Vom Compliance-Theater zur aktiven Verteidigung

Identitätsmanagement-Programme in verschiedenen Branchen basieren auf einer falschen Annahme: dass regelmäßige Zugriffsprüfungen, dokumentierte Richtlinien und einwandfreie Prüfberichte eine vertretbare Sicherheitslage gewährleisten. Das tun sie jedoch nicht.

Die Bedrohungslage hat sich grundlegend verändert. Identitäten – ob menschlich oder nicht – werden innerhalb von Millisekunden bereitgestellt, geändert und missbraucht. Zugriffsrechte verschieben sich kontinuierlich zwischen den Überprüfungszyklen. Und wenn es zu einer Sicherheitsverletzung kommt, fragen Auditoren, Aufsichtsbehörden, Prüfer, Versicherer und Prozessanwälte nicht, ob Richtlinien existierten. Sie fragen, ob diese Richtlinien in Echtzeit, zum Zeitpunkt des Vorfalls, durchgesetzt wurden.

In diesem Beitrag wird dargelegt, dass das traditionelle Modell der Identitätsverwaltung (Identity Governance and Administration, IGA), das auf jährlichen oder vierteljährlichen Überprüfungsrunden basiert, eine Lücke schafft, die wir als ‘Negligence Gap’ bezeichnen: eine sich vergrößernde Kluft zwischen dem, was in den statischen Richtlinien einer Organisation festgehalten ist, und dem, was ihre dynamischen Systeme tatsächlich tun. Bleibt diese Lücke ungelöst, stellt sie nicht nur ein Sicherheitsrisiko dar. Sie ist ein Haftungsrisiko, und für Finanzinstitute und Regierungsbehörden ist sie zudem ein vorprogrammierter Prüfungsbefund.

Die Alternative ist der Übergang zu „Active Defense Governance“ (ADG), einem Modell, bei dem Governance als kontinuierliche, automatisierte und risikobasierte Kontrollebene fungiert und nicht als periodische Bestätigungsmaßnahme. Bei effektiver Umsetzung verwandelt ADG die Identitäts-Governance von einem Kostenfaktor für die Compliance in eine operative Sicherheitsfunktion und – was entscheidend ist – in eine Quelle für eine vor Gericht stichhaltige Verteidigung.

Dieses Positionspapier soll Praktikern, Programmleitern und Führungskräften einen Rahmen bieten, um ihre IGA-Strategie zu bewerten und weiterzuentwickeln – weg von periodischen Compliance-Maßnahmen hin zu einem kontinuierlichen, vertretbaren ADG-Modell. In diesem Papier werden folgende Punkte näher erläutert:

• Warum der herkömmliche IGA-Prüfungszyklus den heutigen Risiken nicht mehr gerecht wird
• Wie die daraus resultierende Governance-Lücke rechtliche und regulatorische Risiken mit sich bringt
• Ein Rahmenkonzept für die Umsetzung von ADG – von den grundlegenden Fähigkeiten bis hin zur vollständigen Verteidigungsfähigkeit
• Kennzahlen, anhand derer Unternehmen die Wirksamkeit von ADG messen können
• Überlegungen zur Umsetzung für Organisationen in jeder Phase der Governance-Reife

Das Paradoxon des uneingewährten Prüfungsurteils

Unternehmen erzielen heutzutage regelmäßig hervorragende Ergebnisse bei SOC-2-Typ-II-Prüfungen, Bewertungen der DSGVO-Bereitschaft, DORA-Konformitätsprüfungen und CJIS-Sicherheitsaudits, nur um dann innerhalb weniger Wochen nach Erhalt dieses positiven Befunds Opfer identitätsbasierter Sicherheitsverletzungen zu werden. Das ist kein Zufall. Es ist eine strukturelle Folge der Art und Weise, wie traditionelle Compliance-Rahmenwerke gestaltet sind und wie Unternehmen darauf reagieren.

