Security
10 min read
950 views

Machine Identity Bankruptcy: Die Identitätskrise, Über die Niemand Redet

IT
InstaTunnel Team
Published by our engineering team
Machine Identity Bankruptcy: Die Identitätskrise, Über die Niemand Redet

Im digitalen Landschaft von 2026 hat eine stille Revolution ihren Wendepunkt erreicht. Seit Jahrzehnten war Cybersicherheit eine menschzentrierte Disziplin. Wir haben uns auf Multi-Faktor-Authentifizierung (MFA), Passwortkomplexität und Nutzerverhalten konzentriert. Doch während wir die Haustür bewachten, schlichen sich eine stille Armee von Bots, Service-Accounts und KI-Agenten durch die Lüftungsschächte.

Heute sind die Statistiken beeindruckend. Laut Entro Security’s NHI & Secrets Risk Report übertreffen nicht-menschliche Identitäten jetzt die menschlichen Mitarbeiter bei einem Verhältnis von 144 zu 1 — ein Anstieg um 56 % gegenüber dem Verhältnis von 92:1 im ersten Halbjahr 2024. ManageEngine’s Identity Security Outlook 2026 ergab, dass fast die Hälfte der befragten Organisationen Machine-to-Human-Verhältnisse über 100:1 berichten, in manchen Branchen sogar bis zu 500:1.

Diese Explosion hat zu einem Zustand der Identity Bankruptcy geführt — ein kritischer Schwellenwert, bei dem die Identitätsverbreitung einer Organisation so komplex geworden ist, dass eine Überprüfung, Verwaltung oder Sicherung mathematisch und operativ unmöglich ist. In diesem Artikel untersuchen wir die Mechanismen der Krise, die Gefahr von “Lenient IAM” und warum Ihre Maschinenkonten jetzt die Hauptziele für laterale Bewegungen sind.

Die große Umkehrung: Warum die Maschinen das Zahlenrennen gewonnen haben

Um die Identity Bankruptcy zu verstehen, müssen wir zuerst nachvollziehen, wie wir hierher gekommen sind. Im Jahr 2020 lag das durchschnittliche Verhältnis von Maschine zu Mensch bei etwa 5:1. Bis zum ersten Halbjahr 2024 stieg es auf 92:1. Die Daten von Entro Security aus Mitte 2025 setzen es bei 144:1 an, ohne Anzeichen einer Verlangsamung. Das jährliche Wachstum von 44 % bei NHIs wird durch drei Hauptfaktoren angetrieben.

Die Microservices-Explosion. Eine einzelne monolithische Anwendung hatte einst eine Identität. Heute ist diese Anwendung in Dutzende Microservices aufgeteilt, jeder mit eigener Workload-Identität, um mit Datenbanken, Caches und anderen Diensten zu kommunizieren. Eine einzige Deployment-Pipeline kann in 20 Minuten mehr Maschinenidentitäten erstellen als ein ganzes Unternehmen menschliche Nutzer hat.

Der Aufstieg der Agenten-KI. Wir verwenden nicht mehr nur KI — wir setzen KI-Agenten ein. Diese Agenten erledigen Aufgaben autonom: Reisen buchen, Cloud-Infrastruktur verwalten, Code triagieren, Kundenakten aus Salesforce ziehen, Repositories committen. Microsoft Copilot hat Zugriff auf Ihren SharePoint. GitHub Copilot kann in Ihren Repos committen. Jeder Agent benötigt eine Reihe von Berechtigungen — Tokens, API-Schlüssel — die als digitale ID fungieren. CyberArk’s 2025 Identity Security Landscape-Bericht fand heraus, dass 68 % der Organisationen keine speziellen Sicherheitskontrollen für KI-Identitäten haben, und erwartet wird, dass KI im Jahr 2025 die größte Anzahl an neuen Identitäten mit privilegiertem und sensiblen Zugriff schafft.

Ephemere Infrastruktur. In einer cloud-nativen Welt leben Server Minuten, nicht Monate. Jedes Mal, wenn ein Kubernetes-Pod beim Auto-Scaling hochfährt, wird eine neue Identität geboren. Jede GitHub Actions-Workflow generiert Tokens. Jede Terraform-Ausführung erstellt Service-Principal-Identitäten.

