Verbreitung von Zugangsdaten

Wie KI die Risiken erhöht

Inhaltsverzeichnis

Was verursacht die Verbreitung von Zugangsdaten und Geheimnissen?

Wie KI die Verbreitung von Zugangsdaten verschlimmert

Die Kosten der Verbreitung von Zugangsdaten

Lösungen für die Ausbreitung von Zugangsdaten

Fazit

PDF herunterladen

In der römischen Antike gab es beim Militär eine tägliche „Parole“, wenn die Soldaten das Lager betraten.¹ Ein Beamter schrieb die Parole auf Tontafeln, die an die verschiedenen Militäreinheiten verteilt wurden. Wenn eine Tafel nicht zurückgegeben wurde, machte man sie schnell ausfindig und der Soldat, der sie nicht zurückgegeben hatte, wurde bestraft.

Eines hat sich seit der Antike bis heute bewahrheitet: Wer sicher bleiben will, muss wissen, wo seine Passwörter sind.

Leider ist es für ein modernes Unternehmen schwieriger, den Überblick über die Zugangsdaten zu behalten. Heutzutage müssen Unternehmen eine ständig wachsende Zahl von Zugangsdaten verwalten, die weit über herkömmliche Passwörter hinausgehen: Entwicklergeheimnisse, Passkeys, gemeinsame Zugangsdaten, API-Schlüssel, SSH-Schlüssel, Servicekonten und SSO-Zugriffstoken.

Diese Zugangsdaten befinden sich nicht an einem Ort. Sie befinden sich in Browsern, Skripten, Entwicklerumgebungen, Slack-Nachrichten, KI-Tools, Konfigurationsdateien und manchmal auch in Klartext-Spreadsheets.

Das Ausufern von Zugangsdaten außerhalb der zentralen Sichtbarkeit und Kontrolle ist als „Verbreitung von Zugangsdaten“ bekannt und das wollen Angreifer unbedingt ausnutzen.² Dieses Problem ist vor allem wegen der Zunahme von KI-basierten Tools und Agenten akut, die nicht nur die Größe und den Umfang von nicht verwalteten Zugangsdaten gesteigert haben, sondern auch Herausforderungen für Zugriff- und Identitätsmanagement mit sich bringen, denen Tools wie SSO und PAM nicht gewachsen sind.

What causes credential and secrets sprawl?

Risiken in Bezug auf Zugangsdaten sind kein neues Problem. Allerdings ist in den letzten Jahren die Verwaltung, wo und wie Zugangsdaten verwendet werden, von einer Herkulesaufgabe zu einer Sisyphusarbeit geworden. Das heißt: Es war nie einfach, aber irgendwann wurde es nahezu unmöglich. Um zu verstehen warum, beginnen wir mit einem Überblick über einige wesentliche Faktoren, die zur Verbreitung von Zugangsdaten beitragen.

Passwort-Verbreitung

Die Gefahren von nicht verwalteten Passwörtern und unzureichenden Passwortpraktiken sind seit Jahren bekannt – dennoch bleiben Passwörter eine der häufigsten Ursachen für Datenverstöße und Hacks.³

Im Jahresbericht 2025 von 1Password: The Access-Trust Gap wurde festgestellt, dass zwei Drittel der Angestellten zugeben, schlechte Passwortpraktiken anzuwenden, darunter:⁴

Verwendung derselben Passwörter für mehrere Arbeitskonten
Keine Änderung der IT-Standardpasswörter
Verwendung desselben Passworts für geschäftliche und private Konten
Passwörter per SMS, E-Mail oder auf anderem Weg an sich selbst oder einen Kollegen senden

Diese ungenügenden Praktiken können verheerende Folgen haben, beispielsweise wenn Angreifer bei früheren Verstößen gestohlene Zugangsdaten verwenden, um sich bei den Repositorys von Entwicklern auf GitHub, Bitbucket und GitLab anzumelden. Wie der Journalist und Analyst Robert Lemos berichtete: „Der Angriff verdeutlicht die Gefahren der unsachgemäßen Handhabung von Passwörtern … Keiner der Services, von denen die Repositorys der betroffenen Entwickler gehostet wurden, fand Anzeichen für eine Kompromittierung. Stattdessen meldeten sich die Angreifer von einer nicht erkannten Internetadresse mit gültigen Zugangsdaten an und löschten dann den Code des Opfers.“⁵

Nicht verwaltete SaaS und KI

Sicherheitsanalyst Francis Odum sagt:⁶ „Mit der zunehmenden Einführung von SaaS-Anwendungen in Unternehmen hat sich der Bedarf an Passwortverwaltung auf Unternehmensniveau noch verstärkt. Die Mitarbeitenden verlassen sich häufig auf persönliche Zugangsdaten für ihre Arbeitskonten und erhöhen damit sowohl das Risiko der Wiederverwendung von Zugangsdaten als auch von Sicherheitsvorfällen. Auch wenn Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) Standardverfahren wurden, konnten sie nicht die gesamte Bandbreite der Unternehmensanwendungen abdecken und hinterließen Sichtbarkeitslücken …“

SaaS-Verbreitung ist seit Jahren ein bekanntes Problem in der Cybersicherheitsbranche.⁷ Das durchschnittliche Unternehmen verwaltet über hundert Anwendungen allein in seiner SSO-Plattform (Single-Sign-On)⁸, aber viele Apps sind außerhalb der Reichweite von SSO.

