Registrieren Anmelden
RegistrierenAnmelden
Banner E-Learning IT-Sicherheit
Breadcrumb-Navigation
Mit <kes>+ lesen

Identity-Security : KI im operativen IAM : Wo sie hilft, wo sie an technische Grenzen stößt und was man für einen reibungslosen Einsatz beachten sollte

Künstliche Intelligenz kann bei vielen Arbeiten helfen und besitzt nicht zuletzt die Fähigkeit, ermüdungsfrei Muster zu erkennen und komplexe Strukturen zu durchforsten. Auch beim Identityand Access-Management kann sie sehr hilfreich sein – allerdings nur dann, wenn man wichtige Vorarbeiten nicht versäumt und das System im Auge behält, warnen unsere Autoren und erklären, wie man Fehler vermeidet und schrittweise zu einem Best-Practice-Einsatz gelangt.

Sebastian RohrValdet CamajAnwendungen und SystemeKünstliche IntelligenzManagement und WissenSecurity-Management
Lesezeit 11 Min.

„KI-Ära“ ist das Wort des Jahres 2025 und spiegelt die neue Realität in Unternehmen nur zu gut wider. Ob im Kundenservice, bei der Prozessautomatisierung oder für die Datenanalyse: Künstliche Intelligenz (KI) hat in vielen Bereichen längst ihren Platz gefunden – auch in der Informationssicherheit setzen Verantwortliche zunehmend auf ihre Unterstützung. Doch eine Frage bleibt gerade in sicherheitskritischen Feldern wie dem Identityand Access-Management (IAM) unbeantwortet: Wie lässt sich KI sinnvoll nutzen, ohne Gefahr zu laufen, den Überblick und die Kontrolle zu verlieren?

IAM-Systeme erzeugen täglich eine Vielzahl an Daten zu Rollen, Gruppenmitgliedern, Privilegien, Delegationen, temporären Berechtigungen und Service-Accounts. Oft gleicht dieser Datenzuwachs einem Wildwuchs, denn in vielen Organisationen herrschen historische Strukturen vor: Rollen breiten sich aus, Berechtigungen werden kopiert und laufen auch für Mitarbeiter* weiter, die bereits aus dem Unternehmen ausgeschieden sind, oder temporär benötigte Sonderrechte bleiben dauerhaft bestehen.

Aus derart vorhandenem, aber wenig kontrolliertem IAM resultiert ein grundlegendes Problem für Sicherheitsteams: Es ist zu komplex. Angesichts seiner Vielschichtigkeit und Verflochtenheit würde viel Zeit benötigt, um Zugriffsstrukturen wieder sinnvoll zu verschlanken – eine Aufgabe, die das menschliche Analysevermögen übersteigt. Genau an dieser Stelle wird KI zunehmend als Analysewerkzeug diskutiert: Denn ihre Algorithmen können Muster erkennen, Auffälligkeiten identifizieren und Vorschläge für Rollenbereinigungen liefern. Die Vorteile überzeugen und haben bereits dazu geführt, dass IAM-Spezialisten KI für verschiedene Aufgaben heranziehen.

KI-Use-Cases im IAM

Zu den Einsatzfeldern zählt beispielsweise das Role-Mining: Dabei werden bestehende Berechtigungsstrukturen analysiert, um wiederkehrende Muster zu identifizieren und daraus konsistente(re) Rollenmodelle abzuleiten. Die Analyse von Zugriffs- und Berechtigungsmustern lässt sich ebenfalls vereinfachen: Peer-Groups, Identitätsattribute, Nutzungsverhalten und vorhandene Zugriffe kann die KI miteinander abgleichen, um auffällige oder nicht mehr passende Berechtigungen zu identifizieren. Ziel ist dabei, Überprivilegierung, Ausreißer und unnötige Zugriffe schneller aufzudecken, vor allem aber tatsächlich genutzte Rechte von solchen zu unterscheiden, die kaum oder gar nicht zur Anwendung kommen – ein Vorteil, der sich im nächsten Schritt wirksam ausnutzen lässt.

