Non-Human Identities: Wenn Systeme privilegierten Zugriff erhalten

Privileged Non-Human Identities

Sicherheitsstrategien für nicht-menschliche Identitäten in Finanzunternehmen

veröffentlicht am 21.10.2025 | Lesezeit: ca. 3 Minuten
Julian-Alexis Wolff
Julian-Alexis Wolff
Felix Wilhelm
Felix Wilhelm
Andreas Gajanin
Andreas Gajanin

Keyfacts:

  • Auf jede Person kommen im Schnitt 82 technische, nicht-menschliche Identitäten in Unternehmen – Tendenz steigend.
  • Sie agieren im Hintergrund, steuern kritische Prozesse, greifen auf sensible Daten zu, aber sind häufig unzureichend überwacht.
  • Wird das Risiko privilegierter nicht-menschlicher Identitäten unterschätzt, entstehen kritische Lücken in der Cyberabwehr.

In modernen IT-Landschaften müssen Finanzunternehmen zunehmend nicht nur menschliche Nutzende, sondern auch automatisierte Systeme, Applikationen und die zugehörigen Maschinenidentitäten wie Agentenuser von KI-Systemen sicher verwalten und dabei alle Regulatorik- und Compliance-Anforderungen berücksichtigen.

Das Hauptaugenmerk gilt den sogenannten Privileged Identites, also Identitäten mit besonders weitreichenden Zugriffsrechten, wenn diese nicht an reale Personen, sondern an Maschinen, Dienste oder Software gebunden sind. Gerade diese nicht-menschlichen Identitäten (Non-Human Identities, NHIs) stellen ein wachsendes Risiko dar, da sie häufig automatisiert agieren und schwer zu überwachen sind.

Was sind „Privileged Identities“?

Privileged Identities sind Benutzerkonten oder Identitäten, denen besonders weitreichende Rechte innerhalb einer IT-Infrastruktur zugewiesen sind. Dazu gehören beispielsweise Administrator-Konten, Root-Zugänge oder Service-Konten mit weitreichenden Berechtigungen auf Datenbanken oder Cloud-Umgebungen. Diese Identitäten sind besonders schützenswert, da durch ihre Verwendung ein erhöhtes Risiko für die Verletzung der Verfügbarkeit, Vertraulichkeit und/ oder der Integrität der Systemdaten besteht. Sie sind ein attraktives Ziel für Angreifer und können  finanzielle sowie reputative Schäden verursachen.

Was sind „Non-Human Identities“?

Non-Human Identities (NHIs) sind Identitäten, welche nicht an reale Personen gebunden sind, sondern von Maschinen, Prozessen oder Softwarekomponenten genutzt werden. Dazu gehören Service-Konten, welche von Applikationen genutzt werden, um untereinander zu kommunizieren oder auf andere Systeme zuzugreifen. In modernen Systemarchitekturen wie Cloud-nativen Umgebungen oder in komplexen CI/CD-Pipelines (Continuous Integration / Continuous Delivery oder Deployment) existieren oft tausende solcher NHIs, die automatisiert agieren und regelmäßig mit anderen Systemen interagieren. Das Verhältnis von technischen zu menschlichen Identitäten liegt mittlerweile im Durchschnitt bei 82:1.

Warum sind „Privileged Non-Human Identities“ ein Sicherheitsrisiko?

Die Kombination aus privilegierten Rechten und nicht-menschlicher Nutzung birgt besondere Gefahren. NHIs werden oft einmalig eingerichtet und danach über Jahre hinweg nicht mehr angepasst oder überprüft. Viele dieser Identitäten verfügen über „Standing Privileges“, also dauerhaft aktive Zugriffsrechte, unabhängig davon, ob diese gerade benötigt werden. Zudem fehlt oft eine klare Zuordnung oder Verantwortlichkeit für NHIs. Diese Praxis widerspricht den Leitlinien des  (DORA), die klare Governance-Strukturen und regelmäßige Überprüfungen fordern.

Wird eine Privileged Non-Human Identity kompromittiert – etwa durch das Abgreifen eines geheimen Tokens oder API-Schlüssels – kann ein Angreifer auf kritische Systeme zugreifen, Daten manipulieren oder sogar komplette Infrastrukturen lahmlegen. Gerade die weitreichenden Berechtigungen privilegierter Nutzer bergen ein hohes Risiko für Intransparenz. So können etwa Logdaten gelöscht oder nicht überwachste Shadow Accounts angelegt werden – oft ohne zeitnahe Entdeckung. Die fehlende menschliche Kontrolle erhöht das Verdunklungspotenzial und erschwert die Detektion und Analyse von Angriffen erheblich.

