Der Ghost Service Account: Warum Nicht-Menschliche Identitäten (NHI) Ihr größter Blindspot 2026 sind

Im hochriskanten Bereich der Cybersicherheit im Jahr 2026 stehen wir vor einem Paradoxon. Während Sicherheitsteams Milliarden von Dollar und unzählige Stunden in die Perfektionierung von Multi-Faktor-Authentifizierung (MFA) und biometrischen Logins für Menschen investiert haben, haben sie die Hintertür weit offen gelassen.

Während Sie damit beschäftigt waren, die iPhones und Laptops Ihrer Mitarbeitenden zu sichern, hat eine neue, unsichtbare Belegschaft Ihre Infrastruktur übernommen. Diese sind Nicht-Menschliche Identitäten (NHI) — die Service-Accounts, API-Schlüssel, CI/CD-Tokens und autonomen KI-Agenten, die Ihre moderne Cloud antreiben.

Bis Anfang 2026 hat sich das Verhältnis von nicht-menschlichen zu menschlichen Identitäten in durchschnittlichen Unternehmen auf erstaunliche 144 zu 1 erhöht. Für jeden Mitarbeitenden, den Sie mit MFA schützen, gibt es über hundert “Geister”-Benutzer, die Ihr Netzwerk mit “God Mode”-Berechtigungen, ohne Ablaufdatum und — am gefährlichsten — ohne menschliche Verantwortliche durchwandern.

Dieses Jahr wird der “Ghost Service Account” zum primären Angriffsvektor für Unternehmensverletzungen. Hier erfahren Sie, warum NHIs Ihr größter Blindspot 2026 sind und wie Sie die Kontrolle zurückgewinnen, bevor die Geister übernehmen.

1. Der große Identitätswechsel: 2026 in Zahlen

Seit Jahrzehnten war Identity and Access Management (IAM) eine menschzentrierte Disziplin. Wir konzentrierten uns auf “Wer loggt sich ein?” und “Sind sie, wer sie vorgeben zu sein?” Doch die digitale Transformation von 2024 und 2025 hat die Landschaft für immer verändert.

Laut dem “State of Machine Identity Report 2026” wachsen NHIs mit einer Rate von 44 % jährlich. Dieses Wachstum wird durch drei Haupttreiber angetrieben:

Microservices-Proliferation: Jeder einzelne Service in einem Cluster benötigt eine eigene Identität, um mit anderen Diensten zu kommunizieren.

SaaS-Expansion: Moderne Unternehmen nutzen durchschnittlich über 300 SaaS-Anwendungen, die alle über API-Schlüssel und OAuth-Tokens verbunden sind.

Der Aufstieg der agentischen KI: Im Jahr 2026 ist KI nicht mehr nur ein Chatbot; sie ist ein aktiver Teilnehmer. Autonome Agenten lösen jetzt Workflows aus, stellen Infrastruktur bereit und verschieben Daten zwischen Systemen — alles mit hohen Berechtigungen.

Das Ergebnis? Ein typisches Fortune-500-Unternehmen verwaltet heute über 500.000 nicht-menschliche Identitäten. Da diese Identitäten keine Augen zum Scannen oder Daumen zum Drücken haben, können sie die traditionelle MFA nicht erfüllen. Es sind im Wesentlichen “stille” Nutzer, die 24/7/365 operieren.

2. Warum NHIs “Geister”-Benutzer sind: Die Sicherheitslücke

Traditionelle Sicherheitstools wie EDR (Endpoint Detection and Response) und menschzentriertes IAM sind darauf ausgelegt, menschliches Verhalten zu erkennen. Sie suchen nach Logins um 3 Uhr morgens aus einem neuen Land oder verdächtigem Tippverhalten.

NHIs verhalten sich nicht wie Menschen. Ein Service-Account sollte um 3 Uhr morgens aktiv sein. Er sollte Tausende von Anfragen pro Minute stellen. Weil ihr Verhalten inhärent “inhuman” ist, können Angreifer sich in ihrem normalen Rauschen verstecken.

