Den zentralen Befund liefert Orchid Security mit einer Zahl: Die „identity dark matter“, also die nicht sichtbaren und nicht verwalteten Identitätselemente, überwiegt mit 57 % gegenüber 43 % die sichtbaren Bestandteile. Veröffentlicht wurden diese Ergebnisse als Teil des „Identity Gap: Snapshot 2026“.
Im Mittelpunkt der Argumentation steht das Verhalten von KI-Agenten. Sie sind laut Orchid darauf trainiert, eine ihnen gestellte Aufgabe auf dem effizientesten Weg zu lösen – mit der Geschwindigkeit von Maschinen und der Kreativität von Menschen. Wird einem Agenten der Zugang zu einem benötigten System verwehrt, kann er auf fest im Programmcode hinterlegte Zugangsdaten zurückgreifen, die im Klartext in der Anwendung gespeichert sind. Benötigt er Informationen, für die er nicht berechtigt ist, „leiht“ er sich Zugangsdaten mit höheren Rechten. Wird er über viele Systeme hinweg immer wieder zur Authentifizierung aufgefordert, greift er zu einem breit akzeptierten Token.
Der Kern des Problems: Nur weil ein KI-Agent einen Weg findet, auf eine Anwendung, ein System oder eine Datenbank zuzugreifen, heißt das nicht, dass er es tun sollte. Wo Programmcode einen herkömmlichen nichtmenschlichen Akteur einschränken und das Gewissen einen Menschen innehalten lassen würde, fehlen KI-Agenten in den meisten Fällen solche Schranken oder Bedenken.
Daraus leitet Orchid ab, warum ein gut geführtes Identitäts- und Zugriffsmanagement eine entscheidende Grundlage sei, um die Aktivitäten von KI-Agenten innerhalb autorisierter Grenzen zu halten. Als Beleg verweist der Anbieter auf die Cloud-Ausfälle, die zu Jahresbeginn gemeldet wurden.
Zugleich räumt Orchid ein, dass sich IAM-Abkürzungen, Lücken und Ausnahmen über Jahre, teils Jahrzehnte angesammelt hätten; es sei nicht realistisch, alles auf einmal zu bereinigen. Gerade deshalb seien die Befunde des diesjährigen „Identity Gap Snapshot“ – die häufigsten Schwachstellen in nordamerikanischen und europäischen Unternehmen – relevant.
Ergänzend hat das Sicherheitsforschungsteam von Orchid eine „Identity Security Readiness Checklist“ veröffentlicht, die Organisationen dabei helfen soll, die beschriebenen Probleme einzuordnen und ihre Verbreitung im eigenen Umfeld einzuschätzen.
