Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.
Kostenlose Testversionen
Home / Unified Cybersecurity/Identity Security 101 / Was sind nicht-menschliche Identitäten?

Was sind nicht-menschliche Identitäten?

Mit dem Aufkommen von automatisierten Workflows, Cloud-nativer Entwicklung und vernetzten Systemen werden nicht-menschliche Identitäten (NHI) zu einem wichtigen Bestandteil moderner IT-Umgebungen. Diese Identitäten helfen Systemen, zu kommunizieren, und arbeiten ohne menschlichen Input.

Ihre Verbreitung hat jedoch ihren Preis. Mit der zunehmenden Anzahl von NHI vergrößert sich die Angriffsfläche und es entstehen kritische, aber oft übersehene Sicherheitslücken, die eine sorgfältige Verwaltung und spezielle Sicherheitskontrollen erfordern.

Was sind nicht-menschliche Identitäten?

Eine nicht-menschliche Identität (NHI) ist eine Maschine, Anwendung, Softwarekomponente, Netzwerkressource bzw. ein Service oder automatisierter Prozess, der sich authentifizieren muss, um auf Daten oder Ressourcen innerhalb einer Umgebung zuzugreifen, ohne dass ein Mensch direkt eingreifen muss.

Hier einige Beispiele:

  • Robotic Process Automation (RPA)-Bots, die sich wiederholende Geschäftsaufgaben ausführen.
  • CI/CD-Pipelines (z. B. Jenkins, GitLab CI), die Service Principals, Token oder SSH-Schlüssel für den Zugriff auf Code-Repositories, die Erstellung von Artefakten und die Bereitstellung von Anwendungen verwenden.
  • Anwendungen oder Microservices, die API-Schlüssel, gegenseitige TLS-Zertifikate oder OAuth-Tokens zur gegenseitigen Authentifizierung verwenden.
  • Cloud-Ressourcen, die Identitäten annehmen, um sicher auf andere Cloud-Dienste zugreifen zu können. Eine AWS EC2-Instanz kann zum Beispiel eine IAM-Rolle für den Zugriff auf einen S3-Bucket verwenden.
  • Skripte (z. B. PowerShell, Python, Bash), die gespeicherte Anmeldedaten oder Token verwenden, um sich bei Systemen oder Datenbanken anzumelden.
  • KI-basierte autonome Agenten, die eine Authentifizierung benötigen, um mit externen Systemen, Datenbanken oder APIs zu interagieren, um Informationen zu sammeln, Aktionen auszuführen oder Datensätze zu aktualisieren, die auf ihren programmierten Zielen basieren – basierend auf künstlicher Intelligenz im Bereich Cybersicherheit.
Was sind nicht-menschliche Identitäten?

Neben dem offensichtlichen Unterschied unterscheiden sich menschliche und nicht-menschliche Identitäten auch in ihren Eigenschaften, ihrer Verwaltung und den damit verbundenen Risiken:

Aspekt

Menschliche Identität

Nicht-menschliche Identität

Repräsentation

Eine einzelne Person (Angestellter, Auftragnehmer etc.)

Eine Anwendung, ein Service, ein Gerät, ein Skript oder ein Bot

Interaktion

Typischerweise interaktiv (Anmeldebildschirme, Eingabeaufforderungen)

Programmatisch, automatisiert, nicht interaktiv

Authentifizierung

Kennwörter, MFA (OTP, Biometrie, Push), SSO

API-Schlüssel, Zertifikate, Token (OAuth, JWT), Geheimnisse, Cloud IAM

Skalierung

Im Allgemeinen proportional zur Größe der Belegschaft

Kann die Zahl der menschlichen Benutzer bei weitem übersteigen, skaliert mit Automatisierung/Services

Lebenszyklus

In der Regel an die Dauer der Beschäftigung/Rolle gebunden; privilegierten Identitäten können jedoch temporäre Anmeldeinformationen zugewiesen werden

Gebunden an den Lebenszyklus von Anwendungen/Services/Geräten; kann kurzlebig oder gefährlich statisch sein