1Password stellte fest, dass sich ein Drittel der Apps eines durchschnittlichen Unternehmens außerhalb des SSO-Schutzes befinden. Das schafft einen sehr großen toten Winkel für IT-Teams, besonders während des Offboarding.⁹

Mehr als ein Drittel (38 %) der Mitarbeitenden konnte nach ihrem Ausscheiden noch Konto, Daten oder Anwendungen eines früheren Arbeitgebers aufrufen.
1Password Annual Report 2025: The Access Trust Gap

Inzwischen beschleunigt die KI die Verbreitung von SaaS sogar noch weiter und über das hinaus, wofür SSO entwickelt wurde. Jeder vierte Beschäftigte hat bereits KI-Anwendungen verwendet, die nicht von seinem Unternehmen genehmigt waren und mehr als ein Drittel der Beschäftigten gibt zu, dass sie die KI-Richtlinien ihres Unternehmens wissentlich ignoriert haben. ¹⁰

Mitarbeitende experimentieren mit Tools für KI-Coding, Browsererweiterungen, Schreibassistenten, Datenanalysetools und Agentenplattformen und zwar oft, bevor die IT diese bewertet oder genehmigt hat. Viele dieser Tools lassen sich nicht einwandfrei in Unternehmens-SSO integrieren. Und auch wenn sie es tun, beginnt die Einführung häufig außerhalb der offiziellen Onboarding-Prozesse. Schatten-KI bringt ernsthafte Risiken mit sich, da auch harmlose Apps schwerwiegende Sicherheitsmängel enthalten können, die Unternehmensdaten und Zugangsdaten offenlegen könnten.¹¹

Der Zugriff auf Zugangsdaten durch KI-Agenten erfolgt ebenfalls auf andere Weise. Sie erfordern nicht nur Nutzeranmeldungen, sondern häufig auch API-Schlüssel, OAuth-Token, Service-Konten und andere Maschinenzugangsdaten, um zu funktionieren. Diese Zugangsdaten können lokal gespeichert, in Skripte eingebettet, in Browsern gespeichert oder informell zwischen Teammitgliedern ausgetauscht werden – weit über die Sichtbarkeit herkömmlicher Identitätssysteme hinaus.

Jede nicht verwaltete App und jedes KI-Tool stellt mindestens eine nicht verwaltete Zugangsberechtigung dar, die ein Unternehmen nicht sichern kann. Das Ergebnis ist eine sich ständig erweiternde Schicht von Anwendungen und Zugangsdaten, sich außerhalb der zentralen Governance befinden.

In unserem E-Book Warum SSO für die Identitätssicherheit nicht ausreicht erfährst du mehr über die Grenzen von SSO.

Entwicklergeheimnisse

Entwicklergeheimnisse wie SSH-Schlüssel, API-Schlüssel, Zugangsdaten für Service-Konten, Umgebungsvariablen und Server-Token sind die Schlüssel zu den wichtigsten Systemen eines Unternehmens. Im Gegensatz zu Nutzerpasswörtern arbeiten diese Zugangsdaten oft unauffällig im Hintergrund und unterstützen Anwendungen, Infrastruktur, Automatisierung und nun auch KI-Agenten an.

Diese Geheimnisse befinden sich jedoch selten in herkömmlichen Identitätssystemen. Stattdessen werden sie in Code-Repositorys, lokalen Umgebungsdateien, CI/CD-Pipelines, Cloud-Konsolen, Skripten und Tools für Zusammenarbeit gespeichert. In Ermangelung von kontinuierlicher Governance und zweckbestimmten Tools vermehren sich diese Geheimnisse schnell und häufig ohne Überwachung.

Der Bericht von GitGuardian aus 2025 „The State of Secrets Sprawl“ zeigt, wie schnell sich dieses Problem beschleunigt.

