In grossen Unternehmen stossen klassische Identity-&-Access-Management-Systeme (IAM) zunehmend an ihre Grenzen. Identitaeten verteilen sich heute auf Tausende Cloud- und SaaS-Anwendungen, eigenstaendige Fachbereiche, maschinelle Konten und autonome KI-Agenten. Ein erheblicher Teil der Identitaetsaktivitaet entzieht sich damit der Sichtbarkeit der IT-Sicherheit – und genau dort entstehen neue, schwer kontrollierbare Risiken.
Was ist „Identity Dark Matter“ und warum ist sie sicherheitskritisch?
Experten bezeichnen diese verborgene Zone als Identity Dark Matter: einen Schicht von Identitaetsoperationen, der nicht in zentralen IAM- oder IGA-Loesungen (Identity Governance & Administration) erfasst wird und Sicherheits- sowie Compliance-Analysen entzieht.
Analysen von Orchid Security zufolge findet rund 46 % der Aktivitaeten von Identitaeten ausserhalb des Sichtfelds zentraler IAM-Systeme statt. Damit bleibt nahezu die Haelfte der identitaetsbezogenen Angriffsoberflaeche unkontrolliert. Zu dieser Identity Dark Matter zaehlen unter anderem:
- unverwaltete oder selbst administrierte Anwendungen und Shadow IT,
- lokale und eingebaute Konten in Applikationen, Datenbanken und Infrastrukturkomponenten,
- inoffizielle oder veraltete Authentifizierungs- und Autorisierungsmechanismen,
- ueberprivilegierte Maschinen‑, Service‑ und Integrationskonten, einschliesslich Bots und Automatisierungsskripten.
Diese Intransparenz fuehrt zu einer wachsenden Diskrepanz zwischen dem angenommenen und dem tatsaechlich existierenden Zugriff. Waehrend Security- und Governance-Teams von sauber gemanagten Rollen und Policies ausgehen, existieren in der Realitaet vielfach unregistrierte Identitaeten, Schattenrechte und grob ueberschiessende Berechtigungen. Laut dem Verizon Data Breach Investigations Report 2023 spielen kompromittierte Zugangsdaten in der Mehrheit der Sicherheitsvorfaelle eine Rolle – fehlende Sichtbarkeit auf Identitaeten verstaerkt diesen Effekt zusaetzlich.
Gartner IVIP: Identity Visibility and Intelligence als neuer Kontroll-Layer
Um diese blinden Flecken zu schliessen, definiert Gartner die Klasse der Identity Visibility and Intelligence Platforms (IVIP). Sie fungieren als ubergeordneter „system of systems“-Layer innerhalb der Gartner Identity Fabric und adressieren explizit den Bereich „Visibility and Observability“.
Eine reife IVIP-Loesung soll Identitaetsdaten schnell aggregieren, normalisieren und mit Analytik und KI anreichern, um ein einheitliches Lagebild zu schaffen: Wer (Mensch oder Maschine) greift wann, wie und von wo aus auf welche Ressourcen zu – und weicht dieses Verhalten von den definierten Sicherheits- und Compliance-Regeln ab?
Gartner beschreibt drei zentrale Anforderungen an eine Identity Visibility and Intelligence Platform:
- Kontinuierliche Erkennung aller relevanten menschlichen und nicht-menschlichen Identitaeten, auch solcher, die nie formell ins zentrale IAM aufgenommen wurden.
- Einheitliche Identitaetsdatenplattform, die fragmentierte Informationen aus Verzeichnisdiensten, Anwendungen, Infrastruktur, Cloud-Accounts und SaaS-Diensten zu einer konsistenten „single source of truth“ vereint.
- Intelligenz und Analytik in Form von KI-gestuetzter Verhaltensanalyse, um aus Einzelereignissen verwertbare Risikosignale und Entscheidungsgrundlagen fuer Security, Risk Management und Audit abzuleiten.
Von blosser Sichtbarkeit zu aktiver Steuerung
Technisch bedeutet das, dass IVIP-Loesungen nicht bei der Visualisierung stehen bleiben. Sie muessen auch automatisierte Remediation ermoeglichen – etwa die Entziehung verwaister Zugriffe, die Reduktion von Ueberprivilegien oder die Isolation kompromittierter Konten.