Verwaltung von Anmeldeinformationen

Kennwortzurücksetzungen, MFA Einrichtung/Zurücksetzung, IT-Helpdesk

Erfordert oft automatische Rotation, Tools zur Verwaltung von Geheimnissen (z. B. Vault), sichere Injektion

Provisionierung

HR-gesteuerte Onboarding-/Offboarding-Prozesse

DevOps-/Entwickler-gesteuert, verbunden mit Bereitstellungspipelines

Nicht-menschliche Identitäten in Cloud-Umgebungen

NHI sind besonders in Cloud-Umgebungen weit verbreitet. Das Grundprinzip der Cloud – basierend auf APIs, Automatisierung, dynamischer Skalierung und Infrastructure-as-Code (IaC) – erfordert den umfassenden Einsatz von NHI für Kommunikation, Autorisierung und Bereitstellung.

Diese starke Abhängigkeit macht NHIs jedoch auch zu einer erheblichen Risikoquelle in der Cloud:

  • Cloud-Umgebungen können Tausende oder sogar Millionen von NHIs (VMs, Container, Funktionen, Dienstkonten, Rollen) enthalten. Diese Zahlen manuell zu verwalten ist praktisch unmöglich.
  • In Konfigurationsdateien oder Code gespeicherte Anmeldeinformationen können ausgenutzt werden, wenn sie geleakt werden.
  • Es kommt häufig vor, dass Entwickler aus Bequemlichkeit übermäßig weitreichende Berechtigungen für NHIs vergeben und damit das Least-Privilege-Prinzip verletzen.
  • Es kann schwierig sein, festzustellen, wer eine NHI erstellt hat, warum sie existiert und ob sie noch gebraucht wird. Dies kann zur Existenz von Zombie-Identitäten führen.

Um diese Risiken zu vermeiden, müssen Unternehmen spezialisierte Sicherheitstools und -kontrollen einsetzen, um einen durchgängigen Einblick in die NHI-Aktivitäten zu erhalten und eine proaktive Erkennung von Bedrohungen zu implementieren.

Warum die Verwaltung nicht-menschlicher Identitäten für Unternehmen so wichtig ist

Wenn sie nicht ordnungsgemäß verwaltet werden, können nicht-menschliche Identitäten Sicherheitsrisiken mit sich bringen, die zu Verstößen gegen die Compliance, Serviceunterbrechungen und sogar Datenschutzverletzungen führen können. Hier erfahren Sie, warum eine proaktive NHI-Governance ein Muss für Ihr Unternehmen ist:

  • Jede NHI ist ein potenzieller Einstiegspunkt. Ein einziger kompromittierter API-Schlüssel oder ein kompromittiertes Dienstkonto kann zu lateralen Bewegungen führen.
  • Regulatorische Rahmenbedingungen (z. B. DSGVO und HIPAA) erfordern ein striktes Identity Management, das auch die Nachverfolgung von nicht-menschlichen Konten umfasst.
  • Verwaiste NHIs können sich im Laufe der Zeit ansammeln und zu einem „Anmeldeinformations-Sprawl“ führen, der die Reaktion auf Vorfälle verlangsamt.
  • Mangelnde Transparenz der NHI-Aktivitäten verschleiert potenzielle Bedrohungen. Ohne eine ordnungsgemäße Verwaltung ist es einfach nicht möglich, anormales Verhalten zu erkennen, das auf einen Verstoß hinweisen könnte.
Warum die Verwaltung nicht-menschlicher Identitäten für Unternehmen so wichtig ist

Best Practices für NHI-Sicherheit

Hier finden Sie einige bewährte Praktiken, mit denen Sie häufige NHI-Risiken reduzieren können:

  • Weisen Sie nur die Mindestberechtigungen zu, die für die Funktion der NHIs erforderlich sind.
  • Protokollieren Sie anomales NHI-Verhalten (z. B. einen CI-/CD-Bot, der nachts um 3 Uhr auf Produktionsdaten zugreift) und schlagen Sie via Security Information and Event Management(SIEM)-Regeln Alarm.
  • Automatisieren Sie die Rotation und Verwaltung der Anmeldeinformationen für alle NHIs.
  • Planen Sie vierteljährliche NHI-Überprüfungen, um ungenutzte Identitäten (z. B. veraltete API-Schlüssel bestimmter Microservices) zu entfernen.
  • Kategorisieren Sie NHIs auf der Grundlage von Risiken und wenden Sie entsprechende Sicherheitskontrollen an.

