Bis 2026 stehen Unternehmen weltweit vor einem Widerspruch: Programme fuer Identity and Access Management (IAM) und Zero-Trust-Architekturen wirken auf dem Papier zunehmend ausgereift, gleichzeitig nimmt das geschaeftliche Risiko rund um digitale Identitaeten weiter zu. Eine neue Studie des Ponemon Institute zeigt, dass die Ursache weniger in fehlender Technologie liegt, sondern in grossen Bereichen der IT-Landschaft, die weiterhin ausserhalb des zentralen Identitaetsmanagements betrieben werden.
Versteckte Angriffsoberflaeche: Anwendungen ausserhalb des IAM-Perimeters
Nach Erkenntnissen des Ponemon Institute bleiben in einer typischen Grossorganisation hunderte Anwendungen von zentralen IAM-Systemen und Identity-Providern (IdP) abgekoppelt. Diese sogenannten «Dark-Matter-Anwendungen» umfassen Legacy-Systeme, lokal betriebene Fachanwendungen, spezialisierte SaaS-Loesungen und individuell entwickelte Tools.
Gemeinsam ist ihnen, dass eigene Benutzerkonten, statische Passwoerter oder lokale Administratorzugriffe genutzt werden. Sie unterliegen weder dem unternehmensweiten Single Sign-On (SSO) noch konsistenten Berechtigungsrichtlinien, werden selten auditiert und entziehen sich damit weitgehend dem Blick der Sicherheitsverantwortlichen.
In der Praxis werden Zugriffe oft ueber Excel-Listen, gemeinsam genutzte Admin-Accounts, hartkodierte Zugangsdaten oder statische API-Tokens verwaltet. Gehen solche Credentials verloren oder werden ausgespaeht, koennen Angreifer sich dauerhaft in kritische Prozesse einnisten, ohne von klassischen IAM-Kontrollen erfasst zu werden.
Zero Trust scheitert an der «letzten Meile» der Identitaet
Viele Organisationen investieren seit Jahren in Zero-Trust-Modelle, moderne Verzeichnisdienste, Multi-Faktor-Authentifizierung (MFA) und zentralisierte Zugriffssteuerung. Diese Massnahmen erhoehen zweifellos das Sicherheitsniveau – allerdings primar dort, wo Systeme sauber in das IAM integriert sind.
Die eigentliche Schwachstelle entsteht an der «letzten Meile»: alte Fachanwendungen, lokale Service-Accounts, isolierte SaaS-Plattformen und technische Benutzer, die nicht oder nur teilintegriert sind. Hier entstehen Diskrepanzen zwischen dokumentierter und tatsaechlicher Sicherheit: Audits bescheinigen hohe Reifegrade, waehrend ein grosser Teil der realen Angriffsoberflaeche unzureichend kontrolliert bleibt.
Branchenberichte wie der Verizon Data Breach Investigations Report (DBIR) heben seit Jahren hervor, dass gestohlene oder missbrauchte Zugangsdaten zu den haeufigsten Initialvektoren fuer Sicherheitsvorfaelle gehoeren. In Umgebungen mit vielen Dark-Matter-Anwendungen vervielfacht sich dieses Risiko, weil Zugriffe weder zentral uebwacht noch konsequent entzogen werden, wenn Mitarbeitende Rollen wechseln oder das Unternehmen verlassen.
Autonome KI-Agenten als Multiplikator fuer Credential-Risiken
Mit der schnellen Einfuehrung von KI-Kopiloten, Chatbots und autonomen KI-Agenten verschiebt sich die Bedrohungslage weiter. Diese Agenten sollen Prozesse automatisieren, Systeme verbinden und Entscheidungen unterstuetzen – sie benoetigen dafuer jedoch Zugriff auf genau jene Anwendungen und Daten, die haeufig nicht an das zentrale IAM angebunden sind.
