IAM neu denken – Agentic AI braucht eigene Identitäten
19. Mai 2026
An KI-Agenten scheiden sich die Geister. Katapultieren sie Unternehmen zu nie dagewesener Effizienz? Oder sind sie (noch) überschätzt und treiben vor allem die Kosten in die Höhe? Unabhängig davon, wie sich der tatsächliche Nutzen entwickelt: Aus Administratoren-Sicht verlangt Agentic AI klare Verantwortung, eindeutige Identitäten und kryptographisch belastbare Spuren jeder Handlung. Sonst drohen zusätzliche Sicherheitsrisiken und Kontrollverlust.
KI-Agenten interagieren aktiv mit ihrer Umgebung. Sie reservieren Ressourcen, rufen Schnittstellen auf, starten Arbeitsabläufe und treffen eigenständig Entscheidungen, die unmittelbar in Geschäftsprozesse einfließen. Genau wie menschliche Nutzer müssen autonome Softwareakteure zweifelsfrei authentifizierbar und ihre Berechtigungen nachvollziehbar sein.
Klassisches Identity- und Access-Management (IAM) stößt dabei an seine Grenzen. Zwar verwalten moderne IAM-Systeme auch Service-Accounts und Workload-Identitäten. KI-Agenten erhöhen die Komplexität jedoch deutlich: Sie operieren rund um die Uhr und hochfrequent, mit kurzlebigen Identitäten und Tokens. Sie handeln teils im Auftrag eines Menschen, teils eigenständig, oft über mehrere Systeme und Vertrauensgrenzen hinweg. Und sie können weitere Sub-Agenten erzeugen, die ihrerseits implizit Tokens und Service-Accounts erhalten.
Wie wird Agentic AI zur Gefahr?
Die Dynamik und Autonomie von KI-Agenten erschweren nicht nur die Nachvollziehbarkeit, sondern schaffen auch zusätzliche Angriffsvektoren, beispielsweise durch überprivilegierte Service-Accounts und kompromittierte Tokens in Repositories oder Chat-Tools. Angreifer könnten zudem Agenten einschleusen oder manipulieren, etwa über Prompt-Injection, externe Datenquellen, APIs oder angebundene Tools. Auch Integrationsprotokolle wie das Model Context Protocol (MCP) erweitern die Angriffsfläche, wenn Eingaben oder Tool-Aufrufe nicht ausreichend validiert werden.
Besonders kritisch ist die Möglichkeit von Lateral Movement entlang bestehender Vertrauensbeziehungen. Wenn ein Agent Zugriff auf weitere Dienste oder Agenten hat, können kompromittierte Identitäten oder Tokens schrittweise ausgeweitet werden. In komplexen, stark vernetzten Umgebungen bleiben solche Angriffe unter Umständen lange unentdeckt.
Verifizierbare Maschinenidentitäten als neuer Standard
Umso wichtiger ist es, die Verantwortlichkeiten der KI-Agenten – und aller anderen Non-Human Identities (NHIs) – sauber zu begrenzen. Für IAM-Architekturen im Kontext von Agentic AI ergeben sich daraus neue Anforderungen. Ein zentrales Prinzip ist die eindeutige, kryptographisch abgesicherte Identität für jeden relevanten Workload oder Agenten – mit klarer Lebensdauer, eindeutiger Zuordnung und jederzeit widerrufbaren Rechten.
Es muss jederzeit eindeutig erkennbar sein, welcher KI-Agent was getan hat, in wessen Auftrag, mit welcher Berechtigung – und wer rechtlich dafür einsteht. Statt pauschaler Rollen und statischer Vertrauensbeziehungen benötigen KI-Agenten hochspezifische, kontextbasierte Berechtigungen.
Zugriffskontrolle: kontinuierlich, kontextabhängig, zeitlich begrenzt
Die Verifikation erfolgt dabei kontinuierlich und nach dem Zero-Trust-Prinzip. Kein KI-Agent gilt implizit als vertrauenswürdig, unabhängig davon, ob er aus dem internen Netz kommt oder in einer bekannten Umgebung läuft. Zugriffe werden kontextabhängig bewertet, etwa anhand von Identität, delegiertem Auftrag, aufrufender Partei und Integrität der zugrunde liegenden Laufzeitumgebung. Richtlinien berücksichtigen zusätzlich Faktoren wie Risiko, Verhaltensmuster oder Zweckbindung.
Zugriffe sollten zudem konsequent zeitlich begrenzt sein (just-in-time). Anstelle statischer API-Schlüssel oder langlebiger Secrets kommen kurzlebige Tokens und Zertifikate zum Einsatz, die an konkrete Workloads und Aufgaben gebunden sind. Berechtigungen verfallen automatisch, sobald eine Aufgabe abgeschlossen ist. Provisionierung und Rechtevergabe erfolgen weitgehend automatisiert, bleiben jedoch durch übergeordnete Governance-Mechanismen kontrollierbar.
Auch die regulatorischen Anforderungen wachsen
Der Druck zu handeln ist also da – nicht nur mit Blick auf akute Sicherheitsrisiken, sondern auch aus Compliance-Perspektive. Jede durch KI-Agenten beeinflusste Handlung muss kryptographisch signiert und damit rechtlich belastbar dokumentiert sein. Der August 2026 ist dafür ein wichtiger Termin: Ab diesem Zeitpunkt werden zentrale Teile des EU AI Act anwendbar.
Schon jetzt verlangen NIS2 und in der Finanzbranche DORA belastbare Zugangskontrollen, vollständige Inventare, Protokollierung und ein strukturiertes Risikomanagement. Regulatorische Lücken gibt es hingegen weiterhin bei NHI-spezifischen Anforderungen. Es fehlt ein durchgängiges Lebenszyklusmodell für Agentenidentitäten: Wie werden sie ausgestellt, delegiert, überwacht, entzogen und revisionssicher stillgelegt?
Was Administratoren jetzt tun können
Die Risiken zeigen: Agentic AI sollte nicht als bloßes Zusatzmodul in bestehende IAM-Strukturen integriert werden. Es gibt aber konkrete Hebel, an denen Systemadministratoren unmittelbar ansetzen können. Dazu gehört insbesondere ein vollständiges Inventar aller NHIs mit klar zugewiesenen Verantwortlichkeiten. Ebenso sollten statische Secrets konsequent durch kurzlebige, automatisiert ausgestellte und rotierte Tokens ersetzt werden.
Mit zunehmender Verbreitung von Agenten steigt die Komplexität des Identitätsmanagements. In vielen Umgebungen wird es schwieriger, alle NHIs mit isolierten Einzeltools konsistent und sicher zu verwalten. Vor diesem Hintergrund kann es sinnvoll sein, auf stärker integrierte Architekturen oder Plattformansätze zu setzen. Idealerweise bündeln solche Lösungen Authentifizierung, Autorisierung, Monitoring, Governance und Risikoanalyse in einer gemeinsamen, einheitlichen Infrastruktur. Sie bilden die Grundlage, um KI-Agenten zu nachvollziehbaren, vertrauenswürdigen Akteuren zu machen.
Ismet Koyun ist CEO und Gründer der KOBIL Gruppe.
