In modernen Unternehmen gibt es eine ruhige und gefährliche Schicht, die selten in den Berichten erscheint: Konten, die zurückgelassen wurden, wenn Menschen, Dienstleistungen oder Systeme nicht mehr Teil der Organisation sein. Diese verlassenen Identitäten sind nicht immer das Ergebnis von Fahrlässigkeit, sondern von beschleunigtem Wachstum und technologischer Fragmentierung: Anwendungen, die nie vollständig in Identitätsmanagement-Systeme integriert wurden, vererbte Umgebungen mit lokalen Konten und eine Verbreitung von nicht-menschlichen Identitäten - wie Servicekonten, APIs, Bots und IA-Prozesse - außerhalb des Radars traditioneller Werkzeuge.
Waisenkonten sind offene Türen. Sie behalten gültige Anmeldeinformationen, manchmal mit hohen Privilegien, und die meisten alarmierend: ohne einen klaren Besitzer, der sie schließen oder überwachen kann. Diese Sichtlücke ist genau das, was die Angreifer ausnutzen. Die öffentlichen Fälle bestätigen dies, wie etwa der Zwischenfall von Pipeline Colonial im Jahr 2021, wo ein altes Fernzugriffskonto ohne Multifaktor-Authentifizierung der Eingang des Angriffs war ( Bericht in DarkReading)
Die Mechanik hinter dem Problem ist nicht immer offensichtlich. Die klassischen Systeme von IAM (Zugangs- und Identitätsmanagement) und IGA (Identitätsregierung) Plattformen sind vor allem für menschliche Benutzer konzipiert und benötigen manuelle Konfigurationen durch Anwendung: Steckverbinder, Schema-Mapping, Genehmigungskataloge und Rollenmodellierung. Viele Anwendungen gehen nicht durch diesen Prozess, andere werden bei Fusionen und Akquisitionen nie priorisiert. Gleichzeitig fehlt es an sogenannten nichtmenschlichen Identitäten, die die Industrie auch "Maschinenidentitäten" nennt, oft an einem verwalteten Lebenszyklus, der sie ohne klare Kontrollen lässt. Microsoft beschreibt das Vorhandensein von Servicekonten und ihre Besonderheiten in seiner technischen Dokumentation ( Microsoft-Dokumentation)
Die Folgen sind vielfältig und real. Über das unmittelbare Risiko des Eindringens hinaus erhöht die Anhäufung von inaktiven oder nicht besessenen Konten die regulatorische Exposition, indem sie Grundsätze wie das Mindestprivilegium und die Disarrangementpraktiken, die Normen wie ISO 27001 erfordern, nicht einhalten ( ISO), PCI DSS ( PCI Sicherheitsstandards) oder EU-Anforderungen für Cybersicherheit nach NIS2 ( Informationen Ã1⁄4ber NIS2) Darüber hinaus werden bei Fusions- und Akquisitionsprozessen oft Tausende veralteter Konten und Token, darunter viele Partner von Drittanbietern, erhöht, was die Konsolidierung erschwert und die Angriffsfläche erhöht.
Aktuelle Geschichten illustrieren dies: Bei gemeldeten Vorfällen haben schädliche Akteure von Drittkonten oder "Ghostkonten" Gebrauch gemacht, um sich seitlich zu bewegen, wie durch eine Analyse eines Angriffs mit Akira Ransomware in einem Sicherheitsoperationsbericht beschrieben ( Analyse von Barracuda) Diese Beispiele betonen, dass Bedrohungen nicht nur von vernachlässigten Nutzern, sondern auch von der betrieblichen Komplexität und der mangelnden Sichtbarkeit über nicht verwaltete Identitäten stammen.
Angesichts dessen reicht die traditionelle Antwort - regelmäßige manuelle Überprüfungen von Konten und Genehmigungslisten - nicht mehr aus. Was benötigt wird, ist eine Schicht kontinuierlicher Beobachtungsfähigkeit, die es erlaubt, jede Identität und ihr Verhalten zu sehen, zu korrelieren und zu überprüfen, ob Mensch oder nicht. Diese Vision erfordert, Aktivitätssignale direkt von Anwendungen und Plattformen zu extrahieren, sie auf Einarbeitung oder niedrige Ereignisse, Authentifizierungsprotokolle und auf reale Nutzungsmuster zu beziehen. Nur auf diese Weise kann man ein legitimes Konto unterscheiden, das monatelang nicht aus gültigen Gründen von einem wahrhaft Waisen- und Gefahrenkonto verwendet wurde.
