Wer steuert wen? – Wie KI & Non-human Identities die Kontrolle in Banken übernehmen

Service-Accounts mit Vollzugriff, KI-Agenten ohne Aufsicht – in vielen Banken und Versicherungen herrscht Unklarheit darüber, was im digitalen Maschinenraum tatsächlich passiert. Während Sicherheitsmaßnahmen vor allem auf menschliche Nutzer abzielen, nehmen Angreifer längst die wahren Schwachstellen ins Visier: unkontrollierte, technische Identitäten mit Dauerzugriff. Was tun? Julian Alexis Wolff und Magnus Speier, Experten für Digitale Identitäten bei KPMG, klären über ein massiv unterschätztes Problem auf, das sich durch den Einsatz Künstlicher Intelligenz noch verschärft.

von Julian-Alexis Wolff und Magnus Speier, Partner bei KPMG

Die Zeit des Proof of Concept ist vorbei: 2024 beschäftigten sich viele Unternehmen mit der Integration von Künstlicher Intelligenz (KI) in ihren Systemen. Es wurden Testumgebungen aufgebaut, die mit Test-Daten gefüttert wurden und verschiedene Anbieter erprobt. Jetzt verschiebt sich der Fokus auf den ernsthaften Einsatz in der Produktion.

Regulatorische Rahmenwerke wie der EU AI-Act oder DORA (Digital Operational Resilience Act) tragen wesentlich dazu bei, dass auch beim Einsatz von KI IT-Sicherheit und Datenschutz auf der Agenda der Finanzunternehmen nach oben rücken.”

Die Fragen, die sich Entscheidungsträger jetzt stellen: Wie gewährleiste ich den Schutz meiner Daten? Und wie sorge ich dafür, dass beispielsweise moderne KI-Lösungen Entscheidungen im Sinne des Unternehmens ermöglichen, ohne die Sicherheit meiner Informationen zu gefährden? Gleichzeitig soll aber das auf dem Papier vorhandene Potenzial moderner IT-Lösungen zur freien Entfaltung gelangen. Schließlich versprechen sich Banken und Versicherungen einen Innovationsschub durch neue Technologien.

Freiheit sticht Security: Aber zu welchem Preis?

Viele Entscheider stehen vor der schwierigen Entscheidung, zwischen Innovation und Sicherheit abzuwägen. Die Rechnung am Beispiel der KI ist einfach:

Je umfassender die Zugriffe der eingesetzten KI auf interne Daten und Informationen sind, desto größer fällt die erwartete Performanz und damit der Mehrwert für das Unternehmen aus.”

1.Es stehen mehr Daten zur Verfügung, die untereinander eine größere Varianz aufweisen und eine höhere Qualität und Präzision der Ergebnisse ermöglicht.

2.Die KI lernt schneller dazu und entwickelt zeitnah Lösungen für Use Cases des Unternehmens, die nur durch den stetigen Zufluss an Daten möglich ist.

Doch wie weit soll eine KI in den „Maschinenraum“ einer Bank oder einer Versicherung hineinleuchten dürfen? Welche schwerwiegenden Sicherheitsrisiken resultieren daraus?

Hier eine klare Grenze zu ziehen, fällt schwer und ist ein typischer Trade-off, vor dem Führungskräfte aktuell stehen.”

Die Sorge vor einem zu liberalen Umgang mit KI ist berechtigt. Vor allem dann, wenn sie zu wichtigen Geschäftsentscheidungen fähig sein soll. Dafür benötigt sie Einsicht in die Zahlen und Daten vieler Fachabteilungen. Der Worst Case, der eintreten kann: Eine nicht regulierte KI erstellt selbstständig Zugänge zu verschiedensten Datenquellen des Unternehmens, ohne dass das Unternehmen davon Kenntnis nimmt.

Während sich das Unternehmen mit der Optimierung des eigenen Geschäftsmodells befasst, vermehren sich im Hintergrund sogenannte Non-human Identities und bilden, wenn nicht überwacht, ein potenzielles Einfallstor für Cyber-Kriminelle.”