Vielversprechend sind vor allem die Möglichkeiten von KI bei der oft als lästig angesehenen, aber notwendigen Rezertifizierung. Access-Review-Verfahren lassen sich um Empfehlungssysteme ergänzen, die zum einen auffällige (Ausreißer) oder potenziell riskante Berechtigungen priorisieren, zum anderen aber die nicht genutzten Rechte hervorheben. Das reduziert den manuellen Aufwand zwar nicht vollständig, Reviews lassen sich aber zielgerichteter durchführen und Rechtebündel schneller wieder vom Umfang her einhegen. Letztlich kommen Machine-Learning-Verfahren häufig bei der Erkennung von Anomalien zum Einsatz: Gerade in großen IAM-Umgebungen sind damit potenzielle Fehlkonfigurationen oder Missbrauch früher einzugrenzen.

Es locken also viele Vorteile und die Euphorie ist in vielen Organisationen dementsprechend groß. Doch in der Praxis zeichnet sich schnell ab: Ein Mehrwert erschließt sich weniger durch den KI-Einsatz als solchem, sondern vielmehr durch die erreichbare Qualität der IAM-Daten sowie einer sinnvollen technischen Integration in bestehende Identity-Prozesse – diese Vorarbeit wiederum verpassen viele Verantwortliche.

Datenqualität als Basis

Egal welcher IT-Prozess durchleuchtet, welche Technik eingeführt oder welches System weiterentwickelt wird: Datenqualität spielt eine zentrale Rolle! Somit gilt auch für jede KI-Implementierung als Leitsatz: Die zugrunde liegenden Daten dürfen nicht nur quantitativ, sondern müssen auch qualitativ hochwertig vorliegen. Gerade im IAM entscheidet die Qualität der vorhandenen Identitäts- und Berechtigungsdaten darüber, ob KI-gestützte Analysen wirklich belastbare Ergebnisse liefern. Da IAM-Systeme Informationen über Identitäten, Rollen, Berechtigungen und Zugriffe auf die unterschiedlichsten Systemen verwalten, die wiederum die Grundlage für viele sicherheitsrelevante Entscheidungen bilden, ist eine solide Basis essenziell.

Gleichzeitig zeigt sich, dass IAM-Daten selten in einer Form vorliegen, die sich unmittelbar für analytische Verfahren eignet: Rollenmodelle entstehen über Jahre hinweg und spiegeln damit nicht immer aktuelle Organisationsstrukturen wider. Berechtigungen werden erweitert, kopiert oder für Sonderfälle ergänzt – eine Konsolidierung im Nachgang bleibt nicht selten aus. Für KI-Modelle entsteht dadurch eine Datenbasis, in der sich fachlich sinnvolle Rollen und historisch gewachsene Ausnahmen kaum unterscheiden und somit ebenfalls schlecht bewerten lassen.

Hinzu kommt eine meist nur mangelhafte Klassifizierung von Identitäten im IAM: Menschliche Nutzer, technische Accounts, Serviceidentitäten, Bots oder Schnittstellenkonten liegen nicht immer konsistent getrennt vor. Für analytische Modelle ist das problematisch, da diese Identitätstypen völlig unterschiedlichen Logiken folgen: Während bei menschlichen Nutzern Tätigkeiten, Rollenwechsel und organisatorische Zuordnungen eine zentrale Rolle spielen, orientieren sich technische Identitäten an Systemfunktionen oder Integrationsprozessen. Wertet eine KI beide Welten gemeinsam aus, entstehen statistische Muster, denen es an fachlicher Belastbarkeit fehlt.

Auch Attributqualität spielt eine zentrale Rolle: Fehlende oder uneinheitlich gepflegte Angaben zu Abteilung, Funktion, Standort, Kostenstelle oder Beschäftigungsart schränken die Aussagekraft vieler KIVerfahren massiv ein. Gerade beim Role-Mining oder bei Peer-GroupVergleichen hängt die Qualität der Ergebnisse stark davon ab, ob sich Identitäten fachlich sinnvoll gruppieren lassen. Sind Attribute lückenhaft oder widersprüchlich, vergleicht das System unter Umständen Identitäten miteinander, die organisatorisch gar nicht vergleichbar sind.

