Seit mehreren Monaten steht der Oracle Identity Manager im Fadenkreuz gezielter Cyberangriffe. Sicherheitsforscher schlagen Alarm: Kritische Schwachstellen werden aktiv ausgenutzt, und Unternehmen mit schwacher Patch-Strategie geraten zunehmend in Bedrängnis. Was steckt hinter der Angriffswelle – und wie können IT-Verantwortliche wirksam reagieren?
Überblick: Oracle Identity Manager im Visier der Angreifer
Oracle Identity Manager (OIM) ist Bestandteil der Oracle Identity Governance Suite und in zahlreichen großen Unternehmen weltweit im Einsatz, um Identitäten, Rollen und Zugriffsrechte zu managen. Aufgrund seiner zentralen Rolle in der IT-Infrastruktur ist das Tool ein attraktives Ziel für Cyberkriminelle und Advanced Persistent Threats (APTs).
Seit August 2025 berichten Bedrohungsanalysten von einer Zunahme gezielter Angriffe auf OIM-Instanzen. Im Fokus stehen insbesondere öffentlich zugängliche Endpunkte und Systeme, die nicht auf dem aktuellen Sicherheitsstand sind. Laut einem Bericht von Palo Alto Networks vom Oktober 2025 wurden Exploits für zwei kritische Schwachstellen in OIM bis dahin über 7.000 Mal identifiziert – Tendenz steigend.
Einblick in die Angriffsvektoren: Schwachstellen und Exploit-Kampagnen
Im Quartals-Sicherheitsupdate von Oracle vom Oktober 2025 (Critical Patch Update – CPU) wurden mehrere schwerwiegende Schwachstellen an der OIM-Plattform adressiert. Zwei CVEs waren dabei besonders sicherheitsrelevant:
- CVE-2025-2180 – Eine Remote-Code-Execution-Schwachstelle mit CVSS-Wert 9.8, die es nicht authentifizierten Angreifern erlaubt, beliebigen Code über eine manipulierte REST-Abfrage auszuführen.
- CVE-2025-2217 – Ein Rechteeskalations-Bug im Identity Connector Framework (ICF), der sich auf Multi-Domain-Umgebungen auswirkt und privilegierten Zugriff auf User-Accounts ermöglichen kann.
Beide Schwachstellen wurden inzwischen durch eine Reihe von nationalstaatlich unterstützten APT-Gruppen, darunter APT29 (alias Cozy Bear), aktiv ausgenutzt, wie aus einem Advisory des US-Cybersecurity and Infrastructure Security Agency (CISA) vom 3. November 2025 hervorgeht. Der Angriffsweg umfasst häufig initialen Zugang über ungesicherte Public Clouds, gefolgt von lateralem Movement und Persistenz im OIM-System.
Sicherheitsupdate Oktober 2025: Was wurde behoben?
Im Oktober-Update hat Oracle insgesamt 387 Sicherheitslücken in seinen Produkten adressiert, davon allein 12 im Bereich Identity and Access Management. Laut offizieller Oracle-Dokumentation wurden dabei sämtliche bekannten Einfallstore für CVE-2025-2180 und CVE-2025-2217 geschlossen. Zusätzlich erhielt das Identity Connector Framework eine signifikante Verbesserung der Rechteprüfung und Input-Validierung.
Die Empfehlungen von Oracle verlangen ein sofortiges Einspielen der Updates auf allen betroffenen OIM-Versionen (ab 12c PS4). Administratoren sollten insbesondere ihre WebLogic-Konfigurationen, API-Gateways und externe Integrationen überprüfen.
Unternehmen, die diese Updates nicht oder verspätet implementieren, setzen sich einem hohen Risiko aus – besonders in hybride und multi-cloudfähige Infrastruktur-Umgebungen.
