Illustration Absmeier foto freepik ki

Man sagt, Not macht erfinderisch. Wir sind in einem hohem Maß abhängig von unserer digitalen Infrastruktur. Das hat auch die Anforderungen an die Netzwerksicherheit steigen lassen – ein möglichst nahtlos funktionierender Zugriff, automatisierte Prozesse, eine durchgängige Benutzererfahrung und Interoperabilität sind gefragt. Jede Verbesserung in einem der Bereiche hat uns weiter in Richtung eines hypervernetzten, »intelligenten« Unternehmens geführt. Ausgaben, die hinsichtlich des Risikos kaum ins Gewicht fallen. Im Hintergrund arbeitet allerdings eine neue Art von Mitarbeitern, die dies alles erst ermöglicht: eine Armee von KI-Bots und -Agenten, sorgt für reibungslose Abläufe und automatisierte Unternehmensumgebungen.

Identität bildet seit langem einen der Grundpfeiler von Netzwerksicherheit

Wir überprüfen Benutzer mithilfe von Passwörtern, Anmeldedaten, biometrischen Daten und Tools wie Multi-Faktor-Authentifizierung, um sicherzustellen, dass nur diejenigen ins Netzwerk gelangen, die dort sein sollen. Mittlerweile ist die Validierung nicht-menschlicher Identitäten (NHIs) genauso wichtig, wenn nicht sogar wichtiger als die menschlicher Identitäten. Zu NHIs zählen Dienstkonten für Anwendungen, Skripte, die Daten bewegen, APIs, die Systeme miteinander verbinden, und Machine Agents, die ohne menschliches Zutun auf Anweisungen reagieren. In den meisten großen Firmen übersteigt die Zahl der NHIs die der menschlichen Benutzer bereits um das 50-fache [1]. Sie werden dennoch eher als im Hintergrund liegende Infrastruktur behandelt und weniger als aktive Teilnehmer am Netzwerk. Wenn ein Entwickler das Unternehmen verlässt, verbleiben die betreffenden NHIs im Netzwerk. Sie bekommen keine Anmeldebenachrichtigungen oder Anfragen zur Multi-Faktor-Authentifizierung. Sie existieren oft komplett außerhalb der Prozesse die für die Konten menschlicher Identitäten gelten.

Das Ergebnis ist eine Identitätslandschaft, in der ein riesiges Areal nicht überwacht wird – ein blinder Fleck, der sich mit wachsender Automatisierung und dem Einsatz von KI stetig vergrößert. NHIs werden innerhalb von Build-Pipelines in Sekundenschnelle erstellt, aus Bequemlichkeit dupliziert oder in Legacy-Code schlicht vergessen. Einmal erstellt, haben sie oft eine unbegrenzte Lebensdauer. Selbst dann, wenn der ursprüngliche Zweck längst hinfällig ist. Im Gegensatz zu menschlichen Benutzern wird die Existenz von nicht-menschlichen Identitäten nicht immer dokumentiert. Es ist also gar nicht so einfach, das Ausmaß des Problems überhaupt zu quantifizieren. Die Existenz dieser nicht-menschlicher Entitäten und ihre tatsächliche Anzahl anzuerkennen ist das eine, aber wer verwaltet sie? Wer oder was benutzt sie? Über welche Zugriffsberechtigungen verfügen sie? Werden diese noch gebraucht? Angesichts der Geschwindigkeit, mit der künstliche Intelligenz in Unternehmen Einzug hält, wird die Beantwortung dieser Fragen darüber entscheiden, ob NHIs ein lautlos arbeitender Effizienzgarant bleiben oder zum nächsten Vektor für eine neue Welle von Cyberangriffen werden.

Eine exponentielle Bedrohung

NHIs vermehren sich schnell und unvorhersehbar. Ein einzelner Entwickler erstellt während Projektsprints möglicherweise Dutzende von Service Accounts, die jeweils an eine bestimmte Funktion oder Integration gebunden sind. Diese Konten bleiben unter Umständen monate- oder jahrelang ungenutzt. In Continuous-Integration- und Continuous-Deployment-Pipelines (CI/CD) werden für jede neue Umgebung, jeden neuen Test und jeden neuen Container automatisch neue Konten erstellt, ohne dass sie zentral erfasst, kontrolliert und überprüft werden.

