Nicht-menschliche Identitäten - Servicekonten, API-Schlüssel, Bots, RPA-Skripte, CI/CD-Pipelines und nun auch KI-Agenten - sind in den meisten Umgebungen inzwischen die dominierende "Belegschaft".

Aktuelle Studien schätzen, dass nicht-menschliche Identitäten Menschen im Verhältnis von 20:1 bis über 80:1 übertreffen; in einigen cloud-nativen Umgebungen liegt das Verhältnis sogar bei über 100:1. Das bedeutet: Tausende ständig aktiver Berechtigungsnachweise, häufig mit privilegiertem Zugriff und kaum Governance.

Ab 2026 ist das nicht mehr nur ein Sicherheits-, sondern auch ein Regulierungsproblem.

  • EU AI Act: Hochrisiko-KI-Systeme erfordern strenge Protokollierung, Transparenz und technische Kontrollen.
  • NIST CSF 2.0: Identity Management für "Nutzer, Dienste und Hardware" ist jetzt verpflichtend.
  • ISO 27001:2022: Service- und privilegierte Konten benötigen eindeutige Verantwortliche, Minimalprinzip und regelmäßige Überprüfung.
  • NIS2: Identitäts- und Zugriffsmanagement sind Basisanforderungen, mit Haftung auf Ebene der Geschäftsleitung.

Der EU AI Act ist am 1. August 2024 in Kraft getreten. Die meisten Pflichten werden über 6-36 Monate gestaffelt wirksam; Geldbußen können bei schweren Verstößen bis zu 7 % des weltweiten Jahresumsatzes erreichen. NIST hat das Cybersecurity Framework 2.0 am 26. Februar 2024 veröffentlicht und eine neue "Govern"-Funktion sowie explizite Anforderungen für alle Identitäten und Berechtigungsnachweise eingeführt. Die Kontrollen in ISO 27001:2022 Anhang A (A.5.16, A.8.2) verlangen, dass Service- und privilegierte Konten einen Verantwortlichen und regelmäßige Überprüfungen haben. Die NIS2-Richtlinie (EU) 2022/2555 muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden; deutsche Leitlinien erwarten für viele SaaS-Anbieter technische Nachweise zu Artikel 21 bis April 2026.

Wenn Ihr technologischer Stack noch immer davon ausgeht, dass "Identität = Menschen im SSO" bedeutet, erwarten Aufsichtsbehörden nun, dass Sie diese blinden Flecken schließen.

Dieser Beitrag vergleicht zwei Ansätze:

  1. Traditionelles, menschenzentriertes Identity Management - SSO plus manuelle Prozesse und einzelne Spezialwerkzeuge.
  2. Vereinheitlichte Governance nicht-menschlicher Identitäten - ein vollständiges IGA-Modell, das Menschen, KI-Agenten und Servicekonten gemeinsam abdeckt (der Ansatz von Iden).

Wir betrachten beide Ansätze durch die regulatorische Brille des Jahres 2026 und schließen mit konkreten Handlungsempfehlungen.

Zusammenfassung: Traditionelles vs. vereinheitlichtes Governance-Modell für nicht-menschliche Identitäten