Die Anatomie einer Maschinenidentität

Im Gegensatz zu einem menschlichen Nutzer hat eine Maschinenidentität — oft Non-Human Identity (NHI) genannt — kein Gesicht, keinen physischen Standort oder einen vorhersehbaren 9-bis-5-Plan. Sie besteht aus:

  • Secrets: API-Schlüssel, OAuth-Tokens und SSH-Schlüssel.
  • Zertifikaten: TLS/SSL-Zertifikate für verschlüsselte Kommunikation.
  • Service Principals: Cloud-native Identitäten, die von Anwendungen genutzt werden, um auf Ressourcen wie AWS S3 oder Azure Key Vault zuzugreifen.

Diese Identitäten bestehen unbegrenzt, es sei denn, sie werden explizit widerrufen. Im Gegensatz zu Mitarbeitenden haben sie keine natürlichen Lebenszyklus-Trigger — kein Rücktritt, kein Ruhestand, kein HR-Offboarding-Prozess. Entro’s Forschung ergab, dass fast die Hälfte aller NHIs älter als ein Jahr ist, und 7,5 % zwischen fünf und zehn Jahre alt sind. Eines von tausend NHIs ist älter als ein Jahrzehnt, oft überlebt es die Entwickler, die sie erstellt haben.

Definition “Identity Bankruptcy”

Identity Bankruptcy ist der Punkt ohne Rückkehr für ein Sicherheitsteam. Es tritt ein, wenn das Volumen an Identitäten und die Komplexität ihrer Berechtigungen die Fähigkeit der Organisation übersteigen, sie zu verifizieren.

Wenn eine Organisation diesen Schwellenwert erreicht:

Auditierbarkeit geht verloren. Fragen Sie: “Wer hat Zugriff auf unsere Kundendatenbank?” und die Antwort ist eine Liste von Hunderten menschlicher Nutzer und Zehntausenden von Service-Accounts. Die Menschen können auditiert werden. Die Bots nicht.

Sichtbarkeit ist fragmentiert. Identitäten existieren in Silos — AWS, Azure, GitHub, Salesforce, interne Kubernetes-Cluster — ohne eine einzige Quelle der Wahrheit. ManageEngine’s 2026-Bericht fand, dass 70 % der Befragten sagen, Identitätssilos seien eine Hauptursache für organisationale Cybersicherheitsrisiken.

Governance wird umgangen. Entwickler, unter Druck, Code zu liefern, erstellen “temporäre” Service-Accounts mit Admin-Rechten, die nie gelöscht werden. Veza’s Forschung maß über 230 Milliarden Berechtigungen in Unternehmensdaten, was zu dauerhaften blinden Flecken führt. Berechtigungen, die als sicher und konform gelten, sanken von 70 % im Jahr 2024 auf nur 55 % im Jahr 2025, während unreglementierte Berechtigungen von 5 % auf 28 % stiegen.

Privilegien sind katastrophal konzentriert. Entro’s Daten zeigen, dass nur 0,01 % der Maschinenidentitäten — etwa 2.188 Konten in ihrer Datenbank — 80 % der Cloud-Ressourcen kontrollieren. Wenn eines dieser Konten kompromittiert wird, besitzt ein Angreifer effektiv die gesamte Umgebung.

“Wenn nicht-menschliche Identitäten die menschlichen bei Größenordnungen übertreffen, kollabieren traditionelle Governance-Ansätze. Organisationen müssen grundlegend überdenken, wie sie diese Identitäten verwalten und sichern, bevor das Ausmaß unkontrollierbar wird.” — Ramanathan Kannabiran, Director of Product Management, ManageEngine

Die “Lenient IAM” Falle: Der Spielplatz für Angreifer

Das gefährlichste Nebenprodukt dieser Krise ist Lenient IAM — Praktiken im Identity and Access Management, die Sicherheit für Verfügbarkeit opfern.

Maschinen beschweren sich nicht, wenn sie keinen Zugriff auf eine Datei haben; sie zerlegen die gesamte Deployment-Pipeline. Um “Permission denied”-Fehler zu vermeiden, die die Produktion stoppen, setzen viele Organisationen auf Überberechtigungen. Entro Security’s 2025 State of Non-Human Identities-Bericht ergab, dass 97 % der NHIs übermäßige Privilegien haben — eine fast universell defekte Basislinie.

