• Entwicklung/Architektur
  • Methoden
  • Programmiersprachen
• Betrieb
  • Künstliche Intelligenz
  • Datenbanken
  • Server
  • IT-Security
  • Speicher
  • Netzwerke
  • Virtualisierung
  • Verfügbarkeit
• Management und Recht
  • Projektmanagement
  • Digitalisierung
  • IT-Recht
  • IT-Selbständige
  • IT-Karriere
• Aktuelles
• Termine
• IT-Jobs

☰

• Entwicklung
• Betrieb
• Management und Recht
• News
• IT-Jobs
• Newsletter

Sebastian Rohr 07. Oktober 2025

KI im Identity-and-Access-Management – zwischen zusätzlichen Gefahren und neuen Chancen

Identitäten im Visier Cyber-Krimineller

Darüber, dass Sicherheit ein wertvolles Gut ist, sind sich wohl alle einig. Digitale Identitäten und die damit verbundenen Benutzerkonten und Berechtigungen stehen häufig im Fokus der kriminellen Akteure. Denn haben sich Angreifer diese Benutzerkonten und deren Credentials – etwa Passworte oder Zugriffstokens – erst einmal zu eigen gemacht, ist eine dezidierte Attacke in die Kategorie "Kinderspiel" einzuordnen. Werden also kritische Konten kompromittiert, können Angreifer sich oft unbemerkt durch Netzwerke bewegen, ihre Berechtigungen eskalieren, sensible Daten exfiltrieren und/oder verschlüsseln (die typische Ransomware mit sogenannter "double extortion") sowie kritische Dienste lahmlegen.
 Ein gestohlener Admin-Zugang reicht oft aus, um Cloud-Infrastrukturen zu manipulieren, Sicherheitsprotokolle zu umgehen oder sogar Lieferketten anzugreifen. Besonders tückisch: Die Spuren solcher Angriffe sind schwer zu erkennen, da Kriminelle mit gültigen, "legitimen" Rechten privilegierter Benutzer operieren.

Ergo stellen digitale Identitäten den Schlüssel zu Anwendungen, Daten und Systemen dar. Der aktuelle CyberArk-Report "2025 Identity Security Landscape" wirft daher auch in diesem Jahr einen genauen Blick auf die aktuellen Risiken und die Bereitschaft von Verantwortlichen, sich gegenüber diesen frühzeitig und ausreichend zu wappnen [1]. Dabei kommt er zugleich zu spannenden und erschreckenden Ergebnissen, die zum Nachdenken anregen.

Besonders relevant, um Schutz schaffen zu können, erscheint eine Erkenntnis: Identitäten hängen längst nicht mehr nur mit Personen zusammen. Laut Report treffen auf eine "menschliche" Identität bereits 80 Maschinen-Identitäten – oder neudeutsch "non-human identities" (NHI). In Organisationen fehlt das Bewusstsein hierfür – und letztlich verpassen sie es, Sicherheitsmaßnahmen für diese zu implementieren. Ein Fakt, den sich Cyber-Kriminelle zunutze machen. Leichtes Ziel sind sie, weil maschinelle Identitäten eben nicht im Cyber-Security-Fokus liegen, selten oder gar nicht mit MFA abgesichert sind und dennoch über weitreichende Rechte verfügen – etwa für API-Zugriffe, Automatisierung oder Deployment-Prozesse in eng getakteten CI/CD-Pipelines. 

Neun von zehn Unternehmen meldeten einen erfolgreichen identitätsbezogenen Angriff.

Kommt es zu einer erfolgreichen Attacke, lassen sich selbst kritische Prozesse für das "Infrastructure as Code"-Setup ganzer Cloud-Instanzen manipulieren, Softwarekomponenten in der Supply Chain mit Malware infizieren oder Backdoors darin etablieren – ohne dass der Angriff unmittelbar auffällt. Die schiere Masse dieser technischen Identitäten und Servicekonten in Kombination mit ihrer Dynamik erschweren zudem die Übersicht und Kontrolle – ein ideales Einfallstor, um unerkannt zu bleiben.  

Was der Report eindeutig bestätigt – neun von zehn Unternehmen meldeten einen erfolgreichen identitätsbezogenen Angriff. Davon waren wiederum knapp über 50 Prozent auf wiederholtes Phishing und Vishing zurückzuführen, was durch aktuelle Meldungen zu sogenannten Deep-Fake-Attacken in Telefon- oder Videokonferenzen noch verschlimmert wird.

