Agentische Systeme nutzen Zugriffsrechte nicht nur, sie suchen aktiv den Weg des geringsten Widerstands. Sie sind darauf optimiert, eine Aufgabe mit möglichst wenig Reibung abzuschließen: weniger Freigaben, weniger Rückfragen, weniger Hindernisse. In Identitätsbegriffen bedeutet das, dass sie sich auf alles stützen, was bereits funktioniert — lokale Konten innerhalb von Anwendungen, veraltete Dienstidentitäten, langlebige Token, API-Schlüssel und Umgehungspfade bei der Authentifizierung. Was funktioniert, wird wiederverwendet.
Nach Einschätzung von Orchid Security liegt das eigentliche Risiko in der Skalierung: Eine einzige vernachlässigte Identität wird zur wiederverwendbaren Abkürzung über die gesamte Umgebung hinweg. Erschwerend kommen hybride Umgebungen hinzu. Auf Grundlage der Gartner-Untersuchung stoßen Organisationen beim Management dieser nicht-menschlichen Identitäten auf erhebliche Hürden, weil native Plattformkontrollen und Hersteller-Schutzmechanismen in der Regel nicht über die Grenzen der eigenen Cloud oder Plattform hinausreichen. Ohne unabhängige Aufsicht bleiben Cloud-übergreifende Agenteninteraktionen vollständig ungesteuert.
Führende Analysten erwarten dem Quelltext zufolge, dass der weit überwiegende Teil unautorisierter Agentenaktionen aus internen Verstößen gegen Unternehmensrichtlinien resultiert — etwa fehlgeleitetem KI-Verhalten oder dem übermäßigen Teilen von Informationen — und nicht aus böswilligen externen Angriffen. Orchid Security weist zudem darauf hin, dass MCP-Agenten, die über das Protokoll mit Anwendungen, anderen Agenten, APIs und Datenquellen verbunden sind, eigene verborgene Schwachstellen einführen, sofern sie unkontrolliert bleiben.
Gartner verknüpft moderne KI-Governance mit der Forderung, dass Identitäts- und Zugriffsmanagement eng mit der Informations-Governance zusammenwachsen muss. So lassen sich die Sensibilität von Daten dynamisch klassifizieren und das Agentenverhalten in Echtzeit überwachen, statt sich allein auf statische Anmeldedaten zu verlassen. Gartner führt dafür das Konzept spezialisierter „Guardian"-Systeme ein — überwachende KI-Lösungen, die arbeitende Agenten fortlaufend bewerten, beobachten und in ihren Grenzen halten.
Orchid Security empfiehlt, KI-Agenten von Beginn an als vollwertige Identitäten zu behandeln — auffindbar, steuerbar und auditierbar. Konkret sollen die bewährten Identitätsprinzipien auf diese neue Klasse nicht-menschlicher Identitäten übertragen werden: minimale Rechtevergabe, Lifecycle-Management und Nachvollziehbarkeit. Die meisten Vorfälle mit KI-Agenten begännen nicht mit einer Zero-Day-Lücke, so Orchid Security, sondern mit einer vergessenen Identitäts-Abkürzung, die durch Automatisierung so verstärkt werde, bis sie wie ein systemischer Einbruch wirke.
Wenn Identity Dark Matter die Summe dessen ist, was sich nicht sehen oder kontrollieren lässt, könnten ungesteuerte KI-Agenten nach Darstellung des Anbieters zu ihrer am schnellsten wachsenden Quelle werden. Orchid Security gibt an, eine Identitätsinfrastruktur zu entwickeln, die diese Dark Matter beseitigen und den Einsatz von KI-Agenten im Unternehmensmaßstab absichern soll.