Im Jahr 2024 stellten wir fest, dass 23.770.171 neue, fest codierte Geheimnisse in öffentlichen GitHub-Repositories hinzugefügt wurden.
GitGuardian Report

Diese Zahl entspricht einem Anstieg der Gesamtzahl der Geheimnisse um 25 % gegenüber dem Vorjahr. Der Bericht stellt fest: „Die Verbreitung von Geheimnissen verschlimmert sich ununterbrochen im Laufe der Zeit.“¹²

Geheimnisse können sich auf unterschiedliche Weise verbreiten, unter anderem, wenn Entwickler sie versehentlich in öffentlich zugänglichem Code offenlegen. In dem Bericht von GitGuardian wird jedoch ein grundlegenderes Problem hervorgehoben: „Während Tools für Quellcode-Management der Schwerpunkt für Geheimniserkennung waren ... tauchen Geheimnisse überall dort auf, wo Teams zusammenarbeiten, häufig in den Tools für Zusammenarbeit- und Projektmanagement wie Slack, Jira oder Confluence.“¹³

Geheimnisse im Klartext, die über Apps wie Slack verschickt werden, stellen einen gefährlich laxen Umgang mit dem Thema Geheimhaltung dar. Leider sind sich Cyberkriminelle dieses Trends bewusst. Dark Reading berichtet, dass „... Cyberkriminelle und staatliche Akteure gleichermaßen einem bewährten Playbook folgen und sich die ‚schlechte Geheimhaltung‘ für ihre Kampagnen zunutze machen.“¹⁴

KI beschleunigt diese Dynamik nun. Während Entwickler KI-Copiloten verwenden, um Code zu generieren, Infrastruktur hochzufahren oder Workflows zu automatisieren, werden Maschinenzugangsdaten mit größerer Geschwindigkeit erstellt und wiederverwendet. Ohne zentrale Aufsicht vervielfältigen sich Geheimnisse in Repositorys, Prompts, Pipelines und Agenten. All dies erweitert die Identitätsoberfläche weit über das hinaus, für dessen Regelung die herkömmlichen Systeme für Identitäts- und Zugriffsmanagement (IAM) und privilegiertes Zugriffsmanagement (PAM) entwickelt wurden.

How AI is worsening credential sprawl

Der Aufstieg von KI und agentischer KI hat die Produktivität des modernen Arbeitsplatzes dramatisch erhöht. Allerdings haben sie auch die Anmeldedatenflut genauso dramatisch beschleunigt und ihre Risiken sollten genauer analysiert werden.

Nicht verwalteter Zugriff von KI-Agenten

KI-Agenten stellen eine völlig neue Klasse von Identitäten dar; sie benötigen unterschiedliche Zugriffsebenen, agieren aber auf eine Weise, die für Sicherheitswerkzeuge häufig unsichtbar ist.

Wie es The Hacker News beschrieb: „KI-Agenten arbeiten nicht isoliert. Um zu funktionieren, benötigen sie Zugriff auf Daten, Systeme und Ressourcen. Dieser oft übersehene Zugriff mit umfangreichen Berechtigungen erfolgt über nicht menschliche Identitäten: API-Schlüssel, Servicekonten, OAuth-Token und andere Maschinenzugangsdaten.“¹⁵

Alle NHIs bergen ein Zugangsdatenrisiko und wie sie von KI-Agenten verwendet werden, hat ihre Verbreitung drastisch erhöht. Die Zahlen variieren, aber im Jahr 2025 kamen in einer durchschnittlichen Unternehmensumgebung auf eine menschliche Identität zwischen 82¹⁶ und möglicherweise bis zu 144¹⁷ nicht-menschliche Identitäten (NHIs). Unabhängig davon wächst diese Zahl rasant.

Noch beunruhigender ist die Tatsache, dass viele dieser Maschinenidentitäten über umfangreiche Zugriffsberechtigungen verfügen, häufig ohne eine eingehende Prüfung, die normalerweise bei Nutzern mit besonderen Berechtigungen angewendet würde. Tatsächlich ergab eine aktuelle Studie, dass von 20 nicht-menschlichen Identitäten (Non-Human Identities, NHIs) eine über vollständige Admin-Berechtigungen verfügt, obwohl nur 38 % aller NHIs in den letzten 9 Monaten aktiv waren.¹⁸

Das bedeutet: KI-Agenten erhalten immer weitreichendere Zugriffsberechtigungen, ohne von Sicherheitsteams verwaltet zu werden und Agenten behalten oft weitreichendere Berechtigungen als sie benötigen.