Darueber hinaus spielen Echtzeit-Signale eine Rolle, beispielsweise ueber Standards wie Continuous Access Evaluation Protocol (CAEP), um Zero-Trust-Policies in Sekundenbruchteilen anzupassen. Moderne Plattformen nutzen zudem intent-based intelligence, bei der grosse Sprachmodelle (LLMs) helfen, legitime Betriebsablaeufe von tatsaechlich risikobehafteten Mustern zu unterscheiden.
Wie Orchid Security IVIP praktisch umsetzt: Fokus auf Applikationen
Orchid Security liefert eine konkrete Umsetzung der IVIP-Idee mit besonderem Fokus auf Sichtbarkeit direkt in den Anwendungen statt ausschliesslich ueber klassische IAM-Integrationen.
Ein Kernanforderung von IVIP ist die permanente Erkennung von Anwendungen, Identitaeten und Zugriffspfaden. Orchid erreicht dies durch binaeren Code-Analyse und dynamische Instrumentierung. Dadurch laesst sich die interne Logik von Authentifizierung und Autorisierung innerhalb von Applikationen und Infrastrukturkomponenten untersuchen – ohne Quellcode-Aenderungen oder neue APIs implementieren zu muessen.
Gerade in komplexen Anwendungslandschaften, in denen die zentrale Sicherheitsorganisation oft keinen vollstaendigen Ueberblick ueber alle eingesetzten Loesungen hat, ist dieser Ansatz entscheidend. Zunaechst wird der tatsaechliche „application estate“ identifiziert – inklusive Eigenentwicklungen, COTS-Produkten, Legacy-Systemen und Shadow-IT. Anschliessend wird darin die verborgene Identity Dark Matter aufgedeckt: lokale Admin-Konten, nicht dokumentierte Authentifizierungspfade, vergessene Service- und Maschinenidentitaeten.
Im naechsten Schritt baut die IVIP-Plattform von Orchid einen nachweisbaren Identitaetsdaten-Layer auf, indem sie die eigene Telemetrie und Audit-Spuren aus den Anwendungen mit Logs und Ereignissen zentraler IAM- und IGA-Loesungen zusammenfuehrt. Sicherheitsverantwortliche erhalten damit keine Konfigurationsannahmen, sondern ein Bild des tatsaechlichen Identitaetsverhaltens in der Umgebung und koennen dokumentierte Policies mit real existierenden Berechtigungen abgleichen.
KI-Agenten als neue Welle der Identity Dark Matter
Eine besondere Herausforderung entsteht durch autonome KI-Agenten, die im Namen eines Unternehmens in IT-Systemen agieren, Workflows anstossen, Daten verarbeiten und dafuer oft eigene Zugangsdaten, API-Keys oder Tokens erhalten. Diese digitalen Akteure passen nur bedingt in traditionelle IAM-Modelle und vergroessern den Anteil der Identity Dark Matter.
Orchid erweitert den IVIP-Ansatz mit der Architektur des Guardian Agent, die es ermoeglicht, Zero-Trust-Prinzipien konsequent auf KI-Agenten anzuwenden: minimal erforderliche Rechte (Least Privilege), detaillierte Beobachtbarkeit aller Aktionen, strikte Kontextsegmentierung sowie lueckenlose Nachvollziehbarkeit saemtlicher Operationen. Auf diese Weise lassen sich KI-basierte Workloads kontrollierbar in bestehende Sicherheitsarchitekturen integrieren.
Fuer CISOs und Sicherheitsverantwortliche ergibt sich daraus eine klare Handlungsagenda: Entscheidend ist weniger das formale Vorhandensein von Kontrollen, sondern deren tatsachlicher Wirkungsgrad. Outcome-orientierte Kennzahlen – etwa der Anteil unregistrierter Identitaeten, die Zeit bis zur Erkennung von Ueberprivilegien oder der Prozentsatz automatisierter Remediations – werden zur zentralen Steuerungsgroesse. Wer Angriffsoberflaechen nachhaltig reduzieren will, sollte in Identity-Observability-Plattformen (IVIP) investieren, Schattenanwendungen systematisch inventarisieren, das Management maschineller Konten verschaerfen und klare Richtlinien fuer KI-Agenten etablieren. Nur wenn die „verriegelte Eingangstuer“ des IAM durch tiefgehende Transparenz ueber alle Identitaetsaktivitaeten ergaenzt wird, laesst sich die Identity Dark Matter beherrschbar machen.
