Wie man im Zeitalter von KI-Agenten und NHIs den Identitätswildwuchs in den Griff bekommt

Nicht-menschliche Identitäten (Non-human Identities, NHIs) und KI-Agenten, einschließlich Dienstkonten, CI/CD-Zugangsdaten und Cloud-Workload-Identitäten übertreffen jetzt menschliche Identitäten in Unternehmensidentitätssystemen mit 50–100:1. Moderne Identitätssicherheitsplattformen müssen diesen Assets Identitäten zuweisen und darüber hinaus Rollen, Richtlinien zur Zugriffskontrolle, Transparenz und Governance anwenden, um das moderne Unternehmen zu schützen.

Da KI-Agenten und Automatisierung über Cloud-, CI/CD- und SaaS-Umgebungen hinweg skalieren, vermehren sich Bots, Dienstkonten und Workload-Identitäten schneller, als Sicherheitsteams sie inventarisieren und steuern können, was Identitätswildwuchs begünstigt. Häufig geht dies mit Geheimnisverbreitung einher, da sich API-Schlüssel, Token und Zertifikate ohne klare Zuständigkeit oder Rotation unkontrolliert vermehren und so mehr privilegierte Zugriffspfade mit übermäßigen Berechtigungen und begrenzter Transparenz entstehen.

In diesem Blog erklären wir, warum Identitätswilwuchs immer schneller voranschreitet, welche Sicherheits- und Compliance-Risiken er mit sich bringt und wie Unternehmen ihn mit einer Identitätssicherheits- und Governance-Plattform wie Keeper unter Kontrolle bringen können.

Warum die Ausbreitung von Identitäten zunimmt

KI-Agenten sind oft darauf ausgelegt, Aktionen auszuführen, und nicht darauf, in einer Warteschlange zu sitzen und darauf zu warten, dass jemand auf „Genehmigen“ klickt. Gibt man einem ein Ziel wie „Stelle eine neuen Umgebung bereit“, beginnt es mit der Arbeit: Es startet Cloud-Ressourcen, ruft APIs auf, initiiert CI/CD-Jobs, zieht Daten aus Repositories, fragt Datenbanken ab und überprüft Einstellungen in Admin-Konsolen. Um so schnell arbeiten zu können, benötigt es jedoch Zugriff auf die einzelnen Systeme, was in der Regel das Erstellen (oder Wiederverwenden) von Dienstkonten, Workload-Identitäten, Cloud-Rollen, Zertifikaten und anderen NHIs erfordert.

Das ist der Punkt, an dem sich Identitätswildwuchs einschleicht. Menschliche und nicht-menschliche Identitäten verteilen sich über Tools und Plattformen schneller, als Teams klare Eigentumsverhältnisse zuweisen, konsistente Kontrollen anwenden oder den Zugriff widerrufen können, sobald die Aufgabe erledigt ist.

Die Risiken von Identitätswildwuchs

Da sich NHIs vermehren, wird der privilegierte Zugriff über Pipelines, Cloud-Rollen, Integrationen und Skripte verteilt, oft ohne konsistente Eigentümerschaft oder Ablaufdatum. Das schafft mehr Möglichkeiten, wie Angreifer eindringen, sich lateral bewegen und Berechtigungen eskalieren, und es erschwert Audits und Untersuchungen mehr als nötig.

Die meisten Probleme treten in wenigen, vorhersehbaren Mustern auf:

• Dienstkonten werden für ein Projekt oder eine Arbeitslast angelegt und werden bei einem Eigentümerwechsel zu verwaisten Konten. Schlüssel und Token bleiben aktiv, weil niemand für deren Deaktivierung verantwortlich ist.
• Bei der Automatisierung werden oft zu viele Berechtigungen vergeben, um Fehler zu vermeiden. Diese Berechtigungen bleiben dann noch lange nach Abschluss des Auftrags bestehen. Dauerhafte Berechtigungen werden so stillschweigend zum Standard.
• Geteilte Zugangsdaten und fest kodierte Geheimnisse in Code, Konfigurationsdateien und Pipelines machen den Zugriff schwer nachvollziehbar und leicht wiederverwendbar.
• Wenn ein Agent oder eine Automatisierung sensible Systeme berührt, haben die Teams Schwierigkeiten, grundlegende Fragen zu beantworten, z. B. worauf zugegriffen wurde, was geändert wurde und warum dieser Zugriff gewährt wurde.

