Barracuda full logo

Was ist eine nicht menschliche Identität?

Themen:
14. Apr.. 2025
|
Paul Dughi

Maschinelle oder programmatische Identitäten, wie z. B. Dienste, Apps, Skripte, Bots und andere automatisierte Agenten, arbeiten alle im Hintergrund, um Arbeitsabläufe zu automatisieren. Mit anderen Worten: Maschinen und Systeme kommunizieren ohne menschliches Eingreifen mit anderen Maschinen.

Diese nicht menschlichen Identitäten (NHI) authentifizieren sich automatisch mit API-Schlüsseln, Token oder Zertifikaten. Sie wurden entwickelt, um Arbeitsabläufe zu automatisieren und zu rationalisieren, aber sie öffnen die Tür für potenzielle Risiken. Wenn ein solches System oder eine solche Maschine kompromittiert wird, kann sich dies auf andere Systeme auswirken.

Häufige nicht-menschliche Identitäten

Die Liste ist lang und zu den häufigsten NHI-Typen zählen:

  • Dienstkonten: Spezielle Konten, die von Anwendungen oder Skripts für den Zugriff auf Systeme oder Ressourcen ohne menschliches Eingreifen verwendet werden.
  • API-Schlüssel: Token, die zur Authentifizierung von Anwendungen oder Diensten beim Aufrufen von APIs verwendet werden, oft fest codiert oder schlecht verwaltet.
  • OAuth-Kunden/Bearer-Token: Zugangsdaten, die von Anwendungen verwendet werden, um Zugriffstoken zu erhalten und mit anderen Systemen unter delegierter Autorität zu interagieren
  • Zertifikate und private Schlüssel: Kryptographische Zugangsdaten, die zur Überprüfung und Sicherung der Kommunikation zwischen Rechnern oder Diensten verwendet werden
  • IoT-Geräte-Identitäten: Eindeutige Zugangsdaten, die angeschlossenen Geräten zugewiesen werden, um sich zu authentifizieren und mit Cloud-Diensten oder Netzwerken zu interagieren
  • Robotic Process Automation-(RPA-)Bots: Software-Bots, die sich wiederholende Aufgaben ausführen und mithilfe von gespeicherten Zugangsdaten Zugriff auf Anwendungen oder Daten benötigen
  • Container- oder Pod-Identitäten: Maschinenidentitäten, die Containern oder Pods zugewiesen sind (z. B. in Kubernetes), um sicher auf andere cloudnative Ressourcen zuzugreifen

Die explosionsartige Zunahme der NHIs in den letzten Jahren ist erheblich. Auf den meisten Systemen übersteigt die Anzahl der nicht menschlichen Identitäten die der menschlichen Benutzer. Zum Beispiel übersteigen NHI-Geheimnisse wie Dienstkonten in Kubernetes menschliche Identitäten in DevOps-Umgebungen um den Faktor 45:1. Viele dieser Geheimnisse werden enthüllt und bleiben es auch. Eine Studie von GitGuardian zeigte, dass 70 % der Geheimnisse, die im Jahr 2022 in öffentlichen Repositories entdeckt wurden, auch heute noch aktiv sind.

Die potenziellen Probleme scheinen mit der Einführung von KI für die Code-Entwicklung noch akuter zu werden. Dies kann zwar die Produktion von Code verbessern, aber die Zugangsdaten werden oft auf eine Art und Weise offengelegt, wie es bei herkömmlichen Entwicklungsmethoden nicht der Fall ist.

Die 10 wichtigsten Risiken von OWASP NHI

Aufgrund der weiten Verbreitung nicht menschlicher Identitäten hat das Open Web Application Security Project (OWASP) eine umfassende Liste der dringendsten Sicherheitsrisiken und Schwachstellen bei der Nutzung von NHI veröffentlicht. Die OWASP Top 10 Non-Human Identities Risks – 2025 beinhaltet potenzielle Exploits, um Entwicklern zu helfen, Ressourcen besser zu verwalten und zu schützen.

