Auf den Punkt: Nicht verwaltete nicht-menschliche Identitäten stellen eine systematische Sicherheitslücke dar, die sich 2026 als Massenausfall manifestiert, wenn abgelaufene Machine-Zertifikate in Millionen unternehmensabhängiger Services gleichzeitig ekspirieren.
In großen Organisationen outnummerieren Service Accounts, API-Keys und Machine Certificates menschliche Identitäten oft um den Faktor zehn zu eins – unkontrolliert, unrotiert und unauffällig. Diese „Ghost Identities" haben sich bereits bei Angriffen wie SolarWinds, Uber und Okta als direkter Einfallspunkt erwiesen.
Nicht-menschliche Identitäten — Bots, Service Accounts, API-Keys, OAuth-Token, Machine Certificates — dominieren die IT-Infrastruktur moderner Unternehmen, laufen ständig, authentifizieren sich über alle Umgebungen hinweg und hinterlassen bei Inaktivität keine Audit-Trail. Sie sammeln Privilegien an, ohne dass sie automatisch „in den Ruhestand gehen“. Diese unkontrollierten Zugänge werden von Security-Teams als „Ghost Identities“ bezeichnet.
Historische Vorfälle belegen das Risiko konkret: Bei SolarWinds (2018) gelangten Angreifer nicht durch gewaltsame Methoden ein, sondern nutzten stillschweigend nicht-menschliche Identitäten mit erheblichen Zugriffsrechten. 18.000 Organisationen waren monatelang unentdeckt kompromittiert. Uber (2022) fiel durch eine vergessene Service Account zum Opfer, deren Zugangsdaten nicht rotiert worden waren und in einem Netzwerk-Share lagerten — der direkte Weg ins PAM-System folgte. Okta (2023) zeigte, dass kritische Credentials in Drittanbieter-Umgebungen ausfallend wurden, aber Zugriff auf Oktas eigenständige Systeme behielten.
Ab 2026 verschärft sich die Bedrohung durch ein architektonisches Problem: Machine Identity Certificates haben begrenzte Gültigkeitsdauern von typischerweise drei bis fünf Jahren. Zwischen 2020 und 2022 führten viele Unternehmen Cloud-Migrationen und Automation in komprimierter Zeit durch, ohne Governance zu etablieren. Diese Zertifikate expirieren nun in Massen — nicht einzeln, sondern in ganzen Wellen. Ein abgelaufenes Zertifikat kann zu Kettenfehlern führen: Der unterstützte Service fällt aus, abhängige Anwendungen funktionieren nicht mehr, Monitoring-Tools auf der gleichen Infrastruktur versäumen die Warnung. Das Incident-Response-Team arbeitet ohne vollständiges Verständnis der Abhängigkeiten. Ein übersehenes Zertifikat-Ablaufdatum wird zur mehrstündigen oder ganztägigen Serviceunterbrechung — siehe Microsoft Teams 2020. Diese Ausfallart wird 2026 zeitgleich über Organisationen auftreten, die schnell wuchsen aber schlecht governer.
Das Problem ist keine Nachlässigkeit einzelner Teams, sondern ein Governance-Defizit in der Architektur. Die etablierten Werkzeuge für Identity Management — rollenbasierte Zugriffskontrolle, Privileged Access Management, Access Certification — sind für menschliche Identitäten konzipiert und skalieren nicht für nicht-menschliche Identitäten im Millisekunden-Takt.
Quelle: www.csoonline.com · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.