Diese technischen Ausfälle werden schnell zu echten betrieblichen Risiken:

• Der Diebstahl von Zugangsdaten ermöglicht laterale Bewegungen und erleichtert die Rechteerweiterung, da langlebige Geheimnisse und dauerhafte Berechtigungen Angreifern Zeit und Raum geben, den Zugang zu erweitern.
• Die Reaktion auf Vorfälle verlangsamt sich, wenn die Eigentümerschaft unklar ist und die Zugangswege über Tools, Teams und Umgebungen hinweg fragmentiert sind.
• Die Prüfungsbereitschaft leidet, wenn Genehmigungen inkonsistent und die Nachweise unvollständig sind, insbesondere wenn Sie keine eindeutigen Protokolle oder Sitzungsaktivitäten erstellen können, die mit einer bestimmten Identität verknüpft sind.

Wie Keeper dazu beiträgt, die Ausbreitung von Identitäten zu reduzieren

Die Reduzierung von Identitätswildwuchs bedeutet nicht, jeder neuen Identität nachzujagen, sobald sie erscheint. Es geht darum, das System so zu ändern, dass der privilegierte Zugriff konsistent geregelt wird, selbst wenn die Anzahl der Identitäten zunimmt. So kann Keeper helfen:

1. Zentralisierte privilegierte Zugriffskontrolle

Wenn privilegierte Zugriffsrechte über Cloud-Konsolen, CI-Tools, Jumpboxen und gemeinsam genutzte Geheimnisse verstreut sind, verliert man den Überblick. Die Zentralisierung von Workflows für privilegierte Zugriffe hilft Ihnen dabei, die grundlegenden Fragen schnell zu beantworten:

• Welche Identitäten haben privilegierten Zugriff?
• Wo erfolgt die Authentifizierung?
• Wer hat den Zugriff genehmigt und für wie lange?
• Was geschah während der Sitzung?

KeeperPAM^® zentralisiert privilegierten Zugriff auf Server, Datenbanken, Webanwendungen und mehr über Cloud- und On-Prem-Umgebungen hinweg und bietet integrierte Unterstützung für Protokolle wie SSH, RDP, VNC, HTTPS sowie gängige Datenbanken.

2. Gewährleistet minimale Berechtigungen mit zeitlich begrenztem Zugriff

Dauerhafte Privilegien sind einer der größten Treiber für den Identitätswildwuchs. KI-Agenten und andere NHIs laufen in der Regel ununterbrochen, und Teams erteilen oft weitreichende Berechtigungen, um Automatisierungen nicht zu unterbrechen. Im Laufe der Zeit verwandeln sich diese „temporären“ Berechtigungen in permanente Zugriffspfade, die niemand erneut prüft.

KeeperPAM hilft Ihnen, auf Just-in-Time-Zugriff umzusteigen und dauerhafte Privilegien zu reduzieren, indem der Zugriff auf Ressourcen zeitlich begrenzt wird. Wenn das genehmigte Fenster endet, wird der Zugriff automatisch widerrufen, sodass Privilegien nicht lange nach Abschluss der Aufgabe unbemerkt bestehen bleiben.

3. Vermeidet die Offenlegung von Zugangsdaten, wann immer möglich

Damit KI-Agenten ihre Aufgaben erledigen können, stellen Teams ihnen oft Geheimnisse wie API-Schlüssel oder Token zur Verfügung. Diese Geheimnisse verbreiten sich schnell, und genau dann wird der Identitätswildwuchs gefährlich.

