Non-Human Identities: Wachsende Relevanz im Zeitalter der KI

In Kürze

Agentic AI ist eine neue Kategorie von Non-Human Identities (NHI). Ihr rasantes Wachstum rückt NHIs in den Mittelpunkt und stellt bisherige Ansätze zur Risikosteuerung und Absicherung infrage.
Die oberste Priorität besteht darin, die eigene NHI-Landschaft zu erfassen und zu verstehen, um mit einem risikobasierten Ansatz die kritischsten Anwendungsfälle zügig abzusichern, ohne sich dabei zu verzetteln.
Entwickeln Sie eine ganzheitliche Cybersicherheitsstrategie für KI-Agenten und ältere NH-Systeme.

Diese Seite wurde automatisch aus dem Englischen übersetzt, um den Zugang zu erleichtern. Bei Unklarheiten empfehlen wir, die Originalversion zurate zu ziehen.

Non-Human Identities: Von technischer Komplexität zum strategischen Risiko

Bis 2026 übersteigt die Anzahl der Non-Human Identities (NHI) die der menschlichen Identitäten um das 82-Fache¹. Bereits heute haben fast 20 % der Organisationen sicherheitsrelevante Vorfälle im Zusammenhang mit NHI erlebt.².

Mit dem Aufkommen KI-gesteuerter Agenten erweitert sich die Kategorie erneut. Ein weiterer Beleg für die wachsende Vielfalt und Dimension von NHIs in modernen Unternehmensumgebungen.

Eine NHI ist eine digitale Identität, die einem System, einer Anwendung, einem Dienst oder einem Gerät (z. B. Service-Accounts oder IoT-Geräte) zugeordnet ist, jedoch nicht einer Person. NHIs haben sich erheblich weiterentwickelt. Vor 15 Jahren beschränkten sie sich hauptsächlich auf Service-Accounts für On-Premises-Anwendungen, geplante Batch-Jobs oder Datenbankverbindungen. Mit der Einführung cloudbasierter und integrationsgetriebener Architekturen erweiterte sich das Spektrum um API-Schlüssel, Anwendungs-Credentials und Service Principals in Cloud-Plattformen. Heute umfassen NHIs ein breites Spektrum an Identitäten – von Microservices bis hin zu IoT-Geräten.

Der Aufstieg agentischer KI zwingt Identity-Teams dazu, das Management von NHIs grundlegend neu zu gestalten. Agentische KI-Systeme können nämlich vollständig autonom agieren, d. h. selbstständig Entscheidungen treffen und Aktionen ausführen. Während NHIs bisher als „repräsentative” Identitäten von Tools und Systemen galten, läutet agentische KI eine neue Ära ein. Identitäten werden im digitalen Unternehmen zu funktionalen Akteuren. KI wird selbst zum Akteur und interagiert mit anderen Identitäten und Systemen, ohne vordefinierte Muster zu folgen.

Die Schwachstelle NHI:
Zu viele Rechte, zu wenig Schutz

82:1 Das Verhältnis der Non-Human Identities (NHI) wird das der traditionellen menschlichen Identitäten übersteigen.
Organisationen, die Vorfälle im Zusammenhang mit NHI hatten

visual to represent NHIs security challenges DE — Diagramm mit einem zentralen KI-System, umgeben von vier Risikofaktoren im Zusammenhang mit NHIs: fehlende Governance oder klare Verantwortlichkeiten, Weiterentwicklung von einem einfachen Skript zu einem unkontrollierten KI-Agenten, Verwendung veralteter Passwörter und offengelegter Zugangsdaten sowie übermäßige Zugriffsrechte ohne klare Kontrolle.

Fragmentiert und überfordert:
Warum klassische Identitätsmodelle NHIs nicht gerecht werden

Ein strukturierter Umgang mit NHIs stellt viele Unternehmen bis heute vor Herausforderungen. Mögliche Konsequenzen sind folgende Probleme und Risiken:

Unkontrollierter Identity Sprawl

Das schnelle Wachstum von NHI bringt mehrere Herausforderungen mit sich:

Dynamische Nachverfolgung von Existenz, Relevanz und Nutzung über mehrere Plattformen hinweg
Management potenziell komplexer Lebenszyklen, abhängig vom jeweiligen Asset (z. B. Infrastruktur, Anwendung oder KI-Assistent)
Erhebliche Ausweitung der Angriffsfläche

Mangelnde Umsetzung des Least-Privilege-Prinzips

NHIs können sensible Daten und Informationen zu kritischen Systemen enthalten oder selbst als privilegierte Konten eingestuft werden. Dadurch werden sie zu einem attraktiven Angriffsziel für Bedrohungsakteure. Oft verfügen sie über mehr Berechtigungen, als für ihre eigentliche Funktion notwendig sind. Das Risiko wird dadurch erheblich erhöht: Kompromittierte Identitäten können so als weitreichende oder unbeabsichtigte Einfallstore in Systeme und Daten dienen.

