Maschinelle Identitäten müssen besser geschützt werden

Maschinelle Identitäten wachsen rasant – und mit ihnen die Risiken. Unternehmen verlieren zunehmend die Kontrolle, da sie nicht ausreichend vorbereitet sind. Insbesondere Künstliche Intelligenz verschärft die Risikolage.

Deutsche Unternehmen sind nicht ausreichend auf die schnell wachsende Zahl maschineller Identitäten und das damit verbundene Risiko vorbereitet.

Partner des Bank Blogs

Maschinenidentitäten – einschließlich Zertifikaten, Schlüsseln, Secrets und Zugriffstoken – nehmen rasant zu. Gründe dafür sind unter anderem die Verbreitung von Künstlicher Intelligenz (KI), cloudbasierte Innovationen und die verkürzten Lebenszyklen von Identitäten. In den meisten deutschen Unternehmen gibt es mittlerweile deutlich mehr maschinelle als menschliche Identitäten – und dieser Trend verstärkt sich weiter.

Diese Entwicklung erhöht nicht nur die Komplexität der IT-Infrastrukturen, sondern auch das Risiko für Unternehmen. Cyberkriminelle nehmen zunehmend maschinelle Identitäten ins Visier – von API-Schlüsseln bis hin zu Code-Signatur-Zertifikaten –, um Schwachstellen auszunutzen, Systeme zu kompromittieren oder kritische Infrastrukturen lahmzulegen.

Wachstum ohne Grenzen – und ohne Kontrolle?

In drei Viertel der deutschen Unternehmen existieren heute mindestens doppelt so viele maschinelle wie menschliche Identitäten – bei einem Viertel sind es sogar zehnmal so viele. Und ein Ende dieses Wachstums ist nicht in Sicht. 77 Prozent der befragten Security-Entscheider gehen davon aus, dass die Anzahl maschineller Identitäten in den nächsten zwölf Monaten um bis zu 150 Prozent steigen wird.

Zugleich steigt mit der Einführung von KI und Cloud-nativen Technologien auch die Komplexität. Zwei Drittel der Entscheider geben an, dass diese Technologien neue Herausforderungen für das Management von Maschinenidentitäten mit sich bringen. 73 Prozent sehen Maschinenidentitäten als Schlüssel für den sicheren Betrieb zukünftiger KI-Anwendungen – insbesondere im Hinblick auf die zunehmende Bedeutung von KI-Agenten.

Fehlender Überblick und unklare Zuständigkeiten

Unternehmen fällt es zunehmend schwer, mit dieser Entwicklung Schritt zu halten. Besonders problematisch: Mehr als ein Drittel der Unternehmen hat laut einer Studie von CyberArk Schwierigkeiten, überhaupt den Überblick über ihre Maschinenidentitäten zu behalten. Die Folgen sind unter anderem Verzögerungen bei der Bereitstellung neuer Anwendungen, Compliance-Verstöße sowie IT-Störungen, die sich negativ auf die Kundenbeziehungen auswirken.

Auch isolierte Ansätze zur Absicherung dieser Identitäten bergen Risiken. Die Studie zeigt, dass eine ineffektive Sicherung von Maschinenidentitäten erhebliche geschäftliche Auswirkungen haben kann – von kostspieligen Ausfällen bis hin zu schwerwiegenden Sicherheitsverletzungen.

Zunahme von Ausfällen und Sicherheitsvorfällen

So ist die Häufigkeit von Ausfällen dramatisch gestiegen: 73 Prozent der Befragten berichteten im vergangenen Jahr von mindestens einem zertifikatsbedingten Ausfall. Bei 66 Prozent traten solche Ausfälle monatlich, bei 38 Prozent sogar wöchentlich auf.

Die Auswirkungen kompromittierter maschineller Identitäten auf Geschäftsprozesse sind erheblich: 48 Prozent der deutschen Security-Entscheider berichten von Sicherheitsvorfällen im Zusammenhang mit kompromittierten Maschinenidentitäten. Die Folgen reichen von Verzögerungen bei der Bereitstellung neuer Anwendungen (48 Prozent) über Störungen der Kundenkommunikation (41 Prozent) bis hin zu unautorisiertem Zugriff auf sensible Daten und Netzwerke (26 Prozent).

Reifegrad der Schutzprogramme bleibt gering

Obwohl 89 Prozent der deutschen Unternehmen inzwischen Programme zur Absicherung maschineller Identitäten implementiert haben, sind diese Programme meist nicht ausgereift. Viele Unternehmen tun sich schwer mit grundlegenden Aufgaben im Identitätsmanagement: 36 Prozent schaffen es nicht, ein vollständiges Inventar ihrer Maschinenidentitäten zu führen. 31 Prozent haben keinen Überblick darüber, wie diese Identitäten eingesetzt werden. Und 29 Prozent gelingt es nicht, Maschinenidentitäten bei Bedarf schnell zu widerrufen oder zu ersetzen.

Sorgen um Angriffe und fehlende Sicherheitsstrategien

Die Sicherheitsbedenken sind groß: 45 Prozent der deutschen Security-Entscheider befürchten, dass gestohlene Maschinenidentitäten für Angriffe wie manipulierte Software-Updates, die Ausweitung von Berechtigungen oder Man-in-the-Middle-Attacken genutzt werden könnten. 42 Prozent machen sich Sorgen, dass fehlende, unternehmensweite Sicherheitsstrategien zu gefährlichen Lücken führen. Ein weiteres Drittel kämpft mit Herausforderungen durch die immer kürzer werdenden Lebenszyklen von Maschinenidentitäten – unter anderem getrieben durch Anbieter wie Google oder Apple, die die Gültigkeitsdauer von Zertifikaten verkürzen.

Silo-Ansätze erhöhen die Risiken zusätzlich

Der Einsatz isolierter Tools zur Absicherung von Maschinenidentitäten führt häufig zu Ineffizienzen und erhöhtem Risiko. Laut Studie sind die Zuständigkeiten für den Schutz vor Identitätskompromittierungen auf verschiedene Teams verteilt: Sicherheitsverantwortliche (51 Prozent), Entwicklungsteams (26 Prozent) und Plattformteams (18 Prozent). Diese Fragmentierung erschwert eine einheitliche und wirksame Sicherheitsstrategie.

Aufruf zur ganzheitlichen Sicherheitsstrategie

Die Studienergebnisse machen deutlich: Sicherheitsverantwortliche stehen unter Zugzwang. Es braucht eine umfassende, durchgängige Sicherheitsstrategie für Maschinenidentitäten. Diese muss die wichtigsten nicht-menschlichen Identitäten adressieren, um potenzielle Ausfälle und Angriffe zu verhindern – insbesondere angesichts der zunehmenden Bedeutung von KI und der fortschreitenden Automatisierung durch KI-Agenten.

Premium Abonnenten des Bank Blogs haben direkten kostenfreien Zugriff auf die Bezugsinformationen zu Studien und Whitepapern.