Der Unterschied in der Behandlung menschlicher versus maschineller Identitäten ist deutlich:

Feature Menschliche Identität Maschinenidentität (NHI)
Typische Berechtigungen Eingeschränkt (Least Privilege) Breit (Oft ‘Owner’ oder ‘Admin’)
Authentifizierung MFA / Biometrie Statische Secrets / Tokens
Lebenszyklus Onboarding/Offboarding durch HR Erzeugt durch Skript / Oft verwaist
Überwachung Hoch (UEBA / Verhaltenstracking) Niedrig (Oft in Logs ignoriert)
Rotation Regelmäßige Passwort-Resets 71 % nicht innerhalb empfohlener Zeiträume rotiert

Angreifer haben erkannt, dass das Eindringen in einen menschlichen Nutzer mit MFA schwierig ist. Aber ein Service-Account ist eine Goldgrube — immer aktiv, oft überprivilegiert und selten überprüft.

Das Ausmaß der Geheimnis-Exposition

Das Problem ist nicht nur, dass Maschinenidentitäten existieren — es ist, dass ihre Anmeldeinformationen in großem Maßstab falsch gehandhabt werden.

Entro’s 2025-Forschung ergab, dass 44 % aller Tokens aktiv in der Wildnis exponiert sind, zirkulieren auf Plattformen wie Microsoft Teams, Jira-Tickets, Confluence-Seiten und Code-Commits. Während Quellcode mit 57 % die führende Quelle für exponierte Geheimnisse bleibt, tauchen fast die Hälfte aller exponierten Geheimnisse außerhalb von Code-Repositories auf: 26 % aus CI/CD-Workflows und weitere 14 % aus Kollaborations- und Messaging-Tools.

Der Angriff auf die populäre tj-actions GitHub Action im März 2025 zeigt dies exemplarisch. Angreifer nutzten ein gestohlenes persönliches Zugriffstoken, um schädlichen Code einzuschleusen, der still und heimlich Geheimnisse aus CI/CD-Logs bei mehr als 23.000 Repositories exfiltrierte. Die Ursache war eine unmanaged, unüberwachte Maschinenidentität.

Über 80 % der Organisationen haben aufgrund kompromittierter Maschinenidentitäten einen Cybervorfall erlebt. Doch die Lehren werden nicht schnell genug umgesetzt.

Der Kill Chain für laterale Bewegungen

Im Jahr 2026 hat sich die Angriffskette grundlegend verschoben. Angreifer müssen nicht mehr nur einen CEO per Phishing angreifen. Stattdessen zielen sie auf Entwickler, um Zugriff auf eine CI/CD-Pipeline oder ein Code-Repository zu erhalten. Sobald sie drin sind, suchen sie nach Maschinengeheimnissen.

Stufe 1: Geheimnis-Entdeckung. Automatisierte Tools scannen nach hartcodierten API-Schlüsseln im Code, Umgebungsvariablen oder falsch konfigurierten Geheimnis-Speichern. Da 62 % aller Geheimnisse dupliziert und an mehreren Orten gespeichert sind, haben Angreifer mehrere Chancen, sie zu finden.

Stufe 2: Der Bot-Hijack. Der Angreifer findet ein Service-Account, das für “Logging” genutzt wird. Aufgrund von Lenient IAM hat dieses Logging-Konto auch Lesezugriff auf einen S3-Bucket mit sensiblen Kundendaten — ein klassischer Fall von Privilegien-Creep, den niemand bemerkt hat.

Stufe 3: Laterale Bewegung. Mit der gekaperten Maschinenidentität bewegt sich der Angreifer seitlich durch das Netzwerk. Der Datenverkehr zwischen Maschinen wird selten auf anomales Verhalten geprüft, was Exfiltration oder Privilegien-Erweiterung mit minimalem Entdeckungsrisiko ermöglicht.

Konkrete Folgen werden heute in Hunderten Millionen Pfund gemessen. Die Sicherheitsverletzungen bei Jaguar Land Rover und Marks & Spencer im Jahr 2025 entstanden beide durch kompromittierte nicht-menschliche Identitäten in Partner-Systemen — Service-Accounts, API-Schlüssel und Drittanbieter-Zugriffs-Tokens, die nie richtig verwaltet, rotiert oder überwacht wurden. Der JLR-Vorfall führte zu einem vollständigen globalen Produktionsstillstand, der über vier Wochen dauerte.