Agentische Anwendungen und Fähigkeiten entwickeln sich mit beispielloser Geschwindigkeit und neue Tools werden oft eingeführt, bevor man ihre Risiken kennt. Jason Meller, VP und Security Strategist bei 1Password, schrieb zwei Blogbeiträge darüber, wie einflussreich (und beängstigend) diese Tools sein können.¹⁹^,²⁰

Jason Meller, Vice President und Security Strategist bei 1Password, beschreibt das Risiko: „Kurz gesagt sind Agenten-Gateways, die wie OpenClaw agieren, so einflussreich, weil sie echten Zugriff auf deine Dateien, deine Tools, deinen Browser, deine Terminals und häufig auf eine Langzeit-‚Memory‘-Datei haben, die erfasst, wie du denkst und was du entwickelst.“

Genau für die Ausnutzung dieser Kombination wurden moderne Infostealer entwickelt.
Jason Meller
Vice President and Security Strategist, 1Password

OpenClaw hat zwar für Aufmerksamkeit gesorgt, aber seine Probleme sind nicht auf ein Tool allein beschränkt. Im „AI Agent Index“ des MIT stellten Forscher fest, dass die Mehrheit der Agentenentwickler wenig über die Sicherheit ihrer Tools preisgibt. „25 von 30 Agenten geben keine internen Sicherheitsergebnisse an und 23 von 30 Agenten haben keine Informationen über das Testen von Dritten.“²¹ OpenClaw ist vielmehr ein Indikator dafür, wie schwerwiegend die Sicherheitsrisiken sein können, wenn KI-Agenten nicht verwaltete Zugriffsberechtigungen haben. Aufgrund seiner Beliebtheit und seiner Sicherheitsrisiken waren Sicherheitsteams schnell dazu gezwungen, sich mit der Tatsache auseinanderzusetzen, dass der Standard-Unternehmensperimeter nicht in der Lage ist, die Probleme mit agentischer KI zu bewältigen.

In Inside 1Password's Enterprise Identity Transformation stellt Francis Odum fest, dass „die Verbreitung von agentischer KI die Verbreitung von Identitäten fördert und eine kritische Zugriffslücke schafft.“ Da herkömmliche Zugangsdaten nicht für KI konzipiert sind, ist eine gefährliche Umgehung entstanden.²²

Entwickler verwenden oft fest programmierte Geheimnisse. Die Folge: Übermäßig berechtigte Agenten, begrenzte Prüfbarkeit und mehr Datenverlustrisiko.
Francis Odum

KI verschlechtert die Sicherheitspraktiken für Zugangsdaten

KI-basierte Tools verschlimmern die Verbreitung von Zugangsdaten außerdem, da sie mangelhafte Zugangsdaten-Sicherheitspraktiken reproduzieren.

Vibe-Coding (die Verwendung generativer KI zum Schreiben von Code) tendiert zur Übernahme von unzureichenden Sicherheitspraktiken. Es wurde zum Beispiel bei Moltbook – einer weitgehend Vibe-codierten Plattform – schnell festgestellt, das sich darin eine falsch konfigurierte Datenbank befand, die über eine Million API-Authentifizierung-Token, E-Mail-Adressen und private Nachrichten veröffentlichte. ²³

Auch hier bezieht sich dies nicht nur auf eine Plattform. GitGuardian hat die Nutzung von Copilot analysiert – Microsofts KI-Assistenten (der unter anderem für Vibe Coding verwendet wird) – und fand heraus, dass Repositories mit aktivem Copilot mit 40% höherer Wahrscheinlichkeit mindestens ein geleaktes Geheimnis aufweisen. ²⁴

Im Großen und Ganzen kann Vibe-Coding auch Mitarbeitenden mit weniger Programmiererfahrung und daher weniger Schulung in Sachen Programmiersicherheit die Möglichkeit zur Durchsetzung von Code geben, der nicht den Standardprüfungen und -kontrollen unterzogen wurde, die auf die Sicherheit jedes Codes angewendet werden sollten.

Herkömmliche Identitätssicherheit fällt zurück

Das Monitoring der Nutzung und Speicherung von Zugangsdaten durch Mitarbeitende war schon immer eine Herausforderung. Doch KI verändert das Modell der Identitätssicherheit grundlegend.

KI-Tools und -Agenten authentifizieren, speichern oder nutzen Anmeldedaten nicht so, wie es Menschen tun. Sie basieren auf eingebetteten Token, API-Schlüsseln, Servicekonten und programmatischen Zugriffsmustern. Sie arbeiten kontinuierlich, duplizieren sich leicht und bestehen oft noch lange weiter, nachdem ihr ursprünglicher Zweck erfüllt ist.

Herkömmliche Tools für Identitätssicherheit wurden für menschliches Verhalten entwickelt, mit interaktiven Anmeldungen, sitzungsbasierter Authentifizierung und klar definierten Berechtigungsstufen. Sie wurden nicht zur Regelung autonomer Software-Identitäten entwickelt, die ohne Aufsicht programmatisch skalieren und authentifizieren.

