Viele Firmen wollen möglichst zügig künstliche Intelligenz auch im Identity und Access Management nutzen. Larry Chinski, Chief Strategy Officer bei One Identity, argumentiert demgegenüber für eine einheitliche »Identity Fabric«, um die Cyberresilienz zu stärken. Ohne den richtigen Kontext, ohne Kontrolle und Übersicht, so warnt Chinski, bringt KI eher neue Risiken mit sich, statt sie zu senken.

Auf dem Gartner IAM Summit verglich einer der Hauptredner das Identity und Access Management mit einem Apfel [1]. Die Identität bildet dabei den Kern. Trotzdem schätzen die Analysten, dass 65 Prozent aller Unternehmen im Bereich IAM ihr Entwicklungspotenzial bei weitem noch nicht ausgeschöpft haben.

Cyberresilienz basiert auf Identitätssicherheit

Eine wichtige Komponente von Cyberresilienz ist eine einheitliche und flexible Architektur. Sie verwaltet sämtliche digitalen Identitäten und Zugriffe in einem Unternehmen. Dies betrifft Mitarbeitende, Kunden und Partner, Zugriffsanfragen von APIs oder Geräten und KI-Agenten. Gartner und andere Analysten sowie die meisten IAM-Experten bezeichnen diese Architektur mit dem Begriff »Identity Fabric«. Aus Sicht von Gartner haben allerdings nur sieben Prozent der Unternehmen diese höchste Entwicklungsstufe des IAM erklommen.

Warum ein gutes Identity und Access Management so wichtig ist?

Einfach gesagt: Das Identity und Access Management sorgt dafür, dass die Lieferketten funktionieren. Es fungiert als Kontrollinstanz für die potenziellen Risiken durch externe Partner.

Zusätzlich erfordert die rasant wachsende Zahl von Maschinen-Identitäten und KI-Agenten neue Strategien. Identity Fabrics tragen dazu bei, Sicherheitsprobleme frühzeitig zu erkennen. Statt viele voneinander getrennt arbeitende Tools zu nutzen, verbindet eine Identity Fabric sämtliche Identitätsdienste miteinander. Dieser einheitliche Ansatz hat einige Vorteile. So verbessert er die User Experience und senkt das Risiko von Angriffen, bei denen Berechtigungen unerlaubterweise ausgeweitet wurden, die sogenannten »Privilege Escalation Attacks«. Gleichzeitig sind Unternehmen nicht gezwungen, bestehende Systeme komplett gegen neue auszutauschen. Über eine Identity Fabric lassen sich auch ältere Technologien verwalten, die zuvor oftmals nicht oder nur unzureichend mit aktuellen Systemen zusammenspielen.

Es ist Vorsicht geboten

Ein eher überraschendes Ergebnis des Gartner IAM Summits war aber eine Warnung: Man solle bei der Einführung KI-gesteuerter Identitäts-Tools grundsätzlich besser Vorsicht walten lassen.

Wenn man KI als Abstraktions-Layer nutzt, hat man ein mächtiges Werkzeug für den Aufbau einer einheitlichen Identitätsplattform an der Hand. KI kann Daten aus allen Komponenten einer Identity Fabric zusammenziehen und in rasantem Tempo analysieren.

Innerhalb einer Identity Fabric kann man mithilfe von künstlicher Intelligenz und maschinellem Lernen die Sicherheitsmaßnahmen dynamisch an neue Bedrohungen anpassen. Das stärkt die risikobasierte Authentifizierung.

Statt bestehende Identity Tools zu ersetzen, ergänzt und erweitert dieser Ansatz die Investitionen in bestehende IAM, IGA, PAM, AD Management und andere Tools.

Warum dann die Warnung? Prompten mit dem richtigen Kontext.

Wenn man die Warnung der Gartner-Analysten richtig verstehen will, sollte man sich ansehen, warum der Kontext für eine KI-Anfrage so wichtig ist. Man kann das mit der allseits bekannten Analogie des Flaschengeists vergleichen: Man hat zwar drei Wünsche frei, sollte aber sehr genau formulieren, was man wirklich will.

Unpräzise oder schlicht falsch formulierte Wünsche ohne den notwendigen Kontext führen fast zwangsläufig zu unerwünschten Ergebnissen.

Ein bekanntes Beispiel ist die an ein LLM (Large Language Model) gestellte Frage: »Wie sorge ich dafür, dass der Käse auf meiner Pizza bleibt?« Die KI versteht leider nicht, dass man Pizza mit Käse essen möchte. Sie schlägt deshalb vor, man solle doch einfach Klebstoff verwenden. Wenn man so will, fehlt hier der Kontext für die KI…

Wenn man Identity Tools miteinander verbindet, kommt es auf branchenspezifische Prompts mit dem richtigen Kontext an. Unternehmen benötigen eine klare KI-Abstraktionsschicht und keine unverständliche und starre Masse, die Übersicht und Transparenz verringert, zusätzliche Compliance Risiken birgt und über die Zeit sogar zu Sicherheitslücken führt.