Bevor Unternehmen also mit der KI-Implementierung beginnen, müssen sie ihre Identitäts-, Rollen- und Berechtigungsdaten beleuchten. IT-Verantwortliche sollten dafür den Blick auf die folgenden Punkte lenken:

  • Identitätsstrukturen: Welche Art von Identitäten existieren und wie lassen sie sich klassifizieren?
  • Rollen und Berechtigungen: Überschneiden sich diese?
  • Nutzungsmuster: Wie häufig kommt es zum Zugriff? Attribut-Qualität: Sind Attribute gepflegt und nicht doppelt vorhanden?
  • Attribut-Herkunft: Ist die autoritative Quelle definiert? Wo werden Aktualisierungen gepflegt?
  • Berechtigungsbeziehungen: Welche Kombinationen treten häufig auf?

Sobald die IAM-Landschaft analysiert ist und Dopplungen, Widersprüche oder unnötige Rollen sowie Berechtigungen aufgelöst sind, können Unternehmen von einer soliden Basis ausgehen.

Best-Practice-Roadmap

Neben einem Fundament aus qualitativ hochwertigen Daten gibt es noch vier weitere Etappen auf dem Weg zum operativen KI-Einsatz rund um IAM – erst wenn alle Stationen erreicht und die damit verbundenen Aufgaben abgearbeitet wurden, lässt sich KI im IAM sinnvoll und vor allem gewinnbringend integrieren.

Schritt 1: Verantwortlichkeiten definieren

Dringlichst zu vermeiden ist, dass KI-gestützte Analysen sich zu einer Blackbox entwickeln – das gelingt mit klaren Verantwortlichkeiten. In der Praxis hat sich ein mehrstufiges Vorgehen bewährt: KI-Modelle identifizieren zunächst Auffälligkeiten oder Muster in den Berechtigungsdaten. Diese Ergebnisse werden anschließend von IAM-Analysten oder Securityteams geprüft.

Erst danach entscheiden Fachverantwortliche oder Systemowner über mögliche Anpassungen an Rollenmodellen oder Berechtigungsstrukturen. Durch diese Aufgabentrennung bleibt sichergestellt, dass statistische Analysen nicht automatisch zu operativen Änderungen führen.

Leitfragen für IT-Verantwortliche:

  • Wer bewertet KI-Analysen fachlich?
  • Wer entscheidet über Anpassungen im Rollenmodell?
  • Wer überwacht Modellqualität und Ergebnisse?

Schritt 2: Analyseumfang begrenzen

Organisationen sollten sich die Frage stellen, wo genau KI im IAM eingesetzt werden soll. Damit stellen Verantwortliche sicher, dass KI nur dort zum Einsatz kommt, wo sich die Prozesse und vor allem die Datenqualität auch tatsächlich dafür eignen.

Als besonders sinnvoll haben sich Anwendungsfälle herauskristallisiert, bei denen große Datenmengen analysiert werden müssen, ohne dass die KI unmittelbar operative Zugriffsentscheidungen trifft. Dazu zählen beispielsweise die Identifikation ungewöhnlicher Berechtigungskombinationen, die Priorisierung von Access-Reviews bei kritischen Zugriffsrechten und die Analyse historisch gewachsener Rollenmodelle gegenüber tatsächlich genutzten Zugriffen.

Weniger geeignet sind dagegen Abläufe, bei denen unmittelbare Zugriffsentscheidungen getroffen werden müssen. In solchen Fällen bleibt die Verantwortung weiterhin beim IAM-Team. Ein wichtiges Prinzip ist in diesem Fall „Human in the Loop“: KI sollte lediglich als Analysewerkzeug dienen, nicht als Entscheidungsinstanz. Andernfalls laufen Firmen Gefahr, ComplianceVerstößen zu begehen. Schließlich gilt auch bei Agentic-AI-Systemen, die eigenständig Entschlüsse fassen: Am Ende liegt die Haftung beim Menschen. Das ist ein Mindset, das sich etablieren muss, um Risiken zu minimieren.

Ein Beispiel aus der Praxis: Active-Directory-(AD)-Gruppen. Das Problem ist hier, dass über Jahre gewachsene Strukturen oft zu Überschneidungen, Dubletten und unklaren Zuständigkeiten führen. Für Verantwortliche wird es immer schwieriger, indirekte Berechtigungen aufzudecken. Zugriffe entstehen häufig nicht nur durch direkte Zuweisungen, sondern über Gruppen – und nicht zuletzt über verschachtelte Gruppenstrukturen.

