Das neue Perimeter: Warum Identitäten die größte Sicherheitslücke sind
Sichtbarkeit ist nicht Kontrolle – wie Non-Human Identities und KI die Security-Landschaft verändern
Identity ist das neue Perimeter – und genau das sehen viele Unternehmen noch immer nicht. Der Permiso State of Identity Security Report 2026 zeichnet das Bild einer Branche, die sich genau dort sicher fühlt, wo sie es am wenigsten sein sollte.
Während klassische Netzwerkgrenzen an Bedeutung verlieren, verlagern Angreifer ihren Fokus längst auf Identitäten – menschliche wie maschinelle. Die Zahlen sind eindeutig: Für 77 Prozent der befragten Organisationen sind mittlerweile zwischen 26 und 75 Prozent aller Security‑Incidents identitätsbasiert.
👉 Direkt zur Executive-Checkliste für CIOs und CISOs
👉 Direkt zum Ampelschnelltest zur Risiko-Selbsteinschätzung
Der blinde Fleck im Zentrum der IT
Fast jedes Unternehmen setzt heute auf Multi‑Cloud. Zwei bis drei Cloud‑Provider gelten längst als Standard, ergänzt durch mehrere Identity Provider. Was strategisch sinnvoll klingt, erzeugt operativ ein kaum beherrschbares Geflecht aus Berechtigungen, Rollen und Vertrauensbeziehungen. Identitäten müssen systemübergreifend funktionieren – genau dort entstehen die gefährlichsten Angriffsflächen.
Trotzdem glauben 46 Prozent der Unternehmen, vollständige Sicht auf alle Identitäten zu haben. Doch dieser Optimismus hält der Realität nicht stand. Nur 43 Prozent erkennen Risiken proaktiv, bevor es zu Incidents kommt. Noch dramatischer: Lediglich 29 Prozent können im Ernstfall den vollständigen Blast Radius innerhalb weniger Minuten bestimmen.
Sichtbarkeit wird mit Kontrolle verwechselt – mit fatalen Folgen.
Non‑Human Identities: Die unterschätzte Mehrheit
Der vielleicht brisanteste Befund des Reports betrifft Non‑Human Identities (NHI). Service Accounts, API‑Keys, Tokens, Zertifikate und zunehmend auch AI‑Agents stellen heute in vielen Umgebungen die Mehrheit aller Identitäten dar – teils im Verhältnis von 3:1 oder sogar 10:1 gegenüber menschlichen Nutzern.
Paradox: Genau diese Identitäten werden von Organisationen als am wenigsten riskant eingestuft. Während Mitarbeiter und Drittanbieter im Fokus der Security‑Strategien stehen, bleiben maschinelle Identitäten häufig unbeaufsichtigt – mit dauerhaft gültigen Credentials, weitreichenden Rechten und ohne MFA.
Darren Guccione, CEO bei Keeper Security, bestätigt: “Da Unternehmen zunehmend künstliche Intelligenz (KI) und Automatisierung einsetzen, ist die Zahl der nicht-menschlichen Identitäten (NHIs) wie Bots, Dienstkonten und Maschinenagenten weit über das Maß der menschlichen Belegschaft hinausgewachsen. Diese digitalen Entitäten interagieren mit sensiblen Systemen, treffen eigene autonome Entscheidungen und haben oft Zugriff auf kritische Daten. Das hat zur Folge, dass eine stark erweiterte und oft übersehene Angriffsfläche entsteht, auf deren Verteidigung nur wenige Unternehmen vorbereitet sind.”
Derzeit warnen die Analysten von Gartner davor, dass fehlerhaft konfigurierte KI die kritische Infrastruktur in einem G20-Land lahmlegen könnte. Dieses Szenario ist angesichts aktueller geopolitischer Spannungen realistischer denn je.
“Mit der zunehmenden Automatisierung wächst auch der potenzielle Schadensradius”, bestätigt Guccione.
False Confidence: Wenn Gefühl Sicherheit ersetzt
Besonders alarmierend ist die Diskrepanz zwischen Wahrnehmung und Realität. 95 Prozent der Unternehmen geben an, sehr oder zumindest einigermaßen sicher zu sein, alle Non‑Human Identities im Blick zu haben. Gleichzeitig fehlt es an durchgängiger Visibility, automatisierter Lifecycle‑Kontrolle und proaktiver Risikoerkennung. Der Permiso-Report spricht hier von einer „Confidence‑Reality Inversion“: Höchstes Vertrauen herrscht ausgerechnet dort, wo die tatsächliche Kontrolle am geringsten ist.
