Im Zentrum von Katmors Argumentation stehen vier Dimensionen des Identitätsrisikos, die zusammen die Exposition bestimmen.
Der Kontrollzustand beantwortet die Frage, ob ein Fehler im Ernstfall verhindert, erkannt und nachgewiesen werden kann. In klassischen IAM-Programmen werden Kontrollen nur als „konfiguriert“ oder „nicht konfiguriert“ bewertet. Für eine sinnvolle Priorisierung reicht das laut Katmor nicht: Eine fehlende Kontrolle ist ein Risikoverstärker, dessen Schwere davon abhängt, welche Identität sie schützt, was diese Identität tun kann und welche weiteren Kontrollen nachgelagert greifen. Fehlende Mehr-Faktor-Authentifizierung bei einer Identität mit geringer Wirkung sei eben nicht dasselbe wie bei einer privilegierten Identität, die an geschäftskritische Systeme gebunden ist.
Hygiene meint dabei nicht Ordnung, sondern Eigentümerschaft, Lebenszyklus und Zweck: Wem gehört eine Identität, warum existiert sie, und wird sie noch gebraucht? Hygieneprobleme seien der Rohstoff für Sicherheitsvorfälle, weil Angreifer vernachlässigte Identitäten bevorzugen — sie sind schlechter geschützt, weniger überwacht und behalten eher überschüssige Rechte.
Der Geschäftskontext verschiebt die Frage von „Kann ein Angreifer eindringen?“ zu „Was bricht zusammen, wenn er es tut?“. Eine hohe Exposition in einem System mit geringer Wirkung dürfe daher nicht über einer moderaten Exposition in einem unternehmenskritischen System rangieren. Sicherheitsteams priorisierten zu oft allein nach technischer Schwere, was nach Katmors Einschätzung unvollständig sei.
Die vierte Dimension ist die Absicht: Was versucht eine Identität gerade zu tun, und passt das zu ihrem Zweck? Eine schwach kontrollierte Identität mit aktiver, anomaler Aktivität müsse in der Warteschlange nach vorn springen, weil sie nicht nur verwundbar sei, sondern möglicherweise gerade jetzt genutzt werde.
Entscheidend ist für Katmor, dass diese Faktoren nicht addiert, sondern multipliziert werden. Reale Identitätsvorfälle eskalierten nichtlinear, wenn Kontrolllücken, schlechte Hygiene, hohe Wirkung und verdächtige Absicht zusammenträfen. Solche toxischen Kombinationen seien als „alles stehen und liegen lassen“ zu behandeln. Nicht der einzelne Befund definiere das Risiko, sondern deren Ausrichtung zueinander.
Identitätsrisiko sei deshalb keine Liste, sondern ein Graph aus Vertrauenspfaden plus Kontext. Bei der Entscheidung, was zuerst behoben wird, solle man Arbeit bevorzugen, die den größten Risikoabbau bringt — nicht jene, die die meisten Häkchen schließt.
Den Rahmen verbindet Katmor mit dem Produkt seines Unternehmens: Orchid erfasse über Telemetrie passiv den gesamten Anwendungsbestand samt verwalteter und nicht verwalteter Identitäten, baue daraus einen Identitätsgraphen und wandle Signale zu Kontrollzustand, Hygiene, Geschäftskontext und Aktivität in kontextbezogene Risikobewertungen um. Auf dieser Basis ordne die Lösung die wichtigsten toxischen Kombinationen ein und erzeuge einen sequenzierten Plan zur Behebung mit fortlaufender Überwachung.
Der Beitrag wurde von Roy Katmor, CEO von Orchid Security, verfasst.
