AI hat Ihnen zwei neue Probleme gegeben – und Identitätsgovernance ist der einzige Ort, an dem sie sich treffen
AI hat die Identitätsgovernance stillschweigend zu einem Bereich gemacht, in dem die tatsächlichen Machtflüsse entschieden werden – wer (oder was) Geld bewegen, Code ändern oder Aufzeichnungen umschreiben kann. Dieser Wandel hat CISOs und CIOs zwei Probleme übergeben, für die sich niemand wirklich bereit erklärt hat: AI innerhalb des Identitätsstapels, die Zugriffsentscheidungen trifft, und AI, die als mächtige Identitäten im gesamten Unternehmen agiert.
Die Realität der AI-Integration
Der Vorfall, der dies verdeutlicht, ist einfach: Ein AI „Assistent“ im IT-Service-Management wird von „empfehlen“ auf „automatisch ausführen“ umgeschaltet, genehmigt heimlich riskante Firewall-Regeln und Konfigurationsänderungen und taucht erst auf dem Radar auf, wenn der Vorstand fragt, wie ein Hilfskonto de facto Administratorenrechte erhalten hat. Nichts Mystisches geschah mit dem Modell; dies war ein klassischer blinder Fleck in Verkleidung – ein nicht genehmigtes AI-Konto mit Produktionslevel-Rechten und ohne Dokumentation darüber, wer es aktiviert hat, was es berühren kann oder wie man es sicher abschaltet.
Sie haben jetzt AI an zwei entscheidenden Stellen:
- AI innerhalb Ihres Identitätsstapels, die leise bestimmt, wer welchen Zugang erhält.
- AI, die als Identitäten in Ihrem Unternehmen agiert und Arbeiten verrichtet, die früher von Menschen erledigt wurden.
Herausforderungen für CISOs und CIOs
Für CISOs wirft dies unangenehme Fragen zu Vertrauen und Nachvollziehbarkeit auf. Wenn eine AI-gestützte Empfehlung zu einem risikobehafteten Zugriffsrecht führt, können Sie einem Prüfer oder Regulierer erklären, warum diese Entscheidung damals sinnvoll war? Wenn das Modell von einem schlechten Ausgangspunkt gelernt hat – Jahren überprivilegierten Zugriffs – kann es genau die Verhaltensweisen normalisieren, die Sie zu eliminieren versucht haben, aber mit Maschinen-Geschwindigkeit.
Für CIOs ist die Kalkulation anders, aber ebenso schwierig. Sie benötigen Identitätsgovernance, die mit SaaS-, Cloud- und AI-Projekten Schritt halten kann, ohne jede Sprint zu einem Zugangshindernis zu machen. AI scheint der einzige realistische Weg zu sein, um den Rückstand an geringwertigen Genehmigungen und Routineprüfungen zu beseitigen. Das Risiko besteht darin, dass ohne klare Regeln „Optimierung“ in unsichtbare Automatisierung umschlägt, in der niemand sagen kann, wo menschliches Urteilsvermögen endet und AI-Entscheidungen beginnen.
Die Notwendigkeit eines integrierten Ansatzes
Der Test für die Führung ist einfach: Wenn AI heute Entscheidungsprozesse in Ihrem Umfeld beeinflusst, können Sie zeigen, wo, wie und wer diese Entscheidungen überwacht und welche Beweise Sie einem Vorstand, Regulierer oder Klägeranwalt vorlegen würden, wenn Sie gefragt werden? Wenn die Antwort nein lautet, ist Ihr Identitätsprogramm bereits hinter Ihrem AI-Programm zurück.
Das zweite Problem ist leichter zu erkennen, aber schwerer zu bändigen. Jüngste CISO AI-Risikodaten zeigen, dass nichtmenschliche Identitäten, einschließlich AI-Agenten, in vielen Umgebungen menschliche Konten mittlerweile rivalisieren oder übertreffen – obwohl nur wenige Organisationen sehen können, wo diese Agenten tatsächlich Zugriff haben. Sie öffnen Tickets, leiten Vorfälle, fügen Code zusammen, bewegen Daten, schließen Fälle und schreiben zurück in Systeme von Aufzeichnungen. Jedes Mal, wenn ein AI-System den Status in einem Produktionssystem ändern kann, haben Sie effektiv einen neuen Operator geschaffen.
Die Industrie neigt immer noch dazu, diese Systeme als „Funktionen“ oder „Bots“ zu betrachten. Identitätsprogramme hingegen sind um Menschen herum aufgebaut. Das Ergebnis ist ein blinder Fleck für nicht-menschliche Identitäten. Die meisten Organisationen, die für menschliche Identität reif sind, sind in Bezug auf AI-Agenten fast blank: Sie arbeiten mit gemeinsamen Geheimnissen, mandantenweiten Token oder ungeprüften API-Schlüsseln; sie erscheinen selten in Zugriffsprüfungen; viele würden keinen Alarm auslösen, wenn ihr Umfang stillschweigend erweitert wird.