Kriterium Traditionelles, menschenzentriertes Identity Management (SSO + manuell + Teilwerkzeuge) Vereinheitlichte Governance nicht-menschlicher Identitäten (Iden-Ansatz)
Identitätsumfang Fokus auf Mitarbeitende in SSO/HR; nicht-menschliche Identitäten verstreut und weitgehend ungesteuert Menschen, KI-Agenten, Servicekonten, API-Schlüssel, Workloads - alle Identitäten werden gemeinsam gesteuert
Abdeckung der Anwendungen Stark für SSO/SCIM-Anwendungen; Long-Tail, Legacy und Eigenentwicklungen überwiegend manuell Universell - über SCIM, API- und Nicht-API-Anwendungen hinweg; eine zentrale Stelle für Identitäten- und App-Governance
Regulatorische Ausrichtung Kontrollen richten sich auf menschlichen Zugriff; Governance für KI-Agenten und Servicekonten schwer nachweisbar Kontrollen werden jeder Identität zugeordnet; kontinuierliche Zugriffsgovernance und Dokumentation
Audit-Nachweise Tabellen, Tickets, Ad-hoc-Exporte - Audits sind manuell und aufwendig vorzubereiten Unveränderliche Audit-Logs, automatisierte Reviews, Echtzeitberichte - für alle Identitäten und Anwendungen
Skalierung nicht-menschlicher Identitäten Manuelle Nachverfolgung/Reviews brechen bei Skalierung zusammen; verwaiste und "Zombie"-Konten häufen sich Erkennung, Lebenszyklusautomatisierung und agentische (KI-gesteuerte) Workflows beherrschen Identitätswildwuchs
Betriebsaufwand Mix aus SSO, individuellen Skripten und Punktlösungen - fragil, pflegeintensiv Plug-and-Play-Konnektoren, richtliniengesteuert, kein Entwicklungsaufwand, ausgelegt für schlanke Teams
Kosten Steigende SaaS-Tarife, Werkzeugwildwuchs für Identitäten, SCIM-Aufschlag Kein SCIM-Aufschlag, automatische Lizenzrückgewinnung, einheitliche Nachweise für alle Rahmenwerke

Option 1: Traditionelles, menschenzentriertes Identity Management

Die meisten schnell wachsenden Unternehmen haben ihre Landschaft nicht für KI-Agenten oder Servicekonten entworfen. Typischerweise umfasst der Stack:

  • SSO (Okta, Entra ID usw.) für die Authentifizierung der Belegschaft
  • Lebenszyklusautomatisierung für SCIM-fähige Anwendungen
  • Manuelle Bereitstellung im Übrigen - Long-Tail-SaaS, Legacy, interne Werkzeuge
  • Servicekonten werden, falls überhaupt, in Passwort-Tresoren, Wikis oder Notizen nachgehalten
  • Vierteljährliche Zugriffsüberprüfungen in Tabellen

Stärken:

  • Besser als passwortbasierte Einzellösungen pro Anwendung
  • Prüfern vertraut - SSO plus manuelle Reviews gelten als etabliertes Muster
  • Einfacher Einstieg - die meisten Organisationen nutzen dies heute

Schwächen:

  • Nicht-menschliche Identitäten überall - CI/CD, Bots, API-Token, KI-Agenten
  • Unklare Verantwortlichkeit - wem gehört dieses alte Servicekonto?
  • Manuelle, episodische Reviews - Prüfer erkennen eher formale Abnicken als fundierte Entscheidungen
  • Nur ein Teil des Anwendungsbestands ist automatisiert - der Rest basiert auf Gedächtnis und persönlicher Disziplin

Dieses Modell ist ungeeignet für eine Welt, in der ein Team innerhalb eines Quartals Tausende API-Schlüssel und KI-Agenten erzeugen kann.

Option 2: Vereinheitlichte Governance nicht-menschlicher Identitäten (Iden-Ansatz)

Die Lösung ist ein einheitliches Identitätsgewebe - Menschen und Maschinen werden gleichberechtigt und fortlaufend gesteuert.

Iden verkörpert diesen Ansatz:

  • Eine Plattform für alle Nutzer, Agenten, Servicekonten und Externe
  • Universelle Konnektoren zu jeder Anwendung - kein verpflichtendes SCIM und keine erzwungenen Enterprise-Upgrades
  • Fein granulierte Steuerung über Kanäle, Repositories, Projekte und Umgebungen hinweg
  • Agentische Workflows - KI-gesteuerte, autonome Bereitstellung und bedarfsgerechte Anpassung von Zugriffsrechten
  • Unveränderliche Audit-Logs; kontinuierliche Reviews

Kunden von Iden berichten von rund 80 % weniger manuellen Zugriffstickets, einer Einsparung von etwa 120 Stunden pro Quartal bei Reviews und bis zu 30 % geringeren SaaS-Kosten durch Lizenzrückgewinnung und Vermeidung unnötiger Upgrades.

More about Iden

Das ist keine UI-Politur auf einem Legacy-IGA - es ist ein neuer Ausgangspunkt: Jede Identität, ob Mensch oder Maschine, wird nach demselben Prinzip gesteuert.