Compliance-Rahmenwerke beziehen sich naturgemäß auf einen bestimmten Zeitpunkt. Im Rahmen eines SOC-2-Mandats wird geprüft, ob während eines festgelegten Zeitraums Kontrollmaßnahmen vorhanden waren und wirksam funktionierten. Ein CJIS-Audit stellt sicher, dass die Zugangsrichtlinien für Informationen im Bereich der Strafjustiz dokumentiert sind und eingehalten werden.

Die Rahmenbedingungen unterscheiden sich zwar, haben aber dieselbe Einschränkung: einen bestimmten Zeitraum, eine Momentaufnahme der Kontrolle, nicht kontinuierlich Durchsetzung.

Finanzinstitute, die den FFIEC-Richtlinien, NYDFS Part 500 oder PCI DSS v4.0 unterliegen, sehen sich zunehmend mit Prüfern konfrontiert, die Nachweise für kontinuierliche Kontrollen verlangen und nicht nur punktuelle Bestätigungen. Bundesbehörden, die FISMA, FedRAMP oder NIST SP 800-53 unterliegen, arbeiten nach Governance-Modellen, die Kontrollen zum Zeitpunkt der Autorisierung dokumentieren; diese Dokumentation spiegelt jedoch möglicherweise nicht die operative Umsetzung zwischen den Überprüfungszyklen wider. In jedem Fall erfasst das Prüfungsrahmenwerk einen bestimmten Zeitpunkt. Die Bedrohungslage hält nicht für den Überprüfungszyklus inne.

Das Ergebnis ist das, was Fachleute zunehmend als „Paradoxon der sauberen Prüfung“ oder „Compliance-Paradoxon“ bezeichnen: Je mehr Vertrauen eine Organisation in ihre Prüfungsergebnisse setzt, desto anfälliger ist sie möglicherweise tatsächlich. Ein grünes Dashboard, das auf drei, sechs oder elf Monate alten Daten basiert, ist kein Beweis für eine wirksame Kontrolle. Es ist vielmehr ein Hinweis auf vergangen Kontrolle, und im Falle eines Sicherheitsvorfalls ist dieser Unterschied entscheidend.

Sollte Ihr Unternehmen heute Opfer eines schwerwiegenden Identitätsdiebstahls werden, würden die Ermittler nicht fragen, ob Sie über eine Governance-Richtlinie verfügen. Sie würden vielmehr fragen, ob diese Richtlinie zum Zeitpunkt des Vorfalls in Kraft war und auch durchgesetzt wurde. Lautet die Antwort “Wir überprüfen das einmal im Jahr”, sind Sie nicht nur ungeschützt. Sie sind unvertretbar.

Verfall von Prüfungen: Das versteckte Ablaufdatum jeder Überprüfung

Jede Kampagne zur Zugangsberechtigung, jede Überprüfung von Zugriffsrechten und jede Rollenbestätigung hat ein Ablaufdatum, das niemand dokumentiert. Sobald eine Kampagne abgeschlossen ist, beginnen die darin bestätigten Daten, von der Realität abzuweichen. Wir bezeichnen dies als „Audit-Verfall“.

In modernen Unternehmensumgebungen sind Identitäten und die damit verbundenen Zugriffsrechte nicht statisch. Dienstkonten werden angelegt und falsch konfiguriert. Auftragnehmer werden eingebunden, und ihre Zugriffsrechte gehen über die ursprüngliche Absicht hinaus. Mitarbeiter wechseln ihre Rollen und sammeln Berechtigungen an, die nie widerrufen wurden. Nicht-menschliche Identitäten, darunter API-Schlüssel, Maschinenkonten, Agentic AI und RPA-Bots (Robotic Process Automation), vermehren sich in der gesamten Infrastruktur bei minimaler Überwachung.

In diesem Umfeld bedeutet ein vierteljährlicher Überprüfungszyklus, dass Abweichungen bei den Zugriffsrechten bis zu neunzig Tage lang unentdeckt bleiben, bevor sie überhaupt erkannt werden können. Eine jährliche Überprüfung bedeutet bis zu einem ganzen Jahr unüberwachter Gefährdung. Die Angreifer sind sich dieser Dynamik sehr wohl bewusst. Die Verweildauer bei identitätsbasierten Angriffen wird in Wochen und Monaten gemessen, nicht in Stunden, gerade weil traditionelle Governance-Rhythmen vorhersehbare Zeitfenster für Angriffe schaffen.

