IT-Security · Identity & Access

Die unsichtbaren Konten: Warum Maschinen-Identitäten 2026 das größte Sicherheitsrisiko sind

🕑 Lesezeit: ca. 8 Minuten | Stand: Juni 2026

Ein Jahrzehnt lang haben wir MFA ausgerollt, Zero-Trust-Architekturen gebaut und Benutzerkonten gehärtet. Währenddessen hat sich im Hintergrund eine zweite, weit größere Population von Identitäten vermehrt – und niemand hat hingesehen: Service-Accounts, API-Keys, OAuth-Tokens, Zertifikate und zunehmend KI-Agenten.

„Wir haben die Vordertür abgeschlossen – die Hintertür stand die ganze Zeit offen.“

Das Problem in Zahlen

Die Dimension ist vielen nicht bewusst. Nicht-menschliche Identitäten (englisch Non-Human Identities, NHI) sind längst die Mehrheit – und der gefährlichste blinde Fleck:

40–100 : 1

Verhältnis von Maschinen- zu menschlichen Identitäten in typischen Unternehmen – einzelne Umgebungen erreichen sogar 500:1.

68 %

der IT-Sicherheitsvorfälle betreffen inzwischen Maschinen-Identitäten.

50 %

der Unternehmen hatten bereits einen Sicherheitsvorfall durch ungemanagte NHIs.

Platz 1

In der OWASP-„Non-Human Identities Top 10“ steht unsauberes Offboarding ganz oben – verwaiste Konten, die niemand abschaltet.

Warum Maschinen-Identitäten so gefährlich sind

NHIs verhalten sich grundlegend anders als Benutzerkonten – und genau das macht sie zum idealen Angriffsziel:

Sie umgehen MFA

Ein Service-Account oder API-Key authentifiziert sich ohne zweiten Faktor. Wer das Geheimnis besitzt, ist drin – klassische MFA greift nicht.

Sie haben keinen Besitzer

Ein Mensch hat einen Vorgesetzten, kündigt, geht in Rente. Ein Service-Account nicht. Er antwortet auf keine Rezertifizierung und läuft oft jahrelang weiter.

Sie sind oft überberechtigt

Aus Bequemlichkeit erhalten Dienstkonten weit mehr Rechte als nötig. Ein gekapertes Konto wird so zur Generalvollmacht.

Sie sind unsichtbar

Maschinen-Konten haben kein „normales“ Verhaltensmuster. Missbrauch fällt im Rauschen des Dauerbetriebs kaum auf.

⚠ Der Beschleuniger: KI-Agenten

Mit dem Einzug von KI-Agenten und Automatisierung entstehen neue Maschinen-Konten in Maschinengeschwindigkeit – verwaltet werden sie aber weiterhin in Menschengeschwindigkeit, oft per Tabelle und manueller Rotation. Diese Lücke wächst täglich.

Was Administratoren jetzt tun müssen

✓ Inventur schaffen: Alle Service-Accounts, API-Keys, Zertifikate und Token erfassen – man kann nur schützen, was man kennt.

✓ Auf gMSA umstellen: Group Managed Service Accounts statt statischer Passwörter – das Passwort verwaltet und rotiert das AD automatisch.

✓ Regelmäßige Rotation aller verbleibenden Dienstkonten-Passwörter und Secrets – automatisiert, nicht per Tabelle.

✓ Least Privilege durchsetzen: Dienstkonten nur die Rechte geben, die sie wirklich brauchen – keine pauschalen Admin-Rechte.

✓ Verwaiste Konten finden und abschalten – das OWASP-Risiko Nr. 1 angehen.

✓ Lebenszyklus definieren: Jedes Maschinen-Konto braucht einen verantwortlichen Besitzer und ein Ablaufdatum.

✓ Anomalien überwachen: Ungewöhnliche Nutzung von Dienstkonten erkennen, nicht nur statisch inventarisieren.

ℹ Praxistipp für Active-Directory-Umgebungen

Beginnen Sie dort, wo das Risiko am größten ist: bei privilegierten Dienstkonten mit statischem Passwort, das nie gewechselt wurde. Eine automatisierte Passwort-Rotation und der Umstieg auf gMSA entschärfen die häufigste Schwachstelle – das alte Service-Account-Passwort, das seit Jahren in einer Konfigurationsdatei steht.

Fazit

Während wir die menschlichen Benutzer abgesichert haben, ist die wahre Mehrheit der Identitäten unbeaufsichtigt geblieben. Maschinen-Identitäten umgehen MFA, kennen keinen Lebenszyklus und tragen oft zu viele Rechte – ein idealer, leiser Angriffspfad. Wer 2026 ernsthaft Identitätssicherheit betreibt, muss die unsichtbaren Konten genauso behandeln wie die sichtbaren: inventarisieren, rotieren, beschränken, überwachen. Die Hintertür gehört geschlossen.

gMSA & MSA Management Tool – durch Steuerung und Kontrolle kann man Ziele erreichen