"Non-human Identities" von AI-Agenten werden zu einer neuen Schwachstelle, die Unternehmen bewältigen müssen
AI-Agenten erzeugen eine enorme Anzahl von „Non-human Identities“ (nicht-menschlichen Identitäten), womit herkömmliche, für Menschen konzipierte Sicherheitssysteme nicht Schritt halten können und dadurch eine Angriffsfläche für Hacker schaffen.
Das Cybersicherheitsunternehmen Netwrix hat eine Analyse (in Form eines gesponserten Artikels auf BleepingComputer) veröffentlicht, die aufzeigt, dass das Wachstum von AI-Agenten bzw. autonom agierenden AI-Programmen eine große Herausforderung für die Sicherheitssysteme von Unternehmen darstellt. Diese Agenten sind wie „nicht-menschliche Mitarbeiter“, die eine Identität und Zugriffsrechte auf verschiedene Daten benötigen, doch die meisten Sicherheitssysteme sind ausschließlich für Menschen konzipiert. Dies führt zu einer schwer erkennbaren und verwaltbaren „Identity Security Gap“.
Daten der Non-Human Identity Management Group (NHIMG), einer Industriegruppe, zeigen, dass in vielen Unternehmen das Verhältnis von „Maschinenidentitäten“ (machine identities) zu menschlichen Benutzern bereits 50 zu 1 beträgt. Gleichzeitig ergab der eigene „2026 Data and Identity Security Report“ von Netwrix, dass Organisationen, in denen die AI-Nutzung die Anzahl der Identitäten erheblich gesteigert hat, eine Einbruchsrate (breach rate) von bis zu 43 % aufwiesen. Dies unterstreicht das erhöhte Risiko.
Eine Schwachstelle dieser Art ist bereits im Fall der Hackergruppe UNC6395 aufgetreten, die OAuth-Tokens (digitale Schlüssel zur Identitätsprüfung zwischen Apps) der Salesloft Drift-Anwendung nutzte, um in die Salesforce-Systeme mehrerer Unternehmen einzudringen. Dies zeigte, dass die Verbindung zwischen Anwendungen und AI-Agenten zu einer Hintertür für böswillige Akteure werden kann.
Dieser Trend wird auch von anderen Quellen bestätigt. Das Analyseunternehmen Gartner prognostiziert, dass bis 2029 über 50 % der erfolgreichen Angriffe auf AI-Agenten auf Schwachstellen in der Zugriffssteuerung (access control) basieren werden. Dies spiegelt wider, dass herkömmliche Strukturen des Identitäts- und Zugriffsmanagements (Identity and Access Management - IAM) für die AI-Ära nicht mehr ausreichen.
Während thailändische Unternehmen AI-Agenten zunehmend im Geschäftsbetrieb einsetzen, wird diese Schwachstelle der „Non-human Identities“ zu einem unmittelbaren Risiko, das zum Verlust wichtiger Unternehmensdaten und persönlicher Kundendaten führen könnte.