OWASP hat dies erkannt. Seine Top 10 der Risiken für nicht-menschliche Identitäten 2025 listet unsachgemäßes Offboarding als Nummer eins — was die fundamentale Lücke widerspiegelt: Organisationen haben keinen systematischen Prozess zur Deprovisionierung von Maschinenidentitäten, wenn Dienste eingestellt oder Integrationen beendet werden.

Über die menschzentrierte Sicherheit hinaus: Das Framework 2026

Wenn die Mehrheit Ihrer Identitäten Maschinen sind, muss Ihre Sicherheitsstrategie das widerspiegeln. Wir müssen den “User-First”-Ansatz hinter uns lassen und Machine Identity Management (MIM) als Kernpfeiler des Sicherheitsprogramms etablieren.

1. Umstellung auf Zero Standing Privileges (ZSP)

Statische API-Schlüssel sind die Passwörter der Maschinenwelt und müssen abgeschafft werden. Führende Organisationen setzen auf Just-in-Time (JIT) machine identities — ein Bot erhält ein Token, das genau 60 Sekunden gültig ist, um seine Aufgabe zu erfüllen, danach verfällt das Token automatisch. Damit entfällt das Konzept eines immer-aktiven Credentials, das gestohlen und unendlich wiederverwendet werden kann.

2. Machine Behaviour Analytics

Genauso wie UEBA-Systeme einen menschlichen Nutzer erkennen, der sich plötzlich aus einem fremden Land einloggt, müssen wir erkennen, wann eine Maschinenidentität beginnt, APIs aufzurufen, die sie zuvor nie genutzt hat. Wenn ein Druckdienst plötzlich Datenbanklöschrechte anfordert, sollte das System diese Identität sofort isolieren. CyberArk’s 2025 Landscape-Bericht bestätigt, dass KI-gestützte Anomalieerkennung heute ein entscheidender Differenzierer für Organisationen ist, die NHIs verwalten.

3. Rigoroses Lifecycle-Management

OWASP’s Top-Risiko — unsachgemäßes Offboarding — ist vollständig vermeidbar. Jede Maschinenidentität muss einen menschlichen Eigentümer haben. Wenn dieser das Unternehmen verlässt, muss die Identität markiert werden. Automatisierte Tools sollten kontinuierliche Überprüfungen durchführen, um verwaiste Konten zu identifizieren und zu isolieren, insbesondere solche mit administrativen oder Wildcard (*) Berechtigungen.

4. Automatisierung des Identitätsinventars

Sie können nicht sichern, was Sie nicht sehen. Die Wiederherstellung von Identity Bankruptcy beginnt mit einer automatisierten Inventarisierung in drei Phasen:

  • Entdecken: Scannen Sie jede Cloud- und On-Premises-Umgebung nach NHIs, inklusive Shadow-Identitäten, die außerhalb offizieller Prozesse erstellt wurden.
  • Klassifizieren: Bestimmen Sie, was jede Identität tut, worauf sie zugreift und wem sie gehört.
  • Bereinigen: Löschen Sie verwaiste Identitäten und erzwingen Sie Rotationsrichtlinien. 71 % der NHIs werden derzeit nicht innerhalb der empfohlenen Zeiträume rotiert — diese Zahl muss auf nahezu null sinken.

5. Secrets nach links verschieben — aber nicht halbherzig

43 % aller exponierten Geheimnisse tauchen außerhalb des Quellcodes auf. Die Integration von Geheimnis-Scanning in CI/CD-Pipelines ist Grundvoraussetzung, aber Organisationen müssen diese Abdeckung auf Kollaborationstools, Messaging-Plattformen und andere Orte ausweiten, an denen Entwickler Kontext teilen. Jira-Tickets, Slack-Nachrichten und SharePoint-Dokumente leaken aktiv Zugangsdaten.

Ist Ihre Organisation bereits bankrott?

Prüfen Sie die folgenden Indikatoren, um Ihr aktuelles Risiko einzuschätzen:

  • [ ] Haben Sie mehr Service-Accounts als Mitarbeitende?
  • [ ] Sind mehr als 10 % Ihrer API-Schlüssel dauerhaft (ohne Ablaufdatum)?
  • [ ] Können Sie den menschlichen Eigentümer jedes Service-Principal in Ihrer Cloud identifizieren?
  • [ ] Ist Geheimnis-Scanning in Ihre Entwicklungs-Pipeline und Ihre Kollaborations-Tools integriert?
  • [ ] Wird der maschinen-zu-maschinen Datenverkehr in Ihre Sicherheitsüberwachung und Anomalieerkennung einbezogen?
  • [ ] Haben Sie einen formellen Deprovisionierungsprozess für Maschinenidentitäten, wenn Projekte beendet oder Entwickler das Unternehmen verlassen?

