Orchid Security verweist auf einen strukturellen Bruch, der sich über Jahrzehnte aufgebaut hat. Viele Identitäten liegen zwar in zentralen Verzeichnissen, und entsprechende Kontrollen stehen in zentralen IAM-Werkzeugen bereit – doch ebenso viele Identitäten und Steuerungsmöglichkeiten existieren direkt in den einzelnen Anwendungen. Genau dort setzt das Unternehmen mit dem in seine Plattform integrierten KI-Agenten „Ask Orchid“ an, der Identitäts-Beobachtbarkeit an der Quelle herstellt: innerhalb der Anwendungen, auf der Ebene von Binärcode und Konfiguration.

Drei Fragen bringen Sicherheits- und Compliance-Verantwortliche laut Orchid derzeit besonders häufig an dieses Werkzeug heran. Die erste lautet schlicht: Welche KI-Agenten laufen überhaupt in unserer Umgebung? Nach Orchids Darstellung können die meisten Unternehmen das bislang nicht beantworten. Agenten werden in einzelnen Geschäftsbereichen aufgesetzt, in SaaS-Plattformen eingebettet, über Programmierschnittstellen eingebunden oder von Entwicklungsteams selbst gebaut – häufig ohne zentrales Inventar und ohne Einblick, auf welche Daten sie zugreifen und unter welchen Identitäten sie das tun. „Ask Orchid“ untersucht dazu Benutzerkonten, Authentifizierungsabläufe, Berechtigungen und Laufzeitaktivität direkt an der Quelle.

Die zweite Frage betrifft die Compliance: Wie steht es aktuell um die Erfüllung der Identitätsanforderungen des NIST Cybersecurity Framework? Hier prüft der Agent nach Orchids Angaben, wie Identitätskontrollen in jeder Anwendung auf Binärebene tatsächlich umgesetzt sind, und vergleicht den real vorhandenen Code mit den Vorgaben – sowohl der etablierten Fassung 1.1 als auch der aktualisierten Version 2.0. Bislang habe der tatsächliche Compliance-Stand in der Regel ein externes Audit erfordert; der Agent soll eine Bewertung auf Abruf ermöglichen.

Die dritte Frage zielt auf statische Anmeldedaten – eines der ältesten und hartnäckigsten Probleme der Identitätssicherheit. Dienstkonten, API-Zugänge, Maschine-zu-Maschine-Tokens und „Break Glass“-Zugangsdaten häufen sich an, werden oft aus legitimen Gründen vergeben und dann vergessen. Auf die Frage nach umgehend zu rotierenden statischen Anmeldedaten prüft „Ask Orchid“ nach Herstellerangaben Zugangsdaten über alle Anwendungen hinweg – nicht nur solche, die an einen zentralen Identitätsanbieter angebunden sind, sondern auch in der Cloud, On-Premise und in lokalen Konten.

Orchid Security arbeitet nach eigener Darstellung im Inneren der Anwendungen statt am Rand eines zentralen IAM-Systems. Über Binäranalyse und dynamische Instrumentierung untersuche die Plattform die native Authentifizierungs- und Autorisierungslogik direkt in den Anwendungen, ohne Programmierschnittstellen, Änderungen am Quellcode oder langwierige Integrationen zu benötigen.

In Gartners erstem „Market Guide for Guardian Agents“ wird Orchid als „Representative Vendor“ geführt – beschrieben als Anbieter, der Identitäten und Zugriffe für KI-Agenten mit Zero-Trust-Richtlinien und Governance verwalte. Gartner weist darauf hin, dass das Haus keine Anbieter, Produkte oder Dienste empfiehlt und seine Veröffentlichungen die Meinung der eigenen Forschungsorganisation wiedergeben, nicht Tatsachenfeststellungen.