Thought Leadership
Maschinelle Identitäten sind überall – sie stecken in Bots, Skripten, Management-Tools, Cloud-Services und Anwendungen. Fast immer greifen sie auf kritische Ressourcen zu, doch viele Unternehmen scheitern daran, sie zuverlässig zu schützen. Oft sind sie sich der Risiken, die von diesen Identitäten ausgehen, gar nicht bewusst.
Die Zahl der maschinellen Identitäten ist im Zuge der voranschreitenden Digitalisierung in den meisten Unternehmen deutlich nach oben geschnellt, inzwischen kommen auf jede menschliche bereits 45 maschinelle Identitäten – Tendenz steigend. Das liegt vor allem an der zunehmenden Automatisierung von Abläufen und vielen neuen Services, Tools und Anwendungen, die sich reibungslos austauschen müssen, ohne dass ein Mensch alles kontrolliert und freigibt. Besonders groß ist der Identitätswildwuchs in der Cloud, wo unzählige Skripte, Apps, virtuelle Maschinen, Container und Management-Tools miteinander kommunizieren und auf Datenbanken oder andere kritische Ressourcen zugreifen.
Dass damit erhebliche Sicherheitsrisiken verbunden sind, ist vielen Unternehmen nicht bewusst – 61 Prozent sind laut dem Identity Security Threat Landscape 2024 Report von CyberArk der Ansicht, dass lediglich menschliche Identitäten privilegiert sein können. Ein Trugschluss, denn insbesondere Security-Tools, Lösungen für die Verwaltung von virtuellen und physischen Infrastrukturen sowie die Automatisierung von Abläufen benötigen sehr weitreichende Berechtigungen, um ihre Aufgaben zu verrichten. Aber auch andere maschinelle Identitäten sind häufig mit erweiterten Berechtigungen ausgestattet, da beim Anlegen nicht klar war, welche Rechte wirklich notwendig sind – und dann lieber zu viele als zu wenige zugewiesen wurden.
Gerade in Skripten, Automatisierungstools und selbst-geschriebenen Anwendungen älteren Baujahrs sind die API-Keys, Zugriffspasswörter oder Zertifikate zudem teilweise fest hinterlegt. Fallen sie Cyberkriminellen in die Hände, weil beispielsweise Entwicklertools falsch konfiguriert sind oder Code in einem schlecht gesicherten Repository abgelegt wurde, stehen Eindringlingen plötzlich viele Türen offen. In anderen Fällen attackieren Cyberkriminelle zunächst die Identitäten derjenigen Mitarbeiter, die bestimmte Skripte und Tools nutzen oder deren Secrets und Berechtigungen verwalten. Haben sie Zugriff auf die menschlichen Identitäten erlangt, können sie hart-kodierte Secrets auslesen oder einfach die umfangreichen Rechte der Skripte und Tools missbrauchen.
Fehlender Überblick
Wollen Unternehmen die vielen maschinellen Identitäten in den Griff bekommen und schützen, scheitert das häufig daran, dass ihnen schlicht der Überblick fehlt, welche Identitäten überhaupt existieren und welche Berechtigungen diese besitzen. Denn viele maschinelle Identitäten wurden nicht vom IT- oder Security-Team angelegt, sondern von Entwicklern oder Citizen Developern aus Fachbereichen, die eigene Bots und Tools für die Automatisierung ihrer fachspezifischen Prozesse erstellen. Bei ihnen stehen Themen wie Identitätssicherheit selten im Fokus, sondern eher funktionale Anforderungen und schnelle Ergebnisse.
Dadurch entziehen sich viele maschinelle Identitäten dem Blick des Security-Teams und einer zentralen Verwaltung. Richtlinien, etwa zur regelmäßigen Erneuerung von Access-Keys und Passwörtern, lassen sich auf sie nicht anwenden und durchsetzen. Viele Secrets werden daher jahrelang genutzt – bisweilen sind die Entwickler auch gar nicht mehr im Unternehmen, sodass nur schwer nachzuvollziehen ist, ob Tools, Bots und Skripte noch gebraucht werden und ob in ihnen Secrets fest hinterlegt sind.
Auch zur Authentifizierung eingesetzte Zertifikate haben üblicherweise eine sehr lange Gültigkeit. Allerdings geht – angetrieben durch Anbieter wie Google, die die maximale Laufzeit von TLS-Zertifikaten auf 90 Tage begrenzen wollen – die Entwicklung hin zu kürzeren Lebenszeiten. Vielen Unternehmen fehlt es jedoch an Lösungen für das Management von Zertifikaten, sie nutzen manuelle Prozesse oder selbst erstellte Skripte. Da zudem viele Third-Party-Tools, etwa in der Software-Entwicklung, ein eigenes Secrets-Management mitbringen, entstehen viele kleine Security-Inseln, die den Verwaltungsaufwand erhöhen und das Anlegen und Durchsetzen einheitlicher Richtlinien zum Schutz maschineller Identitäten erschweren.