Selbst wenn man den direkten Zugriff entfernt, kann eine Berechtigung über mehrere Ebenen hinweg weiterhin bestehen bleiben. Diese Mehrfach- oder indirekten Zugriffe sind für Menschen kaum nachvollziehbar, lassen sich durch KI jedoch gezielt identifizieren.

Leitfragen für IT-Verantwortliche:

  • Welche IAM-Prozesse sollen konkret unterstützt werden?
  • Welche Entscheidungen dürfen KI-Modelle vorbereiten – und welche nicht?
  • Wo bleibt die Verantwortung beim Sicherheitsteam?

Schritt 3: KI in bestehende IAM-Prozesse integrieren

Der größte Nutzen entsteht, wenn KI-Analysen nicht isoliert erfolgen, sondern in bestehende Governance-Prozesse integriert werden. Besonders geeignet sind hier Rezertifizierungs- und Reviewprozesse: Statt sämtliche Berechtigungen manuell prüfen zu müssen, heben KI-Modelle auffällige Zugriffskombinationen, selten genutzte Rechte oder ungewöhnliche Rollencluster hervor. Diese Hinweise lassen sich anschließend in die regulären Review-Workflows einspeisen.

Dabei ist festzulegen, in welcher Form das KI-Modell der Wahl seine Ergebnisse liefert: als Risikoscore, Priorisierung einzelner Berechtigungen, Rollencluster oder Hinweis auf ungewöhnliche Kombinationen. Ebenso wichtig ist die technische Übergabe in bestehende Systeme: Werden Review-Aufgaben manuell erstellt, über ein Ticket-System verteilt oder direkt im IAM-Werkzeug angestoßen? Der eigentliche Entscheidungsprozess bleibt in jedem Fall unverändert – lediglich die Vorbereitung der Analyse wird durch KI unterstützt.

Was einfach klingt, scheitert in der Praxis häufig an einem Versäumnis: Mit jeder organisatorischen Änderung müssen Verantwortliche auch die Identity-Governance and -Administration (IGA) sowie die Rollenlandschaft anpassen. Damit sind verschiedene Arbeitsschritte verbunden – etwa die Erzeugung neuer Organisationseinheiten, die Verschmelzung verschiedener Einheiten sowie das Verschieben oder Löschen.

Rollen, Rechtebündel und Einzelrechte sowie sonstige Objekte im IAM erhalten dabei Namen. Heute sind diese oft noch stark technisch geprägt. Bezeichnungen wie „SAP_FI_Co_77ddgfc_Intra“ erschweren allerdings enorm eine Zuordnung. Auch hier kann KI helfen und sinnvolle Labels vergeben, die dann die Tätigkeiten von Menschen erleichtern.

Leitfragen für IT-Verantwortliche:

  • In welchen Governance-Prozessen lassen sich KI-Ergebnisse nutzen?
  • Wie gelangen Analyseergebnisse zu den zuständigen Fachverantwortlichen?
  • Wie werden Ergebnisse dokumentiert?

Schritt 4: Ergebnisse validieren

KI kann Muster erkennen, statistische Auffälligkeiten markieren und Prioritäten vorschlagen. An Grenzen stößt sie, wenn sie belastbar beurteilen soll, ob eine festgestellte Abweichung tatsächlich ein Sicherheitsproblem darstellt oder fachlich begründet ist. Deshalb sollte jeder operative KI-Einsatz im IAM an eine Ergebnisvalidierung geknüpft sein.

In der Praxis bedeutet das: Zwischen Modelloutput und möglicher Maßnahme muss immer eine fachliche Prüfung stattfinden! Diese Validierung übernehmen in der Regel IAM-Analysten, Securityteams oder fachlich verantwortliche Systemowner. Für eine standardisierte Prüfung sollten Organisationen klare Bewertungskriterien definieren: Die tatsächliche Nutzung eines Rechts, seine Kritikalität, die Kombination mit anderen Berechtigungen, Separation-of-Duty-(SoD)-Konflikte, die organisatorische Rolle eines Nutzers oder die zeitliche Befristung einer Zuweisung sind das Mindestmaß, das Verantwortliche abarbeiten sollten. Erst auf Grundlage dieser Bewertung lässt sich der Hinweis einer KI in eine belastbare sicherheitsrelevante Aussage überführen.