In gewisser Weise ist das fast schon beabsichtigt. Wie Saumitra Das in einem Artikel für Corporate Compliance Insights sagte: „Autonome Agenten sind von Natur aus darauf trainiert, den einfachsten und effizientesten Weg zu finden, um die zugewiesene Aufgabe zu erledigen. Das bedeutet, sie können häufig Möglichkeiten zur Umgehung von Schutzmaßnahmen identifizieren …“²⁵

Herkömmliche Methoden für Zugangskontrolle erweisen sich schnell als unzureichend, da NHIs von KI und ereignisgesteuerter Automatisierung in einem noch nie erlebten Ausmaß erstellt werden. Wie TechTarget berichtete: „Die meisten älteren Tools für IAM und Privileged Access Management (PAM) waren niemals dafür konzipiert, dieses Maß an Volumen und Abwanderung zu bewältigen.“²⁶

In dem Artikel wird auf einige Probleme im Zusammenhang mit der Verwendung von Berechtigungsnachweisen bei NHIs hingewiesen, darunter:

NHIs verwenden eine breite Palette von Authentifizierungsmethoden, wie JSON-Token, Cloud-IAM-Rollen, OAuth2-Geheimnisse und API-Schlüssel. Jede dieser Optionen hat ihre eigenen spezifischen Sicherheitsanforderungen.
NHIs erhalten häufig übermäßigen Zugriff und langfristige Zugangsdaten, damit Teams den notwendigen Zugriff für das Tool zur Automatisierung verschiedener Geschäftsprozesse sicherstellen können.
Anomalieerkennung kann nicht immer bemerken, wenn bei einem KI-Agenten etwas schiefgegangen ist, da diese keine „normalen“ Verhaltensmuster haben, von denen sie abweichen können.

Jeder dieser Faktoren kann die Wirksamkeit des Sicherheits-Stacks eines Unternehmens ernsthaft beeinträchtigen.

The costs of credential sprawl

Was geschieht, wenn die Verbreitung von Zugangsdaten in einem Unternehmen überhandnimmt? Die Kosten manifestieren sich auf verschiedene Weise, von einem erhöhten Ausmaß des Schadens im Falle eines Sicherheitsverstoßes bis hin zu zeitaufwändigen manuellen Prozessen zur Verwaltung des Sicherheitsstatus, der Compliance und der Reaktion auf Vorfälle.

Compliance-Verstöße

IT- und Sicherheitsteams stehen immer wieder vor der schwierigen Aufgabe, die Einhaltung gesetzlicher Standards wie SOC 2, PCI DSS, ISO 27001:2022 und HIPAA zu erreichen und nachzuweisen.

Für jeden dieser Standards gibt es Anforderungen in Bezug auf die sichere Verwendung und Speicherung von Zugangsdaten. PCI DSS setzt zum Beispiel voraus, dass „Audit-Protokolle alle Änderungen an Identifikations- und Authentifizierungszugangsdaten erfassen …“27

In ähnlicher Weise hat SOC 2 verschiedene Anforderungen im Zusammenhang mit der Bereitstellung des Zugriffs auf Zugangsdaten durch Unternehmen, einschließlich Anforderungen, die vorschreiben, dass „Ihr Unternehmen Prozesse implementieren sollte, um den Zugriff auf Zugangsdaten zu entfernen, wenn eine Person diesen Zugriff nicht mehr benötigt.“²⁸ Es ist erwähnenswert, dass SOC 2 diese Anforderungen nicht nur auf den Zugriff von Nutzern auf Zugangsdaten erweitert, sondern auch darauf, wie „interne und externe Infrastruktur und Software“ auf Zugangsdaten zugreifen.

Die Aufsichtsbehörden erwarten im Allgemeinen von den Unternehmen einen Nachweis, dass sie ihrer „Due Diligence“ zum Schutz sensibler Informationen nachgekommen sind. Due Diligence bedeutet im Fall der Verwaltung von Zugangsdaten, dass wichtige Tools implementiert werden, die den Administratoren einen Überblick über den Ort und die Art der Nutzung von Zugangsdaten geben. Durch die Verbreitung von Zugangsdaten wird die Fähigkeit eines Unternehmens grundlegend untergraben, dies zu tun.

Und auch wenn die Sicherheitstools vielleicht mit dem KI-Boom nicht Schritt halten können, zeigen die Aufsichtsbehörden wahrscheinlich keine Nachsicht gegenüber Unternehmen. Im Gegenteil, sie verstärken ihre Kontrollen. Wie Itamar Apelblat in einem Artikel für BleepingComputer aufzeigte: „In jedem dieser Frameworks ist das Unternehmen dafür verantwortlich, was mit regulierten Daten und regulierten Workflows geschieht. Wenn KI-Agenten diejenigen sind, die in diesen Systemen arbeiten, verschwindet die Rechenschaftspflicht nicht.“²⁹

Risikobelastung

Es ist nicht schwer zu verstehen, warum Compliance-Standards der Verwaltung von Zugangsdaten und Zugriff eine große Bedeutung beimessen. Einfach ausgedrückt: Durch die Verbreitung von Zugangsdaten erhöht sich das Risiko eines Cyberangriffs für ein Unternehmen erheblich.