1. Unsachgemäßes Austrittsprozess

Wenn Sie es versäumen, nicht menschliche Identitäten wie z. B. Dienstkonten oder Zugangsschlüssel zu deaktivieren oder zu entfernen, nachdem sie nicht mehr benötigt werden, können die Systeme ungeschützt bleiben. Diese inaktiven Zugangsdaten können von Angreifern entführt werden, um unbefugten Zugriff auf sensible Umgebungen zu erhalten.

2. Geheimnisleck

Sensible Zugangsdaten wie API-Schlüssel, Token oder Zertifikate können versehentlich an ungeschützten Orten wie Code, Konfigurationsdateien oder Chat-Tools gespeichert werden. Wenn diese Geheimnisse durchsickern, können Angreifer sie verwenden, um sich als Dienste auszugeben oder auf eingeschränkte Systeme zuzugreifen.

3. Anfällige NHI Dritter

Viele Entwicklungstools und Cloud-Dienste basieren auf Komponenten von Drittanbietern, die nicht menschliche Identitäten in Ihr Ökosystem einbringen. Wenn ein Dienst oder Plug-In eines Drittanbieters kompromittiert wird, kann dies zum Diebstahl oder Missbrauch von Zugangsdaten und Berechtigungen führen.

4. Unsichere Authentifizierung

Nicht menschliche Identitäten verlassen sich häufig auf veraltete oder schwache Authentifizierungsmethoden, um Dienste und Systeme zu verbinden. Die Verwendung veralteter Protokolle oder mangelhafter Authentifizierungshygiene kann es Angreifern erleichtern, sich als vertrauenswürdige Komponenten auszugeben.

5. Überprivilegierte NHIs

Manchmal wird nicht menschlichen Identitäten aus reiner Bequemlichkeit mehr Zugang gewährt, als sie benötigen. Wenn eine dieser Identitäten kompromittiert wird, können Angreifer die überschüssigen Berechtigungen ausnutzen, um sich seitlich zu bewegen oder ihre Angriffe zu eskalieren.

6. Unsichere Cloud-Bereitstellungskonfigurationen

Cloudbasierte CI/CD-Tools erfordern oft Zugangsdaten, um Software bereitzustellen, aber Fehlkonfigurationen, wie das Speichern von Zugangsdaten im Klartext, können diese Geheimnisse preisgeben. Wenn Angreifer Zugriff auf diese Zugangsdaten erhalten, könnten sie die Kontrolle über Produktionsumgebungen erlangen.

7. Langlebige Geheimnisse

Geheimnisse, die nie ablaufen oder für längere Zeit gültig sind, sind besonders gefährlich, wenn sie kompromittiert werden. Ein Angreifer mit Zugriff auf ein langlebiges Geheimnis könnte dieses monate- oder jahrelang ausnutzen, ohne dass es entdeckt wird.

8. Mangelnde Isolierung der Umgebung

Die Wiederverwendung der gleichen nicht menschlichen Identitäten in verschiedenen Umgebungen (z. B. Entwicklung, Staging, Produktion) erhöht das Risiko. Eine Kompromittierung in einer Umgebung mit geringerem Risiko könnte zu unbefugtem Zugriff auf kritische Systeme führen, wenn die Identitätsgrenzen nicht durchgesetzt werden.

9. NHI-Wiederverwendung über verschiedene Systeme hinweg

Die Verwendung derselben nicht menschlichen Identität für mehrere Systeme oder Dienste mag zwar effizient erscheinen, schafft aber einen Single Point of Failure. Wenn in ein System eingebrochen wird, können alle anderen Systeme, die dieselbe Identität verwenden, ebenfalls gefährdet sein.

10. Missbrauch von NHIs durch Menschen

Manchmal verwenden Entwickler nicht menschliche Identitäten, um manuell auf Systeme zuzugreifen und die für menschliche Benutzer vorgesehenen Kontrollen zu umgehen. Diese Praxis erschwert die Nachverfolgung von Aktivitäten und beseitigt die Rechenschaftspflicht, wodurch blinde Flecken in der Security-Überwachung entstehen.

Angriffe in der realen Welt

Angesichts der beträchtlichen Größe der NHI-Bedrohungsfläche ist es nicht verwunderlich, dass böswillige Akteure und Nationalstaaten Sicherheitslücken ausnutzen. Sie können besonders schwer zu entdecken sein, weil die NHIs, die mit den Systemen interagieren, über eine integrierte Authentifizierung verfügen, um die Erkennung von Bedrohungen zu umgehen.