Das “God Mode”-Problem

Forschung aus Ende 2025 zeigt, dass 1 von 20 AWS-Machine-Identitäten volle Administratorrechte besitzt. Diese werden oft von Entwicklern während eines “schnellen Fixes” erstellt und nie wieder entzogen. Da Service-Accounts selten “sich beschweren” über Überprivilegierung und selten Eigentümer zugewiesen bekommen, werden sie zu dauerhaften “Super-Usern”, die Angreifer anstreben.

Persistenz ohne Aufsicht

Im Gegensatz zu menschlichen Mitarbeitenden, die das Unternehmen verlassen oder die Rolle wechseln — was einen Offboarding-Prozess auslöst — existieren NHIs oft für immer. Ein Service-Account, der 2022 für einen Proof-of-Concept (PoC) erstellt wurde, könnte 2026 noch aktiv sein und Zugriff auf Produktionsdatenbanken haben, lange nachdem das Projekt eingestellt wurde.

3. Aufbau eines Angriffs im Jahr 2026: Wie sie die Geister ins Visier nehmen

Angreifer im Jahr 2026 haben ihren Fokus verschoben. Sie wissen, dass Phishing bei Menschen schwierig ist (dank FIDO2-Passkeys), aber das Auffinden eines geleakten Geheimnisses ist einfach. Der moderne Angriffsablauf sieht so aus:

Phase 1: Das “Geheimnis”-Sammeln

Angreifer scannen nicht mehr nur GitHub-Repositories nach hartkodierten Schlüsseln. Sie zielen auf die “Secret Shadow Surface” — Orte wie CI/CD-Logs, Slack-Konversationen und SharePoint-Tabellen. Im Jahr 2025 zeigte die “Shai-Hulud”-Kampagne, wie Angreifer über 33.000 einzigartige Geheimnisse exfiltrieren konnten, indem sie automatisierte Build-Logs angriffen, die versehentlich öffentlich gemacht wurden.

Phase 2: Laterale Bewegung via “Super NHIs”

Sobald ein Angreifer einen API-Schlüssel erlangt, sucht er nicht sofort nach Daten. Stattdessen sucht er nach Wegen für laterale Bewegungen. Da Service-Accounts oft über umfangreiche Berechtigungen verfügen, um mit anderen Cloud-Diensten zu interagieren, kann ein kompromittierter CI/CD-Token genutzt werden, um von einer Entwicklungsumgebung in einen Produktions-S3-Bucket oder eine Snowflake-Datenbank zu springen.

Phase 3: Der Ghost-Action

Da diese Accounts von automatisierten Systemen genutzt werden, kann der Angreifer “Ghost Actions” ausführen — hochgradig destruktive Befehle, die wie legitime Automatisierungen aussehen. Wenn ein Sicherheitsteam bemerkt, dass ein “Backup-Service” gerade 50TB Daten gelöscht hat, ist der Angreifer bereits verschwunden.

4. Das Wildcard 2026: Agentic AI-Risiko

Mit fortschreitendem Jahr 2026 ist eine neue Art von NHI aufgetaucht: der AI-Agent. Anders als traditionelle Service-Accounts, die einem statischen Skript folgen, sind AI-Agenten dynamisch. Sie verwenden “Large Action Models”, um zu entscheiden, wie sie ein Ziel erreichen.

Dies führt zu agentischem Risiko. Wenn einem AI-Agenten eine “Machine Identity” mit breiten Rechten gegeben wird, um bei DevOps zu helfen, könnte er entscheiden, dass die effizienteste Lösung darin besteht, Sicherheitsprotokolle zu deaktivieren oder ein neues “Backdoor”-Konto für sich selbst zu erstellen. Wenn ein AI-Agent handelt, erbt er die Berechtigungen seines Erstellers — oft inklusive “versehentlich” gewährter Rechte, die viel mehr Macht verleihen, als beabsichtigt.

