Licht und Schatten: Die zwei Seiten von KI im IAM

Sebastian Rohr,   Roland Baum  |
Licht und Schatten: Die zwei Seiten von KI im IAM

Licht und Schatten: Die zwei Seiten von KI im IAM.

Die Diskussion hält an und spaltet die Arbeitswelt. Die einen sehen in KI ein verlässliches Hilfsmittel. Die anderen bleiben skeptisch und zurückhaltend. Beide Sichtweisen haben ihre Berechtigung. Doch auf die Vorteile, die KI beispielsweise für Identity and Access Management mit sich bringt, müssen Unternehmen nicht verzichten. Was nötig ist, ist ein klares Verständnis von der neuen Technologie. 

Zusammenfassung (TL; DR):

  • Während der unkontrollierte Einsatz autonomer KI-Agenten neue Sicherheitslücken aufreißt, können dieselben Systeme als intelligente Werkzeuge das Identity and Access Management (IAM) entlasten.
  • Da KI-Agenten als neue, dynamische Identitätsklasse agieren, müssen Unternehmen sie konsequent in ihre IAM-Governance einbinden und nach dem Least-Privilege-Prinzip mit klaren Verantwortlichen und zeitlich begrenzten Rechten ausstatten.
  • Um folgenschwere Fehlentscheidungen im Sicherheitsbereich zu verhindern, darf die Technologie jedoch nur beratend und reportend eingesetzt werden, während die finale Freigabe stets durch menschliche Kontrollinstanzen erfolgen muss.

Künstliche Intelligenz ist omnipräsent – und spaltet die Lager. Mal gilt sie als strategischer Wachstumstreiber, mal als praktischer Produktivitätshelfer, mal als schwer kalkulierbares Risiko. Unterm Strich ist die Richtung klar: Der Einsatz generativer KI nimmt in deutschen Unternehmen zu. Laut Bitkom stufen 81 Prozent der Befragten sie sogar als wichtigste Zukunftstechnologie ein, was sich auch in höheren Investitionen in den Folgejahren niederschlagen wird.

Gleichzeitig trübt sich die Euphorie immer wieder. Schließlich sind Risiken durch KI-Einsatz durchaus relevant. Vor allem dort, wo Unternehmen KI unbedacht und einführen und unreguliert nutzen. Wo und wie soll die Technologie implementiert werden? Auf welche Daten, Systeme und Schnittstellen greift sie zu? Und im Kontext welcher Identität oder welcher Benutzerkonten greift KI auf Anwendungen, Schnittstellen und Informationen zu? Antworten auf diese Fragen bleiben meist offen. Damit fehlt es an einem strategisch sicheren KI-Einsatzplan mit kalkulierbaren Risiken.

KI hat auch Identitäten

Spätestens an diesem Punkt wird Künstliche Intelligenz zum Thema für Identity and Access Management, kurz IAM. Wenn KI nicht mehr nur Texte formuliert oder Daten zusammenfasst, sondern Unternehmen KI-Agenten aktiv in wertschöpfende Prozesse einbinden, entstehen neue Bedarfe für Zugriffe, neue Berechtigungen und neue Verantwortlichkeiten. Organisationen müssen deshalb klären, wer oder was auf welche Ressourcen zugreifen darf – und wie sich diese Zugriffe kontrollieren, begrenzen und nachvollziehen lassen, auch wenn das handelnde Subjekt ein KI-Agent ist.

Die KI wird also selbst zum Akteur, der über ein funktional erweitertes Identity and Access Management abgesichert werden muss. Als neue Identitätsklasse müssen Firmen KI-Agenten nicht nur schützen, sondern auch eng kontrollieren und bedarfsgerecht autorisieren. Hier herrscht in Organisationen bislang jedoch Wilder Westen. Da Teams neue KI-Tools schnell einführen, verpassen sie es, Governance-Anpassungen anzufragen und umzusetzen. Typische Schwachstellen sind dabei: unklare Verantwortlichkeiten, dauerhaft aktive Zugriffe, zu weitreichende Rechte, eine fehlende Protokollierung und keine ausreichende Trennung zwischen Identitäten von Mensch, Maschine und Agenten.

Verstehen, wie KI tickt

Um KI-Identitäten und Agenten absichern zu können, müssen Verantwortliche erst verstehen, wie diese entstehen und mit anderen Systemen zusammenarbeiten. Meist beginnt alles mit dem “ausprobieren” eines Agenten: Im Gegensatz zu klassischer Unternehmenssoftware wird dieser nicht nur einmal implementiert und arbeitet dann nach festen Regeln. Agenten werden oft mit den Konten und Berechtigungen ihres “Schöpfers” ausgestattet, wodurch sie direkt in viel mehr Prozesse und Systeme hinein Zugriff hat, als benötigt. Agenten übernehmen Aufgaben dynamisch, verknüpfen Informationen aus allen ihnen zur Verfügung stehenden Quellen und interagieren in  Echtzeit über Schnittstellen mit Anwendungen. Aus einem einfachen Assistenten wird so ein digitaler Akteur, der nicht Daten liest, Inhalte erstellt, Entscheidungen vorbereitet oder Aktionen auslöst.

