Automatisierung und KI-Agenten lassen die Anzahl der Identitäten rasch wachsen. Vielen Sicherheitsverantwortlichen fehlen passende Governance-Modelle und die notwendige Transparenz, um mit dem Wachstum Schritt zu halten, so der Bericht.
Unternehmen investieren zwar stark in ihre Identity Governance, wenden Zero-Trust-Prinzipien an und vertrauen ihren Identitäts-Sicherheitsprogrammen. Allerdings bekommt das Management von diesen Risiken nicht viel mit: Bereitstellungsgeschwindigkeit, Audit-Konformität und die Anzahl registrierter Sicherheitsvorfälle stehen meist im Fokus des Reportings. Frühindikatoren für Identitätsrisiken kommen zu oft zu kurz. Das Management kann unternehmerische Risiken dann nicht mehr vollumfänglich steuern.
Die wichtigsten Ergebnisse des Berichts:
- „Blindflug“ beim Reporting: 71 Prozent der Unternehmen messen, wie schnell sie Zugriffe bereitstellen. Dagegen verfolgen jedoch nur 57 Prozent kritische Risikoindikatoren wie verwaiste oder ungenutzte Konten. Das zeigt: Unternehmen sehen, wie schnell Konten erstellt werden, doch übersehen die Risikokonzentration.
- Nicht-menschliche Identitäten dominieren: In den meisten Unternehmen übersteigen sie menschliche Identitäten im Verhältnis 50:1. Allerdings sind Verantwortung und Rechenschaftspflicht für diese meist auf mehrere Teams verteilt.
- Hohes Vertrauen, wenig Messbarkeit: Führungskräfte vertrauen zwar in die hauseigene Identitätssicherheit. Dennoch erfassen nur wenige auch handfeste Kennzahlen. Wichtige Indikatoren fehlen oft, wie die Abdeckung privilegierter Zugriffe, verwaiste Konten oder wie lange es durchschnittlich dauert, bis Zugriffsrechte entzogen werden.
- KI-Agenten halten Einzug: 85 Prozent der Unternehmen setzen bereits agentenbasierte KI ein oder testen sie. 58 Prozent nennen jedoch „Sicherheitslücken“ als größte Sorge bei der Implementierung.
- Governance zwischen Wahrnehmung und Realität: C-Level-Befragte waren häufiger davon überzeugt, dass strenge Identitätskontrollen für KI-Agenten existieren. Sicherheitsverantwortliche hingegen waren hier wesentlich pessimistischer (48 Prozent gegenüber 35 Prozent). Durch die Kluft zwischen gefühlter und tatsächlicher Compliance wähnen sich viele Entscheider in trügerischer Sicherheit.
- Zero Trust hat festen Stand in der IGA: 95 Prozent der Unternehmen haben Zero Trust in ihrer IGA-Lösung umgesetzt. Interoperabilitätsprobleme zwischen Identitäts- und Sicherheitsplattformen schränken jedoch die einheitliche Sichtbarkeit und Berichterstattung ein.
„Identität ist zum neuen Sicherheitsperimeter geworden. Unsere Untersuchungen zeigen aber, dass viele Führungskräfte blind agieren. Unternehmen setzen KI-Agenten ein, die ihre Angriffsfläche um ein Vielfaches vergrößern, während Führungskräfte nicht über grundlegende Kennzahlen zum sicheren Umgang mit Identitäten verfügen. Das ist nicht nur eine Lücke im Reporting, sondern sogar eine potenzielle Governance-Krise. Offene Flanken von diesem Ausmaß haben reale Folgen für die Sicherheit, die Compliance und den Ruf des Unternehmens.”
Thomas Müller-Martin, Field Strategist DACH bei Omada Identity:
„Die Studie verdeutlicht einen Paradigmenwechsel: Identity Governance hat sich längst von einer punktuellen Kontrollaufgabe zum Kernelement für den modernen IT-Betrieb entwickelt. Sie bildet das unverzichtbare Fundament für Zero Trust und KI-gestützte Prozesse in Unternehmen. Um das Risiko fataler Fehlentscheidungen zu minimieren, müssen Management-Reports verständlich und umfassend über Identitätsrisiken und das verbundene Schadenspotential informieren. So gestaltet man den technologischen Fortschritt agil und gewinnt gleichzeitig an Sicherheit wie Effizienz.“