Im März 2026 geriet ein interner KI-Agent bei Meta in die Schlagzeilen, obwohl er alle Regeln einhielt. In einem Engineering-Forum verfasste der KI-Agent eigenmächtig eine Antwort, die dazu führte, dass Unternehmens- und Nutzerdaten zwei Stunden lang für unberechtigte Mitarbeiter sichtbar wurden. Meta stufte den Vorfall intern als „Sev 1“ ein, was dort dem zweithöchsten Schweregrad entspricht.
Das Bemerkenswerte daran: Der Agent hatte jede Identitätsprüfung bestanden. Er verfügte über gültige Anmeldedaten, bewegte sich innerhalb seiner autorisierten Grenzen und handelte exakt so, wie es sein Zugriffsmodell vorsah. Nicht die Authentifizierung oder der KI-Agent hat versagt, sondern die Governance. Denn hier übernahm ein Agent Befugnisse, ohne irgendjemandem Rechenschaft zu schulden. Genau hier liegt ein neuartiger blinder Fleck, den die meisten Organisationen im Umgang mit nicht-menschlichen Identitäten und autonomen Systemen nicht auf dem Schirm haben.
Das Governance-Modell passt nicht mehr
Das Muster ist nicht neu, nur die Akteure sind es. Bereits im August 2025 verschafften sich Angreifer über kompromittierte OAuth-Token der Drittanbieteranwendung Salesloft-Drift systematisch Zugang zu Salesforce-Umgebungen Hunderter Kundenunternehmen. Auch dort trugen die Token die Autorisierung bereits in sich, und auch dort verlief der Zugriffspfad außerhalb der Eigentums- und Prüfprozesse, die für menschliche Nutzer gedacht sind. In den meisten Unternehmen übersteigt die Zahl nicht-menschlicher Identitäten die der menschlichen Nutzer mittlerweile um mehr als das 40-fache und dennoch wurden Governance-Programme schlicht nie darauf ausgelegt, Dienstkonten, Workload-Credentials, API-Schlüssel oder OAuth-Token zu erfassen. Mit dem Einzug von KI-Agenten in Produktivumgebungen verschärft sich dieses Problem dramatisch. Denn anders als ein Dienstkonto führt ein Agent nicht nur Transaktionen aus. Er trifft Entscheidungen, interpretiert Kontext und passt sein Verhalten zur Laufzeit an.
Die klassische Identity-Governance wurde für Menschen entwickelt. Sie fragt, wer Zugriff auf was hat, ob dieser Zugriff zur Rolle passt und ob sich das belegen lässt. Ihre Anknüpfungspunkte sind Personalunterlagen, Vorgesetzte und Lebenszyklus-Ereignisse, sprich Eintritt, Positionswechsel und Austritt von Mitarbeitern. Nicht-menschliche Identitäten (NHI) und KI-Agenten senden diese Signale nicht. Ohne diese Auslöser bestehen ihre Zugangsdaten unbegrenzt fort, und ihre Berechtigungen sammeln sich im Verborgenen an.
Bei nicht-menschlichen Identitäten stellt sich also nicht die Frage, worauf sie zugreifen, sondern was sie mit ihren Zugriffsrechten tun. Dienstkonten, API-Schlüssel und Workload-Credentials arbeiten automatisiert, aber vorhersehbar. Sie führen denselben Vorgang auf denselben Systemen aus. Das Risiko ist real, aber berechenbar. Governance im KI-Zeitalter jedoch beginnt, wenn jede NHI mit einem klaren Zweck, einem verantwortlichen Eigentümer und Zugriffsrechten ausgestattet ist, die exakt ihren Aufgaben entsprechen. Deswegen sind Sicherheitsvorfälle in Verbindung mit KI-Agenten kein Zeichen abtrünniger Technologie und auch kein Inside-Job. Sie sind ein Indikator für veraltete Governance-Prinzipien.
Die drei größten Sicherheitslücken
Kontrollmechanismen wie Eigentümerschaft, Zertifizierung und das Prinzip minimaler Berechtigungen bleiben wichtig. Was versagt, ist das Modell, das diese Kontrollen auslöst und aufrechterhält, sobald die Identität keine Person mehr ist. Drei Lücken machen Unternehmen hier systematisch angreifbar.