Direktvergleich: Kritische Kriterien

1. Identitätsabdeckung: Menschen vs. Nicht-Menschen

Traditionell:

  • Identitäten werden als Nutzende aus HRIS/AD modelliert; nicht-menschliche Identitäten entstehen außerhalb zentraler Prozesse, werden geteilt und haben unklare Lebenszyklen
  • Servicekonten stehen in Passwort-Tresoren ohne Kontext

Vereinheitlicht:

  • Jede authentifizierbare Instanz ist eine Identität - Mensch, Workload, Bot, KI-Agent
  • Zentrales Verzeichnis mit Typ, Verantwortlichen, geschäftlichem Zweck, Berechtigungen
  • KI-gestützte Erkennung legt "Identitäts-Dunkelmaterie" offen: verwaiste, veraltete, ungenutzte Berechtigungsnachweise

Kontext 2026: NIST CSF 2.0 und ISO 27001 verlangen identitätsbezogene Antworten für KI-Agenten und Servicekonten. Wenn Sie bei Nicht-Menschen nicht beantworten können "wer kann was tun", sind Sie bereits im Risiko.

2. Regulatorische Ausrichtung

EU AI Act

Der AI Act führt seine Pflichten schrittweise bis 2026/2027 für Hochrisiko-Systeme ein - darunter Risikomanagement, Protokollierung und technische Dokumentation.

Traditionell:

  • Steuert, wer auf die Benutzeroberfläche der KI-Plattform zugreifen darf - nicht jedoch die Agenten selbst
  • Audit-Trails sind oft nicht den Agenten-Identitäten zugeordnet

Vereinheitlicht:

  • Modelliert jeden KI-Agenten als eindeutige, gesteuerte nicht-menschliche Identität
  • Richtlinien, zeitlich begrenzter Zugriff und Audit-Trails für sämtliche Aktionen der Agenten
  • Vollständige Nachverfolgbarkeit und Verantwortlichkeit, wie vom AI Act gefordert

NIST CSF 2.0

NIST CSF 2.0 umfasst Identitäts- und Zugriffsverwaltung für Nutzende, Dienste und Hardware über den gesamten Lebenszyklus.

Traditionell:

  • Solide für Menschen (Provisionierung, SSO, Mehrfaktorauthentifizierung)
  • Schwach bei Nicht-Menschen - Servicekonten umgehen oft Workflows, nutzen statische Berechtigungsnachweise, werden kaum überwacht

Vereinheitlicht:

  • Lebenszyklusautomatisierung für alle Identitäten, menschlich oder maschinell
  • Richtlinien und kontinuierliche Überwachung über die gesamte Landschaft
  • Einfachere Umsetzung des Frameworks - zentrale Nachweise statt Chaos

ISO 27001:2022

ISO Anhang A 5.16/8.2 verlangt für alle Konten - inklusive Servicekonten - Verantwortliche, Begründung, Minimalprinzip und regelmäßige Reviews.

Traditionell:

  • Menschliche Konten sind meist konform; nicht-menschliche selten - geteilte, veraltete Konten, schwache Protokollierung, Nachweise über verschiedene Exporte verteilt

Vereinheitlicht:

  • Verantwortliche und Begründungen sind für jede Identität Pflicht
  • Automatisierte Reviews, direkt auf ISO-Kontrollen abgebildet, mit klaren Audit-Belegen

NIS2

NIS2 verankert Verantwortlichkeit auf Vorstandsebene, technische und organisatorische Maßnahmen (Artikel 21) sowie hohe Geldbußen (mindestens 10 Mio. € oder 2 % Umsatz).

Traditionell:

  • Kann menschliches SSO/MFA nachweisen, tut sich aber schwer mit einem vollständigen, aktuellen Inventar privilegierter/technischer Konten und ihrer Governance

Vereinheitlicht:

  • Einheitliche, prüfbare Richtlinien für alle Identitäten
  • Live-Nachweise - unveränderliche Protokolle, Attestierungsaufzeichnungen - für schnelle Reaktionen in Audits

3. Nachweise und Prüfbarkeit: Statischer vs. kontinuierlicher Beleg

Spätestens 2026 werden "Papiernachweise" den Prüfern nicht mehr reichen - sie erwarten lebende Evidenz.

