Shutter2U - stock.adobe.com
Auf Identitätsangriffe vorbereiten: Was Firmen tun sollten
Die Identität ist zunehmend der wichtigste Faktor, wenn es um die Absicherung von IT geht. Mit KI und Automatisierung nimmt die Bedeutung noch zu. Das wissen auch Angreifer.
Identität ist zur zentralen Steuerungsebene moderner Unternehmenssicherheit geworden. Das spiegelt sich auch in den Budgets wider. Laut Omdia haben 75 Prozent der Unternehmen ihre Ausgaben für Identitätsmanagement im Jahr 2026 erhöht, nach 57 Prozent im Vorjahr. Dieser Anstieg ist zu einem großen Teil auf agentische KI zurückzuführen, da KI-Agenten Identitäten und Berechtigungen benötigen, um zu funktionieren. Wirksame Identitätssicherheit erfordert heute jedoch ein Verständnis davon, wie Identität in der gesamten Umgebung funktioniert und nicht nur innerhalb eines einzelnen Systems.
Hinzu kommt eine kritische Diskrepanz. Das SANS Institute hat festgestellt, dass 68 Prozent der Unternehmen Identitätsprobleme innerhalb von 24 Stunden erkennen können, aber nur 55 Prozent in der Lage sind, in demselben Zeitraum zu reagieren. Genau in dieser Lücke agieren Angreifer. Sie sichern sich Zugriffsrechte, bevor Gegenmaßnahmen greifen können. Das Verständnis dieses Risikos ist der notwendige Ausgangspunkt.
Für Partner bedeutet dies eine Chance, Kunden dabei zu helfen, Lücken in ihrer Identitätssicherheit aufzudecken. Umgebungen werden immer fragmentierter und Identitäten werden zur primären Angriffsfläche. Wie können Sie in diesem Umfeld Ihren Kunden helfen, diesen Risiken einen Schritt voraus zu sein?
Identitäten sind nicht mehr zentralisiert
In der Vergangenheit war das Active Directory von Microsoft der einzige Ort, an dem der Zugriff und die Identitäten im gesamten Unternehmen gesteuert wurden. Diese Zentralisierung machte diesen neuralgischen Punkt zu einem hochkarätigen Ziel. Heute sind die Identitäten verteilt. Entwickleridentitäten und -berechtigungen befinden sich in GitHub. Endpunktplattformen wie Jamf verwalten den gerätegebundenen Zugriff. Cloud-Identitätsanbieter wie Okta und JumpCloud erweitern die Identität über SaaS und Infrastruktur hinweg.
Das Ergebnis ist eine stärkere Fragmentierung in der IT mit mehr und mehr Vertrauensbeziehungen zwischen Systemen. Beispielsweise kann ein Entwicklerkonto in GitHub OpenID Connect nutzen, um auf Cloud-Dienste zuzugreifen und Ressourcen bereitzustellen. Tatsächlich überträgt ein System die Identität auf ein anderes. Hier beginnen sich die Risiken zu summieren.
Wenn eine Identität an einem Ort über Berechtigungen an einem anderen Ort verfügt, wird diese Identität zu einer Abhängigkeit. Im Laufe der Zeit sammeln Identitäten Berechtigungen an, die über ihren ursprünglichen Zweck hinausgehen. Beispielsweise benötigte ein Entwicklerkonto vielleicht nur vorübergehenden Zugriff für die Bereitstellung, behält aber danach volle Administratorrechte. Alternativ kann es durch Gruppenmitgliedschaft Zugriffsrechte erben, die über das hinausgehen, was das einzelne Konto sonst erhalten würde.
In solchen Umgebungen ist das Risiko selten offensichtlich, wenn man die Systeme einzeln betrachtet. Die wichtige Frage ist nicht, worauf eine Identität direkt zugreifen kann, sondern was sie über Beziehungen erreichen kann. Genau so gehen auch Angreifer vor.
