
Was ist eine nicht menschliche Identität?
Maschinelle oder programmatische Identitäten, wie z. B. Dienste, Apps, Skripte, Bots und andere automatisierte Agenten, arbeiten alle im Hintergrund, um Arbeitsabläufe zu automatisieren. Mit anderen Worten: Maschinen und Systeme kommunizieren ohne menschliches Eingreifen mit anderen Maschinen.
Diese nicht menschlichen Identitäten (NHI) authentifizieren sich automatisch mit API-Schlüsseln, Token oder Zertifikaten. Sie wurden entwickelt, um Arbeitsabläufe zu automatisieren und zu rationalisieren, aber sie öffnen die Tür für potenzielle Risiken. Wenn ein solches System oder eine solche Maschine kompromittiert wird, kann sich dies auf andere Systeme auswirken.
Häufige nicht-menschliche Identitäten
Die Liste ist lang und zu den häufigsten NHI-Typen zählen:
- Dienstkonten: Spezielle Konten, die von Anwendungen oder Skripts für den Zugriff auf Systeme oder Ressourcen ohne menschliches Eingreifen verwendet werden.
- API-Schlüssel: Token, die zur Authentifizierung von Anwendungen oder Diensten beim Aufrufen von APIs verwendet werden, oft fest codiert oder schlecht verwaltet.
- OAuth-Kunden/Bearer-Token: Zugangsdaten, die von Anwendungen verwendet werden, um Zugriffstoken zu erhalten und mit anderen Systemen unter delegierter Autorität zu interagieren
- Zertifikate und private Schlüssel: Kryptographische Zugangsdaten, die zur Überprüfung und Sicherung der Kommunikation zwischen Rechnern oder Diensten verwendet werden
- IoT-Geräte-Identitäten: Eindeutige Zugangsdaten, die angeschlossenen Geräten zugewiesen werden, um sich zu authentifizieren und mit Cloud-Diensten oder Netzwerken zu interagieren
- Robotic Process Automation-(RPA-)Bots: Software-Bots, die sich wiederholende Aufgaben ausführen und mithilfe von gespeicherten Zugangsdaten Zugriff auf Anwendungen oder Daten benötigen
- Container- oder Pod-Identitäten: Maschinenidentitäten, die Containern oder Pods zugewiesen sind (z. B. in Kubernetes), um sicher auf andere cloudnative Ressourcen zuzugreifen
Die explosionsartige Zunahme der NHIs in den letzten Jahren ist erheblich. Auf den meisten Systemen übersteigt die Anzahl der nicht menschlichen Identitäten die der menschlichen Benutzer. Zum Beispiel übersteigen NHI-Geheimnisse wie Dienstkonten in Kubernetes menschliche Identitäten in DevOps-Umgebungen um den Faktor 45:1. Viele dieser Geheimnisse werden enthüllt und bleiben es auch. Eine Studie von GitGuardian zeigte, dass 70 % der Geheimnisse, die im Jahr 2022 in öffentlichen Repositories entdeckt wurden, auch heute noch aktiv sind.
Die potenziellen Probleme scheinen mit der Einführung von KI für die Code-Entwicklung noch akuter zu werden. Dies kann zwar die Produktion von Code verbessern, aber die Zugangsdaten werden oft auf eine Art und Weise offengelegt, wie es bei herkömmlichen Entwicklungsmethoden nicht der Fall ist.
Die 10 wichtigsten Risiken von OWASP NHI
Aufgrund der weiten Verbreitung nicht menschlicher Identitäten hat das Open Web Application Security Project (OWASP) eine umfassende Liste der dringendsten Sicherheitsrisiken und Schwachstellen bei der Nutzung von NHI veröffentlicht. Die OWASP Top 10 Non-Human Identities Risks – 2025 beinhaltet potenzielle Exploits, um Entwicklern zu helfen, Ressourcen besser zu verwalten und zu schützen.
1. Unsachgemäßes Austrittsprozess
Wenn Sie es versäumen, nicht menschliche Identitäten wie z. B. Dienstkonten oder Zugangsschlüssel zu deaktivieren oder zu entfernen, nachdem sie nicht mehr benötigt werden, können die Systeme ungeschützt bleiben. Diese inaktiven Zugangsdaten können von Angreifern entführt werden, um unbefugten Zugriff auf sensible Umgebungen zu erhalten.
2. Geheimnisleck
Sensible Zugangsdaten wie API-Schlüssel, Token oder Zertifikate können versehentlich an ungeschützten Orten wie Code, Konfigurationsdateien oder Chat-Tools gespeichert werden. Wenn diese Geheimnisse durchsickern, können Angreifer sie verwenden, um sich als Dienste auszugeben oder auf eingeschränkte Systeme zuzugreifen.
3. Anfällige NHI Dritter
Viele Entwicklungstools und Cloud-Dienste basieren auf Komponenten von Drittanbietern, die nicht menschliche Identitäten in Ihr Ökosystem einbringen. Wenn ein Dienst oder Plug-In eines Drittanbieters kompromittiert wird, kann dies zum Diebstahl oder Missbrauch von Zugangsdaten und Berechtigungen führen.
4. Unsichere Authentifizierung
Nicht menschliche Identitäten verlassen sich häufig auf veraltete oder schwache Authentifizierungsmethoden, um Dienste und Systeme zu verbinden. Die Verwendung veralteter Protokolle oder mangelhafter Authentifizierungshygiene kann es Angreifern erleichtern, sich als vertrauenswürdige Komponenten auszugeben.