Diese Selbstüberschätzung wird zusätzlich durch das „Credential Graveyard“-Problem verschärft. 69 Prozent der Organisationen geben zu, dass zwischen 11 und 50 Prozent ihrer Credentials abgelaufen oder ungenutzt, aber weiterhin aktiv sind. Solche Zombie‑Zugänge sind für Angreifer ein ideales Einfallstor – oft mit weitreichenden Berechtigungen.
Tool‑Sprawl statt Sicherheit
Um der wachsenden Komplexität zu begegnen, setzen viele Unternehmen auf immer mehr Tools. 71 Prozent nutzen drei bis zehn unterschiedliche Lösungen allein für Identity‑Visibility. Das Ergebnis ist keine bessere Sicherheit, sondern ein enormer manueller Aufwand und zugleich eine stark vergrößerte Angriffsfläche. 60 Prozent der Security‑Teams verbringen 10 bis 40 Stunden pro Woche damit, Identitätsdaten aus verschiedenen Quellen zu korrelieren. Zeit, die weder in Prävention noch in schnelle Incident‑Response fließt.
Im Report wird dieses Phänomen treffend als „Manual Correlation Tax“ bezeichnet – eine versteckte Kosten‑ und Risikofalle, die Angreifern wertvolle Zeit verschafft und im Unternehmen die TCO dramatisch nach oben treibt.
AI verschärft die Lage dramatisch
Mit dem Einzug von AI‑Systemen erreicht die Identity‑Problematik eine neue Dimension. 95 Prozent der Organisationen bestätigen, dass AI‑Systeme eigenständig Identitäten und Berechtigungen erzeugen oder verändern können. Bereits heute haben 82 Prozent AI‑Agents mit direktem Zugriff auf Produktions‑ oder sensible Daten.
Davon ist auch der Keeper-CEO überzeugt: “Diese nicht-menschlichen Identitäten verfügen häufig über dauerhafte Privilegien – und das bei begrenzter Kontrolle. Die Folge: Eine einzelne kompromittierte Kombination aus Zugangsdaten oder eine fehlerhafte Modell-Deployment-Pipeline kann sich kaskadenartig über miteinander verbundene Infrastrukturlandschaften ausbreiten.”
Gleichzeitig erwarten 91 Prozent der Befragten ein starkes Wachstum AI‑generierter Identitäten innerhalb der nächsten zwölf Monate. Diese entstehen ohne klassische Genehmigungsprozesse, ohne saubere Audit‑Trails und oft außerhalb bestehender IAM‑Kontrollen. Identity‑Management, das für menschliche Nutzer entworfen wurde, stößt hier an seine Grenzen.
Prävention, Detection, Response und Risikobewertung
Der wirksamste Schutz gegen identitätsbasierte Angriffe beginnt vor dem eigentlichen Incident. Fachbehörden wie das BSI und Sicherheitsanbieter sind sich einig: Klassische Perimetersicherheit reicht nicht mehr aus, da Angreifer heute bevorzugt mit gültigen Zugangsdaten arbeiten.
Identitäten absichern, bevor Angriffe greifen
Zu den zentralen präventiven Maßnahmen zählen:
- Starke Authentifizierung: Der flächendeckende Einsatz von Multi‑Faktor‑Authentifizierung (MFA) reduziert das Risiko kompromittierter Accounts signifikant, insbesondere bei privilegierten Konten und externem Zugriff.
- Least‑Privilege‑Prinzip: Benutzer‑ und Maschinenidentitäten sollten ausschließlich die Rechte besitzen, die sie aktuell benötigen. Just‑in‑Time‑ und Just‑Enough‑Access‑Modelle gelten als Best Practice.
- Credential‑Hygiene: Regelmäßige Rotation von Passwörtern, Tokens und Zertifikaten sowie das Entfernen ungenutzter Accounts verringern die Angriffsfläche deutlich.
- Identity Governance: Automatisierte Prozesse für On‑, Off‑ und Role‑Changes verhindern, dass veraltete Berechtigungen bestehen bleiben – ein häufiger Ausgangspunkt für laterale Bewegungen.
Darren Guccione rät vor allem Betreibern kritischer Infrastrukturen, sie “müssen durchsetzbare Identitäts-Governance deshalb gleichermaßen auf menschliche wie nicht-menschliche Identitäten anwenden. Zero-Trust-Architekturen, die Durchsetzung des Least-Privilege-Prinzips und die kontinuierliche Überwachung privilegierter Konten müssen auch auf KI-Modelle, Trainingsumgebungen und die Cloud-Infrastruktur ausgeweitet werden.”
Angriffserkennung: Auffälliges Verhalten statt Malware jagen
Da Angreifer mit legitimen Identitäten agieren, ist klassische signaturbasierte Erkennung nur begrenzt wirksam. Das BSI und zahlreiche Security‑Analysten empfehlen daher eine verhaltensbasierte Angriffserkennung mit Fokus auf Identitäten.