Die Aufsichtsprüfung: das unzuverlässigste Instrument der Unternehmensführung

Die gängigste Form der Zugriffsprüfung in IGA-Programmen von Unternehmen ist die Bestätigung durch Vorgesetzte oder Führungskräfte: Dabei werden Führungskräfte in regelmäßigen Abständen gebeten, die Zugriffsrechte ihrer direkten Untergebenen zu überprüfen und zu bestätigen, dass diese weiterhin angemessen sind. Diese Vorgehensweise ist fest in Compliance-Rahmenwerken und den Erwartungen von Wirtschaftsprüfern verankert. Gleichzeitig ist sie eine der am wenigsten wirksamen Kontrollmaßnahmen im Instrumentarium der Identitätssicherheit.

Die strukturellen Probleme sind hinlänglich bekannt. Führungskräfte sehen sich mit riesigen Mengen an Berechtigungsdaten konfrontiert, für deren sinnvolle Auswertung ihnen jedoch der technische Kontext fehlt. Die Überprüfungen unterliegen zeitlichen Zwängen und stehen im Wettbewerb mit den Kernaufgaben des Unternehmens. Und der Weg des geringsten Widerstands – die automatische Bestätigung des bestehenden Zugriffsprofils – hat keine unmittelbaren Konsequenzen, selbst wenn dadurch Risiken fortbestehen.

Das Ergebnis ist eine durch Audits bedingte Apathie: ein erlerntes Organisationsverhalten, bei dem die Prüfer Zertifizierungskampagnen eher als administrative Pflichtübung denn als echte Risikomanagementmaßnahmen betrachten. Diese Dynamik verstärkt sich selbst. .

Gleichzeitig gehören die Prüfungsarten, bei denen am ehesten wesentliche Risiken zutage treten – darunter die Überprüfung von Rollenberechtigungen, die Überprüfung von Ausnahmen von Richtlinien, die Überprüfung des Zugriffs auf unstrukturierte Daten sowie die Prüfung nicht-menschlicher Identitäten –, zu den am seltensten durchgeführten. Diese Prüfungen erfordern Fachwissen und Eigenverantwortung, die in auf Vorgesetzte ausgerichteten Modellen nicht berücksichtigt werden.

Wenn Unternehmensführung zum Problem wird

In den vergangenen zwei Jahrzehnten hatte eine unzureichende Identitätsverwaltung vor allem operative Folgen: Sicherheitsverletzungen, Datenverluste und Reputationsschäden. Die rechtlichen und regulatorischen Risiken waren zwar real, wurden jedoch häufig durch Abhilfemaßnahmen und Vergleichsvereinbarungen geregelt.

Diese Sichtweise ändert sich derzeit. Die Offenlegungspflichten der SEC schreiben nun eine zeitnahe und genaue Meldung wesentlicher Cybersicherheitsvorfälle vor, und die Aufsichtsbehörden prüfen aktiv, ob Organisationen bei ihren Sicherheitspraktiken angemessene Sorgfalt walten ließen – und nicht nur, ob sie eine Checkliste abgehakt haben. DORA, das für alle Finanzinstitute in der EU gilt, legt explizite Anforderungen an das Risikomanagement und die Reaktion auf Vorfälle im Bereich der Informations- und Kommunikationstechnologie (IKT) fest, die sich auch auf den Zugriff Dritter und Identitätskontrollen erstrecken. Die Anforderungen der CJIS-Sicherheitsrichtlinien für den Zugriff auf strafrechtliche Informationen sind streng und nicht verhandelbar, wobei Verstöße gegen die Zugriffskontrolle schwerwiegende Konsequenzen auf Bundesebene nach sich ziehen. Bei Finanzinstituten und Regierungsbehörden konzentrieren sich die Prüfer zunehmend darauf, ob die Kontrollen kontinuierlich funktionieren, und nicht nur darauf, ob sie zum Zeitpunkt der letzten Prüfung vorhanden waren.

