Tim Lipphardt
Head of Consulting
Alle Blogartikel
Was ist Identity Threat Detection and Response?
Identität ist der neue Perimeter
Ein Großteil der Sicherheitsvorfälle beginnen mit kompromittierten Zugangsdaten. ITDR überwacht Identitäten statt nur Netzwerke und Endpunkte.
Erkennen und reagieren in Echtzeit
ITDR analysiert Zugriffsverhalten, erkennt Anomalien und kann automatisch reagieren, etwa Sessions sperren oder zusätzliche Authentifizierung erzwingen.
Ergänzung, kein Ersatz
ITDR ersetzt weder EDR noch SIEM, sondern ergänzt dein bestehendes Security Stack um die Identitätsperspektive, die bisher oft fehlt.
ITDR verstehen
Was ist ITDR und warum reden alle davon?
Stell dir vor, jemand klaut den Schlüssel zu deinem Büro. Die Alarmanlage? Springt nicht an, denn der Schlüssel ist ja gültig. Genau das passiert in Unternehmen, nur eben digital. Angreifer klauen keine Daten, sie klauen Identitäten. Und genau hier kommt ITDR ins Spiel.
ITDR steht für Identity Threat Detection and Response und beschreibt einen Ansatz, der identitätsbasierte Bedrohungen in Echtzeit erkennt und darauf reagiert. Gartner hat den Begriff 2022 als einen der wichtigsten Sicherheitstrends eingeführt, und seitdem hat sich ITDR von einem Nischenthema zu einer Kerndisziplin entwickelt.
Der Grund ist einfach: Klassische Sicherheitstools wie Firewalls und Endpoint Detection schützen Netzwerke und Geräte. Aber wenn ein Angreifer sich mit gültigen Zugangsdaten einloggt, sehen diese Tools keinen Unterschied zwischen dem echten Mitarbeiter und dem Angreifer. ITDR schließt genau diese Lücke.
So funktioniert es
Wie funktioniert ITDR konkret?
ITDR arbeitet im Kern mit drei Mechanismen, die aufeinander aufbauen.
1. Baseline und Verhaltensanalyse
Zuerst lernt das System, wie sich deine Nutzer normalerweise verhalten. Wann loggt sich jemand ein? Von wo? Auf welche Systeme greift die Person typischerweise zu? Diese Baseline bildet die Grundlage, um Abweichungen zu erkennen.
2. Echtzeit Erkennung von Bedrohungen
Sobald die Baseline etabliert ist, überwacht ITDR kontinuierlich relevante Identitätssignale wie Logins, privilegierte Aktionen, Berechtigungsänderungen und verdächtige Session- oder Authentifizierungsaktivitäten. Erkennt das System auffällige Muster wie einen Login aus einer ungewöhnlichen Region zu ungewöhnlicher Zeit in Kombination mit einem Versuch zur Rechteausweitung, löst es einen Alarm aus.
Typische Angriffsszenarien, die ITDR erkennt: Kompromittierte Zugangsdaten (Credential Theft), Privilege Escalation (unberechtigte Rechteerweiterung), Lateral Movement (seitliche Ausbreitung im Netzwerk), Golden Ticket und Silver Ticket Angriffe auf Active Directory sowie Session Hijacking.
3. Automatische Reaktion
Erkennen allein reicht nicht. ITDR kann automatisch reagieren: Session Tokens widerrufen, Multi Faktor Authentifizierung erzwingen, Konten temporär sperren oder den Vorfall direkt an das Security Team eskalieren. Das passiert in Sekunden, nicht in Stunden.
Der Unterschied
ITDR vs. EDR: Was schützt was?
Die Frage kommt oft: Haben wir nicht schon EDR? Reicht das nicht? Die kurze Antwort: Nein, denn EDR und ITDR schützen fundamental unterschiedliche Angriffsflächen.