KI macht Identitäten zur wachsenden Angriffsfläche
Agentische KI hat dieses Problem verschärft. IDC prognostiziert, dass 40 Prozent der Arbeitsplätze in den Global 2000-Unternehmen bis Ende 2026 mit agentischer KI verbunden sein werden, während Gartner davon ausgeht, dass 40 Prozent der Unternehmensanwendungen bis 2026 aufgabenspezifische KI-Agenten enthalten werden – ein Anstieg von weniger als 5 Prozent im Jahr 2025. Gartner prognostiziert zudem, dass 25 Prozent dieser Anwendungen jährlich mit mehreren Sicherheitsproblemen konfrontiert sein werden.
Parallel zu diesem Wandel haben nicht-menschliche Identitäten rapide zugenommen. Um sie neben menschlichen Nutzern zu verwalten, braucht es ein klares Verständnis der zugewiesenen Berechtigungen: wie sie sich ausbreiten, wie sie menschlichen Akteuren zugeordnet sind und wie sie sich im Laufe der Zeit verändern.
Für Partner liegt die eigentliche Herausforderung darin, Transparenz über Identitäten und ihre Beziehungen untereinander herzustellen. Die Analyse von Konten und Berechtigungen bildet dabei den Ausgangspunkt. Von dort verschiebt sich der Fokus auf die entscheidende Frage: Welche Zugriffskombinationen stellen ein ernsthaftes Risiko dar?
![]()
„Angreifer kompromittieren Identitäten nicht isoliert. Sie nutzen Beziehungen aus und nutzen delegierte Rechte, vererbte Rollen und plattformübergreifendes Vertrauen, um sich lateral zu bewegen und Berechtigungen zu eskalieren.“
Jared Atkinson, SpecterOps
Identitätssicherheit als fortlaufender Prozess
Das umfasst die Priorisierung von Abhilfemaßnahmen nach ihrer tatsächlichen Wirkung sowie die Beseitigung von Fehlkonfigurationen, übermäßigen Berechtigungen und unbeabsichtigten Zugriffspfaden. Dabei handelt es sich nicht um eine einmalige Maßnahme. Identitätssysteme verändern sich kontinuierlich, insbesondere durch KI-gesteuerte Automatisierung. Statische Bewertungen verlieren in solch dynamischen Umgebungen schnell an Aussagekraft — vor allem bei nicht-menschlichen Identitäten, deren Zugriffsrechte häufig nicht regelmäßig überprüft werden.
Kontinuierliche Transparenz verkürzt sowohl die Zeit bis zur Erkennung eines Problems als auch die Zeitspanne bis zu seiner Behebung. Partner können Kunden darüber hinaus dabei unterstützen, kritische Ressourcen durch sogenannte Prioritätszonen zu schützen, in denen Identitätskontrollen konsequenter durchgesetzt werden. Sicherheit wird dadurch nicht länger reaktiv, sondern strukturell verankert. Ergänzt durch regelmäßige Berichte über Identitätsänderungen entsteht so ein Sicherheitsmodell, das nicht nur effektiver, sondern auch dauerhaft tragfähig ist.
Mit dem Ausbau von KI und Automatisierung in Unternehmen gewinnt das Management von Identitäten zunehmend an Bedeutung. Die bloße Auflistung von Zugriffen reicht nicht aus, um Systeme sicherer zu machen. Sicherheit hängt davon ab, zu verstehen, wie dieser Zugriff missbraucht werden kann, sowie davon, die Bedingungen zu reduzieren, die einen Missbrauch folgenschwer machen. Angreifer kompromittieren Identitäten nicht isoliert. Sie nutzen Beziehungen aus und nutzen delegierte Rechte, vererbte Rollen und plattformübergreifendes Vertrauen, um sich lateral zu bewegen und Berechtigungen zu eskalieren. Genau darin liegt der Kern von Identitätssicherheit: Unternehmen dabei zu unterstützen, Angriffspfade nicht nur zu erkennen, sondern dauerhaft zu schließen und Risiken damit messbar zu reduzieren.
Über den Autor:
Jared Atkinson ist CTO bei SpecterOps.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