In diesem Umfeld fungiert KI als Verstaerker bereits bestehender Schwaechen. Autonome Agenten koennen unter anderem:
- veraltete Tokens und Passwoerter wiederverwenden, die nie widerrufen oder rotiert wurden;
- Verbindungen zu Systemen aufbauen, die den «Pfad des geringsten Widerstands» nutzen und formale Sicherheitsrichtlinien umgehen;
- neue Integrationen und Automatisierungen schaffen, die ausserhalb des Radars von IT und Security liegen (Schatten-Integrationen);
- Credentials unkontrolliert zwischenspeichern oder protokollieren, etwa in Logs, Konfigurationsdateien oder Prompt-Historien.
Was frueher vor allem eine Frage von Compliance und Auditfaehigkeit war, entwickelt sich damit zu einer kritischen operativen Schwachstelle. Je intensiver KI-Agenten eingesetzt werden, desto staerker werden Luecken in einem fragmentierten Identitaets- und Berechtigungsmanagement ausgenutzt.
Ponemon-Studie und Webinar: Roadmap fuer CISO und Security-Leitung
Vor diesem Hintergrund veranstaltet The Hacker News einen Fach-Webinar mit Mike Fitzpatrick (Ponemon Institute) und Matt Chiodi (CSO, Cerby). Die Experten praesentieren die Ergebnisse einer Befragung von ueber 600 IT- und Security-Fuehrungskraeften und leiten daraus eine taktische Roadmap ab, wie CISOs die Luecke zwischen formaler IAM-Reife und realem Risiko schliessen koennen.
Schluesselfragen fuer moderne IAM- und Zero-Trust-Strategien
Im Mittelpunkt stehen unter anderem folgende Themen:
- Ausmass und typische Muster von Dark-Matter-Anwendungen in Enterprise-Umgebungen und deren Rolle in aktuellen Angriffsszenarien;
- Risikodynamik durch autonome KI-Agenten und deren Einfluss auf Credential-Sicherheit und Datenzugriff;
- prozessuale Schwaechen im IAM, die bei Audits zu Reibungsverlusten fuehren und digitale Transformationsprojekte verlangsamen;
- konkrete Massnahmen, um formale Reifegrade in tatsaechlichen, messbaren Zugriffskontrollen zu verankern.
Besonders hervorgehoben wird, dass mehr vom Gleichen – also noch mehr Passwortregeln, zusaetzliche Einzelkontrollen oder weitere Inselloesungen – nicht ausreicht. Stattdessen muessen Architekturen und Prozesse so gestaltet werden, dass zuerst der unverwaltete Bereich der Identitaeten adressiert wird: Legacy- und Spezialanwendungen, lokale Accounts, isolierte SaaS-Instanzen und KI-Zugriffe.
Fuer Organisationen, die ihre Strategien in den Bereichen digitale Identitaet, Cybersecurity und Compliance schaerfen wollen, eroeffnet dieser Ansatz einen doppelten Nutzen: Er reduziert nicht nur die Wahrscheinlichkeit schwerwiegender Sicherheitsvorfaelle, sondern beschleunigt auch neue digitale Initiativen, weil Konflikte mit regulatorischen Vorgaben und internen Audits fruehzeitig minimiert werden.
Digitale Identitaet entwickelt sich damit zu einem der fragmentiertesten und gleichzeitig am staerksten angegriffenen Assets moderner Unternehmen. Um in einer Welt wachsender Dark-Matter-Anwendungen und allgegenwaertiger KI-Nutzung resilient zu bleiben, sollten Sicherheitsverantwortliche jetzt handeln: Anwendungen ausserhalb des IAM inventarisieren, lokale Konten und geteilte Credentials gezielt abbauen, Zugriffe fuer KI-Agenten zentralisieren und ein kontinuierliches Monitoring privilegierter Rechte etablieren. Je schneller diese Confidence Gap im Identitaetsmanagement geschlossen wird, desto geringer ist die Wahrscheinlichkeit, dass der naechste schwerwiegende Angriff ausgerechnet mit einer unscheinbaren, aber hochriskanten «dunklen» Anwendung beginnt.