KeeperPAM reduziert dieses Risiko, indem es privilegierten Zugang sowohl für Menschen als auch für KI-gesteuerte Automatisierung arrangiert. Bei privilegierten Remote-Sitzungen haben Benutzer und Agenten niemals Zugriff auf die zugrunde liegenden Zugangsdaten oder SSH-Schlüssel. Anstatt Geheimnisse über Menschen, Agenten und Workloads zu verteilen, wird der Zugriff über die Plattform geleitet, sodass Zugangsdaten geschützt bleiben und jede Aktion sichtbar und überprüfbar bleibt.

4. Automatisieren Sie die Rotation und das Lebenszyklusmanagement

Selbst eine starke Erkennung löst das zugrundeliegende Problem nicht, wenn offengelegte Geheimnisse gültig bleiben. Je länger Zugangsdaten gültig sind, desto wahrscheinlicher ist es, dass sie wiederverwendet, kopiert und vergessen werden – insbesondere, wenn NHIs für kurzlebige Workloads erstellt werden, die zugrunde liegenden Geheimnisse jedoch langlebig sind. GitGuardian berichtet, dass 70 % der in öffentlichen Repositories veröffentlichten Geheimnisse in 2022 auch heute noch gültig sind, was auf eine Lücke bei der Rotation und Behebung hindeutet.

KeeperPAM unterstützt die automatisierte Rotation von Zugangsdaten, sodass privilegierte Zugangsdaten nicht statisch bleiben. Dies verkürzt das Expositionsfenster und reduziert das Risiko, dass ein durchgesickertes Zugangsdatenpaar zu einem dauerhaften Zugriffspfad wird.

5. Erfassen Sie Sitzungsaktivitäten und Protokolle für Verantwortlichkeit und Prüfungen

Wenn ein KI-Agent oder eine Automatisierungspipeline ein sensibles System berührt, benötigen Sie Nachweise.

KeeperPAM bietet Sitzungsaufzeichnung und -wiedergabe für Sitzungen mit privilegiertem Zugriff. Fernsitzungen können Bildschirm- und Tastaturaktivitäten über Protokolle hinweg aufzeichnen, darunter SSH, RDP, VNC, Datenbank- und Webbrowser-Sitzungen, wodurch auch in hybriden Umgebungen konsistente Nachweise erstellt werden.

Für die Einhaltung von Vorschriften und die Reaktion auf Vorfälle koppelt KeeperPAM Aufzeichnungen mit detaillierten Protokollen und automatisierten Berichten, damit Sie Audit-Fragen schnell beantworten können, z. B. wer den Zugriff initiiert hat, wann er stattfand, auf welche Ressource zugegriffen wurde und welche Aktivität durchgeführt wurde. KeeperAI bietet verschlüsselte Zusammenfassungen von Aktivitäten und beendet Hochrisikositzungen automatisch. Ereignisse können auch auf großen Sicherheitsinformations- und Ereignismanagement (SIEM)-Plattformen protokolliert werden, was hilft, privilegierte Sitzungsaktivitäten mit Warnungen von Endpunkt-, Cloud- und Netzwerktools zu korrelieren.

Bringen Sie den Identitätswildwuchs unter Kontrolle

KI-Agenten beschleunigen die Automatisierung im gesamten Unternehmen und auch die Erstellung von NHIs wie Dienstkonten, Workload-Identitäten, Cloud-Rollen und Zertifikaten – sowie der Geheimnisse, die diese Identitäten verwenden, wie API-Schlüssel und Token. Wenn diese Identitäten schneller wachsen als die Governance, breitet sich der privilegierte Zugriff aus, bestehende Berechtigungen bleiben bestehen und Sicherheitsteams verlieren den Überblick darüber, worauf zugegriffen wurde und warum.

KeeperPAM hilft dabei, Identitätswildwuchs in den Griff zu bekommen, indem es privilegierten Zugriff zentralisiert, zeitlich begrenzte minimale Berechtigungen durchsetzt, die Gefährdung von Zugangsdaten verringert und auditfähige Sitzungsnachweise erfasst.

Fordern Sie eine Demo an, um zu sehen, wie KeeperPAM helfen kann, den Identitätswildwuchs unter Kontrolle zu bringen.