Hier sind einige der jüngsten Sicherheitsverletzungen, die auf nicht menschliche Identitätsprobleme zurückgeführt wurden.

GitHub-Aktionen

Ein Supply-Chain-Angriff auf GitHub Actions führte zu einer umfassenden Enthüllung von Zugangsdaten. Angreifer kompromittierten das privilegierte Konto eines Betreuers , was es ihnen ermöglichte, Paket-Tags zu ändern und Benutzer auf eine bösartige Nutzlast umzuleiten, die mithilfe öffentlich zugänglicher CI/CD-Workflows Geheimnisse von Servermitgliedern abgriff.

US-Finanzministerium

Das US-Finanzministerium erlitt eine schwere Security-Verletzung, als staatlich geförderte chinesische Hacker einen kompromittierten API-Schlüssel von BeyondTrust, einem Drittanbieter für Cybersecurity, ausnutzten, um auf Mitarbeiterarbeitsplätze und nicht klassifizierte Dokumente zuzugreifen.

AWS

Mehr als 230 Millionen Cloud-Umgebungen wurden durch die Ausnutzung unsicher gespeicherter AWS-Zugangsdaten kompromittiert. AWS-Schlüssel, API-Token und Datenbankpasswörter wurden offengelegt, was Angreifer nutzten, um ihre Rechte zu erweitern.

Die New York Times

Das GitHub-Datenleck der New York Times im Januar 2024 ereignete sich, als Angreifer ein offengelegtes GitHub-Token ausnutzten, sodass sie 270 GB internen Quellcode und IT-Dokumentation stehlen konnten, was später auf 4chan durchsickerte.

Snowflake

Vertrauliche Daten von mehr als 165 Unternehmen wurden mithilfe ungesicherter Zugangsdaten ohne Multifaktor-Authentifizierung (MFA) und Rotation der Zugangsdaten offengelegt. Gestohlene Zugangsdaten wurden verwendet, um ohne menschliches Eingreifen auf Snowflake-Konten zuzugreifen.

Dropbox

Angreifer missbrauchten ein Dienstkonto und nutzten API-Schlüssel und OAuth-Token, um in die Produktionsumgebung von Dropbox Sign einzudringen. Kundendaten, Benutzernamen und gehashte Passwörter wurden offengelegt.

Sicherung Ihrer Umgebung

In fast allen Fällen sind Verstöße gegen NHI das Ergebnis eines Versäumnisses der Benutzer, ihre Geheimnisse, Zugangsdaten oder Umgebungen ordnungsgemäß zu schützen. Die häufigsten nicht menschlichen Identitätsangriffe sind auf menschliche Fehler zurückzuführen. Dies unterstreicht die dringende Notwendigkeit von Sicherheitsmaßnahmen zum Schutz vertraulicher Informationen, unabhängig davon, wo diese gespeichert sind oder in welcher Form sie vorliegen.

Abonnieren Sie den Barracuda-Blog
Paul Dughi

Paul Dughi ist Journalist für digitalen Content sowie ein Veteran der Medienbranche. Er war Vice President Technology für eine Gruppe von Fernsehsendern und auch Geschäftsführer von sechs eigenen Fernsehsendern in Kalifornien. Zurzeit arbeitet er als CEO bei StrongerContent.com.

Verwandte Beiträge:
Navigieren im API-Release-Zyklus
Navigieren im API-Release-Zyklus
 Warum Zombie-APIs eine tickende Zeitbombe für Ihr Unternehmen sind
Warum Zombie-APIs eine tickende Zeitbombe für Ihr Unternehmen sind
 Schutz vor generativen KI-Scraper-Bots: Die Leistungsfähigkeit von Barracuda Advanced Bot Protection
Schutz vor generativen KI-Scraper-Bots: Die Leistungsfähigkeit von Barracuda Advanced Bot Protection
 Threat Spotlight: Bösartige Bots werden immer „menschlicher“
Threat Spotlight: Bösartige Bots werden immer „menschlicher“
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.