Entra ID: Warum Identitäten zum grössten Cloud-Risiko werden

In diesem Interview erklären drei Experten von MOUNT10, warum genau diese Annahme gefährlich ist – und weshalb Identitäts-Backup zu einem zentralen Bestandteil moderner IT-Sicherheit wird.

Warum Entra ID plötzlich ein Business-Risiko ist

Viele Unternehmen gehen davon aus, dass Microsoft ihre Identitäten automatisch schützt. Warum ist das ein gefährlicher Irrtum?

Patrick Stutz:
Microsoft kümmert sich nicht um die Datensicherung – Microsoft kümmert sich um die Verfügbarkeit der Services. Dies ist auch in den AGBs klar so geschrieben. 
Quelle: https://www.microsoft.com/de-ch/servicesagreement/ (Verfügbarkeit der Dienste, b. «(…)Wir empfehlen, dass Sie Ihre in den Diensten gespeicherten Inhalte und Daten regelmässig sichern oder mithilfe von Drittanbieter-Apps und -Diensten speichern» )

Warum ist Entra ID heute ein attraktiveres Angriffsziel als klassische Server oder Datenbanken?

Philippe Gmür:
Mit den Kunden wandert auch das Angriffsziel in die Cloud. Entra ID bildet dabei das Herzstück, wenn der Angreifer es schafft sich die Identität des Kunden anzueignen, hat er direkten Zugriff auf E-Mails, Teams, Sharepoint und alle anderen Applikationen, die damit verknüpft sind. 

Was hat die jüngste Entra-ID-Schwachstelle konkret gezeigt, das viele IT-Verantwortliche überrascht hat?

Patrick Stutz:
Mit verhältnismässig wenig Aufwand konnte man die Autorisierungen auf Entra ID umgehen und sich Zugriff verschaffen. Dieser kritische Bug wurde seitens Microsoft schnell im Herbst 2025 behoben, zeigt jedoch die Kritikalität von Entra ID.
Quelle: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55241

https://blogs.microsoft.com/on-the-issues/2025/10/16/mddr-2025/ Im ersten Halbjahr 2025 stiegen die identitätsbaiserten Angriffe um 32%.

Wenn ein Angreifer Entra ID kontrolliert – was passiert im Unternehmen realistisch innerhalb der ersten 60 Minuten?

Besnik Qerimi:
In den ersten 60 Minuten passiert meistens nicht viel, primär geht es am Anfang um die Verankerung. Sobald ein Angreifer hohe Privilegien im Entra ID hat, geht es um Dauerhaftigkeit. Der Angreifer erstellt sich Hintertüren wie z.B. unauffällige neue Admin-Accounts oder angepasste Berechtigungen auf bestehenden Applikationen, die meist übersehen werden. Er manipuliert evtl. die Conditional Access Policies, um sicherzustellen, dass er selbst nicht mehr ausgesperrt werden kann. In diesen ersten Stunden verliert das Unternehmen oft bereits die Hoheit über die eigene Infrastruktur.

Die technische Realität hinter Entra ID – und wo Risiken entstehen

Welche Entra-ID-Objekte sind heute tatsächlich nicht vollständig wiederherstellbar, wenn etwas schiefgeht? 

Patrick Stutz:
Bei Conditional Access Policies gibt es keinen «Papierkorb» und sie sind nach dem Löschen verloren. Auch die Zuweisung von Admin-Rollen lässt sich nicht sofort rückgängig machen. Mit einer CLOUD 2 CLOUD Entra ID Backup können diese Daten sofort wiederhergestellt werden. 

Warum reicht der Microsoft-eigene Recovery-Mechanismus in vielen Szenarien nicht aus? 

Patrick Stutz:
Oft werden Veränderungen spät erkannt und stehen in den eigenen Boardmitteln von Microsoft nicht mehr zur Verfügung. CLOUD 2 CLOUD Entra ID Backup bietet eine lange Historie von Backup-Beständen. So kann eine Wiederherstellung von einem beliebigen Zeitpunkt granular stattfinden.  

Was passiert technisch, wen Conditional Access Policies oder Rollen manipuliert werden? 

Patrick Stutz:
Identitätsprüfungen von Personen ausgehebelt. Somit können Dritte ganz einfach auf die Unternehmensdaten zugreifen. 

Welche Konfigurationsänderungen sind besonders kritisch, weil sie oft lange unbemerkt bleiben? 

Patrick Stutz:
Gastkonten oder die fehlende Überwachung von App-Berechtigungen gehören sicherlich dazu. Aber auch einmalig registrierte Geräte, die nicht aktiv verwaltet werden und trotzdem Zugriff auf Daten haben. Die Komplexität und der Funktionsumfang von Entra ID bietet den ein oder anderen Stolperstein von unbemerkten Konfigurationsänderungen.

