Mit dem Siegeszug von KI-Agenten steigt die Zahl nicht-menschlicher Identitäten in Unternehmen rasant an. Für Angreifer sind sie besonders attraktiv, denn sie nutzen meist keine Multi-Faktor-Authentifizierung und werden kaum überwacht. Jede kompromittierte Maschinen-Identität öffnet Angreifern einen legitimen Zugang.
Für Cyberangreifer sind nicht-menschliche Identitäten sehr attraktiv: Sie nutzen oft keine MFA, werden seltener überwacht und ihre automatisierten Aktivitäten gehen im normalen Betrieb leicht unter.
Die Zeiten, in denen Hacker mit aufwendiger Schadsoftware in Netzwerke eindrangen, sind vorbei – heute loggen sich Angreifer schlicht mit gültigen Zugängen ein. Nach Erkenntnissen von CrowdStrike sind 79 Prozent der analysierten Sicherheitsvorfälle komplett frei von Malware. Der Verizon Data Breach Investigations Report bestätigt diesen Trend: 86 Prozent der Angriffe auf Webanwendungen erfolgen mit gestohlenen Zugangsdaten.
Diese Entwicklung markiert einen klaren Paradigmenwechsel. Während Unternehmen ihre Endpunkt- und Perimeter-Sicherheit kontinuierlich nachgeschärft haben, ist nun die Identitätsebene zur Achillesferse geworden. Angreifer nutzen kompromittierte Zugangsdaten, gefälschte Authentifizierungstokens oder MFA-Bypasses, um sich legitim in Netzwerken zu bewegen. Klassische Erkennungsmethoden, die primär auf Malware-Signaturen setzen, laufen ins Leere.
82 nicht-menschliche Identitäten pro Mitarbeiter
Besonders brisant wird die Lage durch eine oft übersehene Angriffsfläche: nicht-menschliche Identitäten (Non-Human Identities, NHIs). Dazu zählen API-Tokens, Service-Accounts, Zertifikate, Container und KI-Agenten. Laut CyberArk kommen auf jeden menschlichen Benutzer bereits heute 82 NHIs.
Für Angreifer sind NHIs aus mehreren Gründen attraktiv: Sie nutzen häufig keine Multi-Faktor-Authentifizierung, werden seltener überwacht und ihre automatisierten Aktivitäten gehen im normalen Betrieb unter. Hinzu kommt: NHIs haben oft weitreichende Berechtigungen. Ein Service-Account mit Lesezugriff auf sämtliche Datenbanken bietet nach einer Kompromittierung enormen Bewegungs- und Handlungsspielraum. Anders als bei menschlichen Accounts lassen sich NHIs zudem schwer widerrufen – sie sind langlebig, werden vergessen oder stützen sogar geschäftskritische Prozesse.
Agentische KI verschärft das Problem
Der Rubrik Zero Labs Report „Die Identitätskrise“ zeigt: 84 Prozent der befragten Unternehmen in Deutschland haben KI-Agenten bereits vollständig oder teilweise in ihre Identitätsinfrastruktur integriert. Diese neue Kategorie von NHIs vergrößert die Angriffsfläche erheblich. Mehr als die Hälfte der weltweit Befragten (58 Prozent) geht davon aus, dass agentische KI im kommenden Jahr für mindestens die Hälfte aller Cyber-Angriffe verantwortlich sein wird.
Ein Beispiel für die Gefährlichkeit: Bei den ToolShell-Angriffen im Juli 2025 stahlen vermutlich staatlich unterstützte Angreifer Geräteschlüssel, um sich auf lokalen SharePoint-Servern zu authentifizieren. Da Schlüssel langlebiger sind als Tokens, blieben die Hintertüren dauerhaft offen. Der Fall zeigt: Wer nach einem Vorfall nicht konsequent rotiert, gibt Angreifern freie Hand für langfristige Spähkampagnen.
Deutsche Unternehmen sehen Handlungsbedarf
Die Bedrohungslage ist in den Führungsetagen angekommen. In Deutschland stufen laut Zero Labs Report 87 Prozent der IT- und Sicherheitsverantwortlichen identitätsbezogene Angriffe als bedeutende Bedrohung ein. Weltweit sind es sogar 90 Prozent. Als größte Risiken nennen die deutschen Befragten gestohlene Zugangsdaten (28 Prozent), gefälschte Authentifizierungstokens (24 Prozent) und Social Engineering (20 Prozent).
