Identity Management: Die neuen Grenzen des Vertrauens
22. April 2026
Der Identity Management Day verdeutlicht mittlerweile, wie sich die Identität selbst weiterentwickelt und über menschliche Nutzer hinausgeht. Dabei bezieht sie Maschinen, automatisierte Agenten und sogar KI-generierte Personas mit ein. Administratoren müssen diese sich entwickelnde und ständig wechselnde Landschaft verstehen und sich darauf vorbereiten.
Ursprünglich konzentrierte sich das Identitätsmanagement auf menschliche Nutzer – die Verifizierung von Mitarbeitern, die Verwaltung von Zugriffsrechten und die Abwehr von Phishing-Angriffen. Doch die explosionsartige Zunahme maschineller Identitäten von APIs und IoT-Geräten bis hin zu Bots und KI-Agenten hat diese Situation massiv verändert.
Auf jede menschliche Identität in einem großen Unternehmen kommen möglicherweise Hunderte oder Tausende nicht-menschlicher Identitäten, die treffend als Non-Human Identities (NHIs) bezeichnet werden. Jeder API-Schlüssel, jedes Dienstkonto und jede automatisierte Pipeline stellt einen potenziellen Angriffsvektor dar, wenn er nicht ordnungsgemäß gesichert ist.
Da KI-Systeme immer autonomer werden, wird das Konzept der Identität noch fließender und komplexer. Solche autonomen KI-Systeme werden als „agentic“ bezeichnet – sie verfügen über die Fähigkeit, unabhängig im Namen von Menschen oder Organisationen zu handeln.
In diesem Paradigma ist Orchestrierung entscheidend: Unternehmen müssen nicht nur verwalten, wer auf was zugreifen darf, sondern auch, wie diese Entitäten (menschlich oder nicht-menschlich) interagieren, Aufgaben delegieren und sich authentifizieren.
Die Bedrohungslage nimmt indes zu, denn Angreifer können sich mithilfe realistischer Audio- oder Videoaufnahmen als Führungskräfte oder vertrauenswürdige Partner ausgeben. Traditionelle Vertrauenssignale wie Stimmen, Fotos und Unterschriften verlieren an Zuverlässigkeit. Ein einziger erfolgreicher Angriff mit einer synthetischen Identität kann zu Verstößen gegen Vorschriften führen oder das Vertrauen der Kunden untergraben.
Deshalb muss das Vertrauen kontinuierlich überprüft und darf nicht mehr einfach vorausgesetzt werden. Es gilt, Verifizierungsmechanismen weiterzuentwickeln, um Verhaltens-, Kontext- und kryptografische Authentizitätsnachweise zu erkennen.
Dr. Kawin Boonyapredee, CISO Advisor APJ bei KnowBe4.