Maschinelles Lernen und KI haben in der Identitätssicherheit viele Vorteile, insbesondere, um Gefahren frühzeitig zu erkennen. Die Regeln, die eine KI-gesteuerte Identity Fabric steuern, sollten dafür jedoch klar definiert und alle Einschränkungen korrekt festgelegt sein.

Was das für einen CIO heißt

In allen Branchen hat ein CIO die Aufgabe, die Cyberresilienz zu verbessern. Dazu verkleinert er zunächst die Angriffsfläche des Unternehmens. Danach sollte er sich die Risikopotenziale ansehen, die durch SaaS-Apps, Maschinen-Identitäten, KI-Agenten, externe Mitarbeiter, Lieferanten, Partner und Kunden hervorgerufen werden. Als Nächstes gilt es, Führungsebene und Vorstand plausibel zu machen, dass ein Angriff trotz aller getroffenen Maßnahmen unvermeidbar ist. Wenn auf allen Firmenebenen ein entsprechendes Risikobewusstsein vorhanden ist, erhöht das im Ernstfall die Reaktions- und Wiederherstellungsfähigkeit.

Zudem sind die Compliance-Anforderungen weltweit gestiegen und sie tun es weiter. Wenn die Verantwortlichen aber abteilungsübergreifend zusammenarbeiten, trägt Identity Security dazu bei, diese Anforderungen zu erfüllen.

Die vierte Komponente von Cyberresilienz besteht darin, das komplette System gegen moderne, automatisierte Angriffe zu »härten«. Abwehrmaßnahmen sollten ihrerseits automatisiert und vernetzt ablaufen, aber auch schneller werden. Traditionelle Detection-and-Response-Methoden stoßen angesichts KI-basierter Angriffswellen längst an ihre Grenzen.

Das wird sich auf das Investitionsverhalten auswirken: Laut Gartner werden bis 2030 mehr als die Hälfte aller IT-Sicherheitsausgaben in vorbeugende Technologien (sogenannte »pre-emptive security«) fließen.

KI-gestützte Identitätssicherheit im Sinne der Cyberresilienz

IT-Administratoren mögen bei Regeln für den privilegierten Zugriff dem Druck eines Vorgesetzten nachgeben. Eine menschliche Eigenschaft, die Angreifer regelmäßig bei gezielten Phishing-Angriffen für sich ausnutzen. Laut einem Bericht von Think Digital Partners ist das Risiko durch KI-gestützte Audio- und Video-Deepfakes immens angestiegen. Eine gut funktionierende Methode, um beispielsweise an Anmeldedaten von Führungskräften zu kommen.

Ein agentenbasiertes KI-Tool, das den Prozess der Zugriffsbereinigung und -wiederherstellung übernimmt, lässt sich jedoch nicht dazu bringen, die Regeln zu beugen. Selbst dann nicht, wenn ein Vorgesetzter die Anfrage stellt.

KI und maschinelles Lernen unterstützen zudem die Einführung und Umsetzung von Zero-Trust-Richtlinien. Das wiederum sorgt dafür, dass sich passwortlose Technologien schnell amortisieren.

Wenn eine KI das gesamte Firmen-Ökosystem analysiert und versteht, wer was, wann und wo nutzt, lassen sich Prozesse automatisieren, Regeln anpassen und Governance gewährleisten.

Als Reaktion auf die wachsende Zahl von Maschinen-Identitäten, empfiehlt es sich KI-Modelle in die Identity Fabric einzubinden. Dies bietet zusätzlich Übersicht und Kontrolle über alle Identitäten hinweg.

Sprechen Sie die Sprache der Führungsebene

Cyberresilienz verhindert Ausfallzeiten und schwerwiegende Störungen des Geschäftsbetriebs. Das schützt die Umsätze, stärkt das Vertrauen der Kunden und kommt dem Ruf der Firma zugute.

Die Rolle eines CIO verändert sich. Früher ging es hauptsächlich darum, Technologien für einen effizienten und profitablen Betrieb zu integrieren. Heute fungiert der CIO als Manager der geschäftlichen Risiken. Er ist es, der sein Unternehmen vor Ausfällen und betrieblichen Störungen bewahrt.

KI bietet ein leistungsstarkes Arsenal von Tools für mehr Cyberresilienz und gegen ausgefeilte automatisierte Angriffe. Aber wie Gartner auf dem IAM Summit warnt: »Eine KI kann keine spontanen Entscheidungen über Ihre Sicherheitsstrategie treffen.« Dazu braucht es die Steuerung und Kontrolle durch CIOs und Identity-Management-Experten.

Larry Chinski, Chief Strategy Officer, One Identity

915 Artikel zu „IAM KI“