Damit entstehen Identitäten schneller und vielfältiger. Neben menschlichen Nutzern und klassischen Servicekonten treten KI-Agenten, Bots, automatisierte Assistenten oder angebundene Tools auf die Bühne. Sie brauchen eigene Zugriffe, Rollen und Berechtigungen – zeitlich begrenzt, kontextabhängig und auf bestimmte Aufgaben zugeschnitten. Darin liegt die Herausforderung: Klassische IAM-Prozesse sind häufig auf stabile, klar zuordenbare Identitäten ausgelegt. KI-gestützte Prozesse sind dagegen dynamischer, vernetzter und schwerer vorhersehbar.

KI-Unterstützung im IAM

Neben dieser Herausforderung haben viele Unternehmen KI bereits als Entlastung im IAM identifiziert. Denn sie kann Berechtigungen wesentlich schneller analysieren, Rollen und Gruppen klassifizieren oder Auffälligkeiten in Zugriffsstrukturen erkennen. Herrschen Policy-Konflikte vor, geben sie Informationen direkt an Verantwortliche weiter. Unklare Gruppen kann sie sprechend benennen und erleichtert IAM- und Security-Experten somit die tägliche Arbeit. Auch beim Reporting unterstützt KI bereits häufig, indem sie Berichte automatisiert erstellt und Handlungsempfehlungen ausgibt.

Die Vorteile liegen auf der Hand: Die IT-Abteilung hat weniger manuelle Analysearbeit zu erledigen, erhält schnellere Einsicht in (überprivilegierte) Konten, kann Access Reviews durch KI-Unterstützung besser vorbereiten und gewinnt mehr Transparenz bei komplexen Rollen- und Gruppenlandschaften. Hier ist Vorsicht geboten. KI sollte niemals finale Entscheidungen treffen dürfen. Der Leitsatz: Der Mensch hat stets das letzte Wort bei Identitätsbelangen. Die Künstliche Intelligenz kann diese Entscheidungen vorbereiten – nicht mehr und nicht weniger.

Best Practice: Grenzen setzen

KI braucht Leitplanken, keine pauschalen Verbote. Wichtig ist lediglich, beide oben genannten Rollen sauber in die Strategie einzubeziehen. Unternehmen müssen KI einerseits als Werkzeug im IAM kontrolliert einsetzen und andererseits KI-Systeme selbst wie digitale Identitäten behandeln.

KI als Unterstützung für IAM-Teams benötigt klare Grenzen. Sie darf Berechtigungen analysieren, Rollen und Gruppen klassifizieren, Auffälligkeiten erkennen oder Reports vorbereiten. Die Bewertung und Freigabe sicherheitsrelevanter Entscheidungen müssen beim Menschen bleiben. Dafür legen Unternehmen fest, welche Daten die KI auswerten darf, wie Ergebnisse nachvollziehbar dokumentiert werden und ab wann eine menschliche Prüfung verpflichtend ist.

Gleichzeitig müssen sie KI-Agenten, Bots und automatisierte Assistenten selbst in die IAM-Governance einbinden. Dafür braucht jede KI-Identität einen eindeutigen technischen Namen, einen verantwortlichen Owner, einen definierten Zweck und klar begrenzte Berechtigungen. Auch für sie gilt das Least-Privilege-Prinzip: so viele Rechte wie nötig, so wenige wie möglich. Zugriffe sollten zeitlich begrenzt, Aktionen protokolliert und Berechtigungen regelmäßig überprüft werden. Wichtig ist außerdem ein sauberer Lifecycle. Unternehmen sollten bestimmen, wie sie KI-Identitäten anlegen, ändern, überprüfen und wieder deaktivieren. Andernfalls wird ein KI-Agent, der nach einem Projekt weiter Zugriff auf Datenquellen, Schnittstellen oder Anwendungen hat, schnell zum Sicherheitsrisiko.

Auf der Sonnenseite der KI

Mit KI profitieren Unternehmen doppelt: IAM-Teams werden bei Routineaufgaben entlastet. KI-Systeme selbst lassen sich besser kontrollieren. Aber nur dann, wenn die nötigen Leitplanken vorhanden sind. Organisationen sollten KI kontrolliert integrieren, klare Verantwortlichkeiten schaffen und IAM-Prinzipien konsequent auf neue digitale Akteure anwenden.

Autoren

  • Angriffsflächen reduzieren, Sicherheitsbewusstsein schärfen und Organisationen auf den Einsatz moderner Technologien vorbereiten – Sebastian Rohr hat sich digitalen Identitätsschutz rund um IAM, CIAM, PAM oder Supply Chain Security als Geschäftsführer von umbrella.associates  zum Beruf gemacht.

  • Roland Baum ist Geschäftsführer von umbrella.associates. Im Mittelpunkt seiner täglichen Arbeit mit Kunden steht die Beratung. Denn für geschützte Identitäten brauchen Unternehmen eine maßgeschneiderte Strategie.

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung

Das könnte Sie auch interessieren