Ein neuer Ansatz für AI-Agenten
Aus der Sicht eines CISOs sehen diese AI-Agenten wie eine neue Klasse von Insidern aus. Sie sind unermüdlich, vergessen kein Credential und können in einem Maßstab operieren, den kein Mensch erreichen könnte. Wenn sie falsch konfiguriert oder missbraucht werden, werden sie zu policy-gesteuerten Verletzungsmaschinen: Sie führen genau das aus, was Sie ihnen gesagt haben, nur an all den Orten, von denen Sie nicht wussten, dass Sie ihnen Zugriff gewährt haben. Ihre Risikofragen verschieben sich von „Sind unsere Administratoren überprivilegiert?“ zu „Welche digitalen Mitarbeiter können Geld bewegen, Code ändern oder regulierte Daten berühren – und wer ist dafür verantwortlich?“
Für CIOs zeigen sich dieselben Agenten als Architekturverschuldung, die sich als Innovation tarnt. Jede „schnelle Lösung“ AI-Integration, die ohne Identitätsmuster ausgeliefert wird, wird zu einem weiteren Gravitationstrichter für Zugriffsverbreitung und operationale Opazität. Wenn ein Ausfall auftritt, können die Reparaturteams nicht leicht feststellen, ob der Verursacher eine menschliche Änderung oder eine AI-Aktion war.
Fazit
Der Wechsel besteht darin, AI-Systeme nicht als Nebenwirkungen anderer Plattformen zu behandeln, sondern sie als Identitäten in ihrem eigenen Recht zu betrachten. Praktisch bedeutet das, dass jeder AI-Agent einen Besitzer, einen Geschäftszweck und eine Risikostufe erhält; seine Berechtigungen werden in Richtlinien definiert, anstatt in app-spezifischen Konfigurationen vergraben zu werden; und er erscheint in Prüfungen, Zertifizierungen und Vorfallzeitlinien wie jeder andere leistungsstarke Benutzer. Sobald Sie AI als Identität betrachten, ist der natürliche Ort für ihre Kontrolle nicht ein weiteres AI‑spezifisches Punktwerkzeug – es ist Ihre Identitätsgovernance-Steuerungszentrale.
AI innerhalb der Identitätsgovernance und AI als Identität mögen wie separate Geschichten aussehen, aber operationell konvergieren sie auf dieselben Fragen:
- Wer besitzt dieses AI-System?
- Was kann es sehen, ändern oder auslösen?
- Wie erkennen wir, wenn sich sein Verhalten oder Zugriff in einer wesentlichen Weise ändert?
- Welche Beweise können wir vorlegen, dass es unter Kontrolle ist?
Diese Fragen können eine Zeit lang ad hoc in Skripten, anwendungsspezifischen Konsolen und Ausschüssen beantwortet werden. Aber das skaliert nicht. Der einzige nachhaltige Ort, an dem beide Arten von AI zusammen verwaltet werden können, ist Ihre Identitätsgovernance-Steuerungszentrale – wo Menschen, Maschinen und Agenten alle im selben Identitätsmodell leben, unter den gleichen Lebenszyklus- und Richtlinienkontrollen.
Für CISOs und CIOs ergibt sich eine gemeinsame Agenda:
- Erstellen Sie ein einheitliches Inventar menschlicher und nicht-menschlicher Identitäten, mit klaren Risikostufen und verantwortlichen Eigentümern.
- Setzen Sie explizite Regeln fest, wo AI empfehlen und wo sie handeln kann, und machen Sie diese Regeln sichtbar in Betriebsanleitungen, Plattformen und Prüfungsabläufen.
- Füttern Sie AI-Identitätssignale – neue Agenten, sich ändernde Bereiche, ungewöhnliche Zugriffsverhalten – in Ihre Erkennungs- und Resilienzprogramme, nicht nur in Ihre Governance-Dashboards.
Vorstände wollen keinen Vortrag über Modelle. Sie wollen wissen, ob Sie erklären, einschränken und nachweisen können, was Ihre AI mit Systemen und Daten tun kann, die wichtig sind. Die Risikobewertung von AI als Identitäts- und Datenfrage, anstatt als abstrakte „AI-Risiko“-Geschichte, macht Ihr Programm glaubwürdiger und besser finanzierbar.
Wenn Sie diese Fragen nicht beantworten können, ist Ihr AI-Programm bereits vor Ihrem Identitätsgovernance-Programm.
