Maschinelle Identitäten: Deutsche Unternehmen unzureichend vorbereitet

Schnell wachsende Anzahl erschwert es den Firmen den Überblick zu behalten

[datensicherheit.de, 15.03.2025] In den meisten deutschen Unternehmen gibt es deutlich mehr maschinelle als menschliche Identitäten, und diese Schere wird in den kommenden Monaten noch weiter auseinandergehen. Beim Schutz der maschinellen Identitäten tun sich die Unternehmen jedoch schwer – mehr als ein Drittel hat bereits Probleme damit, einen Überblick über sie zu erhalten. Das führt unter anderem zu Verzögerungen bei der Bereitstellung neuer Anwendungen, zu Compliance-Verstößen und zu IT-Störungen, die die Kundenbeziehung negativ beeinflussen, wie aus dem 2025 State of Machine Identity Security Report von CyberArk hervorgeht.

Starke Zunahme unter anderem durch Verbreitung von Künstlicher Intelligenz

Maschinenidentitäten inklusive Zertifikate, Schlüssel, Secrets und Zugriffstoken nehmen durch die Verbreitung von Künstlicher Intelligenz (KI), cloudbasierte Innovationen und kürzere Lebenszyklen der Identitäten rasant zu. Unternehmen können mit dieser Entwicklung nur schwer Schritt halten. Zusätzlich bergen isolierte Ansätze zur Sicherung von Maschinenidentitäten ihre eigenen Risiken. Der Report zeigt die geschäftlichen Auswirkungen auf, die entstehen, wenn Maschinenidentitäten nicht effektiv gesichert werden, sodass Unternehmen anfällig für kostspielige Ausfälle und Sicherheitsverletzungen sind. CyberArk befragte mehr als 1.200 Sicherheitsverantwortliche in Deutschland, Frankreich, Großbritannien, den USA, Australien und Singapur.

Die wichtigsten Erkenntnisse im Überblick

Die Häufigkeit von Ausfällen steigt dramatisch an: Fast drei Viertel (73 %) der Befragten hatten im vergangenen Jahr mindestens einen zertifikatsbedingten Ausfall zu verzeichnen. Bei 66 Prozent kommt es zu monatlichen und bei 38 Prozent sogar zu wöchentlichen Ausfällen.

• Kompromittierte Maschinenidentitäten haben erhebliche Auswirkungen auf die Geschäftsabläufe: Fast die Hälfte (48 %) der deutschen Security-Entscheider berichtet von Sicherheitsvorfällen im Zusammenhang mit kompromittierten Maschinenidentitäten im vergangenen Jahr. Die Auswirkungen reichten von Verzögerungen bei der Bereitstellung neuer Anwendungen (48 %) über Ausfälle und Störungen, die die Kundenbeziehung beeinträchtigten (41 %), bis hin zu nicht autorisiertem Zugriff auf sensible Daten und Netzwerke (26 %).
• Die Zahl maschineller Identitäten wächst rasant: In drei Viertel der deutschen Unternehmen gibt es bereits mindestens doppelt so viele maschinelle wie menschliche Identitäten. Bei einem Viertel sind es sogar mindestens zehnmal so viele. Und ein Ende des Wachstums ist nicht in Sicht: Mehr als drei Viertel (77 %) der Security-Entscheider erwarten, dass die Zahl der maschinellen Identitäten in den nächsten zwölf Monaten um bis zu 150 Prozent steigen wird.
• KI sorgt für Herausforderungen beim Schutz maschineller Identitäten: Zwei Drittel der Security-Entscheider stimmen der Aussage zu, dass die schnelle Einführung von KI und Cloud-nativen Technologien die Komplexität und Risiken, die maschinelle Identitäten mit sich bringen, erhöhen. 73 Prozent glauben zudem, dass Maschinenidentitäten eine entscheidende Rolle dabei spielen werden, zukünftige KI-Anwendungen sicher zu betreiben – nicht zuletzt angesichts der wachsenden Bedeutung von KI-Agenten. 72 Prozent geben an, dass der Schutz vo n KI-Modellen vor Manipulation und Diebstahl bedeutet, dass die Authentifizierung und Autorisierung von Maschinenidentitäten stärker berücksichtigt werden müssen.
• Die Programme für Machine Identity Security sind noch nicht ausgereift: Zwar haben 89 Prozent der deutschen Unternehmen bereits irgendeine Form von Identity-Security-Programm für Maschinenidentitäten implementiert, doch meist sind diese noch nicht ausgereift – die Mehrzahl der Unternehmen hat Schwierigkeiten, maschinelle Identitäten zu verwalten. 36 Prozent tun sich schwer damit, ein korrektes Inventar aller Maschinenidentitäten anzulegen. 31 Prozent haben keinen Überblick, wie die Identitäten genutzt werden. Und 29 Prozent sind nicht in der Lage, Maschinenidentitäten schnell zu widerrufen und zu ersetzen.
• Große Sorgen um die Sicherheit von Maschinenidentitäten: Fast die Hälfte (45 %) der deutschen Security-Entscheider fürchtet, dass Angreifer gestohlene Maschinenidentitäten nutzen könnten, um manipulierte Updates zu verbreiten, sich zusätzliche Berechtigungen zu sichern oder Man-in-the-Middle-Angriffe durchzuführen. 42 Prozent der Befragten sorgen sich, dass das Fehlen einer kohärenten Sicherheitsstrategie für maschinelle Identitäten zu Lücken im Schutz führen könnte. Und 31 Prozent stehen vor Herausforderungen aufgrund der immer kürzeren Lebenszyklen von maschinellen Identitäten – unter anderem durch das Bestreben von Anbietern wie Google und Apple, die Gültigkeitsdauer von Zertifikaten zu verkürzen.
• Silo-Ansatz zur Absicherung von Maschinenidentitäten verursacht Risiken: Wo mehrere Tools zur Sicherung von Maschinenidentitäten in Unternehmen eingesetzt werden, entstehen Ineffizienzen, Risiken und Verwaltungsprobleme. So wurde im Report festgestellt, dass die Zuständigkeiten für die Prävention von Kompromittierungen im Zusammenhang mit Maschinenidentitäten auf die Teams für Sicherheit (51 %), Development (26 %) und Plattformen (18 %) verteilt sind.

„Die Zahl maschineller Identitäten wird weiter schnell wachsen, was nicht nur die Komplexität erhöht, sondern auch das Risiko“, betont Michael Kleist, Area Vice President CEE bei CyberArk. „Cyberkriminelle haben es zunehmend auf Maschinenidentitäten abgesehen – von API-Schlüsseln bis hin zu Code-Signatur-Zertifikaten – um Schwachstellen auszunutzen, Systeme zu kompromittieren und kritische Infrastrukturen zu stören. Diese Studie unterstreicht die Dringlichkeit für Sicherheitsverantwortliche, eine umfassende, durchgängige Sicherheitsstrategie für Maschinenidentitäten zu entwickeln, die sich mit den wichtigsten nicht-menschlichen Identitäten befasst, um potenzielle Angriffe und Ausfälle zu verhindern – insbesondere, da die Zahl der KI-Agenten weiter steigt.“

Weitere Informationen zum Thema:

CyberArk
2025 State of Machine Identity Security Report

datensicherheit.de, 04.04.2024
Bedeutung des Identitätsmanagements: Identity Management Day 2024 soll Authentizität und Sicherheit betonen

datensicherheit.de, 12.03.2025
Sysdig Usage Report zeigt: 40.000-mal mehr maschinelle als menschliche Identitäten