Auf den Punkt: Das Missverhältnis zwischen Machine-IDs und menschlichen Konten wächst in Cloud-nativen Umgebungen so stark, dass traditionelle IAM-Prozesse versagen und dadurch Sicherheitslücken entstehen.
In modernen Infrastrukturen kommen 10 bis 45 nicht-menschliche Identitäten auf jeden Mitarbeitenden — APIs, Service-Accounts, OAuth-Tokens und Container-Secrets entstehen unkontrolliert außerhalb etablierter Governance. Klassische Identity-and-Access-Management-Systeme sind für diese Massenproduktion von Maschinen-IDs nicht konzipiert.
Telemetriedaten von CyberArk und Analysen von Gartner belegen ein massives quantitatives Ungleichgewicht: Während ein Unternehmen etwa 1000 Mitarbeitende mit Konten verwaltet, entstehen gleichzeitig 10.000 bis 45.000 nicht-menschliche Identitäten. Dazu gehören Dienstkonten, API-Schlüssel, OAuth-Tokens, SSH-Schlüssel, Secrets in Containern und automatisierte RPA-Bots. Dieses Wachstum ist direkte Folge moderner Softwarearchitekturen: Eine Cloud-native Anwendung mit hunderten Microservices und Serverless Functions benötigt deutlich mehr eindeutige Identitäten als eine monolithische Legacy-Applikation mit einem zentralen Systemzugang.
Klassische Identitätsmanagementsysteme sind für diese Situation unvorbereitet. Sie sind strukturell darauf ausgerichtet, den Lebenszyklus von Menschen im Unternehmen abzubilden — Einstellung, Authentifizierung via Passwort oder Biometrie, Offboarding. Bei Nicht-Menschlichen Identitäten greifen diese Mechanismen nicht. Ein API-Token hat kein Gesicht, kann keine SMS-basierte Zwei-Faktor-Authentifizierung empfangen und durchläuft keinen HR-gesteuerten Onboarding-Prozess. Häufig fehlt diesen Konten ein eindeutiger menschlicher Eigentümer: Ein Entwickler erstellt ein Dienstkonto für ein kurzfristiges Skript, verlässt das Unternehmen oder das Projekt wird beendet — das Konto läuft im Hintergrund weiter, da es keine interaktiven Anmeldesitzungen erzeugt und daher in Standard-Anomalieerkennung nicht auffällt.
Das Governance-Risiko verschärft sich durch dezentrale Schatten-IT: Fachabteilungen nutzen Cloud-Dienste und Low-Code-Plattformen (Zapier, Make) sowie KI-Assistenten zur Automation, ohne zentrale IT-Beteiligung. Um Daten auszutauschen, generieren Anwender eigenständig API-Schlüssel in unternehmensinternen oder externen Anwendungen. Diese Secrets entstehen außerhalb jeglicher zentraler Kontrolle und Dokumentation. CISOs müssen daher ihre Strategie vom reinen Human-Identity-Management auf eine umfassende Maschinen-Identitäts-Governance umstellen — mit Inventarisierung, Lebenszyklusmanagement, Privileged-Access-Management und kontinuierlicher Überwachung dieser wachsenden Identitätsflut.
Quelle: www.it-daily.net · Erschienen 3. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.