In diesem Umfeld wird bei einer Klage oder einem behördlichen Verfahren nach einem Sicherheitsvorfall nicht berücksichtigt, ob eine Organisation über ein Governance-Programm verfügte. Stattdessen wird im Mittelpunkt stehen, ob dieses Programm zum Zeitpunkt des Vorfalls funktionsfähig war und durchgesetzt wurde. Im Rahmen der Beweisaufnahme werden Zugriffsprotokolle, Zertifizierungsunterlagen, Genehmigungen von Ausnahmen und Nachweise für die Durchsetzung von Richtlinien angefordert. Die Frage wird nicht philosophischer Natur sein. Sie wird sich auf die Beweisführung beziehen.

Eine Organisation, die lediglich jährliche Zertifizierungsnachweise vorlegen kann, aber keine Belege für eine kontinuierliche Überwachung, hat die Einhaltung der Vorschriften nicht nachgewiesen. Sie hat vielmehr die Diskrepanz zwischen ihren dokumentierten Richtlinien und ihrem tatsächlichen Sicherheitsstatus aufgezeigt – und dies im denkbar schädlichsten Kontext.

Die Definition der Fahrlässigkeitslücke

Die „Negligence Gap“ ist die sich vergrößernde Kluft zwischen dem, was in den statischen Richtlinien einer Organisation steht, und dem, was ihre dynamischen Identitätssysteme zwischen den Überprüfungszyklen tatsächlich tun. Es handelt sich dabei nicht um ein theoretisches Risiko, sondern um ein dokumentiertes Risiko, das mit jedem Tag, der zwischen den Governance-Maßnahmen verstreicht, zunimmt.

Diese Kluft hat mehrere Ursachen:

Erstens: Zugriffsdrift: die Anhäufung von Berechtigungen, Rollenzuweisungen (einschließlich veralteter Rollendefinitionen) und der Erteilung von Berechtigungen, die zwischen den Überprüfungszeiträumen stattfindet, ohne dass dies zu Maßnahmen seitens der Unternehmensführung führt.

Zweitens: Erkennungsverzögerung: die Zeit, die zwischen dem Auftreten einer Zugriffsanomalie und dem Zeitpunkt vergeht, zu dem das Unternehmen im Rahmen seines Governance-Prozesses davon Kenntnis erlangt.

Drittens: Verzögerung bei der Behebung: die Zeitspanne zwischen der Erkennung und der tatsächlichen Sperrung oder Behebung eines regelwidrigen Zugriffs.

Im Falle einer Sicherheitsverletzung ist die „Negligence Gap“ der Bereich, in dem die Haftung liegt. Die Anwälte der Kläger und die Aufsichtsbehörden werden diesen Zeitraum anhand der Zeit bemessen: Wie lange bestand der kompromittierte Zugriff, wann hätte er entdeckt werden müssen und was hätte ein angemessenes Governance-Programm anders gehandhabt?.

Nicht-menschliche Identitäten: die ungeprüfte Angriffsfläche

Der Identitätsbereich hat sich weit über menschliche Nutzer hinaus ausgeweitet. Dienstkonten, API-Token, Maschinenidentitäten, RPA-Bots und KI-Agenten machen mittlerweile in den meisten Unternehmensumgebungen einen erheblichen Anteil der gesamten Identitäten aus. Diese nicht-menschlichen Identitäten agieren oft mit erweiterten Berechtigungen, tauchen selten in Überprüfungsmaßnahmen durch Administratoren auf und verfügen über Zugriffsbereiche, die sich organisch weiterentwickeln, wenn sich Systeme und Integrationen ändern.

Aus Sicht eines Angreifers stellen nicht-menschliche Identitäten ein äußerst attraktives Ziel dar: hohe Zugriffsrechte, geringe Sichtbarkeit und eine lange Verweildauer, bevor sie entdeckt werden. Aus rechtlicher Sicht werfen kompromittierte Dienstkonten, die als Vektoren für die laterale Bewegung genutzt werden, die Frage auf, ob Unternehmen eine wirksame Kontrolle über alle Arten von Identitäten ausgeübt haben – nicht nur über diejenigen, die im Organigramm aufgeführt sind.