Doch in welchem Informations- und Aktionsradius darf eine KI überhaupt agieren? Pauschale Zugriffe können hier fatal werden. Wie im Bereich Identity-Security allgemein gilt auch für die KI: Sie sollte nur Zugang zu Informationen erhalten, die für sie relevant sind! Dieses Prinzip wird noch relevanter, wenn KI zur Laufzeit stellvertretend handelt. Beim sogenannten „acting as“ übernimmt sie Aufgaben im Namen eines Nutzers oder einer Rolle und agiert damit innerhalb delegierter Rechte. Sichtbarkeiten, Berechtigungen und Handlungsspielräume müssen deshalb technisch klar begrenzt und an den konkreten Nutzungskontext gebunden sein.

Leitfragen für IT-Verantwortliche:

  • Wer prüft, ob eine Anomalie tatsächlich sicherheitsrelevant ist?
  • Nach welchen Kriterien werden KI-Hinweise bewertet?
  • Wie werden Fehlalarme erkannt und zurückgespielt?

Schritt 5: Eskalationswege festlegen

Zusätzlich sollte man Eskalationswege definieren: Wer wird eingebunden, wenn ein Modell auf hochkritische Berechtigungskombinationen, potenzielle SoD-Verletzungen oder ungewöhnliche Privilegienausweitungen hinweist? Und wer entscheidet, wenn Fachbereich und Securityteam eine Auffälligkeit unterschiedlich bewerten? Solche Zuständigkeiten müssen vor dem produktiven Einsatz geklärt sein, damit Analysen nicht in organisatorischen Grauzonen versanden.

Leitfragen für IT-Verantwortliche:

  • Wer entscheidet bei widersprüchlichen Ergebnissen?
  • Wie werden kritische Funde eskaliert?

Schritt 6: Modelle kontinuierlich überwachen

IAM-Umgebungen verändern sich stetig – neue Anwendungen werden integriert, Rollen angepasst oder organisatorische Strukturen geändert. Dadurch befinden sich auch die zugrunde liegenden Zugriffsmuster im stetigen Wandel. KI-Modelle kann man also nicht einmalig implementieren und dann laufen lassen – Teams müssen sie vielmehr regelmäßig überprüfen und anpassen. Klare Prozesse helfen Organisationen dabei, die Modellqualität zu bewerten und Trainingsdaten zu aktualisieren.

Besonders wichtig ist an dieser Stelle die Analyse von Fehlalarmen: Wenn Modelle regelmäßig Auffälligkeiten melden, die sich als organisatorisch legitim erweisen, sind Parameter anzupassen oder Modelle nachzutrainieren.

Leitfragen für IT-Verantwortliche:

  • Wie wird überprüft, ob KI-Modelle noch relevante Ergebnisse liefern?
  • Wie wird mit Fehlalarmen umgegangen?
  • Wann müssen Modelle neu trainiert oder Schwellenwerte angepasst werden?

Fazit

KI wird schon jetzt als Gamechanger im Identity- and Access-Management gehandelt – vor allem ihre Analysefähigkeiten bringen Vorteile mit sich. Doch bevor Unternehmen davon profitieren können, müssen sie zuerst Vorarbeit leisten: eine ausreichende Datenqualität schaffen, eine Strategie für den sinnvollen Einsatz entwickeln und klare Verantwortlichkeiten sowie regelmäßige Überprüfungen festlegen.

In jedem Fall gilt: KI ersetzt keine Angestellten. Sie ist eine Ergänzung und entlastet im IAM-Arbeitsalltag. Die letzte Instanz bei Entscheidungen ist und bleibt aber der Mensch.

Valdet Camaj ist Geschäftsführer der Umbrella Security Operations, Sebastian Rohr ist Managing Director der Umbrella Security Operations und Co-Founder von umbrella.associates.

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.