Kompromittierte Zugangsdaten sind der gängigste Einstiegspunkt von Angreifern³⁰ und das schon seit Längerem. 50 % der CISOs, die in den letzten drei Jahren eine schwerwiegenden Verstoß erlebt haben, bezeichneten kompromittierte Zugangsdaten als Ursache.³¹

Durch die Verbreitung von Zugangsdaten wird die Angriffsfläche eines Unternehmens erheblich vergrößert. Alle Zugangsdaten, die ohne Sicherheit- und IT-Aufsicht gespeichert werden, bieten böswilligen Akteuren eine Gelegenheit für Sicherheitsverstöße. Und da sich Zugangsdaten so rasant verbreiten, sind Unternehmen mehr Risiken ausgesetzt als je zuvor.

IBM berichtete 2025, dass Schatten-KI der Grund für 20 % der Sicherheitsverstöße war und dass 97 % der KI-Sicherheitsverstöße im Zusammenhang mit KI auf KI zurückzuführen waren, für die es keine ordnungsgemäßen Zugriffskontrollen gab. IBM weist außerdem darauf hin, „... dass die Daten meist in mehreren Umgebungen gespeichert wurden, sodass ein einziges unüberwachtes KI-System zu einer weitreichenden Gefährdung führen kann.“³²

Reaktion auf Vorfälle

Die Beseitigung von Sicherheitslücken und die Reaktion auf Vorfälle sind an sich schon kostspielige und zeitaufwändige Prozesse. Die Verbreitung von Zugangsdaten verschlimmert diese Probleme nur. Schatten-KI erhöht zum Beispiel die Komplexität und die Kosten der Reaktion auf Sicherheitslücken. Ein Verstoß im Zusammenhang mit Schatten-KI kann bis zu 670.000 USD mehr kosten als ein vergleichbarer Verstoß, an dem sie nicht beteiligt war.³³

Laut GitGuardian waren 70 % der 2022 offengelegten Geheimnisse 2025 noch gültig.³⁴ Das ist eine äußerst besorgniserregende Zahl und ein Hinweis darauf, dass kompromittierte Zugangsdaten nicht durch einen Standardgeschäftsprozess behoben werden. Sie laufen nicht automatisch ab und werden nicht von Teams rotiert. Und da diese bestehenden Probleme nicht behoben werden, stehen IT- und Sicherheitsteams bei jedem neuen Sicherheitsverstoß vor einem Berg von Risiken, der an Umfang und Komplexität immer größer wird.

Wie TechTarget berichtete, wird dieses Problem durch NHIs und agentische KI noch komplizierter: „Da viele Unternehmen NHIs zum Verknüpfen von Cloud-Umgebungen verwenden, werden Geheimnisse häufig in mehreren Systemen dupliziert oder wiederverwendet, wodurch die Behebung und Rotation schwieriger werden, wenn eine einzelne Identität kompromittiert ist.“³⁵

Solutions for credential sprawl

Herkömmliche IAM-Strategien sind nicht immer genug, um die Probleme mit der Verbreitung von Zugangsdaten zu bewältigen. Stattdessen ist ein mehrgleisiger Ansatz der Teams erforderlich, um das Problem von mehreren Gesichtspunkten aus anzugehen.

Zugangsdaten-Management

Das Problem der Verbreitung von Zugangsdaten beginnt mit der Passwortverwaltung. Leider haben viele Unternehmen die Situation mit Passwörtern immer noch nicht richtig im Griff, obwohl sie für Sicherheitsteams seit Jahren eine Belastung sind. Hinzu kommt, dass Teams heute mehr Tools mit mehr Anmeldungen ausführen als je zuvor.

Ohne eine klare Strategie breitet sich der Wildwuchs von Zugangsdaten unkontrolliert aus. Wie wir in unserem letzten Blogbeitrag eingehender untersuchten³⁶, erfordert die Verwaltung von Zugangsdaten eine Strategie, die auf die tatsächliche Verwendung von Anmeldedaten abgestimmt ist. Teams benötigen Systeme im Zusammenhang mit den folgenden Faktoren:

Abdeckung, was bedeutet, welche Zugangsdaten geschützt werden müssen: Passwörter, Passkeys, API-Token, SSH-Schlüssel, NHI- und KI-Agentengeheimnisse.
Kontrolle, was bedeutet, wie diese Zugangsdaten verwaltet werden: wo sie gespeichert werden können, wie sie weitergegeben werden, welche Regeln gelten und wie diese Regeln durchgesetzt werden.
Lebenszyklus, was bedeutet, wie sich Zugangsdaten ändern: Erstellung, Eigentum, Rotation, Widerruf und Nachweis, besonders wenn sich Rollen und Berechtigungen für menschliche und maschinelle Identitäten ändern.

