Künstliche Intelligenz beeinflusst mittlerweile nahezu jeden Bereich der Technologie – und Identity Security bildet dabei keine Ausnahme. Nicht‑menschliche und sogenannte agentische Identitäten werden zunehmend zur Norm. Laut CyberArk entstehen derzeit maschinelle Identitäten im Verhältnis von etwa 82:1 gegenüber menschlichen Identitäten.
Durch diesen rasanten Anstieg wird Identity Security zunehmend zum neuen Kontroll‑Perimeter für KI: Wer die Identität kontrolliert, kontrolliert auch die KI. Dadurch lassen sich potenzielle Sicherheitsrisiken von KI reduzieren. Gleichzeitig können Unternehmen KI mit größerem Vertrauen einsetzen und so Geschwindigkeit, Skalierung und Innovationsfähigkeit steigern.
Dieser Beitrag erläutert nicht‑menschliche und agentische Identitäten und zeigt, warum Identity Access Management (IAM) und Privileged Access Management (PAM) zentrale Bausteine sind, um deren Nutzen sicher und nachhaltig zu realisieren. Außerdem werden Risiken und Chancen dargestellt sowie praktische erste Schritte beschrieben.
Nicht‑menschliche Identitäten authentifizieren sich, um eine vorab definierte Aktion auszuführen. Typische Beispiele sind Anwendungen, Workloads, APIs, RPA‑Bots, Microservices, Cloud‑Services, IoT‑Geräte, Service Accounts, Zertifikate und Secrets.
Agentische Identitäten hingegen entscheiden selbstständig, welche Aufgabe als Nächstes ausgeführt werden soll. Diese KI‑Agenten können autonom Workflows starten, Daten analysieren und Aktionen in verschiedenen Systemen durchführen – mit begrenzter oder ganz ohne menschliche Aufsicht.
Da solche Agenten breitere Zugriffsrechte benötigen, können sie deutlich mehr erreichen – allerdings steigt damit auch das Risiko.
Maschinelle Identitäten entstehen in rasantem Tempo. Die Verwaltung derart vieler Identitäten (aller Art) ist äußerst zeitaufwändig und komplex, wobei das nicht das einzige Problem ist. Häufig treten auch Probleme aufgrund folgender Faktoren auf:
Prozessabbildung: Maschinelle Identitäten lassen sich oft nur schwer in klassische Joiner‑Mover‑Leaver‑Prozesse einordnen. Dadurch entstehen Unklarheiten bezüglich Ownership, Zugriffsnutzung und Notwendigkeit von Berechtigungen.
Geschwindigkeit: Agentische Identitäten arbeiten mit Maschinengeschwindigkeit. Fehlkonfigurationen oder Missmanagement können sich daher wesentlich schneller ausbreiten als bei menschlichen Identitäten.
Unbeabsichtigte Schwachstellen: KI‑Agenten können unbeabsichtigt laterale Bewegungen oder Privilege Escalation verursachen, weil sie den effizientesten Weg zu einem Ziel finden.
Agentische Identitäten stellen einen technologischen Wendepunkt dar. Ihre Autonomie kann Geschwindigkeit, Reichweite und Effizienz deutlich erhöhen.
Organisationen, die diese Identitäten gut steuern, können KI sicher einsetzen und Innovation, Produktivität und Effizienz steigern.
Unternehmen ohne ausreichende Governance müssen entweder ihre KI‑Ambitionen einschränken oder deutlich höhere Risiken akzeptieren.
IAM übernimmt Governance‑Funktionen wie Ownership, Policy‑Definition, Genehmigungslogik und Zertifizierungen.
PAM kümmert sich um privilegierten Zugriff, Secrets‑Management, Session‑Kontrolle, Credential‑Rotation und Just‑in‑Time‑Zugriffe.
Gemeinsam schaffen IAM und PAM die notwendigen Guardrails, damit Automatisierung und KI sicher skaliert werden können.
Viele Organisationen verfügen zwar über entsprechende Technologien, es fehlt jedoch an Transparenz und einem geeigneten Operating Model.
Ein proaktiver Ansatz ist notwendig:
Discovery und Klassifikation von Identitäten
Übergang von „unbekannt und ungemanagt“ zu „entdeckt und zugeordnet“
Kontinuierliche Validierung – auch für kurzlebige Identitäten
Governance muss kontinuierlich erfolgen, da KI‑Agenten mit Maschinengeschwindigkeit arbeiten. Dauerhafte Credentials können Fehler oder Kompromittierungen schnell eskalieren lassen, oft bevor Menschen überhaupt bemerken, dass etwas nicht stimmt. Daher sind regelmäßige Überprüfungen unerlässlich, ebenso wie die Erstellung relevanter Accounts bei der Ausführung und deren Löschung nach Abschluss der Aufgaben.