Die Konsequenz: 86 Prozent der deutschen Unternehmen planen, in den nächsten zwölf Monaten Fachkräfte für Identity Management einzustellen. Zudem haben 70 Prozent der deutschen Befragten einen Wechsel ihres IAM-Anbieters eingeleitet oder planen diesen aktiv. International liegt dieser Wert bei 87 Prozent. Der Hauptgrund: stärkere Sicherheit (58 Prozent), gefolgt von besserer Integration (55 Prozent) und leichterer Verwaltung (54 Prozent). Damit rückt Identity Security von der IT-Disziplin zur geschäftskritischen Transformationsaufgabe auf.
Wiederherstellung: der blinde Fleck
Ein erfolgreicher Identitätsangriff verursacht nicht nur unmittelbaren Schaden. Er stellt Unternehmen vor ein zweites Problem: die Wiederherstellung. Laut IBM kostet ein Sicherheitsvorfall mit kompromittierten Zugangsdaten durchschnittlich 4,67 Millionen US-Dollar. Bei einem vollständigen Systemstillstand können sich die Ausfallkosten nach Informationen der ISACA auf bis zu 6.000 US-Dollar pro Minute summieren.
Die Zahlen des Rubrik-Reports sind ernüchternd: 43 Prozent der Unternehmen benötigen zwischen 25 und 48 Stunden, um ihre Identitätsinfrastruktur nach einem Angriff wiederherzustellen. Weitere 19 Prozent rechnen mit mehr als zwei Tagen, 13 Prozent sogar mit ein bis vier Wochen. Erschwerend kommt hinzu: 54 Prozent der Unternehmen setzen bei der Wiederherstellung individueller Identitäten noch auf manuelle Prozesse.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das Vertrauen in die eigene Reaktionsfähigkeit sinkt entsprechend. 2024 trauten noch 43 Prozent der Befragten sich zu, sich innerhalb von maximal zwölf Stunden vollständig von einem Cyber-Vorfall zu erholen. 2025 waren es nur noch 28 Prozent. Die Schere zwischen Angriffsrealität und Resilienzfähigkeit öffnet sich und zeigt: Handeln ist dringend geboten.
Drei Säulen der Identitätsresilienz
Aus diesen Erkenntnissen lassen sich konkrete Handlungsfelder ableiten:
1. Transparenz herstellen: Unternehmen brauchen vollständige Sichtbarkeit über alle Identitäten – menschliche wie nicht‑menschliche. Welche Systeme sind betroffen, wenn ein Cloud‑API‑Schlüssel kompromittiert wird? Lässt sich bei einer Übernahme eines Admin‑Accounts sofort eine erneute Authentifizierung erzwingen? Ohne Echtzeit‑Transparenz über hybride Identitätsumgebungen fehlt die Grundlage für eine wirksame Incident Response.
2. Identität als Perimeter denken: Identitäten sind der neue Kontrollpunkt. Jede Zugriffsanfrage – ob aus dem internen Netzwerk oder von außen – erfordert Authentifizierung, Autorisierung und Verschlüsselung. In der Praxis bedeutet das: starke Multifaktor-Authentifizierung, bedingte Zugriffsrichtlinien, Least‑Privilege‑Prinzip und Just‑in‑Time‑Zugriffsrechte, die nach Aufgabenabschluss automatisch wieder entzogen werden.
3. Wiederherstellung absichern: Die Resilienz der Identitätsinfrastruktur muss gezielt aufgebaut werden. Sichere Offline‑Backups von Active‑Directory‑Daten und Cloud‑Verzeichnissen ermöglichen eine schnelle Rekonstruktion im Ernstfall. Wer Wiederherstellungsschritte synchron mit Sicherheitsmaßnahmen plant und regelmäßig in Krisensimulationen testet, reduziert Ausfallzeiten und finanzielle Folgeschäden erheblich. Automatisierte Playbooks für Schlüssel‑ und Token‑Rotation, zügiges Sperren von Service‑Accounts und die Wiederherstellung kritischer Vertrauensanker sind dabei zentral.
Fazit: Identitäten als strategische Priorität
Die Zahlen des Rubrik Zero Labs Reports machen deutlich: Identitäten sind längst nicht mehr nur ein Verwaltungsthema der IT-Abteilung. Sie bilden die zentrale Kontroll- und Vertrauensebene moderner Unternehmensinfrastrukturen – und damit ein bedeutendes Angriffsziel. Wer Cyber-Resilienz strategisch aufbauen will, muss Identitätsresilienz in den Mittelpunkt stellen. Das gilt umso mehr, je stärker agentische KI und andere NHIs den Arbeitsalltag prägen.
Über den Autor: Frank Schwaak ist Field CTO EMEA bei Rubrik.