Der erste Schritt, um alle diese Anforderungen zu erfüllen, ist ein Enterprise Password Manager (EPM). EPM deckt mehr ab als nur Passwörter und ist ein wesentliches Element für jede Säule einer starken Zugangsdatenverwaltung-Strategie. Wie der Analyst und Forscher Francis Odum berichtete: „Der architektonische Anker von 1Password ist sein Enterprise Password Management (EPM). Dieser Zero-Knowledge-Tresor dient als einzigartiges System der Aufzeichnung für die Zugangsdaten aller Beschäftigten, das sich sowohl über menschliche Nutzer als auch nicht-menschliche Identitäten erstreckt ... “³⁷

Trotzdem stellte 1Password fest, dass nur etwa 38 % der Mitarbeitenden einen vom Unternehmen bereitgestellten Passwortmanager verwenden.³⁸

Ein EPM wie das von 1Password ist ein geschäftskritisches Tool für Unternehmen zur Einschränkung der Verbreitung von Zugangsdaten und zur Verwaltung der Nutzung von agentischer KI.³⁹ Es zentralisiert die Sichtbarkeit in die Verwendung von Zugangsdaten und ermöglicht es Admins, die Prinzipien des Zugriffs mit den geringsten Berechtigungen durch rollenbasierten Tresorzugang durchzusetzen. Strukturierte Workflows für Onboarding und Offboarding bedeuten, dass Nutzer nur Zugang zu den Zugangsdaten, Passkeys und Geheimnissen erhalten, die sie für ihre Arbeit benötigen. Und vor allem erweitert EPM den Schutz auf Entwickler-Workflows und KI-gestützte Automatisierung, ohne Reibung zu verursachen.

Da Zugangsdaten verschlüsselt sind, können Teams sicherstellen, dass Infostealer und anderen gezielte Angriffe keinen Zugriff darauf haben. Das Monitoring der Verstöße durch 1Password informiert Nutzer und Administratoren außerdem so schnell wie möglich, wenn verwaltete Zugangsdaten kompromittiert wurden.⁴⁰

Kurz gesagt: Die Zugangsdaten zu jeder Arbeitsplatz-App bleiben sicher und zentralisiert dort, wo die IT den Zugriff von Mitarbeitenden mühelos überwachen, das Onboarding und Offboarding verwalten und die Stärke und Sicherheit ihres Passwortsystems messen kann.

Es ist erwähnenswert, dass ein wesentliches Element der Wirksamkeit von EPM die flächendeckende Implementierung der Zugangsdaten-Governance ist. Unternehmen müssen Zugangsdatenverwaltung für jede Person, jeden Agenten, jedes Geheimnis und jeden Workflow durchsetzen. Unternehmen können nicht sicher bleiben, wenn sie nur einen Teil der Identitätsoberfläche schützen.

Einheitliche Zugriffsverwaltung für KI-Agenten und Menschen

Die Verbreitung von Zugangsdaten durch KI spiegelt eine grundlegende Veränderung in der Art und Weise wider, wie Autorität innerhalb des Unternehmens delegiert wird. KI-Systeme sind nicht länger nur Tools für die Unterstützung von Menschen. Agenten arbeiten mehr und mehr mit unabhängigem Zugriff auf Anwendungen, Daten und Workflows. Dennoch gehen die meisten Zugangskontrollen immer noch von einem Menschen an der Tastatur aus.

Mitarbeitende (und besonders Entwickler) werden zur Nutzung von KI für die Verbesserung der Produktivität aufgefordert. Aber ohne zweckbestimmte Tools für das sichere Delegieren des Zugriffs auf KI-Agenten und Maschinenidentitäten, greifen Mitarbeitende auf nicht sichere Umgehungen zurück, die außerhalb der Reichweite von herkömmlichen Sicherheitstools liegen. Die Behandlung der Verbreitung von KI-Zugangsdaten erfordert Tools, die nicht-menschlichen Zugriff regeln, ohne Workflows zu verlangsamen.

1Password® Unified Access hilft Teams bei Folgendem:

Risiken erkennen: Nicht verwaltete KI-Tools und -Agenten, identifizieren, die auf Geräten von Entwicklern und Endnutzern ausgeführt werden und Zugangsdaten und Geheimnisse erkennen, die in lokalen Dateien und Entwicklerumgebungen gespeichert sind.
Zugangsdaten sichern: Offengelegte Zugangsdaten in Tresore verschieben und den Zugriff für risikobehaftete KI-Tools und -Agenten entfernen. Zugangsdaten während der Ausführungszeiten an Agenten, Automatisierung und CI/CD liefern, um langfristige Geheimnisse zu reduzieren und sicherzustellen, dass sie nur bei Bedarf verwendet werden.
Agentenaktionen prüfen: Eine eindeutige Zuschreibung für jede Aktion erhalten, die zeigt, wann und wie Zugangsdaten verwendet werden und wer sie verwendet hat, ob Menschen, Agenten und Maschinen.