Traditionell:

  • Nachweiserbringung = Projekt: Listen ziehen, Tabellen zusammenführen, Freigaben einholen, Tickets exportieren
  • Statische Kontrollen vs. kontinuierliche Angriffe - sich entwickelnde Risiken bleiben unerkannt

Vereinheitlicht:

  • Unveränderliche Protokolle; Echtzeit-Entscheidungen zum Zugriff
  • Reviews sind gezielt und umsetzbar - Zweck, Nutzung und Verlängern/Entziehen in einem Schritt sichtbar
  • Prüfer sehen das Livesystem, nicht zusammenkopierte Tabellen

Das ist der Unterschied zwischen Sicherheitstheater und echten, testbaren Kontrollen.

4. Skalierung und Automatisierung: 10-100× mehr nicht-menschliche Identitäten

Manuelle Prozesse brechen bei dieser Skalierung zusammen.

Traditionell:

  • Jedes Servicekonto ist eine Ausnahme; Skripte und Freigaben werden fragil
  • Kein organisationales Lernen - Menschen leisten die Schwerstarbeit

Vereinheitlicht:

  • Von Grund auf für die Dominanz nicht-menschlicher Identitäten konzipiert
  • Agentische Workflows - automatische Erkennung, Risikoklassifizierung, Feinjustierung und Entzug von Zugriffsrechten
  • Menschliche Teams konzentrieren sich auf Ausnahmen - die Plattform deckt den Long-Tail ab

5. Kosten, SCIM-Aufschlag und Werkzeugwildwuchs

Identität ist nicht nur ein Compliance-Thema - sie ist auch ein Budgetposten.

Traditionell:

  • Zahlt den SCIM-Aufschlag - Upgrades auf höhere Anwendungstarife nur für SCIM-Unterstützung
  • Ergänzt Punktlösungen - Privileged Access Management, Geheimnisverwaltung, Zugriffsreviews, KI-Governance
  • Überlappende Lizenzen und doppelte Kontrollen

Vereinheitlicht:

  • Automatisiert über alle Anwendungstarife hinweg - ohne zwingendes SCIM oder API
  • Konsolidiert Governance, Automatisierung und Compliance-Nachweise
  • Spart Kosten durch Lizenzrückgewinnung und vermeidet erzwungene Upgrades

6. Zukunftsfähigkeit: KI-Agenten und neue Identitätsformen

KI-Agenten sind Realität und verbreiten sich schnell - autonome Bots, die quer durch Ihren Stack arbeiten.

Traditionell:

  • Behandelt Agenten als "weitere Integration" - einen weiteren API-Schlüssel, ein geteiltes Konto
  • Governance endet bei der Bereitstellung - nicht bei dem, wozu der Agent berechtigt ist

Vereinheitlicht:

  • KI-Agenten werden zu erstklassigen, gesteuerten Identitäten - Rollen, Geltungsbereiche, Verhaltensüberwachung
  • Im Einklang mit EU AI Act, NIST AI RMF und ISO/IEC-Anforderungen zur Steuerung maschineller Akteure

Wenn Aufsichtsbehörden nach den Zugriffsrechten Ihrer KI-Agenten fragen, reicht "wir haben SSO" nicht aus.

Empfehlungen: Was ist sinnvoll für 2026?

Wann ein traditionell, menschenzentrierter Ansatz "ausreichend" sein kann

  • Kleine Organisation (<100 Mitarbeitende), geringe Automatisierung/KI-Nutzung
  • Nicht-menschliche Identitäten sind zählbar, statisch und zentral dokumentiert
  • Geringe regulatorische Reichweite (kein NIS2, keine Hochrisiko-KI)
  • Bereitschaft, bei jedem Audit erheblichen manuellen Aufwand zu tragen

Trotzdem sollten Sie:

  • Ein Register von Servicekonten mit Verantwortlichen und Zweck aufbauen
  • Tresor-Nutzung und regelmäßige Rotation für technische Konten durchsetzen
  • Vierteljährliche Reviews über alle Identitäten hinweg etablieren

Wann vereinheitlichte Governance nicht-menschlicher Identitäten die sicherere Wahl ist