Wesentliche Bausteine sind:
- Zentrale Protokollierung von Authentifizierungs‑, Zugriffs‑ und Berechtigungsänderungen über alle Systeme hinweg.
- Anomalie‑Erkennung (UEBA): Ungewöhnliche Login‑Zeiten, Ortswechsel, atypische Zugriffsfolgen oder Privilegienausweitungen gelten als starke Indikatoren für Account‑Missbrauch.
- Korrelation von Identity‑ und Systemdaten in SIEM‑ oder Angriffserkennungssystemen, um laterale Bewegungen sichtbar zu machen.
Ziel ist nicht maximale Alarmmenge, sondern kontextbasierte Priorisierung nach Risiko.
Mitigation: Was im Fall kompromittierter Accounts zählt
Kommt es zu einem Vorfall, entscheidet die Geschwindigkeit der Identitätskontrolle über das Ausmaß des Schadens. Studien zeigen, dass viele erfolgreiche Angriffe eskalieren, weil kompromittierte Accounts zu spät isoliert werden.
Bewährte Maßnahmen im Incident‑Fall sind:
- Sofortige Sperrung oder Einschränkung betroffener Identitäten, inklusive Service‑ und Maschinenkonten.
- Zurücksetzen aller zugehörigen Credentials (Passwörter, Tokens, Zertifikate), nicht nur des initial betroffenen Kontos.
- Überprüfung lateraler Bewegungen: Analyse, welche Systeme und Daten mit der Identität erreichbar waren, um den Blast Radius einzugrenzen.
- Identitätszentrierte Incident Response: Moderne IR‑Ansätze beginnen bewusst bei der Identität – nicht bei einzelnen Endpunkten –, um den Angriff schneller zu stoppen.
Generelle Maßnahmen zur Risikominderung: Struktur statt Aktionismus
Langfristig reduzieren Unternehmen ihr Risiko nicht durch Einzelmaßnahmen, sondern durch ein konsistentes Identity‑Security‑Modell. Zero‑Trust‑Ansätze gelten hier als Referenzrahmen.
Zentrale Prinzipien sind:
- Never trust, always verify: Jede Anfrage wird geprüft – unabhängig vom Standort.
- Kontinuierliche Neubewertung von Zugriffen statt statischer Freigaben.
- Reduktion von Tool‑Sprawl, da fragmentierte Sicherheitswerkzeuge die Erkennung und Reaktion verlangsamen.
Die sichere Ablage von API-Schlüsseln und Entwickler-Secrets in geschützten Vaults reduziert zusätzlich die Möglichkeit für Angreifer, sich lateral zu bewegen oder nach einer Kompromittierung ihre Berechtigungen auszuweiten.
Für Shane Barney, CISO von Keeper, stellen Software-Lieferketten ein hohes systemisches Risiko dar: “Angreifer haben es konsequent auf Zugangsdaten, Geheimnisse und privilegierte Zugriffe abgesehen, da diese den schnellsten Weg zur Skalierung bieten.” Auch er rät zur Zentralisierung des Credential-Managements, der Durchsetzung des Zero-Trust-Prinzips sowie detaillierten Audit-Trails.
Wo Unternehmen wirklich stehen
Ohne belastbare Bewertung bleibt Identity‑Security ein Bauchgefühl. Fachliteratur und Praxis empfehlen daher strukturierte Risikoanalysen, speziell für IAM‑Umgebungen.
Gängige Ansätze sind:
- IAM‑Risk‑Assessments, die Berechtigungen, Rollenmodelle und privilegierte Zugriffe systematisch analysieren.
- Szenario‑basierte Bewertungen, um typische Angriffspfade (Credential Theft, Lateral Movement) realistisch abzubilden.
- Risikoberichte aus Identity‑Plattformen, die auffällige Logins, kompromittierte Credentials oder riskante Konfigurationen sichtbar machen.
Erst diese Transparenz ermöglicht es, Investitionen gezielt dort zu platzieren, wo sie die größte Wirkung entfalten. “Die nationale Resilienz im KI-Zeitalter wird weniger von der Modellraffinesse abhängen als vielmehr von operativer Disziplin”, mahnt Guccione.
Fazit
Identity‑Security ist kein Teilaspekt mehr, sondern das Fundament moderner IT‑Sicherheit. Wirksame Cybersicherheit ist heute Präventions‑, Erkennungs‑ und Reaktionsdisziplin zugleich. Unternehmen, die weiterhin auf fragmentierte Tools, manuelle Korrelation und gefühlte Kontrolle setzen, zahlen dafür mit erhöhtem Risiko, verzögerter Reaktion und vermeidbaren Incidents. Unternehmen, die Identitäten systematisch absichern, Anomalien früh erkennen und im Incident‑Fall konsequent identitätszentriert reagieren, reduzieren nicht nur ihr technisches Risiko, sondern auch die Dauer, Kosten und Folgen von Sicherheitsvorfällen. Ob daraus echte Sicherheit entsteht, hängt davon ab, ob Sichtbarkeit endlich als das verstanden wird, was sie sein muss – proaktiv, automatisiert und vollständig.