Wenn Sie drei oder mehr dieser Risikofaktoren mit “Ja” beantworten, befinden Sie sich wahrscheinlich in einem Zustand der Identity Bankruptcy.

Fazit

Die Zahlen sind nicht mehr abstrakt. Maschinenidentitäten übertreffen die menschlichen Mitarbeiter bei Verhältnissen, die vor fünf Jahren noch absurd erschienen. Fast jede NHI im Durchschnittsunternehmen trägt übermäßige Privilegien. Ein paar Konten kontrollieren den Großteil der Cloud-Ressourcen. Wirkliche Sicherheitsverletzungen mit neunstelligen Schadenssummen werden heute direkt auf unmanaged Service-Accounts und abgelaufene Anmeldeinformationen zurückgeführt, die niemand rotieren ließ.

Das schwächste Glied in der modernen Organisation ist nicht mehr der Mitarbeiter, der auf einen Phishing-Link klickt. Es ist der vergessene Service-Account, der hartkodierte API-Schlüssel, der KI-Agent mit Admin-Rechten auf Deadline, und das verwaiste Token, das still und heimlich seit einem Jahrzehnt Zugriff ansammelt.

Um die Identitätskrise 2026 und darüber hinaus zu überleben, müssen Organisationen Maschinenidentitäten mit derselben Strenge behandeln — und vielleicht sogar mehr — wie menschliche. Die Schlüssel zum Königreich liegen nicht mehr bei Menschen. Sie sind über Tausende von Codezeilen und automatisierte Pipelines verstreut. Es ist Zeit, sie zurückzuholen.

Quellen: CyberArk 2025 Identity Security Landscape; Entro Security NHI & Secrets Risk Report H1 2025; ManageEngine Identity Security Outlook 2026; Veza Permissions Report 2025; CSO Online; OWASP Non-Human Identity Top 10 (2025).

Related InstaTunnel pages

Continue from this article into the most relevant product guides and workflows.

Plans and limitsCompare Free, Pro, and Business limits for tunnels, MCP endpoints, bandwidth, and teams.Trust and security centerReview security controls, reliability practices, status references, and operational safeguards.InstaTunnel documentationRead setup steps, CLI commands, webhook guides, MCP usage, and troubleshooting workflows.Use-case playbooksBrowse practical workflows for webhooks, OAuth callbacks, MCP tunnels, and demo links.

Related Topics

#machine identity bankruptcy, machine identities, bot identity sprawl, service account sprawl, AI agent identities, non-human identities, NHI security, identity sprawl 2026, 82 to 1 identity ratio, IAM for machines, lenient IAM, overprivileged service accounts, cloud service accounts risk, API keys sprawl, token sprawl, secrets management failure, lateral movement via service accounts, cloud lateral movement, identity-based attacks, identity governance failure, identity audit failure, permission creep, privilege creep, over-permissioned bots, machine identity risk, workload identity security, Kubernetes service accounts risk, cloud IAM misconfiguration, AWS IAM service roles abuse, Azure managed identity abuse, GCP service account abuse, OAuth app overprivilege, SaaS bot identities, automation account abuse, CI/CD service account compromise, pipeline identity attack, machine-to-machine auth risk, identity supply chain attack, identity attack surface, zero trust identity for machines, identity lifecycle management, deprovisioning failure, orphaned accounts, shadow identities, identity visibility gap, IAM blind spots, security debt IAM, cloud identity security posture, identity governance and administration, IGA for machines, PAM for service accounts, secrets rotation failure, API token compromise, breach via machine identity, attackers target bots, human vs machine identity security, identity-centric security, breach path via service account, compliance identity gaps, SOC focus on users, bot accounts keys to kingdom, machine identity threat model, enterprise identity risk, identity sprawl crisis, secure machine identities, least privilege for bots, workload identity federation, identity hygiene, identity inventory, identity observability

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Read DocumentationView Pricing

Share this article

Share on XShare on LinkedIn

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles