Maschinenidentitäten – von Zertifikaten über Service-Accounts bis hin zu KI-Agenten – sind längst zu einem zentralen Bestandteil moderner IT-Infrastrukturen geworden. Sie agieren meist im Hintergrund, verfügen aber oft über privilegierte Zugriffsrechte auf kritische Systeme. Ihr unkontrollierter Einsatz birgt erhebliche Sicherheitsrisiken und wird zunehmend auch von Regulierungen adressiert. Im Interview mit SecTank erklärt Michael Kleist, Area VP Sales Central & East Europe (CEE) von Cyberark, warum Transparenz und zentrale Verwaltung entscheidend sind, wie Unternehmen sich auf eine post-quantensichere Zukunft vorbereiten können und welche Strategien nötig sind, um Maschinenidentitäten genauso konsequent zu steuern wie menschliche Nutzer.
Herr Kleist, Ihr Report zeigt, dass es inzwischen mehr als 80 Maschinenidentitäten pro menschlicher Identität gibt – viele davon mit Zugriff auf sensible Systeme. Wo liegen heute die größten Risiken durch diese unverwalteten Maschinenidentitäten?
Michael Kleist: „Das größte Risiko ist der Verlust von Transparenz und Kontrolle. Maschinenidentitäten – also Zertifikate, Schlüssel, Service-Accounts und inzwischen auch KI-Agenten – arbeiten meist im Hintergrund, verfügen aber häufig über privilegierte Zugriffsrechte auf kritische Systeme – das ist oft erst auf den zweiten Blick sichtbar, wenn es sich um verschachtelte Strukturen handelt. Sind diese Identitäten nicht zentral verwaltet, werden sie zu attraktiven Angriffszielen. Angreifer nutzen kompromittierte Maschinenidentitäten, um sich horizontal und auch vertikal im Netzwerk zu bewegen, Daten abzugreifen oder den Betrieb zu stören – oft unbemerkt von klassischen Sicherheitsmechanismen, denn sie agieren ja aus vorhandenen und damit vermeintlich legitimen Strukturen heraus. Viele Sicherheitsvorfälle und Ausfälle lassen sich heute auf abgelaufene Zertifikate, fest codierte Zugangsdaten oder übermäßige Berechtigungen zurückführen, die niemand mehr auf dem Radar hatte.”
Quantencomputing rückt näher. Wie sollten sich Unternehmen schon heute auf eine post-quantensichere Zukunft vorbereiten – insbesondere mit Blick auf Maschinenidentitäten und digitale Zertifikate?
MK: „Unternehmen sollten nicht auf einen möglichen „Q-Day“ warten. Der erste und wichtigste Schritt ist Transparenz: Welche Maschinenidentitäten, Zertifikate und kryptografischen Abhängigkeiten existieren überhaupt in der eigenen hybriden und Cloud-Infrastruktur? Ohne diese Übersicht ist eine Umstellung auf post-quantensichere Kryptografie nicht realisierbar, und die Abhängigkeiten müssen Ende-zu-Ende gedacht werden. Auf dieser Übersicht aufbauend brauchen Unternehmen automatisiertes Lifecycle-Management, klare Governance und sogenannte Krypto-Agilität – also die Fähigkeit, Zertifikate und Schlüssel schnell und skalierbar auszutauschen. Wer heute vorbereitet ist, kann den Übergang später vollziehen, ohne Ausfälle oder massive Betriebsrisiken zu verursachen.”
Angesichts von KI-getriebener Automatisierung und Shadow-AI: Welche konkreten Maßnahmen können Unternehmen jetzt ergreifen, um Maschinenidentitäten genauso konsequent zu steuern wie menschliche Identitäten?
MK: „Maschinenidentitäten müssen als vollwertige Identitäten behandelt werden. Das bedeutet: Least-Privilege-Prinzip, starke Authentifizierung, kontinuierliche Überwachung und ein automatisiertes Lifecycle-Management. In der Praxis heißt das, fest codierte Zugangsdaten konsequent abzuschaffen, Zertifikate und Secrets zentral zu verwalten und Just-in-Time-Zugriffe auch für Maschinen und Workloads durchzusetzen. Gerade durch Shadow-AI entstehen neue, oft unsichtbare Identitäten – ohne Automatisierung, Transparenz und einen smarten Ansatz zur Identitätssicherheit lässt sich dieses Risiko nicht beherrschen. Insbesondere, weil AI im Kontext eines Anwenders oder einer Anwendung angesehen und gesichert werden muss, ist die Schaffung von Sichtbarkeit und die Definition des angesprochenen Kontexts elementar. Auf diesem Fundament lassen sich dann die Sicherheitsmassnahmen aufsetzen.”
Wie entwickeln sich regulatorische Anforderungen rund um Maschinenidentitäten – und was sollten Unternehmen tun, um Compliance und operative Resilienz gleichermaßen sicherzustellen?
MK: „Regulierungen wie NIS2, DORA oder andere branchenspezifische Vorgaben legen zunehmend den Fokus auf Resilienz, Zugriffskontrollen und Nachvollziehbarkeit – und damit auch auf Maschinenidentitäten. Prüfer erwarten heute nicht mehr nur Kontrolle über menschliche Nutzer, sondern auch über nicht-menschliche Identitäten. Um hier einen Schritt voraus zu sein, brauchen Unternehmen zentrale Governance, auditierbare Prozesse und eine konsistente Durchsetzung von Sicherheitsrichtlinien über alle Umgebungen hinweg. Richtig umgesetzt, stärkt das nicht nur die Compliance, sondern reduziert auch Ausfallzeiten und Betriebsrisiken. Ich bin froh, daß die Anforderungen inzwischen stärker die präventive Seite einbinden und damit wesentlich stärker die Verhinderung eines Vorfalls im Blick haben, als das in der Vergangenheit der Fall war. Ebenfalls rücken Ende-zu-Ende-Betrachtungen mehr in den Fokus. Das ist auch begrüßenswert, weil es der Resilienz des einzelnen Unternehmens wirklich hilft, und die Compliance nicht nur zum Abhaken einer Liste degradiert.”
Welche internen Herausforderungen begegnen Ihnen in der Praxis bei der Einführung von Machine Identity Governance – und wie lassen sich diese überwinden?
MK: „Eine der größten Herausforderungen ist die Fragmentierung von Zuständigkeiten. Maschinenidentitäten liegen oft verteilt bei IT, Security, DevOps und Engineering – mit unterschiedlichen Tools, Prozessen und Prioritäten. Identitäten werden schnell erstellt, aber selten überprüft oder stillgelegt. Abhilfe schafft ein klares Ownership-Modell, Rückhalt durch das Management und ein plattformbasierter Ansatz, der Transparenz und Kontrolle bündelt. Wenn Security- und Betriebsteams gemeinsam arbeiten und Richtlinien automatisiert durchgesetzt werden, wird Machine Identity Governance von einer manuellen und oft reaktiven Daueraufgabe zu einem automatischen, skalierbaren und nachhaltigen Prozess.”