Schwache Absicherung der Anmeldeinformationen

NHIs greifen häufig über statische Credentials, wie beispielsweise hartcodierte Secrets, auf privilegierte Informationen zu. Diese werden zudem selten rotiert und kaum strukturiert verwaltet.

Begrenzte Governance und Compliance

Bisher mangelte es NHIs häufig an klaren Zuständigkeiten und Verantwortlichkeiten, was direkte Auswirkungen auf die regulatorische Compliance und Governance hatte. Fehlen ein verantwortlicher Eigentümer oder ein Audit-Trail, kann dies zu Kontrollversagen, regulatorischen Verstößen oder im schlimmsten Fall sogar zu einer Betriebsunterbrechung führen.

Wissensdefizite im Bereich Sicherheit

Da NHIs lange Zeit keine klare Verantwortlichkeit hatten, wurden sie vielfach als nachrangige technische Konten betrachtet und nicht als Identitäten mit eigenem Handlungspotenzial. Dadurch wurden Unternehmen mitunter davon abgehalten, gezielt in die Erfassung von NHIs und die Behebung entsprechender Risiken zu investieren.

NHI in der Praxis: Was verändert sich branchenübergreifend?

Wir beobachten branchenübergreifend – von Versicherungen über die Energiebranche bis hin zur Luxusgüterindustrie – dass Unternehmen, die über ausgereifte IAM-Prozesse für menschliche Identitäten verfügen, ihre Aufmerksamkeit nun verstärkt auf NHIs richten. Die meisten verfügen über Prozesse und Tools, um bestimmte Typen von NHIs zu verwalten, während andere außen vor bleiben. Während das Lifecycle- und Berechtigungsmanagement für API-Clients häufig gut aufgestellt ist, mangelt es bei NHI-Konten in Active Directories oft an klaren Zuständigkeiten, definierten Berechtigungen und einem strukturierten Credential-Management.

Zudem überwachen Unternehmen das Verhalten von NHIs nicht effektiv genug, um anomale und verdächtige Aktivitäten rechtzeitig zu erkennen.

Unsere Erfahrung zeigt: Die Vielzahl unterschiedlicher NHI-Typen, die verschiedenen technologischen Umgebungen sowie historisch gewachsene Strukturen und Vorgehensweisen machen NHIs zu einem besonders komplexen Bereich. Selbst die Bestandsaufnahme der aktuellen NHI-Nutzung in einem Unternehmen ist in der Praxis äußerst herausfordernd.

Bertrand Carlier, Associate Partner, Wavestone

Ein risikobasierter Ansatz: Warum klassische IAM-Modelle bei NHIs an ihre Grenzen stoßen

Derzeit gibt es keine spezifische globale Regulierung für NHIs. Sie fallen jedoch implizit unter bestehende Rahmenwerke wie die DSGVO, die NIS2-Richtlinie und Standards wie ISO/IEC 27001. Dies geschieht beispielsweise über IAM-Kontrollen oder die Anwendung des Least-Privilege-Prinzips. Ein risikobasierter Ansatz hilft Unternehmen dabei, die kritischsten Anwendungsfälle zu identifizieren und unmittelbar abzusichern, anstatt alle Identitäten einheitlich zu behandeln. Die Priorisierung erfolgt anhand folgender Kriterien:

Blast Radius: Art der Systeme und Informationen, mit denen die NHI interagiert
Berechtigungsniveau: hohe Administratorrechte oder systemübergreifende Zugriffe
Verhaltens- und Unberechenbarkeitsgrad: vordefinierte Prozesse, Abhängigkeit von menschlicher Steuerung oder vollständige Autonomie
Zuständigkeit: Nutzung durch definierte Teams oder unbekannt
Betriebsumgebung: Cloud, On-Premises, SaaS

Dieser Ansatz bietet einen ersten Überblick über die verschiedenen NHI-Typen in der Organisation und stellt sicher, dass die relevanten Prozesse – Identitäts-Lifecycle, Credential-Management, Authentifizierungsmethoden, Monitoring und Beaufsichtigung – bekannt sind, bevor einzelne Fälle näher betrachtet werden.

Auf dieser Basis können Sicherheitsteams akute Risiken bewerten, Berechtigungen konsequent auf das notwendige Minimum beschränken, Zugriffsrichtlinien verbessern und die IAM Governance stärken

Von der Automatisierung zur Autonomie: Agentische KI und der Wandel des Identitätsparadigmas

Mit dem Aufkommen der agentischen KI betritt eine neue Generation von Systemen die Bühne. In unserem Agentic AI Playbook definieren wir agentische KI als ein KI‑System, das in der Lage ist, „in komplexen und dynamischen Umgebungen autonom und adaptiv zu planen, zu orchestrieren, zu entscheiden und zu handeln“. Der Einsatz dieser Technologie entwickelt sich zunehmend zu einem zentralen Trend in Unternehmen: Laut Gartner werden bis 2028 33 % aller Softwareanwendungen agentische KI integrieren und 15 % der täglichen Arbeitsentscheidungen werden autonom getroffen.³.