Governance-Programme, die keine aktive Überwachung und Durchsetzung von Richtlinien für nicht-menschliche Identitäten nachweisen können, weisen einen strukturellen blinden Fleck auf, dessen sich Regulierungsbehörden, Prozessanwälte und Gegner zunehmend bewusst werden.

Der philosophische Wandel

Active Defense Governance (ADG) stellt eine grundlegende Neuausrichtung der Konzeption und Umsetzung von Identitätsmanagement dar. Das traditionelle Modell fragt: Wer hat Zugriff? Das ADG-Modell fragt: Warum hat diese Identität gerade jetzt diesen Zugriff, und steht dieser Zugriff im Einklang mit den aktuellen Richtlinien und der aktuellen Risikosituation?

Dies ist nicht nur eine philosophische Unterscheidung. Sie spiegelt einen strukturellen Wandel wider, wie Governance innerhalb der Sicherheitsoperationsumgebung funktioniert. Im traditionellen Modell ist Governance eine periodische Funktion, eine Kampagne, die läuft, abgeschlossen wird und dann auf ihre Wiederaufnahme wartet. Im ADG-Modell ist Governance ein kontinuierlicher Telemetrie-Strom: Jedes Zugriffsereignis, jede Bereitstellungsmaßnahme und jede Änderung von Berechtigungen wird in Echtzeit anhand der Richtlinien bewertet, wobei automatisierte Reaktionsfunktionen zum Einsatz kommen, die keine manuellen Überprüfungszyklen erfordern, um wirksam zu werden.

Die formelle Zertifizierungskampagne für den Zugriff verschwindet in diesem Modell nicht. Sie wird lediglich neu definiert. Anstatt als primärer Kontrollmechanismus zu fungieren, dienen regelmäßige Zertifizierungen als Bestätigung und Bescheinigung dessen, was durch die kontinuierliche Überwachung bereits erkannt, verwaltet und dokumentiert wurde. Die Kampagne validiert das System und die Richtlinien. Sie ist nicht mehr das System.

Kernkompetenzen eines ADG-Programms

Ein wirksames Programm zur Steuerung der aktiven Verteidigung stützt sich auf mehrere miteinander verknüpfte Fähigkeiten:

• Kontinuierliche Zugriffsüberwachung mit Richtlinienauswertung in Echtzeit, wodurch statische Überprüfungszyklen durch ereignisgesteuerte Governance-Auslöser ersetzt werden
• Risikobasierte Priorisierung der Zertifizierung, bei der der Aufwand für die manuelle Überprüfung auf die Berechtigungen und Identitäten mit dem höchsten Risiko konzentriert wird, anstatt ihn gleichmäßig auf alle Zugriffsrechte zu verteilen
• Just-in-Time-Zugriffsgewährung (JIT), bei der der Zugriff für einen definierten Zeitraum gewährt wird, sofern das Risiko dies rechtfertigt, und bei der diese Gewährung an einen nachgewiesenen Bedarf und nicht an einen dauerhaften Anspruch geknüpft ist
• Identitätsmanagement für nicht-menschliche Akteure, bei dem für Dienstkonten, API-Zugangsdaten, KI, RPA-Bots und Maschinenidentitäten dieselben Verfahren zur kontinuierlichen Überwachung und Durchsetzung von Richtlinien gelten wie für menschliche Benutzer
• Messung der Zeit bis zur Sperrung (Time-to-Revocation, TTR), bei der die verstrichene Zeit zwischen einem Identitätswechsel und der Sperrung des betroffenen Zugriffs als primäre Sicherheitskennzahl erfasst wird

Automatisierte, revisionssichere Protokollierung, die lückenlose, manipulationssichere Aufzeichnungen über Zugriffsentscheidungen, Richtlinienauswertungen und Governance-Maßnahmen erstellt, die für behördliche oder rechtliche Überprüfungen sofort verfügbar sind

Just-in-Time-Governance und Zero-Trust-Ausrichtung

Die Just-in-Time-Zugriffssteuerung behebt eine der hartnäckigsten strukturellen Schwachstellen herkömmlicher IGA: dauerhafte Zugriffsrechte. In den meisten Unternehmensumgebungen werden Zugriffsrechte einmalig vergeben und bleiben dann bestehen, bis sie ausdrücklich widerrufen werden, was in der Praxis oft bedeutet, dass der Zugriff auf unbestimmte Zeit bestehen bleibt. Dauerhafte Zugriffsrechte sind ein wesentlicher Faktor für laterale Bewegungen und die Ausweitung von Berechtigungen bei identitätsbasierten Angriffen.