Häufige Bedrohungen, die auf nicht-menschliche Identitäten abzielen

Ihre NHI-Sicherheitspolitik sollte Schutzmaßnahmen für die folgenden Bedrohungen vorsehen:

  1. Diebstahl von Zugangsdaten – Angreifer stehlen API-Schlüssel, Anmeldeinformationen für Dienstkonten oder Zertifikate, um unbefugten Zugriff auf Systeme zu erhalten. Dies kann durch falsch konfigurierte Repositories oder offene Umgebungsvariablen geschehen.
  2. Privilegienerweiterung – Wenn NHIs übermäßige Berechtigungen gewährt werden und es Hackern gelingt, sie zu kompromittieren, können sie diese Berechtigungen ausnutzen, um Angriffe zur Privilegienerweiterung durchzuführen.
  3. Token-Hijacking – Kompromittierte Token oder Sitzungs-IDs ermöglichen es Angreifern, sich als Services auszugeben und nicht autorisierte Aktionen durchzuführen. Wenn diese Token nicht ordnungsgemäß rotiert werden, können Angreifer sie über längere Zeiträume unentdeckt verwenden.
  4. Angriffe auf die Lieferkette – Services und Integrationen von Drittanbietern sind oft auf NHI angewiesen. Wenn die Anmeldedaten eines Anbieters kompromittiert werden, können Angreifer sie nutzen, um in verbundene Systeme einzudringen.
  5. Verwaiste (nicht überwachte) NHIs – NHIs, die nicht mehr verwendet werden, aber immer über noch aktive Anmeldeinformationen verfügen, stellen ein Sicherheitsrisiko dar. Ohne ordnungsgemäße Überwachung können diese Konten leicht ausgenutzt werden.

Wann sollten Unternehmen das Management nicht-menschlicher Identitäten einführen?

Wenn Ihr Unternehmen Automatisierung, Cloud-Dienste oder eine Art von System-zu-System-Kommunikation verwendet, haben Sie mit ziemlicher Sicherheit nicht-menschliche Identitäten (NHIs) in Ihrer Umgebung. Auch wenn deren Zahl im Moment noch gering ist, sollten Sie sofort mit der Entwicklung eines skalierbaren NHI-Verwaltungssystems beginnen.

Wenn Ihre Infrastruktur wächst, kann die Anzahl der NHIs exponentiell ansteigen, was es später schwieriger machen würde, sie zu verfolgen und abzusichern. Ein strukturierter Verwaltungsrahmen hilft, Sicherheitslücken zu vermeiden und stellt sicher, dass NHIs von Anfang an richtig kontrolliert werden.

Erklärung des Lebenszyklus – Verwaltung nicht-menschlicher Identitäten

Hier ist ein Überblick über einen typischen NHI-Lebenszyklus:

  1. Erfassung und Inventarisierung – Identifizieren Sie alle NHIs (API-Schlüssel, Servicekonten, IoT-Anmeldeinformationen usw.) in der Cloud, vor Ort und in Systemen von Drittanbietern.
  2. Klassifizierung und Risikobewertung – Kennzeichnen Sie NHIs nach Schweregrad des Risikos (z. B. „hohes Risiko“, wenn sie auf sensible Daten zugreifen). Prüfen Sie auf übermäßige Berechtigungen, fest kodierte Geheimnisse oder ungenutzte Identitäten.
  3. Sichere Provisionierung – Erstellen Sie NHIs mit den minimalen Privilegien, die sie zur Durchführung ihrer Aktionen benötigen. Automatisieren Sie die Ausgabe von Anmeldeinformationen über Geheimnismanager wie HashiCorp Vault oder AWS Secrets Manager.
  4. Kontinuierliche Überwachung – Richten Sie eine kontinuierliche Überwachung der NHI-Aktivitäten und eine Protokollierung für Prüfpfade und die Bedrohungserkennung ein.
  5. Rotation und Deprovisionierung – Automatisieren Sie die Rotation von Berechtigungsnachweisen mit kurzlebigen Token oder SPIFFE/SPIRE-Zertifikaten. Formulieren Sie einen Prozess, um verwaiste NHI proaktiv zu entfernen.
  6. Auditierung – Analysieren Sie NHI-Aktivitätsprotokolle, um anomales Verhalten und mögliche Sicherheitsverletzungen zu erkennen. Sicherstellen, dass die NHI-Verwaltungspraktiken weiterhin den einschlägigen gesetzlichen Anforderungen entsprechen.