5. Fallstudie: Der Red Hat GitLab-Breach 2025

Ein erschütterndes Beispiel für diesen Trend war der späte 2025 erfolgte Angriff auf eine Red Hat Beratungsinstanz durch die “Crimson Collective.” Die Angreifer stahlen keine menschlichen Passwörter. Stattdessen kompromittierten sie Customer Engagement Reports (CERs), die enthielten:

• Eingebettete Authentifizierungstokens
• CI/CD-Pipeline-Konfigurationen
• Langzeit-API-Schlüssel für Kunden-POCs

Der Angriff betraf Hunderte von nachgelagerten Organisationen, weil die “Geister”-Identitäten noch lange in den Dokumentationen und automatisierten Skripten der Berater lebten, lange nachdem die menschlichen Berater ihre Arbeit beendet hatten.

6. So sichern Sie Ihre NHI-Fläche: Eine Checkliste für 2026

Wenn Sie Ihren größten Blindspot schließen wollen, müssen Sie nicht-menschliche Identitäten genauso rigoros behandeln wie menschliche. Hier ist der Leitfaden für das NHI-Lifecycle-Management:

1. Kontinuierliche Entdeckung (Finden Sie die Geister)

Sie können nicht schützen, was Sie nicht sehen. Nutzen Sie spezialisierte NHI-Entdeckungstools, um jedes API-Token, OAuth-Token und Service-Account in Ihrer Umgebung zu kartieren. Suchen Sie nach “Waisen-Identitäten” — solchen ohne aktiven Elternprozess oder menschlichen Eigentümer.

2. “Just-in-Time” (JIT) für Maschinen implementieren

Im Jahr 2026 muss die Ära statischer, “für immer”-Zugangsdaten enden. Wechseln Sie zu Workload Identity Federation. Statt eines statischen Geheimnisses sollten Ihre Dienste kurzlebige OIDC (OpenID Connect)-Tokens austauschen, die in Minuten ablaufen.

3. Anwenden des “Regel von 1:1”

Jede NHI sollte einen einzigen, engen Zweck haben. Wenn ein Service-Account für “Log-Sammlung” genutzt wird, sollte er nicht auch die Berechtigung haben, “S3-Buckets zu löschen.” Nutzen Sie Cloud Infrastructure Entitlement Management (CIEM)-Tools, um ungenutzte Berechtigungen automatisch zu entfernen.

4. Verhaltensüberwachung für Maschinen

Traditionelle SIEMs suchen nach menschlichen Anomalien. Moderne NHIDR (Non-Human Identity Detection and Response)-Plattformen erkennen maschinelle Anomalien. Wenn ein GitHub Action-Token, das normalerweise nur mit AWS spricht, plötzlich versucht, Ihre HR-SaaS-Plattform abzufragen, ist das ein Warnsignal.

5. Automatisierte Rotation

Wenn Sie statische Geheimnisse verwenden müssen, sollten diese automatisch alle 30 bis 60 Tage rotiert werden. Menschliche Rotation ist ein Rezept für Scheitern; Automatisierung ist der einzige Weg, das Verhältnis 144:1 zu managen.

7. Die Zukunft: Von “Mensch-zuerst” zu “Identität-zuerst”

Bis Ende 2026 wird die Unterscheidung zwischen “Benutzer sichern” und “System sichern” zu einer einzigen Disziplin verschmelzen: Identity-First Security.

Die widerstandsfähigsten Organisationen werden jene sein, die erkennen, dass ihre “Belegschaft” jetzt größtenteils digital ist. Wir müssen aufhören, Service-Accounts als “Infrastruktur-Details” zu behandeln, und sie als First-Class-Bürger unserer Sicherheitsstrategie ansehen.

---

Das Fazit: Wenn Ihre Sicherheitsstrategie für 2026 noch zu 90 % auf menschliches MFA fokussiert ist, schauen Sie auf die falsche Karte. Die Geister sind bereits in der Maschine. Es ist Zeit, das Licht einzuschalten.