Identitätstelemetrie und ein einheitlicher Prüfpfad sind wichtige Werkzeuge: Sammeln von Ereignissen kontinuierlich, normalisieren und verbinden sie mit Eigentumsinformationen und Rollenkontext verwandelt Annahmen in Beweise. Auf dieser Grundlage ist es möglich, Identitätsprofile zu erstellen, die angeben, wer welche Ressource verwendet, wann und zu welchem Zweck und automatisieren Entscheidungen wie Markierung oder Deaktivierung von Konten ohne dokumentierte Tätigkeit. Ziel ist es nicht, bestehende IAM-Systeme zu ersetzen, sondern ihnen eine überprüfbare Datenschicht zur Verfügung zu stellen, die Governance-Entscheidungen unterstützt.
Bei der Umsetzung dieses Ansatzes geht es um technische und organisatorische Herausforderungen: die Integration von Telemetrie in heterogene Systeme, um die Integrität und die ordnungsgemäße Aufbewahrung von forensischen Auditprotokollen zu gewährleisten und klare Eigentums- und Lebenszykluskriterien für nichtmenschliche Identitäten festzulegen. Die Unternehmen, die in diesem Bereich vorangekommen sind, haben dies getan, indem sie die automatische Log-Annahme mit Korrelationsregeln und Workflows kombinieren, die die verantwortlichen - oder automatisch deaktivieren - Konten, die keine Aktivität und Eigentümer.
Diese Art der Praxis verbessert auch die betriebliche Effizienz und senkt indirekte Kosten: reduzieren inaktiven Lizenzen, minimieren Auditgeräusche und beschleunigen die Vorfälle durch schnellere Verengung der vorhandenen Konten und deren Verwendung. Cybersicherheitsorganisationen und -behörden empfehlen, die Identitätshygiene im Rahmen einer eingehenden Verteidigungsstrategie zu priorisieren; CISA und andere Agenturen bieten Ressourcen und Rahmen zur Verbesserung der Sicherheitsposition bei sicheren Account-Management- und Konfigurationsaspekten ( CISA-Mittel)
Die Ankunft von IA-Agenten, die auf halbautonome Weise handeln, fügt eine weitere Komplexität hinzu: Diese Prozesse können Token erstellen, APIs ausführen und sich zwischen Dienstleistungen bewegen, ohne einen klaren menschlichen Eigentümer, der sie zwingt, in den Identitätskatalog aufgenommen zu werden und den Governance-Regeln unterliegt. Die Sicherheitsgemeinschaft beginnt, die "Maschine-Identität"-Management-Praktiken zu adaptieren, um genau diese Szenarien zu adressieren und zu erkennen, dass nicht alle Identitäten wie ein Mensch verwaltet werden sollten.
Kurz gesagt, die notwendige Umwandlung ist, von bestimmten Audits und Annahmen zu einer kontinuierlichen evidenzbasierten Überwachung zu bewegen. Nur mit dieser Sichtbarkeit können Waisenkonten - eine in vielen Infrastrukturen verborgene Haftung - in überschaubare Objekte umgewandelt werden, mit klaren Eigentümern, gerechtfertigten Berechtigungen und kontrollierten Lebenszyklen. Technologie und Praktiken, um dies zu erreichen, existieren bereits; was in vielen Organisationen fehlt, ist es, diese Schicht der Beobachtungsfähigkeit als zentraler Bestandteil der Sicherheits- und Compliance-Strategie zu priorisieren.
Wenn Sie vertiefen möchten, wie diese Ansätze in der Praxis funktionieren, können Sie neben den genannten Links Analysen und technische Anleitungen zur Personalführung und Service-Account-Management in spezialisierten Dokumentationen und Fallstudien konsultieren. Und für diejenigen, die nach Beispielen kommerzieller Lösungen suchen, die eine einheitliche kontinuierliche Prüfungsschicht auf Anwendungen und Telemetrie vorschlagen, gibt es aufstrebende Lieferanten, die ihre Produkte genau darauf konzentrieren, diese Lücke der Sichtbarkeit zu schließen. Für einen professionellen Ausgangspunkt für das Problem und mögliche Antworten bietet Roy Katmors Artikel in Orchid Security einen direkten Blick aus der Branche ( Profil von Roy Katmor)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...