5. Überprivilegierte NHIs
Manchmal wird nicht menschlichen Identitäten aus reiner Bequemlichkeit mehr Zugang gewährt, als sie benötigen. Wenn eine dieser Identitäten kompromittiert wird, können Angreifer die überschüssigen Berechtigungen ausnutzen, um sich seitlich zu bewegen oder ihre Angriffe zu eskalieren.
6. Unsichere Cloud-Bereitstellungskonfigurationen
Cloudbasierte CI/CD-Tools erfordern oft Zugangsdaten, um Software bereitzustellen, aber Fehlkonfigurationen, wie das Speichern von Zugangsdaten im Klartext, können diese Geheimnisse preisgeben. Wenn Angreifer Zugriff auf diese Zugangsdaten erhalten, könnten sie die Kontrolle über Produktionsumgebungen erlangen.
7. Langlebige Geheimnisse
Geheimnisse, die nie ablaufen oder für längere Zeit gültig sind, sind besonders gefährlich, wenn sie kompromittiert werden. Ein Angreifer mit Zugriff auf ein langlebiges Geheimnis könnte dieses monate- oder jahrelang ausnutzen, ohne dass es entdeckt wird.
8. Mangelnde Isolierung der Umgebung
Die Wiederverwendung der gleichen nicht menschlichen Identitäten in verschiedenen Umgebungen (z. B. Entwicklung, Staging, Produktion) erhöht das Risiko. Eine Kompromittierung in einer Umgebung mit geringerem Risiko könnte zu unbefugtem Zugriff auf kritische Systeme führen, wenn die Identitätsgrenzen nicht durchgesetzt werden.
9. NHI-Wiederverwendung über verschiedene Systeme hinweg
Die Verwendung derselben nicht menschlichen Identität für mehrere Systeme oder Dienste mag zwar effizient erscheinen, schafft aber einen Single Point of Failure. Wenn in ein System eingebrochen wird, können alle anderen Systeme, die dieselbe Identität verwenden, ebenfalls gefährdet sein.
10. Missbrauch von NHIs durch Menschen
Manchmal verwenden Entwickler nicht menschliche Identitäten, um manuell auf Systeme zuzugreifen und die für menschliche Benutzer vorgesehenen Kontrollen zu umgehen. Diese Praxis erschwert die Nachverfolgung von Aktivitäten und beseitigt die Rechenschaftspflicht, wodurch blinde Flecken in der Security-Überwachung entstehen.
Angriffe in der realen Welt
Angesichts der beträchtlichen Größe der NHI-Bedrohungsfläche ist es nicht verwunderlich, dass böswillige Akteure und Nationalstaaten Sicherheitslücken ausnutzen. Sie können besonders schwer zu entdecken sein, weil die NHIs, die mit den Systemen interagieren, über eine integrierte Authentifizierung verfügen, um die Erkennung von Bedrohungen zu umgehen.
Hier sind einige der jüngsten Sicherheitsverletzungen, die auf nicht menschliche Identitätsprobleme zurückgeführt wurden.
GitHub-Aktionen
Ein Supply-Chain-Angriff auf GitHub Actions führte zu einer umfassenden Enthüllung von Zugangsdaten. Angreifer kompromittierten das privilegierte Konto eines Betreuers , was es ihnen ermöglichte, Paket-Tags zu ändern und Benutzer auf eine bösartige Nutzlast umzuleiten, die mithilfe öffentlich zugänglicher CI/CD-Workflows Geheimnisse von Servermitgliedern abgriff.
US-Finanzministerium
Das US-Finanzministerium erlitt eine schwere Security-Verletzung, als staatlich geförderte chinesische Hacker einen kompromittierten API-Schlüssel von BeyondTrust, einem Drittanbieter für Cybersecurity, ausnutzten, um auf Mitarbeiterarbeitsplätze und nicht klassifizierte Dokumente zuzugreifen.
AWS
Mehr als 230 Millionen Cloud-Umgebungen wurden durch die Ausnutzung unsicher gespeicherter AWS-Zugangsdaten kompromittiert. AWS-Schlüssel, API-Token und Datenbankpasswörter wurden offengelegt, was Angreifer nutzten, um ihre Rechte zu erweitern.
Die New York Times
Das GitHub-Datenleck der New York Times im Januar 2024 ereignete sich, als Angreifer ein offengelegtes GitHub-Token ausnutzten, sodass sie 270 GB internen Quellcode und IT-Dokumentation stehlen konnten, was später auf 4chan durchsickerte.
Snowflake
Vertrauliche Daten von mehr als 165 Unternehmen wurden mithilfe ungesicherter Zugangsdaten ohne Multifaktor-Authentifizierung (MFA) und Rotation der Zugangsdaten offengelegt. Gestohlene Zugangsdaten wurden verwendet, um ohne menschliches Eingreifen auf Snowflake-Konten zuzugreifen.
Dropbox
Angreifer missbrauchten ein Dienstkonto und nutzten API-Schlüssel und OAuth-Token, um in die Produktionsumgebung von Dropbox Sign einzudringen. Kundendaten, Benutzernamen und gehashte Passwörter wurden offengelegt.
Sicherung Ihrer Umgebung
In fast allen Fällen sind Verstöße gegen NHI das Ergebnis eines Versäumnisses der Benutzer, ihre Geheimnisse, Zugangsdaten oder Umgebungen ordnungsgemäß zu schützen. Die häufigsten nicht menschlichen Identitätsangriffe sind auf menschliche Fehler zurückzuführen. Dies unterstreicht die dringende Notwendigkeit von Sicherheitsmaßnahmen zum Schutz vertraulicher Informationen, unabhängig davon, wo diese gespeichert sind oder in welcher Form sie vorliegen.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.