wie die Durchsetzung von MFA, Netzwerk-Allowlists, Least-Privilege IAM und Monitoring. Diese Kontrollen erforderten jedoch eine manuelle Einrichtung für einen vollständigen Schutz. Die Sicherheitsteams einiger Unternehmen unterstützten diese Kontrollen, scheiterten jedoch daran, den unternehmensweiten Widerstand gegen Veränderungen zu überwinden. Das Ergebnis waren die Offenlegung der persönlichen Daten von mehr als 600 Millionen Menschen, behördliche Untersuchungen und Gesamtverluste in dreistelliger Millionenhöhe. Studien von Organisationen zeigen, dass zugangsdatenbasierte Angriffe rasant zunehmen werden, weshalb sich Unternehmen sofort mit dieser kritischen Sicherheitsbedrohung befassen müssen. Ihr Unternehmen muss entscheiden, ob es moderne Authentifizierungssysteme einführen möchte, bevor oder nachdem andere Organisationen Ihr Sicherheitsversagen als Fallbeispiel in ihren Untersuchungen zu Datenlecks heranziehen. Tools für die Anwendungssicherheit sind verfügbar und arbeiten automatisch durch einfache Prozesse ohne komplexe Installationen. Der ROI ist messbar. Der Sicherheits-Community mangelt es an Dringlichkeit, um die Modernisierung der Authentifizierung als wesentliche Sicherheitskontrolle zu erkennen. Unternehmen müssen sofort handeln, denn der nächste Helpdesk-Anruf, die nächste Phishing-E-Mail und der nächste Infostealer-Payload könnten sich zu einem Millionen-Dollar-Vorfall entwickeln. ## Häufig gestellte Fragen ### Wie konnte das CircleCI-Datenleck die Zwei-Faktor-Authentifizierung umgehen? Beim Datenleck bei CircleCI im Jahr 2022 hat eine Infostealer-Malware auf dem Laptop eines Mitarbeiters direkt aktive Session-Cookies gestohlen. Da Session-Cookies als Bearer-Tokens fungieren, die sofortigen Zugriff gewähren, nutzten die Angreifer sie, um die Zwei-Faktor-Authentifizierung vollständig zu umgehen und auf Produktionssysteme zuzugreifen. ### Was ist der Sicherheitsunterschied zwischen DBSC und standardmäßigen Session-Cookies? Standardmäßige Session-Cookies können von Infostealer-Malware gestohlen und von jedem beliebigen Gerät aus wiederverwendet werden, wodurch Authentifizierungskontrollen umgangen werden. Device Bound Session Credentials (DBSC) verwenden kryptografische Methoden, um eine Sitzung an das spezifische Gerät zu binden, das sie erstellt hat, sodass gestohlene Cookies nicht von rechnergesteuerten Angreifermaschinen verwendet werden können. ### Warum verursachte die fehlerhafte Zugriffskontrolle beim Snowflake-Datenleck so weitreichende Schäden? Das Snowflake-Datenleck kompromittierte über 165 Kundenorganisationen, da in den einzelnen Tenant-Umgebungen keine MFA-Erzwingung vorhanden war, was bedeutete, dass ein einziger Satz gestohlener Zugangsdaten ganze Kundendatenbestände freischalten konnte. Allein bei Ticketmaster wurden infolge dieser einzigen Kontrolllücke 560 Millionen Kundendatensätze offengelegt. ### Welcher SDLC-Sicherheitsfehler führte zum Vorfall mit dem Schürfen von Kryptowährungen über GitHub Actions? Eine falsch konfigurierte GitHub Actions-Workflow in der CI/CD-Pipeline eines Krypto-Startups verriet heimlich AWS-Anmeldeinformationen an Angreifer, die diese nutzten, um Kryptowährungen im Wert von 800 US-Dollar zu schürfen. Der Artikel nennt automatisiertes SAST/DAST-Scanning, Dependency Management und sichere Code-Reviews als die drei Praktiken, die diese Fehlkonfiguration vor dem Produktiveinsatz aufgedeckt hätten.