Nicht nur Menschen haben eine Identität – auch Sensoren, Maschinen und KI-Systeme mischen längst im Netz mit. Hier erfahren Sie, was hinter dem Begriff "nicht-menschliche Identität" steckt und warum er für die Sicherheit im Unternehmen relevant ist.
Symbolbild Copilot
Wenn wir von Identität sprechen, denken wir meist an Menschen: Vorname, Nachname, Geburtsdatum – eben die Informationen, die auf einer Identitätskarte stehen. Doch in der digitalen Welt ist Identität weit mehr. Sie beschreibt jede Einheit, die sich im Netzwerk ausweist und Aktionen ausführen kann. Und das schliesst längst nicht nur Menschen ein.
Schon ein kleines Unternehmen mit drei Mitarbeitenden und ein paar Laptops verfügt über ein ganzes Netzwerk voller Identitäten. Neben den menschlichen Nutzerkonten sind auch Drucker, Sensoren, Softwaredienste oder KI-gestützte Tools aktiv. Sie alle besitzen eine digitale Identität – und sind damit auch ein potenzielles Einfallstor für Sicherheitsrisiken.
Denn wer heute mit digitalen Systemen arbeitet, begegnet nicht nur Menschen, sondern auch Maschinen und Algorithmen, die sich im Netzwerk authentifizieren und Aufgaben übernehmen. Die zentrale Frage lautet deshalb nicht mehr nur wer, sondern auch was ist da gerade aktiv – und was darf es tun?
Gerade im Kontext der IT-Sicherheit tauchen dabei Begriffe wie "nicht-menschliche Identität" oder "KI-Identität" immer häufiger auf. Was steckt dahinter – und warum sollten Unternehmen jeder Grösse sich damit auseinandersetzen?
Was zählt als digitale Identität?
Ein IoT-Sensor im Lager, der regelmässig die Temperatur misst und ins System sendet, ist bereits eine sogenannte nicht-menschliche Identität. Er ist kein Mensch, keine KI, sondern ein technisches Gerät, das sich im Netzwerk ausweist und eine bestimmte Aufgabe erfüllt. Genauso wie ein KI-gestützter Chatbot, der Kundenanfragen beantwortet, eine KI-gesteuerte Identität ist – also eine digitale Entität, die selbstständig handelt und mit anderen Systemen interagiert.
In einem Unternehmen arbeiten diese Identitäten oft Hand in Hand: Die Mitarbeitenden melden sich mit Passwort und Zwei-Faktor-Authentifizierung an, der IoT-Sensor sendet Daten, die KI verarbeitet sie weiter. Alle sind Teil desselben digitalen Ökosystems – und alle müssen deshalb auch umfassend vor Angriffen geschützt werden. Denn wenn ein Sensor plötzlich mutwillig gefälschte Daten liefert oder eine KI Zugriff auf sensible Informationen bekommt und diese weiterverbreitet, kann das genauso kritisch sein wie ein gehacktes Nutzerkonto.
Auch KI braucht klare Grenzen
Was also macht die Identität einer KI aus? Sie hat zwar keine Geburtsurkunde und keine ID wie ein Mensch, aber dafür ein technisches Profil: Name, Rolle, Zugriffsrechte, Authentifizierungsmethode.
Bei einer KI wie z. B. Copilot von Microsoft wären das zum Beispiel: Kommunikation, Textgenerierung, Zugriff auf bestimmte Daten, aber keine Systemrechte. Copilot ist also eine funktionale Einheit mit klar definierten Aufgaben und Grenzen. Und diese gilt es für jede dieser Einheiten unmissverständlich festzulegen.
Warum Schutz für alle Identitäten wichtig ist
Ob Mensch, Maschine oder KI – jede Identität im digitalen Raum muss sich ausweisen und darf nur das tun, was ihr erlaubt ist. Und wird dabei idealerweise auch lückenlos überwacht. Das ist nicht nur eine Frage der IT-Sicherheit, sondern auch der digitalen Verantwortung jedes einzelnen Unternehmens.
Doch ist die Bezeichnung "Identität" nicht etwas zu sehr mit dem Menschsein verbunden, mit dem Namen, dem Geburtsdatum oder der Staatsangehörigkeit?
Vielleicht. Begriffe wie "digitale Entität" oder "Systemakteur" wären für einen IoT-Sensor oder eine KI vielleicht tatsächlich präziser. Aber "Identität" hat sich als Begriff etabliert, weil es die Idee von Zugehörigkeit und Berechtigung gut transportiert. Und je mehr Maschinen, Sensoren und KI-Systeme in unseren Alltag einziehen, desto wichtiger wird es, auch ihre Identitäten zu verstehen und vor Angriffen zu schützen.
Identitäten kennen – bevor sie zur Schwachstelle werden
Denn nicht-menschliche Identitäten sind längst Teil unserer digitalen Unternehmenswelt – ob wir sie wahrnehmen oder nicht. Doch genau darin liegt die Gefahr: Was wir nicht sehen, schützen wir nicht. Und was wir nicht schützen, kann zur Schwachstelle werden.
Es reicht nicht, zu wissen, dass sich Drucker, Stempeluhr oder Kaffeemaschinen im Netzwerk befinden. Unternehmen müssen auch verstehen, wie diese Geräte sich ausweisen, welche Rechte sie haben, was sie eben nicht tun dürfen – und wie sie abgesichert sind. Denn die Vorstellung, dass eine harmlose Kaffeemaschine zum Einfallstor für Cyberangriffe wird, ist keine Zukunftsmusik. Sie ist Realität.
Wer also nicht erst staunen will, wenn das System lahmgelegt ist, sollte sich jetzt Gedanken machen: Welche Identitäten existieren in meinem Netzwerk – und wie schütze ich sie?
Drei Fragen, die sich jedes Unternehmen stellen sollte
-
Welche Geräte und Dienste sind in meinem Netzwerk aktiv – auch die unscheinbaren? Vom Drucker bis zur Kaffeemaschine: Jedes vernetzte Gerät hat eine digitale Identität.
-
Wie authentifizieren sich diese Identitäten – und mit welchen Rechten? Haben sie Zugriff auf sensible Daten oder Systeme? Wer kontrolliert das?
-
Wie sind diese Identitäten geschützt – und wer überwacht ihre Aktivitäten? Gibt es Sicherheitsrichtlinien, Monitoring oder automatische Warnsysteme?
Denn wenn Sie die Akteure im Netzwerk kennen, können Sie diese auch wirkungsvoll schützen. Denn Vorsicht ist bekanntlich die Mutter der Porzellankiste.