Die JIT-Governance kehrt dieses Modell für Zugriffsanfragen mit hohem Risiko um, nicht jedoch für alltägliche Ressourcen wie E-Mails. Anstatt alle Berechtigungen so lange als dauerhaft zu betrachten, bis sie widerrufen werden, wendet sie zeitlich begrenzte, anhand von Richtlinien bewertete Zugriffsgewährungen dort an, wo ein dauerhafter Zugriff das größte Risiko darstellt. Jedes Ereignis mit erhöhten oder sensiblen Zugriffsrechten wird zu einer Governance-Entscheidung und nicht zu einem Relikt aus der Vergangenheit. Das Ziel besteht nicht darin, bei jeder Zugriffsanfrage Reibungsverluste zu verursachen, sondern sicherzustellen, dass der Zugriff dort, wo das Risiko dies rechtfertigt, bewusst, zeitlich begrenzt und an einen nachgewiesenen Bedarf geknüpft ist – anstatt eines dauerhaften Zugriffs, der nur deshalb fortbesteht, weil er in der Vergangenheit gewährt wurde.

Dieser Ansatz steht in direktem Einklang mit den Prinzipien der Zero-Trust-Architektur, insbesondere mit der Anforderung einer kontinuierlichen Überprüfung und der Durchsetzung des Prinzips der geringsten Berechtigungen. Zudem erzeugt er Governance-Artefakte, die im regulatorischen oder rechtlichen Kontext am besten zu verteidigen sind: Diese Artefakte sind mit einem Zeitstempel versehen, mit Richtlinien verknüpft, automatisiert und zeigen, was die Governance-Funktion einer Organisation in der Praxis leistet, anstatt nur theoretische Ziele zu verfolgen. Wenn Ermittler fragen, warum eine bestimmte Identität zu einem bestimmten Zeitpunkt Zugriff auf eine bestimmte Ressource hatte, liefert ein JIT-Governance-Modell eine präzise, dokumentierte Antwort.

Kennzahlen, die die tatsächliche Sicherheitslage widerspiegeln

Governance-Programme wurden in der Vergangenheit anhand der Abschlussquote von Kampagnen gemessen: dem Prozentsatz der innerhalb eines festgelegten Zeitraums zertifizierten Überprüfungen. Diese Kennzahl steht fast völlig losgelöst von den tatsächlichen Sicherheitsergebnissen. Eine Abschlussquote von hundert Prozent, die durch reine Abhak-Genehmigungen erreicht wird, ist ein Beleg für administrative Compliance, nicht für Risikomanagement.

Ein ADG-Programm erfordert einen anderen Satz von Kennzahlen, der sich an der tatsächlichen Sicherheitslage und der rechtlichen Absicherung orientiert. Zu den wichtigsten zu berücksichtigenden Kennzahlen gehören:

• Rate der Richtlinienumsetzung (fortlaufend), die die Kampagnenabschlussrate als primären Kontrollindikator ersetzt
• Echtzeit-Anomalieerkennungsrate, gemessen als Prozentsatz der innerhalb definierter SLA-Fenster erkannten Zugriffsanomalien
• Time-to-Revocation (TTR): Erfassung der verstrichenen Zeit vom Auslösen eines Identitätsereignisses bis zum Entzug des Zugriffs
• Erfassung nicht-menschlicher Identitäten, gemessen als prozentualer Anteil der nicht-menschlichen Identitäten, die aktiv verwaltet werden
• Verbreitung von JIT-Zugriffen: Erfassung des prozentualen Anteils privilegierter Zugriffe, die über JIT-Mechanismen gewährt werden, im Vergleich zu fest zugewiesenen Berechtigungen
• Überprüfung der Vollständigkeit der Prüfungsnachweise, wobei die Verfügbarkeit und Integrität der fortlaufenden Governance-Protokolle für einen bestimmten Zeitraum gemessen wird