Einige NHIs sind sogar in der Lage, weitere nicht-menschliche Identitäten selbst zu erstellen. Das liegt daran, dass vorgelagerte Systeme oder KI-Agenten neue Anmeldedaten generieren, um bestimmte Aufgaben zu erledigen. Gelöschte Konten können wieder auftauchen, wenn älterer Code erneut bereitgestellt wird. Diese so entstandenen »Geisteridentitäten« tauchen oft ohne Vorwarnung wieder auf. Hier entsteht in vielen Unternehmen ein sich selbst verstärkender Kreislauf: Mit jedem Automatisierungsschritt, jedem Systemupdate und jedem KI-gesteuerten Prozess wächst die NHI-Population – und trägt zu einer versteckten Identitätsflut bei, für die niemand vollständig verantwortlich zeichnet.

Im Jahr 2024 gelang es beispielsweise, den Quellcode der New York Times zu stehlen – nicht über einen sorgfältig geplanten Cyberangriff oder einer hochentwickelten Malware [2]. Nein. Der Grund war ein redundanter Zugriffstoken mit überprivilegierten Rechten. Der Token war sehr viel länger gültig, als es erforderlich gewesen wäre, und wurde aller Wahrscheinlichkeit nach auf einem kompromittierten Endpunkt vergessen. Außer denjenigen, die diese NHI gefunden und missbraucht haben, war kein einziger menschlicher Benutzer beteiligt.

Aufholjagd

Die traditionelle Identity Governance wurde für eine Unternehmenslandschaft entwickelt, in der hinter jedem Konto ein Mensch stand – mit einem Namen, einer Rolle und einem vorhersehbaren Lebenszyklus für das Konto. NHIs brechen dieses Modell komplett auf. Sie verfügen nicht selten über weitaus mehr privilegierte Zugriffsrechte als die meisten Mitarbeiter. Im Gegenzug fehlen aber die üblichen Sicherheitsvorkehrungen, die für menschliche Benutzer getroffen werden: keine Personalabteilung kümmert sich um die An- und Abmeldung oder eine Zuweisung zu einem Business Bereich. Zugriffsberechtigungen werden nicht regelmäßig überprüft, und man verzichtet auf eine adaptive Authentifizierung auf Grundlage des Benutzerverhaltens. Viele Identitäts- und Zugriffsmanagement-Tools (IAM) sind zwar fähig, diese Konten aufspüren. Die Aufdeckung allein schließt aber nicht die Lücke hinsichtlich der Verantwortlichkeit. Es gibt keine »Chain of Custody« oder geregelte Eigentumsverhältnisse für NHIs.

Funktionierende Governance muss in Echtzeit »wissen«, was jede nicht-menschliche Identität tut, wieso sie existiert und wer für sie verantwortlich ist. Fehlen diese Informationen, werden unsichtbare Konten zu bevorzugten Zielen. Angreifer wissen, dass Anmeldedaten solcher Dienstkonten, relative einfach die Tür zu kritischen Systemen öffnen können und dies häufig unbemerkt und ohne einen Alarm auszulösen.

NHIs sind aus unserer digitalen Infrastruktur nicht mehr wegzudenken, und ihre Zahl wird zwangsläufig weiter steigen. Nicht-menschliche Identitäten werden zukünftig die Art und Weise prägen, wie Systeme kommunizieren, Transaktionen durchführen und sich verhalten. Aber ob sich ihre Existenz in Summe positiv oder negativ auswirkt, hängt ganz davon ab, wie wir NHIs verwalten.

Nicolas Fort, Director of Product Management, One Identity

[1] https://www.ey.com/en_ca/insights/consumer-products/derisking-the-nonhuman-identities-crisis

[2] https://astrix.security/learn/blog/nhi-attacks-making-waves-insights-on-latest-5-incidents/

17 Artikel zu „nicht-menschliche Identitäten“

News | IT-Security

Wer steuert hier eigentlich wen? Fünf Gründe, warum Maschinenidentitäten zur Sicherheitsfalle werden

6. August 2025

Automatisierung ist überall. Sie beschleunigt Prozesse, verbindet Systeme, spart Zeit und läuft meist so leise im Hintergrund, dass sie kaum jemand bemerkt. Bots, APIs, Cloud-Workloads oder RPA-Tools übernehmen heute Aufgaben, die früher menschlichen Mitarbeitenden vorbehalten waren. Doch zu denken, dass diese digitalen Helfer sich selbst verwalten, ist ein Irrtum. Denn auch Maschinen brauchen Identitäten –…