Beispielsweise ist das Verwenden von statischen und im Klartext hinterlegten Zugangsdaten ein bekanntes, aber selten überwachtes Risiko.

Der blinde Fleck in Sicherheitsstrategien

Digitale Identitäten werden zur Beschreibung einer digitalen Abbildung einer Person genutzt. Jeder Mitarbeiter eines Unternehmens besitzt eine solche Identität, welcher wiederum Benutzerkonten mitsamt deren Berechtigungen zugeordnet werden.

Nicht-menschliche Identitäten (Non-human Identities) sind digitale Identitäten, die nicht einem Menschen, sondern einem IT-System zugeordnet werden.”

Das naheliegendste Beispiel sind technische Benutzer bzw. sogenannte Service Accounts, die vordefinierte Regeln und Abläufe befolgen. In Unternehmen führen sie beispielsweise automatisiert Datentransaktionen zwischen IT-Systemen durch.

Und hier gibt es dringenden Handlungsbedarf.

Schon jetzt sind Accounts und Zugänge von Non-human Identities gegenüber menschlichen Nutzern in der klaren Überzahl: Im Schnitt zählt ein Unternehmen rund zehn Mal mehr von ihnen.”

Durch den Einsatz von KI wird diese Lücke weiterwachsen – und zwar rasant. Während sich Unternehmen im Zuge von DORA und anderer Verordnungen mit der strengeren Überwachung menschlicher Nutzer beschäftigen, sind nicht-menschliche Identitäten häufig ein blinder Fleck in den Sicherheitsstrategien und der Governance vieler Unternehmen.

Non-human Identities im Fokus von Angreifern

Doch warum sind Non-human Identities beliebte Ziele für Cyber-Angriffe? Um darauf eine Antwort zu geben, lohnt sich auch hier der Vergleich mit der menschlichen Belegschaft.

Das entscheidende Stichwort lautet: „Life-Cycle“.”

Ein Mitarbeiter fängt eine Position bei einem Unternehmen an, erhält eine menschliche digitale Identität und erhält im besten Fall streng kontrolliert nur die notwendigsten Zugriffe. Diese Zugriffe werden regelmäßig überprüft und entsprechend seiner Aufgaben angepasst. Mit seinem Austritt verschwindet in den meisten Fällen auch die digitale Signatur von ihm aus den IT-Systemen. Sämtliche relevante Zugänge, etwa zum VPN, Intranet, Cloud-Diensten oder zu speziellen Software-Accounts werden deaktiviert. Sichergestellt wird dies meist durch ein zentrales Identity & Access Management und Privileged Access Management, welche entsprechend am Markt etablierte Tools einsetzen.

Für Non-human Identities passiert das häufig nicht.

Werden Non-human Identities nicht mehr gebraucht, heißt das nicht zwangsläufig, dass auch die damit verbunden Zugriffsrechte aus die jeweiligen IT-Systeme entfernt werden.”

Stattdessen führen sie ein Schattendasein, oft unbemerkt vom zentralen Identity & Access Management oder, wenn bekannt, dann ohne den Einsatzzweck zu kennen. Denn noch unübersichtlicher wird es, wenn Non-human Identities aus Bequemlichkeit nach der initialen Anlage auch für andere Zwecke wiederverwendet werden. Wenn dann die ursprünglichen Verantwortlichen noch den zuständigen Bereich oder das Unternehmen verlassen, weiß auf Grund unzureichender Dokumentation und fehlendem Lifecycle niemand mehr, warum die Non-human Identity überhaupt noch da ist und welches Risiko hinter einer Abschaltung steckt. Meist bemerkt das Unternehmen gar nicht erst, wenn es die Identität nicht mehr braucht.