Die Zeit bis zum Widerruf als Kennzahl auf Vorstandsebene

Die „Time-to-Revocation“ (TTR) verdient besondere Beachtung, da sie direkt das Zeitfenster misst, das einem Angreifer nach einem auslösenden Identitätsereignis zur Verfügung steht – sei es eine Kündigung, eine Rollenänderung, die Erkennung einer Anomalie oder ein Verstoß gegen Richtlinien.

Unternehmen mit ausgereiften Fähigkeiten zur kontinuierlichen Governance messen die TTR in Minuten. Unternehmen, die sich auf periodische Überprüfungszyklen verlassen, messen sie in Tagen, Wochen oder – bei Zugriffstypen, die nicht von Standardkampagnen abgedeckt sind – möglicherweise auf unbestimmte Zeit (sofern sie sie überhaupt messen). Dieser Unterschied ist keine Nuance. Es ist der Unterschied zwischen einem Identitätsangriff, der eingedämmt wird, und einem, der zu einer erheblichen Sicherheitsverletzung führt. Für Finanzinstitute und Regierungsbehörden ist dieser Unterschied über das Security Operations Center hinaus von Bedeutung. Prüfer erwarten zunehmend eine präzise, dokumentierte Antwort darauf, wie schnell der Zugriff nach einem auslösenden Ereignis widerrufen wurde, und nicht einen Verweis auf den nächsten Zertifizierungszyklus.

Die TTR ist zudem eine der aussagekräftigsten Kennzahlen für die Berichterstattung an die Unternehmensleitung, da sie technische Governance-Fähigkeiten in konkrete Ergebnisse zur Risikominderung umsetzt. Ein Unternehmen, das nach einem Sicherheitsvorfall eine durchschnittliche TTR von unter fünfzehn Minuten nachweisen kann, vermittelt damit aussagekräftige Informationen über seine Sicherheitslage – etwas, das eine Kampagnenabschlussrate nicht vermitteln kann.

Das Reifekontinuum

Der Übergang von einer Compliance-orientierten IGA zu ADG ist kein einmaliger Schritt. Es handelt sich um einen Reifeprozess, den die meisten Unternehmen schrittweise angehen werden, wobei sie mit den Identitätskategorien mit dem höchsten Risiko beginnen und den Anwendungsbereich im Laufe der Zeit ausweiten.

Ein praxisorientiertes Reifegradmodell für die Einführung von ADG durchläuft vier Phasen:

• Phase 1 | Grundlagen: Zentralisierte Bestandsaufnahme der Identitäten, einheitliche Workflows für die Bereitstellung und Entziehung von Zugriffsrechten sowie Kampagnen zur Zertifizierung von Basiszugriffen. Diese Phase ist die Voraussetzung für alle nachfolgenden Schritte.
• Phase 2 | Risikobewusst: Einführung einer Risikobewertung für Identitäten und Berechtigungen, Priorisierung der Prüfungsmaßnahmen auf der Grundlage der Risikogewichtung sowie erste Implementierung von Funktionen zur Erkennung von Anomalien.
• Stufe 3 | Kontinuierlich: Echtzeit-Richtlinienbewertung, ereignisgesteuerte Governance-Auslöser, TTR-Messung und Integration in Tools für den Sicherheitsbetrieb. Dies ist der ADG-Schwellenwert.
• Stufe 4 | Absicherbar: JIT-Zugriffssteuerung dort, wo dauerhafte Zugriffsrechte das größte Risiko darstellen, lückenlose Erfassung nicht-menschlicher Identitäten, kontinuierliche Protokollierung in Audit-Qualität und Automatisierung der behördlichen Berichterstattung. Diese Stufe steht für eine auf Rechtsstreitigkeiten vorbereitete Haltung.

