Thought Leadership
Maschinenidentitäten wachsen exponentiell – und mit ihnen die Sicherheitsrisiken. Wer KI und automatisierte Prozesse schützt, braucht neue Governance-Modelle, die Maschinen wie Menschen behandeln: sichtbar, steuerbar und regelkonform.
Aktuell nimmt eine neue Form digitaler Identität Fahrt auf: Non‑Human Identities (NHIs), also Maschinenidentitäten steuern Arbeitsabläufe, verarbeiten Daten und treffen Entscheidungen. In vielen Infrastrukturen gibt es 20- bis 40-mal mehr Maschinen- als Benutzerkonten, und viele davon besitzen privilegierte Zugriffsrechte. KuppingerCole prognostiziert, dass der Markt für agentenbasierte KI bis 2030 von 5,1 Milliarden US-Dollar auf 47,1 Milliarden US-Dollar wachsen wird. Damit wachsen jedoch auch die Angriffsflächen rasant, denn KI‑Agenten und automatisierte Prozesse überrollen traditionelle Identitätsmodelle.
Sicherheitsrisiken durch Maschinenidentitäten
Parallel dazu stiegen Identitätsangriffe zur Hauptursache zahlreicher Sicherheitsvorfälle auf, und das in einem Umfeld, in dem KI-Systeme immer autonomer handeln. Unsichere API‑Tokens, lange gültige Zertifikate oder „überprivilegierte“ Service‑Accounts öffnen Tür und Tor für Angriffe. Die Kombination aus Sichtbarkeitsschwäche, fragmentierter Kontrolle und beschleunigtem Zuwachs ist eine riskante Ausgangslage und viele Organisationen haben bereits identitätsbezogene Vorfälle durch Maschinenidentitäten erlebt, die etwa zu Ausfallzeiten oder unautorisierten Datenzugriffen geführt haben.
Warum klassische Identitätsmodelle versagen
Menschzentrierte Ansätze wie Multifaktor-Authentifizierung (MFA) oder biometrische Verifizierungen greifen bei Maschinen nicht: KI‑Agenten können keine SMS oder App‑Push‑Meldungen verarbeiten.
Die Vielfalt der maschinellen Identitäten stellt eine weitere Herausforderung dar, denn nicht alle Maschinen sind gleich. Herkömmliche Tools zur Überwachung von Robotic Process Automation (RPA)-Bots sind auf vorhersehbares, regelbasiertes Verhalten ausgelegt. Bei KI-Agenten, die weniger deterministisch arbeiten, greifen sie oft zu kurz.
Hinzu kommt: Es existiert oft keine zentrale „Single Source of Truth“ für Maschinenidentitäten, wie sie bei Menschen etwa durch HR-Systeme gegeben ist. Es fehlt oft eine systematische Inventarisierung. Diese Unsichtbarkeit erschwert die klare Zuweisung von Zuständigkeiten und damit die Umsetzung von Richtlinien und Zugriffskontrollen. KI-Agenten können zudem unkontrollierte Aktionen ausführen, ohne Consent-Flows oder Review-Prozesse für kritische Vorgänge. Dadurch leiden Sichtbarkeit, Governance und Kontrolle.
Operationalisierte Ownership
Ein wirksamer Sicherheitsansatz verlangt, Maschinenidentitäten als gleichwertige Akteure zu behandeln. Der erste Schritt ist die Operationalisierung von Ownership:
- KI mit KI finden: Mithilfe intelligenter Discovery-Verfahren wie dem Identity Security Posture Management (ISPM) und ähnlicher Tools können alle Identitäten – menschliche ebenso wie nicht-menschliche – erkannt und inventarisiert werden.
- KI mit KI schützen: Sensible Daten und Anmeldeinformationen müssen in sicheren Tresoren verwaltet, privilegierte Zugriffe kontrolliert und Sitzungen automatisiert abgesichert werden.
- KI mit KI steuern: Den Maschinenidentitäten sollte eine menschliche Verantwortlichkeit zugewiesen werden. Es sollten regelmäßige Zugriffsprüfungen erfolgen und klare Trennungsregeln (Separation of Duties) umgesetzt werden.
Effektive Governance von NHIs
So wie Menschen verifizierte Identitäten benötigen, um in einer Gesellschaft zu agieren, brauchen auch Maschinen definierte und abgesicherte Identitäten, um sicher in digitalen Infrastrukturen zu operieren.
Moderne Identity-Security-Lösungen müssen diesen Wandel unterstützen, und zwar durch einheitliche Erkennung, präzise Risikoanalysen und klare Sichtbarkeit über den gesamten Lebenszyklus hinweg. So lassen sich Risiken frühzeitig identifizieren und gezielt adressieren. Entscheidend ist dabei Automatisierung: Plattformen sollten Just-in-Time-Provisioning und -Deprovisioning ermöglichen. Das bedeutet, dass Zugriffe und Rechte ausschließlich für die tatsächlich benötigten Daten und den entsprechenden Zeitraum bereitgestellt bzw. entfernt werden. Dies sollte durch Richtlinien gesteuert und mit relevanten Compliance-Vorgaben im Einklang stehen.
Damit diese Technologie wirkungsvoll ist, braucht es klare Governance: Sichtbarkeit, Verantwortlichkeit und proaktive Kontrolle sind in jeder Branche, die auf kritische digitale Prozesse angewiesen ist, essenziell. Effektive Lösungen müssen zudem Sicherheitsteams befähigen, schnell zu reagieren, ohne den Geschäftsbetrieb zu stören.
Zwischen Praxis und Regularien
Der regulatorische Druck auf Unternehmen nimmt zu: Die EU‑AI‑Verordnung (AI Act) sieht strenge Auflagen für KI‑Systeme vor, insbesondere für jene mit potenziell systemischen Risiken. Auch andere Rahmenwerke wie NIS2 oder branchenspezifische Sicherheitsstandards fordern inzwischen klare Richtlinien, wie nicht-menschliche Identitäten verwaltet, überwacht und abgesichert werden müssen.
Für Unternehmen bedeutet das in der Praxis: Sie müssen vollständige Transparenz über alle Maschinenidentitäten herstellen, Ownership eindeutig definieren und jederzeit nachweisen können, wer – oder was – auf welche Systeme und Daten zugreift. Wer diese Anforderungen frühzeitig integriert, minimiert Audit-Risiken, reduziert Compliance-Kosten und kann Sicherheitsvorfälle schneller eindämmen.
Governance für Maschinenidentitäten ist Pflicht, nicht Kür
In einer Welt, in der KI‑Agenten und automatisierte Systeme „menschlicher“ agieren als wir selbst, stellt sich nicht mehr die Frage, ob wir ihnen vertrauen, sondern wie wir sie sicher beherrschen. Sichtbarkeit muss zur Grundlage werden: Nur wer alle Identitäten kennt, kann kontrollieren. Moderne Identity‑Security‑Plattformen müssen Lebenszyklus, Risikoanalyse und operatives Management nahtlos abdecken. Zero Trust, automatisierte Governance, klare Ownership‑Modelle und regulatorische Compliance sind die Bausteine. Unternehmen, die diese Prinzipien konsequent umsetzen, treten als sichere und resilientere Vorreiter hervor. Die Zeit zu handeln ist jetzt.