Das macht es Angreifern nach einer erfolgreichen Übernahme einer solchen Non-human Identity besonders einfach:

Durch fehlende Überwachung und fehlende Kenntnis des Einsatzzwecks fallen Ungereimtheiten bei der missbräuchlichen Nutzung einer Non-human Identity nicht auf.”

Und somit ist es für Angreifer ein leichtes, sich in der IT von Unternehmen zu verstecken und Schaden anzurichten.

Im Schatten wächst eine neue IT heran

Neben KI bereitet zudem ein weiteres Problem dem einen oder anderen IAM-Team Kopfzerbrechen:

Es gelangen permanent neue Technologien wie Low-Code- und Non-Code-Plattformen auf den Markt, die das Heranwachsen einer Schatten-IT in den Fachbereichen von Unternehmen begünstigen.”

Zwar erlaubt dies auch Mitarbeitenden ohne umfangreiche Programmierkenntnisse, benutzerdefinierte Geschäftsanwendungen zu entwickeln und bereitzustellen, jedoch steigt auch die Gefahr, dass über solche Apps sensible Unternehmensdaten neuen Sicherheitslücken ausgesetzt sind. Besonders dann, wenn eine erstellte App mit den Rechten der Plattform und nicht mit den Rechten des eingeloggten Users auf Unternehmensdaten zugreift. Hier fehlt häufig der Link zwischen den Fachabteilungen und der IT, um besonders das Identity & Access Management einheitlich auch für diese IT einzuhalten.

Banken und Versicherern Untätigkeit vorzuwerfen, ist in dieser Situation falsch.”

Zunächst gibt es bereits avancierte IAM- und PAM-Tools, die nicht nur die Zugriffe und Anzahl menschlicher Benutzer einschränken, sondern gleiches auch für ihre technischen Pendants Außerdem sollte das Unternehmen eine übergreifende Governance-Struktur aufsetzen, die sich den Frage- und Problemstellungen rund um den Einsatz von Non-human Identities widmet. Es sollte Konsens darüber herrschen, dass hinter jeder Identität ein Mensch steht, der auch die Verantwortung für diesen User trägt. Im Falle einer Non-human Identity wäre dies ein definierter Mitarbeiter, der in der Funktion des Vorgesetzten der Non-human Identity für das Einhalten der Vorgaben (Principle of Least Privilege, Segregation of Duties, u.a.) verantwortlich ist. Die Umsetzung der Vorgaben durch den Vorgesetzten wird zusätzlich durch eine unabhängige Stelle, beispielsweise in der Second Line of Defense, kontrolliert.

Nur wenn Zuständigkeiten für Non-human Identities und deren Zugriffsrechte klar definiert sind, können Unternehmen der unkontrollierten Zunahme von unbeaufsichtigten Zugangspunkten vorbeugen.”

Gleichzeitig müssen auch Übergabeprozesse ausdekliniert sein. Scheidet ein Mitarbeiter aus dem Unternehmen aus, sollte das Wissen im Unternehmen bleiben und an Nachfolger weitergegeben werden. Dazu zählt auch die regelmäßige Inventur bestehender Software – inklusive der verwendeten Zugriffsrechte in anderen Systemen.

Der Wettlauf hat begonnen. Wer stolpert, verliert

Es ist nur verständlich, dass Banken und Versicherer im Wettlauf um die besten KI-basierten Dienstleistungen nicht abgehängt werden wollen. Gleichzeitig führen die bestehenden IT-Landschaften, aber auch der verstärkte Einsatz neuer Technologien innerhalb und außerhalb der IT-Bereiche, zu mehr nicht-menschlichen Identitäten und somit zu mehr Angriffsflächen. Es ist deshalb ratsam, einen kühlen Kopf zu bewahren und die eigene Sicherheitsstrategie auf genau diese Identitäten auszuweiten. Denn:

All die Freiheit und Optimierung durch die KI nützt nicht viel, wenn Cyberkriminelle erst einmal in die IT-Systeme eingedrungen sind.”

Julian-Alexis Wolff und Magnus Speier, KPMG