Verstärkung durch KI-Nutzung

Mit dem zunehmenden Einsatz von KI-Technologien durch die Angreifer verändert sich die Lage fundamental. Die Bedrohung wird nicht weniger – sie nimmt viel eher zu. Auf der einen Seite bietet Automatisierung durch KI Angreifern neue Möglichkeiten, gezielte Identitätsattacken noch schneller, präziser und im großen Maßstab auszuführen. Angreifer nutzen sie zudem, um ihre Taktiken und Methoden zu verbessern – insbesondere beim Aufspüren von privilegierten Zugriffen oder bei der Erstellung überzeugender Phishing-Nachrichten. Die Zeiten schlechter Orthografie und Grammatik in Phishing-Texten sind endgültig vorbei!

Auf der anderen Seite wird der nötige Schutz bei der Unterstützung durch Künstliche Intelligenz meist vernachlässigt. Im Rahmen der CyberArk-Umfrage gaben 94 Prozent der Teilnehmer an, dass es KI-Tools und Large Language Models (LLM) an Security- und Identity-Kontrollen fehlt. Auch die Nutzung hinter dem Rücken der IT – wie es laut Report fast 40 Prozent der Mitarbeiter praktizieren – trägt zu Sicherheitsschwachstellen im Unternehmen bei. Da wiederum über 70 Prozent KI regelmäßig im Arbeitsalltag einsetzen, lässt sich das damit verbundene Sicherheitsrisiko erahnen.

KI wird zur doppelten Herausforderung. Sie beschleunigt nicht nur bestehende Risiken, sondern erweitert die Angriffsfläche durch neue, schwer kontrollierbare Systeme mit sensiblen Rechten. Für Unternehmen bedeutet das: Identitätssicherheit muss neu gedacht werden – proaktiv, kontinuierlich und KI-bewusst. Denn nur wer versteht, wie KI im IAM wirkt, kann sie gezielt und verantwortungsvoll einsetzen. Das beginnt mit einem soliden Grundverständnis dafür, was KI leisten kann – und was nicht.

Erfolgsbasis: Grundverständnis von KI im IAM

Herrscht ein KI-Bewusstsein, lässt sich die Technologie vielversprechend im Rahmen des Identity-and-Access-Managements einsetzen. Algorithmen analysieren Verhaltensdaten, erkennen Anomalien, geben Vorschläge für Zugriffsrechte aus und entlasten dadurch Security-Teams. Auf diese Weise nimmt IAM nicht nur an Effizienz zu, sondern auch an Dynamik – weg vom starren Rollenmodell, hin zur kontinuierlichen Zugriffsbewertung. Doch dieser Wandel muss gesteuert werden. Nur wenn der Mensch die Kontrolle behält, lässt sich KI im IAM wirksam und verantwortungsvoll in den Arbeitsalltag integrieren.

Somit steht fest: Automatisierte Systeme können Vorschläge generieren. Entscheidungen müssen aber Menschen fällen. Gerade bei sicherheitskritischen Prozessen ist eine menschliche Kontrollinstanz unerlässlich. Unternehmen sollten daher klare Leitlinien für den Einsatz von KI im IAM definieren: Wann darf die KI selbständig handeln? Wann ist eine Freigabe erforderlich? So lässt sich die Balance zwischen Automatisierung und Verantwortung wahren – und echter Mehrwert schaffen.

Denn KI im IAM eröffnet verschiedenste Potenziale, um die Mitarbeiter bei ihrer täglichen Arbeit effizient zu begleiten, Risiken frühzeitig zu erkennen und somit maximale Sicherheit zu gewährleisten. In der Praxis lassen sich bereits heute zahlreiche Szenarien identifizieren, in denen KI im IAM einen spürbaren Unterschied macht. Von der Anpassung (Reduktion) von Zugriffsrechten auf Basis der Auswertung aktueller und historischer Zugriffsmuster über kontextsensitive Rezertifizierungen bis hin zur Verwaltung kurzlebiger nicht-menschlicher Identitäten: Die Aufzählung zeigt, welche Szenarien im IAM denkbar sind – und welche Voraussetzungen dafür erfüllt sein müssen.

1. Usage-based Access: Zugriff nach Verhalten statt Rolle

Statt auf vordefinierte Rollen setzt Usage-based Access auf tatsächliches Nutzungsverhalten. Wer welche Daten, Anwendungen oder Systeme regelmäßig nutzt, bekommt passenden Zugriff – nicht mehr, nicht weniger. KI analysiert dazu historische Zugriffsmuster und schlägt die aktive Reduktion der Rechte einer Person oder der zugewiesenen Rolle vor. Das erhöht die Sicherheit, reduziert überprivilegierte Accounts und passt Zugriffe dynamisch an den Arbeitsalltag an, ohne dass Menschen sich um die manuelle Einhegung des Berechtigungsdschungels kümmern müssen.

