Die Gartner-Analyse zeigt ein alarmierendes Bild: Etwa die Hälfte aller Identitätsaktivitäten in Unternehmen findet bereits außerhalb der zentralen IAM-Sichtbarkeit statt. Während viele Identitäten in zentralen Verzeichnissen registriert sind, leben ebenso viele Identitäten und Kontrollen direkt in den Applikationen selbst — und bleiben damit unsichtbar.
Das Kernproblem liegt in der strukturellen Beschaffenheit moderner IT-Infrastrukturen. KI-Agenten unterscheiden sich fundamental von Benutzern: Sie authentifizieren sich einmalig und bleiben dann persistent aktiv, durchspannen mehrere Anwendungen gleichzeitig und erwerben Berechtigungen opportunistisch. Ein Service-Account, der für einen API-Zugriff eingerichtet wurde, kann sich schnell in einen ungovernen KI-Agent verwandeln, der über unvorhersehbare Berechtigungen verfügt.
Die Governance-Lücke verschärft sich durch drei zentrale Herausforderungen:
Unsichtbare Agenten: Viele Organisationen haben keine zentralisierte Bestandsaufnahme der KI-Agenten in ihrer Umgebung. Agenten werden in Business Units eingeführt, in SaaS-Plattformen integriert oder von Entwicklungsteams intern erstellt — ohne dass die Sicherheitsabteilung informiert wird.
Veraltete statische Zugangsdaten: Service Accounts, API-Zugriffe und “Break-Glass”-Credentials sammeln sich über Jahre an und werden oft vergessen. Diese Zugangsdaten werden zu bevorzugten Zielen von Angreifern und ermöglichen es KI-Agenten, “Identity Dark Matter” gezielt auszubeuten.
Compliance-Blindheit: Unternehmen können ihren aktuellen NIST-CSF- oder anderen Compliance-Status nicht in Echtzeit bestimmen. Compliance-Prüfungen erfolgen oft erst nach externen Audits — wenn Sicherheitslücken längst ausgenutzt wurden.
Gartner hat in seinem inaugural Market Guide for Guardian Agents eine neue Kategorie von Sicherheitslösungen definiert: Anbieter, die “KI-Agent-Identitäten mit Zero-Trust-Richtlinien und Governance verwalten”. Diese Lösungen müssen in den Applikationen selbst arbeiten, nicht nur am Perimeter. Sie analysieren native Authentifizierungs- und Autorisierungslogik direkt in Anwendungen — ohne API-Änderungen oder Quellcode-Modifikationen.
Für deutsche Unternehmen und Behörden ergeben sich zwei unmittelbare Handlungsfelder: Erstens die Inventarisierung aller KI-Agenten in der Organisation sowie die Überprüfung ihrer Berechtigungen. Zweitens die vollständige Verwaltung statischer Zugangsdaten — gerade in Cloud-, On-Premise- und lokalen Umgebungen.
Alle drei Szenarien sind nicht marginal. Sie repräsentieren die zentrale Herausforderung für Sicherheitsteams: Die Identitäts-Infrastruktur ist weit über das hinausgewachsen, wofür traditionelle IAM-Systeme konzipiert wurden. Lösungen, die “at the source” arbeiten — also direkt innerhalb von Applikationen durch Binary-Analyse — bieten Sichtbarkeit in die zuvor unsichtbare Hälfte der Identitätsaktivitäten.