Autor: Mark Molyneux, Field CTO, Commvault. Bildquelle: Commvault.
Kommentar zum Welt-Passwort-Tag 2026
Ein Tsunami von Identitäten baut sich aktuell auf, der die Verzeichnisdienste und Authentifizierungsstrukturen überfluten wird. Die Unternehmensberater von McKinsey erklärten Anfang des Jahres, ihre 40.000 Mitarbeiter starke Consulting-Truppe sei innerhalb von nur zwei Jahren um 25.000 KI-Agenten gewachsen. Auch in kleinen Betrieben sind die Helfer angekommen. Insgesamt ergab eine Salesforce-Umfrage, dass Unternehmen im Schnitt zwölf Agenten beschäftigen und diese Zahl bis 2027 um weitere 67 Prozent anwachsen wird.
Die Agenten interagieren mit anderen Tools, APIs, internen und externen Webseiten und Systemen. Sie brauchen hierfür eine eindeutige Identität und klar formulierte Zugriffsrechte. Da kommen viele neue Einträge auf die großen Identitäts-Management-Systeme zu.
Parallel sind Kollegen in den Fachabteilungen dabei, sich eigene Agenten zu stricken. Diese Agenten handeln teils autonom und immer öfter ohne menschliche Aufsicht. Die sich so breit machende Schatten-KI ist auch deshalb besonders gefährlich, da ihre Urheber mit ihnen ungeprüfte Tools in zentrale Arbeitsabläufe integrieren und Sicherheitslücken schaffen, für deren Absicherung herkömmliche Kontrollmechanismen nicht ausgelegt sind.
Agenten können auch unbeabsichtigt Produktionssysteme beeinträchtigen, beispielsweise durch den Entzug von Anmeldeinformationen oder die Quarantäne von Produktionsressourcen. Ohne ausreichende Kontrollmechanismen besteht die Gefahr, dass diese KI-Identitäten zu viel Zugang und Autonomie erlangen.
Identitäten schützen – Autonomien zügeln
Die Verantwortlichen für Sicherheit, Resilienz und Identitäten, die sich jeden Tag mit Zugriffskontrollen und starken Passwörtern beschäftigen, sollten die neuen Identitätsmassen der KI-Agenten unbedingt mitbedenken. Denn jeder KI-Agent greift auf nutzerspezifische Daten und Workflows zu und benötigt hierfür eine eindeutige Identität sowie klar formulierte Zugriffsrechte.
Die digitalen Applikations- oder Nutzeridentitäten und die dazugehörigen Credentials müssen geschützt und entsprechend überwacht werden – sowohl die KI-revelanten Daten als auch die Daten gewöhnlicher User. Denn KI-Agenten können Passwörter kompromittieren und in der Folge die jeweiligen Rechte eskalieren. Als Ergebnis entstehen viele neue Einträge in den großen Identitäts-Management-Systemen, die es zu dokumentieren, zu überwachen, zu sichern und bei verdächtigen Änderungen oder Korruption auch wieder auf den korrekten Status zurückzusetzen gilt.
Lebenszyklen steuern
Natürlich gelten auch bei agentischer Künstlicher Intelligenz die Grundsätze eines konsequenten und sicheren Passwort- und Zugriffsmanagements. IT-Verantwortliche müssen Daten zu Identitäten der KI-Agenten stark verschlüsseln, starke Multi-Faktor-Authentifikationen einbauen und Identitäten zentral verwalten, so wie im Zugriffsmanagement jedes menschlichen Mitarbeiters. Aber damit endet die Aufgabe des Identitätsschutzes bei KI-Agenten nicht.
Die Verantwortlichen für Sicherheit, IT-Betrieb und Governance sollten ihre KI-Strategie auf Resilienz und konsequente Kontrolle ausrichten. Sie müssen die Aktivitäten autonomer Agenten genau verfolgen. Sie sind verpflichtet, KI-Agenten als wichtige digitale Identitäten ernstnehmen und nicht nur benötigte Zugriffsrechte einmal zu erteilen. Notwendig ist eine Rückversicherung durch Mechanismen, um Agenten zurückzusetzen oder ihre Kompetenzen einzuschränken, falls diese ihre ihnen zugewiesenen Grenzen überschreiten. Wer KI nutzt, muss sicherstellen, dass die Qualität von Integrität, Backup und Recovery der Identitäten und Passwörter den Möglichkeiten der KI entspricht. Das ist nur durch einen zentralen Blick und Kontrolle über alle Bereiche der IT hinweg möglich.
Der Schlüssel zu mehr Sicherheit für KI-Agenten liegt darin, Identitäten und Passwörter zentral zu verteilen, zu überwachen und allen Beteiligten – also sowohl für DevOps, SecOps und ITOps – kontrolliert bereitzustellen. Um die Identitäten zu überwachen, sollte man vermeiden, Agenten mit Plug-and-Play-Automatisierung zu implementieren.
Wenn es Organisationen gelingt, diese Balance zwischen Kontrollen und Automatismen zu schaffen, können sie agentenbasierte KI zu einem entscheidenden Sicherheitsfaktor machen. Wer dies nicht tut, riskiert, seine Schwachstellen zu vergrößern. Die Kontrolle des Lebenszyklus einer agentischen Identität beginnt dabei grundlegend mit einer Kontrolle von Passwörtern für digitale Identitäten.
Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“
