Am zweiten Dienstag im April findet der sogenannte "Identity Management Day" statt. Dieser soll soll durch Sensibilisierung, den Austausch bewährter Verfahren und die Einbindung von Anbietern zur Identitätssicherheit über die Gefahren einer nachlässigen oder unsachgemäßen Verwaltung und Sicherung digitaler Identitäten aufklären.
Das Wort "Identität" hat allerdings viele Bedeutungen – es kann die Art und Weise sein, wie wir uns selbst wahrnehmen oder definieren, ein physischer Identifikator wie ein Führerschein oder Reisepass, oder es kann etwas sein, worüber man vielleicht gar nicht viel nachdenkt.
In einer Welt, die durch unseren Einsatz von Technologie geprägt ist, ist es wichtig, wie wir digital identifiziert werden. Unsere digitalen Identitäten und die Zugangsdaten, die sie schützen, bestimmen, wie wir arbeiten, miteinander interagieren, auf Technologie zugreifen, Transaktionen durchführen und vieles mehr.
Für Unternehmen ist Identity and Access Management (IAM) laut Gartner "die Disziplin, die es den richtigen Personen ermöglicht, zur richtigen Zeit aus den richtigen Gründen auf die richtigen Ressourcen zuzugreifen". Ein schwaches oder unsachgemäßes Identitätsmanagement erhöht das Risiko. Die überwiegende Mehrheit der Datenpannen, die Schlagzeilen machen, ist das Ergebnis eines mangelhaften Identitätsmanagements.
Nicht menschliche Identitäten als tickende Zeitbombe
Der Internationale Tag des Identitätsmanagements steht dieses Jahr unter dem Motto: "Finding Identity: The search for you, me, and the machines." Besonderes Augenmerk liegt dabei auf der hohen Zahl an nicht-menschlichen Identitäten (NHIs). Eine NHI bezeichnet eine mit Zugangsdaten versehene Identität, die beispielsweise einer Anwendung, einem Gerät, einem Skript, einem Bot oder einem KI-Agenten zugewiesen wird, damit diese sich authentifizieren und auf Ressourcen zugreifen kann, ohne dass eine Eingabe von Benutzername und Passwort durch einen Menschen erforderlich ist.
In Active-Directory-Umgebungen sind NHIs als Dienstkonten angelegt und stellen ein meist unterschätztes Sicherheitsrisiko dar. Sean Deuby, Principal Technologist bei Semperis, sieht im Umgang mit nicht-menschlichen Identitäten eine tickende Zeitbombe. Der Grund sei die überwältigend hohen Zahl nicht-menschlicher Identitäten (NHIs). Diese seien im Identitätsverzeichnisdienst Active Directory als Dienstkonten angelegt und ein bevorzugtes Ziel für Angreifer. Warum? Weil sie in der Regel ein geeignetes Vehikel für die Taktik der Rechteausweitung (Privilege Escalation) darstellen.
Für IT-Teams sei es leider gängige Praxis, Dienstkonten mit übermäßigen Berechtigungen auszustatten, um künftige Berechtigungsprobleme und damit weiteren Verwaltungsaufwand im Geschäftsalltag auszuschließen. Dies sei ein Vorgehen, dass sich in den 26 Jahren seit der Einführung von Active Directory in den meisten Unternehmen nicht geändert hat, beobachtet Semperis.
Identity Governance sei noch nicht überall eine Selbstverständlichkeit, meint Sean Deuby. Das zeige sich auch daran, dass einmal eingerichtete Dienstkonten nicht mehr gelöscht werden. Über Jahre und Jahrzehnte können sich so in Unternehmen Zehntausende Dienstkonten ansammeln. Der gegenwärtig wachsende Einsatz von KI-Agenten verstärkt diese Entwicklung noch weiter.
Ohne es zu wissen, vergrößern Unternehmen damit ihre Angriffsfläche und erschaffen womöglich eine tickende Zeitbombe. Denn Angreifer wissen, dass Dienstkonten oft vernachlässigt, unzureichend geschützt und mit übermäßigen Berechtigungen ausgestattet sind, was sie zu einem lohnenden Ziel macht.
Der Identity Management Day mag daher für manche Unternehmen ein Anlass sein, ihren Umgang mit nicht-menschlichen Identitäten neu zu ordnen, alle bestehenden Dienstkonten ausfindig zu machen und in einen übergeordneten Identity-Governance-Rahmen zu integrieren. Damit machen sie außerdem ihre Organisation fit für das Zeitalter der KI-Agenten.
MVP: 2013 – 2016
