Im Mittelpunkt des Beitrags steht die These, dass KI keine neue Identitätskrise erzeugt, sondern eine bereits bestehende offenlegt und beschleunigt. KI-Agenten würden Identitäten anlegen, Berechtigungen übernehmen, systemübergreifend arbeiten und die Zahl vertrauenswürdiger Anmeldeinformationen innerhalb von Umgebungen weiter erhöhen. Wenn Sicherheitsteams diese Identitäten nicht kennen oder ihren Zugriff nicht nachvollziehen können, wachse die Angriffsfläche unbemerkt im Hintergrund.

Als Beispiel nennt Summers einen Vorfall aus dem Jahr 2025: Der Bedrohungsakteur UNC6395 erlangte demnach ein OAuth-Token, das mit Saleslofts Drift-Chat-Integration verknüpft war, und bewegte sich damit durch Salesforce-Umgebungen in Hunderten von Organisationen. Gefährlich gewesen sei das Token nicht wegen einer ausgenutzten Softwareschwachstelle, sondern weil es bereits als vertrauenswürdig galt. Von dort aus erreichten die Angreifer laut Text AWS-Zugangsdaten, Snowflake-Tokens und weitere Geheimnisse, die an ungeeigneten Orten gespeichert waren. Eine einzige vertrauenswürdige maschinelle Identität sei damit zum Ausgangspunkt für mehrere weitere geworden.

Summers schreibt, dass Identität im Zentrum fast jedes Sicherheitsvorfalls stand, den seine Teams untersucht hätten: gestohlene Zugangsdaten, vergessene Berechtigungen und Zugriffe, die länger bestanden als der Mitarbeiter oder das System, für die sie ursprünglich vergeben wurden. Programme für menschliche Identitäten gingen typischerweise davon aus, dass jemand ein Konto verantwortet, Zugriffe regelmäßig prüft und sie irgendwann entfernt. KI-Agenten passten jedoch nicht natürlich in diesen Lebenszyklus. Sie könnten automatisch erstellt werden, Rechte von anderen Identitäten erben, mit Maschinengeschwindigkeit mit Systemen interagieren und sogar weitere Identitäten erzeugen.

Die Folge sei eine Identitätspopulation, die schneller wächst, als viele Governance-Prozesse ausgelegt sind. Organisationen wüssten oft, dass sie KI schneller einführen, als sie sie steuern, könnten ihre Lücken aber nicht genau benennen. Der von Netwrix erwähnte „AI Maturity Assessment“ soll Praktiken für Identitäts-, Daten- und KI-Governance bewerten, Stärken und blinde Flecken aufzeigen und Empfehlungen zur Verringerung KI-bezogener Risiken liefern.

Zudem verweist der Beitrag auf den „2026 Data and Identity Security Report“ von Netwrix. Darin berichteten Organisationen, in deren Umgebungen KI die Zahl der Identitäten deutlich ausgeweitet habe, im vorherigen Jahr von einer Verletzungsquote von 43 Prozent. Bei Organisationen, in denen KI den Identitätsbestand nicht wesentlich verändert habe, habe dieser Wert bei 11 Prozent gelegen. Bemerkenswert sei laut Summers nicht nur die Quote, sondern auch, wen es traf: Organisationen mit stark wachsender Zahl von Identitäten durch KI hätten im Allgemeinen sogar stärkere Governance-Praktiken gemeldet als vergleichbare Unternehmen. Sie hätten eher Schatten-KI überwacht, nicht-menschliche Identitäten gesteuert und kontinuierliche Transparenz über sensible Daten aufrechterhalten.

Als zentrale Fragen nennt Summers vier Punkte, die Sicherheitsteams fortlaufend beantworten müssten: Welche Identitäten existieren? Wem gehören sie? Auf was können sie zugreifen? Und wann sollten sie nicht mehr existieren? Ohne diese Antworten vergrößere jede neue KI-Einführung still die Zahl vertrauenswürdiger Identitäten in der Umgebung. Gerade jene vertrauenswürdigen Identitäten, die am wichtigsten seien, stünden demnach immer seltener im Fokus der Sicherheitsteams — sondern seien zunehmend diejenigen, an deren Erstellung sich niemand mehr erinnere.