Risikoanalyse: Warum Identitätsmanagementsysteme so verletzlich sind
Identity Management-Plattformen wie OIM sind zunehmend attraktive Targets für Angreifer, weil sie eine hohe Integrationsdichte besitzen: Von Active Directory über HR-Systeme bis zu Cloud-Plattformen wie Azure, AWS und Oracle Cloud Infrastructure (OCI) läuft der Zugriff über sie. Eine Kompromittierung ermöglicht Zugriffsrechte weit über die IT hinaus.
Eine Analyse von CrowdStrike aus dem Jahresbericht 2025 zeigt: In 62 Prozent der untersuchten Datenschutzverletzungen im ersten Halbjahr 2025 waren IAM-Systeme direkt oder indirekt involviert. Damit ist dieser Angriffsvektor mittlerweile häufiger als klassische Phishing-Attacken. Zudem stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht 2025 fest, dass besonders in KRITIS-Bereichen (Energie, Gesundheit, Transport) vielfach veraltete IAM-Plattformen genutzt werden.
Best Practices für den Schutz von Oracle Identity Manager
Angesichts der aktuellen Bedrohungslage ist die Absicherung von OIM zwingend notwendig. Folgende Maßnahmen gelten als essenziell:
- Umgehende Aktualisierung: Spielen Sie das Oracle Critical Patch Update (Oktober 2025) lückenlos ein. Prüfen Sie alle Abhängigkeiten in Integrationen und Schnittstellen.
- Restriktive Segmentierung: Platzieren Sie OIM-Instanzen hinter Firewall-Zonen, beschränken Sie den Netzwerkzugriff auf autorisierte Hosts und eliminieren Sie unnötige Public Endpoints.
- Monitoring und Threat Detection: Integrieren Sie SIEM- und SOAR-Lösungen zur Echtzeitüberwachung von Admin-Aktivitäten, Rollenänderungen und API-Aufrufen.
Darüber hinaus empfiehlt es sich, regelmäßige Penetrationstests einzusetzen, um nicht nur bekannte Schwachstellen zu überprüfen, sondern auch potenzielle Zero-Days frühzeitig zu erkennen.
Ausblick: Was Unternehmen jetzt proaktiv tun sollten
Auch wenn Oracle mit dem Oktober-Update entscheidende Sicherheitslücken geschlossen hat, zeigt die Angriffsfähigkeit der Bedrohungsakteure, dass Unternehmen in ihrer Sicherheitsarchitektur nicht reaktiv, sondern proaktiv agieren müssen. Dazu gehört auch ein umfassendes Risk Assessment des gesamten IAM-Stacks, regelmäßiges Patch-Management sowie Schulung von Administratoren in aktuellen Angriffsszenarien wie Golden SAML, Pass-the-Token oder IDP-Manipulation.
Neue Entwicklungen – etwa die Integration von KI-gestützten Anomalieerkennungssystemen – können künftig helfen, Auffälligkeiten im Zugriffsmuster schneller zu erkennen. Laut Gartner sollen bis Ende 2026 über 40 Prozent der Unternehmen KI-Lösungen im Identity Management einsetzen (Gartner IAM Forecast 2025).
Fazit: Identitätsmanagement darf kein blinder Fleck bleiben
Die massiven Angriffe auf Oracle Identity Manager mahnen Unternehmen zur Wachsamkeit: Identitätsmanagement ist kein statisches Verwaltungstool, sondern der strategische Schlüssel zur Digital Resilience. Besonders bei mehrfach integrierten Systemen mit Legacy-Anteilen ist eine kontinuierliche Sicherheitsbewertung Pflicht.
Wie schützen Sie Ihre IAM-Infrastruktur? Haben Sie bereits die aktuellen Patches installiert oder planen weitere Schutzmaßnahmen? Teilen Sie Ihre Erfahrungen und Lösungen mit der Community – ob aus der IT-Security, IAM-Administration oder Architekturberatung. Die Herausforderung ist groß, aber Wissen ist die beste Abwehrwaffe.