SaaS-Management

Die Verbreitung von Zugangsdaten und die Verbreitung von SaaS sind untrennbar miteinander verflochten. Damit IT- und Sicherheitsteams effektiv bestimmen können, wo und wie Zugangsdaten gespeichert werden, müssen sie wissen, welche Anwendungen von den Mitarbeitenden verwendet werden.

Der Nachteil der Verbreitung von SaaS ist jedoch, dass es für Teams fast unmöglich ist, die Zeit oder das Personal zu finden, um sie manuell zu kontrollieren.

1Password SaaS Manager löst dieses Problem durch Automatisierung.⁴¹ Mit über 40.000 App-Integrationen können Teams ein vollständiges Inventar der von ihren Mitarbeitenden genutzten Apps erstellen und pflegen – einschließlich der Apps, die nicht über SSO gesichert werden können. Dazu gehören Fähigkeiten zur kontinuierlichen App-Entdeckung, um die Nutzung von Schatten-IT und Schatten-KI-Apps in einem Unternehmen zu beleuchten.

Mit automatisierten Workflows für Onboarding und Offboarding können Teams außerdem sicherstellen, dass Mitarbeitenden der Zugriff auf Apps nur bei Bedarf erteilt wird – ohne das Risiko eines nicht genehmigten Zugriffs von Mitarbeitenden einzugehen, die nicht ordnungsgemäß abgemeldet wurden.

Zu identifizieren, welche Anwendungen verwendet werden, unabhängig davon, ob sie vom Unternehmen genehmigt sind oder nicht, ist ein entscheidender Schritt, um sicherzustellen, dass alle Zugangsdaten sicher verwendet und gespeichert wird. Ein Team kann keine flächendeckende Zugangsdatensicherheit erreichen, wenn ein Teil der Anwendungsoberfläche nicht verwaltet ist.

AI is here: do you know where your credentials are?

Die unkontrollierte Verbreitung von Zugangsdaten ist alles andere als ein neues Problem. Doch anstatt sich zu verbessern, scheint es nur noch schlimmer zu werden. Mehrere Studien zeigen, dass die Praktiken zur Verwaltung von Zugangsdaten immer schlechter werden, da die Teams mit einer immer größeren Anzahl von Zugangsdaten für immer mehr Endpunkte und Anwendungen konfrontiert sind. Zugangsdaten sind in Codebases, Slack-Nachrichten, KI-Chatbots und Tabellenkalkulationen versteckt. Dazu finden sie sich wahrscheinlich nach wie vor auf der ein oder anderen Haftnotiz.

Die Zugangsdatenverwaltung war noch nie so wichtig wie heute. Im Klartext: Jede nicht verwaltete Zugangsberechtigung gefährdet das Ökosystem. Wenn Zugangsdaten nicht lückenlos gesichert werden, kann dein Unternehmen unzählige nicht gesicherte Zugangspunkte haben.

Die Passwortverwaltung für Unternehmen ist noch nie eine optionale Lösung für Unternehmen gewesen, die Sicherheit auf jeder Ebenen priorisieren. Der Anstoß zur Einführung grundlegender Zugangsdatenkontrollen ist mit dem rasanten Aufstieg der KI jedoch wesentlich dringlicher geworden. 1Password ist die entscheidende Lösung für Unternehmen, um zu kontrollieren, wie Zugangsdaten in ihren Ökosystemen verwendet werden. Wir entwickeln Systeme, die auf der starken Sicherheit unseres Passwortmanagers basieren, mit denen Teams Zugangsdaten verwalten können, wo auch immer sie sich befinden – vom Spreadsheet bis zum KI-Agenten.

Additional sources:

^{3, 30}Data Breach Investigations Report, Verizon, 2025 (PDF)

⁸Businesses at Work, Okta, 2025

^{12, 13, 24} The State of Secrets Sprawl, GitGuardian, 2025 (PDF)

^{17, 18, 34} The NHI & Secrets Risk Report, HubSpot, 2025 (PDF)

²⁷ PCI DSS: v4.0.1, PCI Security Standards Council, 2024

^{32, 33} Cost of a Data Breach Report, IBM, 2025

Es gab noch nie einen besseren Zeitpunkt, um mit der Verwaltung der Verbreitung von Zugangsdaten zu beginnen

Demo anfordern