- Die Bestandslücke: Die meisten Unternehmen können nicht beziffern, wie viele nicht-menschliche Identitäten in ihrer Umgebung existieren. Cloud-Plattformen erzeugen mit jedem neuen Workload verwaltete Identitäten. Solange unklar bleibt, welche Identität welche Rechte hat und welches Risiko sie birgt, fehlt jeder Governance der Ansatzpunkt.
- Die Verantwortungslücke: Selbst, wenn nicht-menschliche Identitäten erfasst sind, fehlt oft die Zuständigkeit. Der Ingenieur, der ein Dienstkonto einst angelegt hat, hat das Unternehmen längst verlassen. Die Anwendung, die es unterstützte, ist abgeschaltet. Das Team, das wiederum über den Zweck informiert war, wurde umstrukturiert. Fragt ein Prüfer dann, warum diese Identität noch existiert, wozu sie dient und wer ihren Zugriff genehmigt hat, bleibt die Antwort in vielen Organisationen offen.
- Die Lücke im Lebenszyklus: Ein Dienstkonto wird meist nicht überprüft, nur weil ein Mitarbeiter die Stelle wechselt und ein API-Key nicht entzogen, nur weil ein Projekt klammheimlich ausläuft. Mit der Zeit sammeln sich so Berechtigungen an, Zugangsdaten veralten und Identitäten bleiben aktiv, lange nachdem ihr eigentlicher Zweck verschwunden ist.
Governance muss nun auch Verhaltensweisen einhegen
Das Verhalten klassischer nicht-menschlicher Identitäten bleibt vorhersehbar. Ein kompromittiertes Dienstkonto kann nur das tun, wofür es konfiguriert wurde. KI-Agenten ändern diese Gleichung grundlegend. Die Governance-Frage verlagert sich vom statischen Zugriff zur konkreten Handlung: Was tun Agenten, was haben sie getan, und kann das Unternehmen nachweisen, dass es autorisiert war? Agenten wählen Werkzeuge aus, delegieren Aufgaben an andere Agenten und handeln im Namen von Menschen. Sie nutzen Informationen systematisch aus, und das in völliger Abwesenheit eines ethischen oder moralischen Kompass. Ohne ein Governance-Modell, das dieses Verhalten einhegt, reicht das Risiko weit über den bloßen Zugriff hinaus. Es muss bis zur Frage reichen, was der Agent zur Laufzeit tatsächlich entscheidet und ob diese Entscheidungen später noch nachvollziehbar sind.
Die Regulierung holt auf
NIS2, DORA und der EU-AI-Act laufen auf eine gemeinsame Erwartung hinaus: Unternehmen müssen Kontrolle über jede Identität nachweisen können, die privilegierten Zugriff auf kritische Systeme und sensible Daten besitzt. Das gilt nicht nur für solche, die Menschen zugeordnet sind. DORA verpflichtet Finanzinstitute zu formellen Aufzeichnungen ihrer Abhängigkeiten von IKT-Drittanbietern. NIS2 verlangt EU-weit den Nachweis von Zugriffskontrolle in kritischen Umgebungen, unabhängig davon, ob die Identität menschlich ist oder nicht. Der EU-AI-Act schlussendlich ergänzt die Forderung nach Rechenschaftspflicht und Rückverfolgbarkeit für autonome Systeme. Die Kernfrage lautet überall gleich: Können Sicherheitsverantwortliche belegen, wer oder was Zugriff hatte, warum, und ob dieser Zugriff unter Governance stand? Wer das nicht kann, sammelt Compliance-Risiken an, lange bevor eine Aufsichtsbehörde oder ein Kunde konkret nachfragt.
Die Kosten des Abwartens
Wo nicht-menschliche Identitäten außer Kontrolle geraten, zeigt sich der Schaden in forensischen Analysen nach Sicherheitsvorfällen, in gescheiterten Audits, in Compliance-Befunden und in behördlichen Durchsetzungsmaßnahmen. Der rote Faden durch diese Fälle: ein Governance-Programm, das für Menschen entworfen, auf Systeme übertragen und im entscheidenden Moment unzureichend war. Unternehmen, die diese Lücke heute schließen, legen damit zugleich die Grundlage für die Governance von KI-Agenten, die ohnehin auf sie zukommt. Wer wartet, verschärft ein Problem, das schon jetzt teuer ist und morgen deutlich schwerer zu lösen sein wird.
Von Thomas Müller-Martin, Field Strategist DACH bei Omada Identity
