logo lineofbiz

So können Unternehmen nicht-menschliche Identitäten schützenTransparenz herstellen ist der erste Schritt

24. Juli 2025
AI, Artificial Intelligence and Illegal Use concept, Businessman watch out for cyber fraud, Deceived by the AI system from scammers, Fake websites, Banking, Data, Voice and face impersonation, Spam
Quelle: NongAsimo, Adobe Stockphoto

Nicht-menschliche Identitäten machen einen immer größeren Teil der zu verwaltenden Accounts in Unternehmen aus – und bilden somit einen enormen Angriffsvektor. Sicherheitsverantwortliche sollten die wichtigsten Aufgaben kennen, um die Anwendungssicherheit trotz dieses Trends zu gewährleisten.

Auf jeden menschlichen Account kommen im Schnitt etwa 20 „Non-human Identities“ (NHIs). Sie gewinnen für Cyber-Kriminelle als Angriffsvektor immer mehr an Bedeutung, denn sie verfügen – wie auch herkömmliche Benutzerkonten von Mitarbeitenden, Kunden oder Dienstleistern – über Rollen mit teils tiefgreifenden Handlungs- und Zugriffsberechtigungen.

Das Problem für Unternehmen ist, dass die Verwaltung dieser nicht-menschlichen Identitäten schon ob ihrer schieren Menge ein gewaltiger Kraftakt ist, den sie ohne passende Management-Tools praktisch nicht stemmen können: Dann kommt es zwangsläufig zur sogenannten Secrets Exposure, also der Offenlegung von Passwörtern, API- oder SSH-Schlüssel, sicherheitsrelevanter OAuth- oder JWT-Tokens und ähnlichen Zugangsdaten. Experten empfehlen Unternehmen, eine NHI-Sicherheitslösung einzusetzen, die deren AppSec-Teams bei den folgenden Aufgaben unterstützt:

  • Transparenz herstellen: Der Cybersecurity-Leitspruch „Man kann nicht schützen, was man nicht sieht“ hat – gerade in Bezug auf nicht-menschliche Identitäten – nichts an Aktualität eingebüßt. Um NHIs sicher nutzen zu können, ohne ein System für Hacker anfällig zu machen, muss Transparenz darüber herrschen, welche nicht-menschliche Identitäten überhaupt im Einsatz und welcher Art sie sind: Handelt es um APIs, Service-Accounts oder andere Entitäten? Zudem ist es essenziell, dass Unternehmen die Ownership dokumentiert, also welche menschlichen Mitarbeitenden die Verantwortung für welche NHIs tragen. Eine Sofortmaßnahme, die sich aus dieser ersten Analyse ableitet: alte und nicht mehr verwendete NHIs sollte das Anwendungssicherheitsteam sofort entfernen.
  • Risiko bewerten: Eine gute NHI-Sicherheitslösung hilft zudem bei der Einstufung der Kritikalität nicht-menschlicher Identitäten. In diesem Zusammenhang geht es vor allem darum, festzustellen, welche Systeme oder (sensible) Daten eine NHI überhaupt beeinflussen kann und welche potenziellen Angriffsszenarien und -flächen sich daraus ergeben. Public APIs, also öffentlich zugängliche Programmierschnittstellen, spielen beispielsweise eine besondere Rolle für die Sicherheit der gesamten Unternehmens-IT. Manche NHI-Sicherheitslösungen bewerten zudem die aktuell vorherrschenden Sicherheitsmaßnahmen und geben im Zweifel Handlungsempfehlungen für deren Verbesserung.
  • Sicherheitsmaßnahmen etablieren: Ist die Transparenz hergestellt und das Risiko aller NHIs bekannt, sollten Unternehmen passende Sicherheitsmaßnahmen implementieren. Es ergibt Sinn, dass die Verantwortlichen für die Anwendungssicherheit Richtlinien, Frameworks und Prozesse für den Umgang mit nicht-menschlichen Identitäten erstellen. Die Erkenntnisse aus den ersten beiden Evaluierungsphasen sind dafür die logische Grundlage. Zunächst gilt es, auch für NHIs eine rollen- oder attributbasierte Zugriffskontrolle zu etablieren. Nach dem Zero-Trust-Prinzip sollten NHIs lediglich die Rechte und Zugänge erhalten, die sie wirklich brauchen, um ihre Aufgabe zu erfüllen. Obligatorisch ist zudem der Einsatz von Sicherheitsprotokollen für die Authentifizierung (etwa Oauth2) sowie für die Kommunikation. Für die Transformation weg von reaktiven hin zu präventiver NHI-Sicherheit ist es zudem elementar, das Secrets-Management in CI/CD-Pipelines zu integrieren. Gute Sicherheitslösungen bieten automatisierte Tests, die die Konfigurationen für nicht-menschliche Identitäten daraufhin testen, ob ein Missbrauch möglich ist.
  • Monitoring implementieren: Ohne ständige Kontrollen bleiben die meisten Sicherheitsmaßnahmen wirkungslos. Daher ist es wichtig, dass Unternehmen ein Monitoring für NHIs implementieren – oder eine Sicherheitslösung verwenden, die es bereits nativ bereitstellt. Gute Lösungen dafür loggen sämtliche Aktivitäten nicht-menschlicher Identitäten und untersuchen sie in Verbindung mit den Kapazitäten von SIEM (Security Incident and Event Management)-Lösungen automatisiert auf Anomalien im Verhalten. Gibt es Auffälligkeiten, schlagen sie Alarm.

Neben der Umsetzung dieses Vier-Punkte-Plans gilt es für Unternehmen, die Mitarbeitenden an Bord zu holen. Dazu gehören Schulungen und Sensibilisierungstrainings, andererseits aber auch eine intelligente und intuitive Sicherheitslösung, die redundante Aufgaben des NHI-Managements automatisiert. Mit dem passenden Tooling haben AppSec-Teams zudem die nötige Transparenz und Informationsdichte, um komplexere Tasks effizienter durchzuführen und auf Bedrohungen schneller zu reagieren.

Jochen Koehler ist Vice President of Sales EMEA bei Cycode.

Cycode

Lesen Sie auch

engineer LoB This is Engineering

Hürden bremsen den Maschinenbau digital aus

computer LoB Linforth Pixabay

Revolution für kritische Bereiche

Component Installation and Quality Control of Circuit Board Ful

Nur wer Datenlücken schließt, kann das volle Potenzial der KI ausschöpfen