Gerade im Umfeld von Finanzdienstleistern ist dies ein erheblicher Risikofaktor: Laut unserer Studie „Von Cyber Security zu Cyber Resilience“, gehen 65 Prozent der befragten Finanzdienstleister davon aus, einem Angriff aufgrund von Insider Threats zum Opfer zu fallen.

Strategien zur Absicherung von Privileged Non-Human Identities

Um den wachsenden Sicherheitsrisiken durch NHIs entgegenzuwirken, bedarf es eines strukturierten und ganzheitlichen Ansatzes. Dabei spielen unter anderem die folgenden Werkzeuge und Methoden eine zentrale Rolle:

 

1. Sichere und zentrale Verwaltung von Zugangsdaten (Vaulting and Secrets Management)

Sensible Zugangsdaten (Secrets) wie API-Schlüssel, Zertifikate und Passwörter sollten niemals hartcodiert oder unverschlüsselt abgelegt werden. Lösungen wie beispielsweise HashiCorp Vault oder CyberArk Conjure ermöglichen eine zentrale und sichere Verwaltung von Secrets – inklusive automatisierter Rotation, Zugriffskontrolle und Auditierung.

2. Transparenz und Monitoring

Durch den können sicherheitsrelevante Ereignisse gesammelt, korreliert und analysiert werden. Dashboards schaffen Transparenz über vorhandene NHIs, deren Aktivitäten und potenzielle Anomalien. So werden verdächtige Zugriffe frühzeitig sichtbar – und ermöglichen ein schnelles Reagieren.

3. Automatische Erkennung und Verwaltung von NHIs 

Viele NHIs entstehen automatisiert oder wachsen unkontrolliert. Tools zur automatischen Identifikation von NHIs sowie ein strukturiertes Lifecycle Management helfen, Identitäten regelmäßig zu prüfen, zu rezertifizieren und bei Nichtgebrauch zu entfernen.

4. Least Privilege

Der Zugriff von NHIs sollte nach dem Prinzip der minimalen Rechtevergabe (Least Privilege) erfolgen. Rollenbasierte Zugriffsmodelle und Policy-Engines helfen dabei, Rechte nachvollziehbar zu vergeben und zu .

Mit Transparenz und Kontrolle IT-Sicherheit gewährleisten

Privileged Non-Human Identities sind ein hochsensibles Thema in der heutigen IT-Sicherheitslandschaft von Finanzdienstleistern. Ihre Verwaltung und Absicherung erfordert mehr als punktuelle Maßnahmen – sie bedarf eines umfassenden, automatisierten und überwachten Identitätsmanagements. Nur wer Transparenz, Kontrolle und kontinuierliche Überprüfung gewährleistet, kann Sicherheitsvorfälle proaktiv verhindern.

Das könnte Sie auch interessieren

Fingerabdruck auf Tastatur
Datenmanagement und KI

KI im Berechtigungsmanagement: Weniger Aufwand, mehr Kontrolle

KI im Berechtigungsmanagement

15.10.2025 | ca. 5 Minuten Lesezeit

So optimieren Finanzinstitute ihr IAM und sichern regulatorische Compliance

Julian-Alexis Wolff
Julian-Alexis Wolff
Maximilian Uibel
Maximilian Uibel
Fabian Giese
Fabian Giese
Bild von neuronalen Synapsen, denn IAM und PAM sind das Nervensystem für Sicherheit, Effizienz und für die Einhaltung gesetzlicher Vorgaben im Bereich Cybersicherheit
Cloud und Cyber Security

Wie Banken sich mit modernem IAM und PAM fit für 2030 machen

Wie Banken sich mit modernem IAM und PAM fit für 2030 machen

01.08.2025 | ca. 7 Minuten Lesezeit

Cloud, KI und Regulierung erklären das Digital Identity Management zur Chefsache.

Julian-Alexis Wolff
Julian-Alexis Wolff
Christopher Sobotta
Christopher Sobotta
Digitale Identitäten im Zeitalter von KI, Fingerabdruck
Datenmanagement und KI

Digitale Identitäten im Zeitalter von KI

Digitale Identitäten und KI

12.09.2023 | ca. 5 Minuten Lesezeit

Wie KI bei der Überwachung von Berechtigungen und Zugriffen unterstützen kann

Julian-Alexis Wolff
Julian-Alexis Wolff
Maximilian Uibel
Maximilian Uibel
Sven-Niclas Granzow
Sven-Niclas Granzow
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.