Executive‑Checkliste Identity Security & Angriffserkennung
Für CIOs & CISOs
1. Prävention: Angriffe verhindern, bevor sie starten
✅ Ist Multi‑Faktor‑Authentifizierung (MFA) verpflichtend
– für privilegierte Konten, externe Zugriffe, Cloud‑Admin‑Rollen und kritische SaaS‑Anwendungen?
✅ Sind Zugriffsrechte konsequent nach dem Least‑Privilege‑Prinzip vergeben?
– inklusive Just‑in‑Time / Just‑Enough‑Access statt dauerhafter Berechtigungen?
✅ Existiert eine saubere Credential‑Hygiene?
– regelmäßige Rotation, automatische Deaktivierung ungenutzter Accounts, keine langlebigen Service‑Credentials ohne Kontrolle?
✅ Ist Identity Governance automatisiert?
– On‑/Offboarding, Rollenwechsel und Rezertifizierungen ohne manuelle Sonderpfade?
2. Angriffserkennung: Kompromittierungen früh erkennen
✅ Werden Identity‑Events zentral protokolliert und ausgewertet?
– Logins, Privilegienänderungen, Token‑Nutzung, Service‑Account‑Aktivität über alle Systeme hinweg?
✅ Gibt es verhaltensbasierte Erkennung (UEBA)?
– z. B. ungewöhnliche Login‑Zeiten, Ortswechsel, atypische Zugriffsfolgen, Privilege Escalation?
✅ Werden Identity‑Signale mit anderen Security‑Daten korreliert?
– um laterale Bewegungen und Missbrauch legitimer Konten sichtbar zu machen?
✅ Sind Identity‑basierte Angriffe explizit Teil der Detection‑Use‑Cases?
– nicht nur Malware, sondern Credential Theft, Kerberoasting, Account Takeover?
3. Incident Response: Schaden begrenzen, wenn es passiert
✅ Können kompromittierte Identitäten sofort isoliert werden?
– inklusive Service‑ und Maschinenkonten, nicht nur Benutzerkonten?
✅ Werden im Incident alle zugehörigen Credentials zurückgesetzt?
– Passwörter, Tokens, Zertifikate, API‑Keys – nicht nur der initiale Zugang?
✅ Ist der Blast Radius schnell bestimmbar?
– welche Systeme, Daten und Rollen waren mit der Identität erreichbar?
✅ Folgt die Incident Response einem Identity‑First‑Ansatz?
– Start bei Identitäten statt bei einzelnen Endpunkten oder Systemen?
4. Generelle Risikominderung: Struktur statt Aktionismus
✅ Gibt es eine klare Zero‑Trust‑Strategie mit Fokus auf Identitäten?
– „Never trust, always verify“, kontinuierliche Prüfung jeder Anfrage?
✅ Werden Zugriffe kontinuierlich neu bewertet – nicht nur einmal genehmigt?
✅ Ist Tool‑Sprawl unter Kontrolle?
– oder verlangsamen fragmentierte Security‑Tools Detection und Response?
5. Risiko ermitteln: Wissen, wo man wirklich steht
✅ Wird regelmäßig ein IAM‑/Identity‑Risk‑Assessment durchgeführt?
– Analyse von Rollenmodellen, privilegierten Zugängen, Maschinenidentitäten?
✅ Werden realistische Angriffsszenarien durchgespielt?
– Credential Theft, Lateral Movement, Missbrauch von Service‑Accounts?
✅ Nutzen Führung und Security‑Teams belastbare Risikoberichte?
– statt Annahmen oder subjektiver Einschätzungen?
Executive‑Fazit für den Vorstand und/oder ein Steering Committee
Identity‑Security ist heute kein Spezialthema mehr, sondern ein unternehmenskritischer Risikofaktor. Wer Identitäten präventiv absichert, identitätsbasierten Missbrauch früh erkennt und im Vorfall konsequent identitätszentriert reagiert, reduziert nicht nur das technische Risiko – sondern auch Kosten, Ausfallzeiten und Reputationsschäden.
Ampelschnelltest für die Risiko-Selbsteinschätzung
Bitte beantworten Sie jede Frage ehrlich. Eine einzige rote Ampel stellt ein immenses Risiko dar und erfordert dringend eine Anpassung Ihrer Sicherheitsstrategie.
Zum Reset bitte einfach die Seite neu laden.