Warum ist Identitäts-Backup technisch komplexer als klassisches Datenbackup? 

Patrick Stutz:
Datenbackup ist essenziell, das ist unbestritten. Beim Backup von Microsoft Entra ID werden aber alle Daten rund um Intune, Conditional Access Policies, Benutzer, Gruppen und Rollen gesichert, die im Falle einer Fehlmanipulation wiederhergestellt werden können. Dieser Wiederherstellungsprozess ist aber mit CLOUD 2 CLOUD Entra ID Backup so benutzerfreundlich dargestellt, dass die technische Komplexität im Hintergrund nicht relevant ist. 

Warum Identitätsangriffe oft monatelang unentdeckt bleiben

Wie häufig sehen Sie heute Angriffe, die primär auf Identitäten statt auf Daten abzielen?

Besnik Qerimi:
Wir sehen heute eine klare Verschiebung. Warum sollte ein Angreifer mühsam Firewalls knacken, wenn er einfach eine Identität übernehmen kann? Oft ist der Zugriff auf die Identität (z.B. Administrator) viel wertvoller als der direkte Zugriff auf eine einzelne Datei, weil die Identität der Schlüssel zu allen Daten ist.

Was sind typische erste Schritte eines Angreifers nach der Kompromittierung eines Tokens?

Besnik Qerimi:
Nach dem Diebstahl eines Session-Tokens umgeht der Angreifer oft die MFA, da der Token dem System vorgaukelt, der User sei bereits authentifiziert. Der typische erste Schritt ist dann oft die Registrierung eines neuen MFA-Geräts durch den Angreifer. Ab diesem Moment hat er legitimen Zugriff, selbst wenn das Passwort geändert wird.

Warum bleiben Entra-ID-Angriffe oft lange unentdeckt („Silent Attacks“)?

Besnik Qerimi:
Weil diese Angriffe wie normales Arbeiten aussehen. Ein typischer Ransomware-Angriff ist laut – Systeme fallen aus, Daten werden verschlüsselt etc. Ein Identitäts-Angriff ist leise. 
Für das SOC ist es extrem schwer, zwischen einem Admin, der evtl. Wartungsarbeiten durchführt und einem Angreifer, der zu unterscheiden. Solange “nichts” offensichtlich passiert, bleiben diese Angreifer oft monatelang unbemerkt im System.

Was ist aus Support-Sicht gefährlicher: Ransomware oder Identitätsmanipulation?

Besnik Qerimi:
Operativ gesehen ist die Identitätsmanipulation gefährlicher. Bei Ransomware weiss man sofort, dass man ein Problem hat und kann einen Disaster-Recovery-Plan starten. 
Bei einer Identitätsmanipulation verliert man sofort das Vertrauen. Man weiss nicht welche Accounts noch sicher sind. Wurde diese Policy verändert? Hat dieser User wirklich Zugriff angefordert oder war das der Angreifer? Die Wiederherstellung ist hierbei viel komplexer, weil man nicht einfach ein Backup von gestern einspielen kann, ohne zu wissen, ob der Angreifer da nicht schon im System war.

Wie lange dauert es durchschnittlich, bis ein Unternehmen merkt, dass seine Identitäten kompromittiert wurden?

Besnik Qerimi:
Ohne spezialisiertes Monitoring sprechen wir oft von Wochen oder Monaten. Oft fällt es erst auf, wenn es schon zu spät für Schadensbegrenzung ist.

Gibt es typische Fehlkonfigurationen, die Angreifer gezielt ausnutzen?

Besnik Qerimi:
Auf jeden Fall. Der Klassiker sind Lücken im Conditional Access. Oft gibt es Ausnahmeregeln (Service Accounts), die keine MFA benötigen und schlecht überwacht werden. Ein weiteres riesiges Problem sind zu viele Benutzer mit Globaladmin-Rechten. Auch alte vergessene App-Registrierungen mit zu hohen Rechten sind ein beliebtes Einfallstor, das in vielen Audits übersehen wird.

Warum Unternehmen Identitäten unterschätzen

Warum investieren Unternehmen Millionen in Security, aber vergessen Identitäten? 

Philippe Gmür:
Schon Backup an sich wird oft unterschätzt, die Sicherung von der Identitätsinfrastruktur ist noch viel weniger greifbar. Wenn etwas passiert, ist es meistens zu spät. Microsoft schützt sich laut eigenen AGB’s sehr gut da sie nur für die Verfügbarkeit der Dienste aber nicht für die Sicherung der Kundendaten und Konfigurationen zuständig ist. 