1. Transparenz schaffen
Inventarisierung aller maschinellen Identitäten über Cloud, DevOps, Anwendungen und Infrastruktur hinweg.
2. Operating Model definieren
Ownership, Zweck und erwartetes Verhalten jeder Identität definieren.
3. Risiko reduzieren
Statische Secrets entfernen, Credentials rotieren und Least‑Privilege‑Prinzip anwenden.
4. Governance skalieren
Kontinuierliche Validierung, Zertifizierungen und Monitoring implementieren. NIST, ISO 27001 und NIS2 können hier beispielsweise als Richtlinien dienen.
Vermeiden Sie die häufigsten Fehler:
Lebenszyklusmodelle für Maschinen wie für Menschen behandeln
Hard‑coded Secrets und nicht rotierende Credentials
Fehlende Ownership und Audit Trails
Dauerhafte privilegierte Zugriffe
Maschinelle Identitäten werden Menschen langfristig deutlich übertreffen. Ziel muss daher nicht ihre Einschränkung sein, sondern ihre sichere Nutzung.
Governance muss künftig in Echtzeit erfolgen. IAM und PAM entwickeln sich dabei zu einer gemeinsamen „Identity Fabric“. Organisationen, die diese Governance jetzt modernisieren, werden KI schneller und sicherer skalieren können.
Ein kompetenter Partner wie Turnkey Consulting kann Ihnen dabei helfen, Governance zu definieren, IAM/PAM-Kontrollen zu integrieren und ein Operating Model zu etablieren, das Automatisierung und KI unterstützt. Kontaktieren Sie uns und lassen Sie unverbindlich Umfang, Risiko und Prioritäten für Ihr Unternehmen bewerten.
1. Sind alle nicht‑menschlichen oder agentischen Identitäten privilegiert?
Nicht zwingend. Einige nicht‑menschliche Identitäten führen klar definierte Aufgaben mit sehr begrenzten Berechtigungen aus. In der Praxis entwickeln sich jedoch viele dieser Identitäten zu privilegierten Identitäten, weil sie direkt mit Systemen, Datenbanken, APIs oder Infrastruktur interagieren und dafür erhöhte Rechte benötigen.
Agentische Identitäten sollten grundsätzlich als privilegiert betrachtet werden. Da sie autonom handeln, Workflows starten oder mehrere Systeme nutzen können, ist ein Sicherheitsansatz mit Least‑Privilege, Just‑in‑Time‑Zugriff sowie kontinuierlichem Monitoring und regelmäßigen Reviews empfehlenswert.
2. Können KI‑ oder agentische Systeme ihre eigenen Zugriffsrechte erweitern?
Ja – allerdings nicht böswillig, sondern unbeabsichtigt. Agentische Systeme optimieren ihre Arbeitsweise, um ein Ziel möglichst effizient zu erreichen. Dabei können sie beispielsweise breitere oder schnellere Zugriffspfade zu Daten identifizieren oder vorhandene Berechtigungen stärker nutzen als ursprünglich vorgesehen.
Dies kann zu neuen Risikomustern führen, etwa lateralen Bewegungen ohne externen Angreifer oder einer schrittweisen Ausweitung von Privilegien ohne menschliche Intention. Traditionelle Sicherheitstools erkennen solche Muster nicht immer als Anomalie. Deshalb sind proaktive Identity Governance, dynamische Zugriffsentscheidungen und Guardrails auf Maschinengeschwindigkeit entscheidend.
3. Wie können Organisationen nicht‑menschliche und agentische Identitäten steuern, ohne Innovation zu bremsen?
Der erste Schritt ist Transparenz statt Einschränkung. Organisationen müssen zunächst verstehen, welche nicht‑menschlichen Identitäten in Cloud‑Umgebungen, DevOps‑Pipelines, Automatisierungsplattformen und Legacy‑Systemen existieren.
Darauf aufbauend können sie folgende Maßnahmen umsetzen:
Nicht‑menschliche Identitäten als vollwertige Identitäten behandeln – inklusive Ownership, Zweckdefinition und Governance.
Von statischen zu dynamischen Zugriffsmodellen wechseln (Just‑in‑Time‑Zugriff, Zero Standing Privilege, kontextbasierte Autorisierung).
Governance direkt in Automatisierungs‑ und DevOps‑Prozesse integrieren, sodass Kontrollen automatisch auf Maschinengeschwindigkeit wirken.
IAM für Lifecycle, Ownership und Policies nutzen und PAM für Privilegiensteuerung, Secrets‑Management und Session‑Kontrolle einsetzen.
Es ist wichtig zu verstehen, dass Reife schrittweise entsteht. Organisationen müssen nicht alles gleichzeitig lösen. Jede Verbesserung reduziert Risiken und ermöglicht gleichzeitig weiterhin Innovation und Geschwindigkeit.