Was sind Praxisbeispiele für nicht-menschliche Identitäten?

Sehen wir uns nun zwei Beispiele dafür an, wie die NHI in der Praxis funktioniert:

Automatisierungsskript

Nehmen wir ein Skript, das einige Daten aus einer sensiblen Datenbank abruft. So könnte es funktionieren:

  1. Ein Entwickler erstellt ein Dienstkonto speziell für das Skript. Es erhält nur die minimalsten Rechte für den Zugriff auf die Datenbank.
  2. Das Skript verwendet einen sicheren API-Schlüssel oder die Anmeldeinformationen eines Dienstkontos, um sich bei der Datenbank zu authentifizieren.
  3. Jede Datenbankabfrage, die das Skript durchführt, wird protokolliert, um Aktivitäten zu verfolgen und Anomalien zu erkennen.
  4. Der API-Schlüssel oder das Kennwort für das Dienstkonto wird regelmäßig gewechselt, um eine langfristige Gefährdung zu verhindern.
  5. Wenn das Skript nicht mehr benötigt wird, wird sein Zugriff widerrufen und seine Anmeldeinformationen werden gelöscht.

Eine EC2-VM

Unser nächstes Beispiel ist eine EC2-Instanz, die mit anderen Cloud-Services interagieren muss.

  1. Eine IAM-Rolle wird mit bestimmten Berechtigungen erstellt (z. B. Lese-/Schreibzugriff auf S3 und DynamoDB).
  2. Die EC2-Instanz erhält über den Metadatenservice der Instanz automatisch temporäre Sicherheitsanmeldeinformationen.
  3. Die VM verwendet ihre temporären Anmeldeinformationen, um signierte API-Anfragen an S3 oder DynamoDB zu stellen.
  4. AWS rotiert automatisch die temporären Anmeldeinformationen, um die Angriffsfläche zu verringern.
  5. CloudTrail und CloudWatch protokollieren API-Anfragen, um unbefugte Zugriffsversuche zu erkennen.
  6. Wenn die VM beendet wird, wird auch der Zugriff auf die zugehörige IAM-Rolle widerrufen.

Regulatorische Frameworks und NHIs

Moderne Frameworks wie NIST CSF 2.0, PCI DSS 4.0.1 und ISO 27001:2022 legen größeren Wert auf eine spezielle NHI-Verwaltung. Unternehmen müssen diese Richtlinien einhalten, nicht nur um die Einhaltung der Vorschriften zu gewährleisten, sondern auch um Sicherheitslücken proaktiv zu verringern.

Fazit

Nicht-menschliche Identitäten sind zu einem Kernbestandteil moderner IT-Infrastrukturen geworden und ihre Absicherung ist unverzichtbar, um eine robuste Cybersicherheit aufrechtzuerhalten. Eine starke NHI-Sicherheitspolitik bietet klare Richtlinien, setzt konsistente Kontrollen durch und hilft, die damit verbundenen Risiken zu verringern.

Vereinheitlichte Identitätssicherheitsumgebung mit One Identity Fabric

Die One Identity Fabric ist nicht nur eine Lösung, sondern ein komplettes Ökosystem, das bisher getrennte Identitätstools nahtlos miteinander verbindet und Ihr gesamtes Identity and Access Management(IAM)-Framework vereinheitlicht.
Zur Lösung