Mit Agentic AI wurde eine neue Realität geschaffen: Ein „virtueller Mitarbeiter” arbeitet nun Seite an Seite mit menschlichen Nutzern und verfügt über ebenso große Entscheidungsautonomie. Gleichzeitig bremsen unzureichende Risikokontrollen jedoch die Investitionen in diese Technologie.

Agentische KI stellt bestehende Frameworks und Prozesse infrage und erfordert schnelle Anpassungen. Diese müssen sowohl den starken Anstieg der Nutzung von NHIs als auch das unvorhersehbare Verhalten von KI-Agenten berücksichtigen. Wenn ein KI-Agent über mehr Berechtigungen verfügt als ursprünglich erforderlich, wird er diese auch nutzen.

Wir vertiefen dieses Thema in unserem Risk Insights-Blogbeitrag „Securing AI Agents: Why IAM becomes Central ( öffnet in einem neuen Tab) “.

Stärkung des gesamten IAM:
Ein zukunftsfähiges Identitätsmodell für nicht-menschliche Akteure

Mit zunehmendem Einsatz benötigen Unternehmen eine ganzheitliche und kohärente Cybersicherheitsstrategie, die sowohl Legacy-NHIs als auch neue KI-Agenten-Identitäten umfasst. Dies erfordert eine Stärkung des gesamten IAM mit besonderem Fokus auf die folgenden fünf Säulen: Inventarisierung, klare Governance, robuste Authentifizierung, strikte Berechtigungsvergabe und maßgeschneiderte Überwachung.

circular visual illustrating 5 pillars for NHI

Mit zunehmender Nutzung benötigen Organisationen eine globale und konsistente Cybersicherheitsstrategie für bestehende NHI- und neue KI-Agenten-Identitäten. Dies erfordert eine Stärkung des IAM entlang folgender fünf Kernpfeiler: Inventarisierung, klare Governance, robuste Authentifizierung, strikte Berechtigungssteuerung und angepasste Überwachung.

Unsere Erfahrung zeigt, dass der eigentliche Wandel erst nach der initialen Erfassung beginnt. Der erste konkrete Schritt ist die Festlegung klarer Verantwortlichkeiten für die kritischsten NHI sowie die Umsetzung minimaler Kontrollen: regelmäßige Erneuerung von Zugangsdaten, Least-Privilege-Vergabe und Basis-Monitoring.

In den ersten 90 Tagen zeigt sich ein solides Fundament durch ein definiertes NHI-Governance-Modell, eine priorisierte Remediations-Roadmap für kritische Identitäten und die frühzeitige Einbindung von NHI in bestehende IAM-Prozesse wie Zugriffsreviews und Incident Response. Organisationen mit dieser Basis sind besser aufgestellt, um den Einsatz agentischer KI sicher zu skalieren.

Für die neuesten KI-Agenten ist zudem eine plattformübergreifende Erkennung und eine zentrale Sicht auf Anzahl, Zweck und zugewiesene Berechtigungen entscheidend, um bei dem unvermeidlichen Wachstum agentischer KI die Kontrolle zu behalten.

Der Einsatz von Agentic AI gewinnt an Dynamik. Jetzt ist der richtige Zeitpunkt, um Best Practices zu etablieren. Dies kann durch den Einsatz modernster Prozesse und Tools sowie deren konsequente Umsetzung erreicht werden.

Bertrand Carlier, Associate Partner, Wavestone

Quellen

Total Assure Top 3 cybersecurity predictions (öffnet in einem neuen Tab) – 2026
Astrix Security The state of non human identity security (öffnet in einem neuen Tab) 2026
Gartner: Press Release Agentic AI projects cancelled ( öffnet in einem neuen Tab) 2025

Dieser Artikel ist das Ergebnis gemeinsamer Arbeit. Bei Wavestone stehen Leidenschaft und der Austausch von Ideen im Mittelpunkt, denn wir sind fest von der Kraft geteilten Wissens überzeugt.

Unser besonderer Dank gilt Mrudula Hirmagalur, Euan Briggs, Nathalie Balabhadra, Bertrand Carlier, Vincent Exposito, Nicolas Guichard und Pascal Vidal.

Non-Human Identities: Wachsende Relevanz im Zeitalter der KI

In Kürze

Non-Human Identities: Von technischer Komplexität zum strategischen Risiko

Die Schwachstelle NHI:
Zu viele Rechte, zu wenig Schutz