Wo bislang etwa jedem Projektmanager standardmäßig ein breiter Satz an Rollen und Berechtigungen zugewiesen wurde, können diese jetzt viel feingranularer auf die konkreten Bedürfnisse angepasst werden – schneller und zielführender. Denn die KI analysiert das Nutzerverhalten und macht automatisch Vorschläge zum Ausschluss nicht mehr genutzter Anwendungen. Auch automatisierte Anpassungen bei Wechsel in Projekten oder zwischen den Abteilungen sind hier denkbar – werden stets die gleichen Zusatzrechte angefordert, kann die KI die Erweiterung der Rolle avisieren.

Überflüssige Berechtigungen gehören so der Vergangenheit an und das Sicherheitsrisiko reduziert sich deutlich. Neue Teammitglieder sind unmittelbar arbeitsfähig, da Rechte dynamisch an den Arbeitsalltag angepasst werden – ohne dass Administratoren jede nötige Änderung, ob Rechtevergabe oder -entzug – manuell steuern müssen.

2. Transparenz durch Explainable AI

Ein zentrales Problem vieler KI-Systeme: ihre Intransparenz. Im IAM ist das ein Sicherheitsrisiko. Denn jede Entscheidung muss im Zweifelsfall nachvollziehbar sein. Explainable AI (XAI) sorgt dafür, dass KI-gestützte Vorschläge erklärbar bleiben. Welche Daten lagen der Empfehlung zugrunde? Welche Regeln wurden angewendet? Nur wenn diese Fragen beantwortbar sind, kann KI im IAM Vertrauen schaffen und Audits bestehen.

Dafür bezieht sich KI wie im Fall "Usage-based  Access" auf historische Zugriffsmuster. Das heißt, Personen mit ähnlichen Aufgaben und Rechten werden miteinander verglichen. Dazu berücksichtigt sie Unternehmensrichtlinien, wobei alle Daten in einem übersichtlichen Protokoll dokumentiert werden. Am Ende gewinnen Unternehmen durch KI-gestütztes IAM also an Transparenz, einer soliden Dokumentation und einer verlässlichen Entscheidungsgrundlage.

Auch Maschinen-Identitäten brauchen einen menschlichen Eigentümer.

3. Sinnvolle Beschreibungstexte

In vielen Unternehmen sind Rechte, Rollen und andere "zu bestellende Elemente" im IAM-Umfeld von technischen Begriffen oder Abkürzungen durchzogen, die selbst bei Eingeweihten Fragezeichen auf der Stirn erzeugen. Wie soll ein Abteilungsleiter sinnvoll entscheiden, ob eine Rolle noch erforderlich ist oder ein Antrag mit gutem Gewissen genehmigt werden kann? KI hilft schon heute dabei, Berechtigungselementen auf allen Ebenen – von der Business-Rolle bis zum Einzelrecht auf Transaktionen im SAP – sprechende Namen zu geben, die auch für Laien verständlich und nachvollziehbar sind.

Statt "Buchstabensuppe" aus lauter unverständlichen Elementen blind zu bestätigen, kann der Entscheider einfach und schnell verstehen, was er da genehmigt oder ablehnt.

4. IAM für nicht-menschliche Identitäten

Konten für nicht-menschliche Identitäten – etwa Service Accounts, RPA Bots, Microservices oder für IoT-Geräte – machen heute, wie bereits erläutert, oft die Mehrheit aller digitalen Identitäten aus. Dennoch sind ihre Berechtigungen und vor allem ihre "Ownership" in vielen Fällen unklar geregelt. Wer ist verantwortlich? Wer überwacht sie? KI kann helfen, die unaufhaltsam wachsende Anzahl von NHIs im IAM zu verwalten: durch Regelwerke, Zugriffsmuster-Erkennung und kontinuierliche Überprüfung. Wichtig bleibt aber: Auch Maschinen-Identitäten brauchen einen menschlichen Eigentümer.

Setzt ein Industrieunternehmen beispielsweise für die Produktionssteuerung mehrere Hundert IoT-Sensoren ein, die automatisiert Daten erfassen und Maschinenprozesse steuern, herrschte bislang häufig Unklarheit: Wem "gehören" diese Konten? Die Berechtigungen jeder einzelnen NHI und Information, wer diese autorisiert hat und wer nun zuständig ist, blieben fragwürdig. Mit einer KI-gestützten Verwaltung von Machine Identities können Organisationen in Zukunft

• automatisch erkennen, welche Zugriffe eine NHI tatsächlich nutzt und benötigt,
• schneller ungenutzte Rechte identifizieren und entziehen bzw. blockieren,
• neue NHI mit eng begrenzten und gut dokumentierten Berechtigungen ausstatten und
• für jede Maschinen-Identität Vorschläge für den Verantwortlichen im System benennen.