  • NIS2-relevant (wichtige oder wesentliche Einrichtungen)
  • Entwicklung/Betrieb von Hochrisiko-KI-Systemen (EU AI Act)
  • Anstreben von ISO 27001:2022, bei gleichzeitig spürbarer Last durch Reviews privilegierter/technischer Konten
  • Umstieg auf NIST CSF 2.0 mit Bedarf an echten, umfassenden Nachweisen
  • Nicht-menschliche Identitäten übertreffen Menschen deutlich in der Anzahl (Realität in den meisten modernen SaaS- und Cloud-Umgebungen)

Die Frage lautet nicht "Brauchen wir Governance für nicht-menschliche Identitäten?", sondern "Wie lange können wir noch so tun, als reichten rein menschenzentrierte Werkzeuge?"

Vereinheitlichte, KI-native IGA-Plattformen wie Iden beantworten dies mit:

  • Vollständiger Abdeckung für alle Identitäten und Anwendungen (auch ohne SCIM und ohne API)
  • Fein granulierten Kontrollen - auf Kanal-, Repository- und Projektebene
  • Kontinuierlicher Governance und Audit-Evidenz (EU AI Act, NIS2, ISO 27001, SOC 2 und weitere)

Für IT-Verantwortliche mit realen Compliance-Fristen ist das der Unterschied zwischen Dauer-Feuerwehrmodus und echter Vorbereitung.

FAQ

1. Sind Aufsichtsbehörden an nicht-menschlichen Identitäten interessiert?

Ja. NIST CSF 2.0, ISO 27001:2022 und NIS2 sprechen von "Identitäten, Berechtigungsnachweisen und privilegiertem Zugriff" - nicht nur von Menschen. Leitfäden nennen zunehmend technische/Servicekonten. Prüfer erwarten standardmäßig Governance für Servicekonten und Agenten.

2. Reicht SSO für NIS2 oder ISO 27001 aus?

Nein. SSO ist erforderlich, aber Prüfer erwarten:

  • ein vollständiges Inventar privilegierter/technischer Konten
  • Minimalprinzip und zeitlich begrenzten Zugriff
  • Nachweise über Reviews (nicht nur Protokolle)
  • Entzug von Rechten für alle Identitäten, nicht nur für SSO-Konten

Reine SSO-Ansätze übersehen typischerweise Long-Tail-SaaS, Legacy-Systeme und maschinelle Zugriffe - ideale Angriffspunkte für Prüfer.

3. Wie passen KI-Agenten in Identitätskategorien?

KI-Agenten sind nicht-menschliche Akteure. Governance-seitig ähneln sie eher Servicekonten oder Workloads als menschlichen Nutzern. Sie benötigen:

  • eine eindeutige Identität und Berechtigungsnachweise
  • klare Verantwortliche und einen definierten Scope
  • minimal erforderliche Zugriffsrechte
  • Überwachung und Aufsicht

Agenten nur als "API-Schlüssel" zu behandeln, wird sich mit zunehmender Regulierung kaum noch begründen lassen.

4. Können wir Governance für nicht-menschliche Identitäten nachträglich an unseren Stack "anflanschen", statt Plattformen zu wechseln?

Sie können skripten, landen dann aber bei:

  • individuellen Playbooks, die nur wenige verstehen
  • noch mehr Werkzeugen für Geheimnisverwaltung, Agent-Governance, Servicekonten
  • fragmentierten Protokollen/Nachweisen, die vor Audits mühsam zusammengeführt werden

Für stark wachsende, regulierte Organisationen ist die Konsolidierung auf eine einheitliche Plattform in der Regel schneller, einfacher und langfristig günstiger.

5. Wie unterstützt das Mehrfach-Compliance nach verschiedenen Rahmenwerken?

Wenn alle Identitäten konsistent und mit kontinuierlichen Kontrollen behandelt werden, sind Sie im Vorteil bei:

  • SOC 2, CMMC, HIPAA, DORA und weiteren Regelwerken

Zentrale Evidenz befeuert Compliance überall. Das ist der ROI einer vereinheitlichten Governance nicht-menschlicher Identitäten: einmal sauber lösen, überall nachweisen.

More about Iden