In der Praxis brauchst du beides. EDR sagt dir, wenn auf einem Laptop etwas Verdächtiges passiert. ITDR sagt dir, wenn jemand eine gestohlene Identität benutzt, um sich ganz normal anzumelden und dann still und leise Berechtigungen auszuweiten. Unser Blogartikel zu Identity Security zeigt, warum dieser ganzheitliche Blick auf Identitäten für Unternehmen unverzichtbar geworden ist.
ITDR und IAM
Warum ITDR ohne starkes IAM nicht funktioniert
ITDR ist kein Standalone Tool, das du einfach draufpackst und dann läuft das. ITDR braucht ein solides IAM Fundament, um wirklich wirksam zu sein. Denn: Wenn du nicht weißt, welche Identitäten es in deinem Unternehmen überhaupt gibt und welche Berechtigungen sie haben, kann auch das beste Threat Detection System keine sinnvollen Anomalien erkennen.
Konkret heißt das: Du brauchst eine saubere Identity Governance , die dafür sorgt, dass Berechtigungen nachvollziehbar vergeben und regelmäßig überprüft werden. Du brauchst Privileged Access Management, damit deine kritischsten Accounts besonders geschützt sind, denn genau auf die haben es Angreifer abgesehen. Und du brauchst ein Zero Trust Mindset, das grundsätzlich jeden Zugriff verifiziert, egal ob er von innen oder außen kommt.
Unser Expertenrat bei amiconsult: Wer ITDR einführen will, sollte zuerst den eigenen IAM Reifegrad ehrlich bewerten. Die Technologie bringt wenig, wenn die Grundlagen nicht stimmen. Ein reifes IGA, ein durchdachtes PAM Konzept und eine klare Zero Trust Strategie sind die Voraussetzung dafür, dass ITDR sein volles Potenzial entfalten kann.
Unterstützung gefällig?
Du willst ITDR in deine IAM Strategie integrieren, weißt aber nicht, wo du anfangen sollst? Wir helfen dir, den richtigen Einstieg zu finden.
Die neue Realität
Agentic AI macht ITDR noch wichtiger
2026 sprechen alle über Agentic AI, also KI Agenten, die eigenständig handeln, Entscheidungen treffen und auf Systeme zugreifen. Und es verändert die Spielregeln für ITDR grundlegend.
Denn jeder KI Agent braucht eine Identität, Zugangsdaten, Berechtigungen. Und diese Machine Identities verhalten sich anders als menschliche Nutzer: Sie arbeiten rund um die Uhr, greifen massenhaft auf APIs zu und können in Minuten Aktionen durchführen, für die ein Mensch Tage bräuchte. Die Herausforderung für ITDR: Wie unterscheidest du normales Agentenverhalten von einem kompromittierten Agenten?
In unserem Artikel zu Agentic AI im IAM gehen wir tiefer auf diese Fragen ein. Klar ist: ITDR muss sich weiterentwickeln, um nicht nur menschliche Identitäten, sondern auch Machine Identities und KI Agenten im Blick zu behalten.
Fazit
Zeit, ITDR strategisch zu denken
Identitätsbasierte Angriffe sind heute einer der häufigsten Einstiegspunkt für Cyberangriffe. ITDR gibt Unternehmen die Werkzeuge an die Hand, diese Angriffe in Echtzeit zu erkennen und zu stoppen, bevor sie Schaden anrichten.
Die wichtigsten Punkte zusammengefasst: ITDR schließt die Lücke, die EDR und SIEM bei identitätsbasierten Angriffen lassen. Es basiert auf Verhaltensanalyse, Echtzeit Erkennung und automatischer Reaktion. Ohne ein solides IAM Fundament aus IGA, PAM und Zero Trust bleibt ITDR aber wirkungslos. Und mit dem Aufkommen von Agentic AI wird ITDR zur absoluten Notwendigkeit, weil Machine Identities die Angriffsfläche massiv vergrößern.
Du willst wissen, wo dein Unternehmen steht und wie du ITDR sinnvoll in deine IAM Strategie integrierst? Sprich mit uns und wir schauen gemeinsam, welche Schritte für dich am meisten Sinn ergeben.