5. Predictive Access Governance: Vom Blick zurück zur Prognose

IAM-Systeme, die auf KI basieren, können nicht nur vergangene Zugriffe analysieren – sondern auch zukünftige Rollenzuschnitte prognostizieren. Wer könnte nach der Umstrukturierung neue Rechte brauchen – welche bestehende Rolle muss eingegrenzt werden? Welche neuen Rechtekombinationen bergen Konflikte? Durch diese vorausschauende Governance lassen sich Verstöße vermeiden, bevor sie entstehen – ein echter Mehrwert im Compliance-Management.

Und auch die erforderlichen Berechtigungskonzepte bzw. die IST-Dokumentation der aktiven Konten und Rechte kann so automatisiert angepasst werden. Die Rezertifizierung ist erfolgt und acht Mitarbeitern wurde der Zugriff entzogen? Einem Admin wurden die Privilegien entzogen? Kein Problem! Änderungen können KI-gestützt in die Dokumentation übernommen werden – der Mensch braucht lediglich die Qualitätssicherung vor erneuter Veröffentlichung durchzuführen.

KI-Risiken kennen – Vorteile aktiv nutzen!

IAM und KI gehen also eine für Firmen wertvolle Verbindung ein – mit zahlreichen möglichen Synergieeffekten. Damit sich diese auch wirklich sicher und vertrauenswürdig nutzen lassen, müssen Verantwortliche jedoch im Vorfeld sicherstellen, dass sämtliche Gefahren bekannt und reduziert sind. Zu achten ist auf folgende Aspekte:

• Bias durch KI: Die Technologie bringt neue Risiken mit sich, die sich durch alte Muster ins Unternehmen einschleichen. Da KI aus historischen Daten lernt, lassen sich ungleich verteilte Rollen durch KI weiter zementieren. Deshalb braucht es Qualitätssicherung in den Trainingsdaten und Kontrollmechanismen im laufenden Betrieb. Auch hier ist Explainable AI hilfreich, um mögliche Verzerrungen frühzeitig zu erkennen.
• Automatisierung vs. Governance: Mitarbeiter lassen sich schnell dazu verleiten, KI unbedacht in die Organisationsprozesse einzubinden – ohne klare Richtlinien, teils als Schatten-IT. Doch der Grundsatz ist einfach: Je mehr Prozesse automatisiert werden, desto stärker muss Governance mitwachsen. Empfehlenswert ist es daher, KI in die Unternehmensstrategie zu integrieren und klare Leitlinien aufzuzeigen. Erst wenn IAM und KI als Governance-Projekt Beachtung erfahren, kann die Umsetzung sicher gelingen. Auch die Unternehmenskultur als Ganzes spielt hier hinein.
• Datenhoheit und/oder Intelligenz:  Gerade im IAM-Umfeld ist der Wunsch nach lokaler Kontrolle groß. Doch viele KI-Dienste setzen auf cloud-basierte Infrastruktur. Wie also lässt sich Intelligenz nutzen, ohne die Datenhoheit zu verlieren? Hybridmodelle oder On-Prem AI Engines können eine Lösung darstellen – ebenso wie pseudonymisierte Trainingsdaten oder Edge Intelligence. Der Anspruch: Kontrolle bewahren, ohne auf Fortschritt zu verzichten. Wer will schon eine öffentliche KI mit seinen hoch schützenswerten Berechtigungskonzepten füttern?
• Regulatorische Anforderungen: Ob DSGVO, NIS2 oder ISO-Normen – sie alle fordern Transparenz, Nachvollziehbarkeit und Verantwortlichkeit. Gut geplant eingesetzte KI kann diese Anforderungen erfüllen, vorausgesetzt die Anforderungen und Rahmenbedingungen wurden erhoben und dokumentiert. Tools zur Protokollierung, rollenbasierte Freigabemechanismen und regelmäßige Reviews durch menschliche Intelligenzen schaffen die notwendige Sicherheit.

IAM und KI: Mensch und Maschine im Einklang

Künstliche Intelligenz kann Identity-and-Access-Management auf ein neues Niveau heben: dynamisch, flexibel, vorausschauend. Doch das gelingt nur, wenn Technik, Organisation und Kultur zusammenspielen. IAM mit KI ist kein Produkt, sondern ein kontinuierlicher Prozess – mit dem Ziel, Sicherheit, Effizienz und Benutzerfreundlichkeit in Einklang zu bringen. Es ist Zeit, IAM intelligenter zu denken – gleichzeitig aber nicht an menschlicher Verantwortung einzusparen.

Autor