Was sagen Kunden typischerweise vor einem Vorfall – und was danach? 

Philippe Gmür:
“Unsere Cloud ist sicher, wir haben MFA und Microsoft kümmert sich um den Rest”. “Microsoft kann sich so etwas nicht erlauben”. “Wir sind zu klein/unwichtig für irgendwelche Angreifer”.  

“Warum hat uns niemand dazu gezwungen Entra ID zu sichern?”
Die Kosten eines Stillstands übersteigen die Kosten einer Prävention oft um ein Vielfaches. 

Welche falsche Annahme hören Sie im Verkaufsgespräch am häufigsten? 

Philippe Gmür:
“Der Microsoft-eigene Papierkorb (Recycle Bin) reicht doch als Backup”. Viele IT-Leiter und sogar Geschäftsführer verwechseln die kurzfristige Wiederherstellung eines versehentlich gelöschten Users mit einem echten Disaster Recovery. 

Wann wird das Thema Entra ID Backup für Unternehmen plötzlich dringend? 

Philippe Gmür:
Leider oft wenn es schon zu spät ist respektive wenn es befreundetes Unternehmen oder einen Konkurrenten getroffen hat. Ein anderer Treiber sind aktuell externe Audits, Versicherungen oder Regulierungen. 

Welche Branchen unterschätzen das Risiko aktuell am meisten? 

Philippe Gmür:
Es ist ein Branchenübergreifendes Problem. 

Warum Entra ID Backup für Unternehmen ein Non-Negotiable ist

Ist ein Entra ID Backup nicht einfach ein weiteres Sicherheitsprodukt, das Angst verkauft? 

Patrick Stutz:
Entra ID ist nicht das erste an was man denkt, wenn man das Thema Backup im Kopf hat. Allerdings ist Entra ID mit jedem releasten Feature und neuen Funktionen mehr im Fokus. Daher ist es wichtig, dass alle Entra ID Daten gesichert sind und auch im Notfall zuverlässig wiederhergestellt werden können. 

Gibt es Szenarien, in denen ein Backup tatsächlich nichts mehr retten kann?

Philippe Gmür:
Hier muss man differenzieren, nur ein Entra ID Backup allein bringt nicht viel. Ein Entra ID Backup kombiniert mit einem unveränderlichen (immutable) Backup der Daten und einem sauberen Notfallplan, hat schon vielen Unternehmen wertvolle Zeit gespart. 

Wie oft müssten Unternehmen ihre Identitäten realistisch testen, um im Ernstfall vorbereitet zu sein?

Besnik Qerimi:
Einmal im Jahr ist zu wenig. Die Cloud ändert sich zu schnell. Aus operativer Sicht empfehle ich vierteljährlich. Noch wichtiger ist aber das Testen der Wiederherstellung. Viele haben Backups, aber nie probiert, ob sie eine komplexe Entra-ID-Konfiguration wirklich unter Stress zurückspielen können.

Was wäre Ihre wichtigste Massnahme, wenn Budget nur für eine zusätzliche Sicherheitslösung reicht?

Philippe Gmür:
Möglichst viel ins Backup investieren! Es ist eine statistische Realität, dass Schutzmassnahmen irgendwann versagen. Genau dann braucht ein Unternehmen ein unabhängiges Backup um möglichst schnell wieder die Kontrolle über die eigenen Systeme zurückerlangen zu können.

Zukunft von Identitätenschutz

Werden Identitäten in den nächsten Jahren die wichtigste Angriffsfläche überhaupt?

Patrick Stutz:
Identitäten und DeepFakes werden uns die nächsten Jahre noch viel stärker begleiten. Heute kann jeder DeepFakes erstellen und Identitätsdiebstal betreiben – man stelle sich nur mal vor, wie dies in 5 Jahren sein wird.

Wie verändert KI die Angriffe auf Identitätssysteme?

Patrick Stutz:
KI ist ein Vorteil für die Angreifer, aber auch für die Verteidiger. Beide profitieren von der Technologie. Somit ändert sich aber nichts an dem altbekannten Katz und Maus Spiel. Es geht nur darum, wer der schnellere ist.

Wird Identity Backup in 3–5 Jahren Standard sein – wie heute M365 Backup?

Besnik Qerimi:
Definitiv. Identity Backup wird zu einem Standard werden. Vor ein paar Jahren dachte man, M365 braucht kein Backup. Heute weiss jeder, dass das fahrlässig ist. Bei Entra ID sehen wir gerade dieselbe Lernkurve. In ein paar Jahren wird kein CISO mehr erklären können, warum das Herzstück der Infrastruktur – die Identitäten – nicht separat gesichert wird.