KI als Kraftverstärker für eine kontinuierliche Regierungsführung

Angesichts der Vielzahl von Zugriffsereignissen, Berechtigungsänderungen und Identitätsinteraktionen in einem modernen Unternehmen ist eine manuelle, kontinuierliche Governance betrieblich nicht mehr durchführbar. KI-gestützte Analysen sind keine optionale Erweiterung eines ADG-Programms. Sie sind eine architektonische Voraussetzung.

Bei effektiver Nutzung können KI-Funktionen innerhalb einer IGA-Plattform verschiedene Aufgaben übernehmen, die für manuelle Überprüfungsprozesse praktisch nicht realisierbar sind. Verhaltensanalysen können für jede Identität typische Zugriffsmuster ermitteln und Abweichungen kennzeichnen, die eine Überprüfung der Richtlinien rechtfertigen. Modelle des maschinellen Lernens können das Risikogewicht einzelner Berechtigungen und Zugriffskombinationen bewerten und dabei gefährliche Berechtigungskombinationen identifizieren, die bei der Überprüfung von Standardrollen übersehen werden. Die Verarbeitung natürlicher Sprache kann Richtliniendokumente interpretieren und Berechtigungen der beabsichtigten Richtliniensituation zuordnen, wodurch eine automatisierte Compliance-Bewertung anstelle einer manuellen Interpretation ermöglicht wird.

Entscheidend ist, dass KI-gestützte Zugangsentscheidungen auf überprüfbaren Risikobewertungen und dokumentierten Verknüpfungen zu Richtlinien beruhen müssen und nicht lediglich auf Modellausgaben. Das im rechtlichen oder regulatorischen Kontext relevante Governance-Element ist nicht die Tatsache, dass eine KI eine Entscheidung getroffen hat. Es ist vielmehr, dass die Entscheidung gemäß einem dokumentierten, überprüfbaren Richtlinienbewertungsprozess getroffen wurde, wobei die Risikogrunde zum Zeitpunkt der Entscheidung festgehalten wurden.

Die Neudefinition der Unternehmensführung als Sicherheitsfunktion

Die vielleicht größte Herausforderung bei der Umstellung auf ADG ist eher organisatorischer als technischer Natur. Herkömmliche IGA-Programme sind häufig in den Bereichen Compliance, HR-Technologie oder IT-Betrieb angesiedelt. ADG setzt voraus, dass Identity Governance als zentrale Sicherheitsfunktion behandelt und in den Sicherheitsbetrieb, die Reaktion auf Vorfälle sowie die Bedrohungsanalyse integriert wird.

Die Neupositionierung von ADG in diesem Zusammenhang hat praktische Auswirkungen. Governance-Kennzahlen müssen in der Berichterstattung zum Sicherheitsbetrieb erscheinen, nicht nur in Compliance-Dashboards. Governance-Anomalien müssen in SIEM- und SOAR-Workflows einfließen. Und die Governance-Führung muss einen direkten Draht zur Sicherheitsführung haben, nicht eine Berichtslinie, die über Compliance- oder Audit-Funktionen vermittelt wird.

Diese Umstellung erfordert auch eine Änderung der Art und Weise, wie Investitionen in die Governance bewertet werden. Ausgaben für eine Infrastruktur zur kontinuierlichen Governance sind keine Compliance-Kosten. Es handelt sich vielmehr um eine Sicherheitsinvestition, die zu einer messbaren Risikominderung führt und sich direkt auf die Prämien für Cyberversicherungen, die Einhaltung gesetzlicher Vorschriften und die Position in Rechtsstreitigkeiten auswirkt.

Das zentrale Argument dieses Beitrags lautet nicht, dass Compliance irrelevant sei. Rahmenwerke wie SOC 2, DORA und die CJIS-Sicherheitsrichtlinie erfüllen wichtige Funktionen: Sie legen grundlegende Erwartungen fest, bieten eine Struktur für Audits und schaffen Mechanismen zur Rechenschaftspflicht. Das Argument lautet vielmehr, dass Compliance, wie sie derzeit von den meisten Organisationen praktiziert wird, unzureichend ist und dass diese Unzulänglichkeit nicht mehr nur ein Sicherheitsrisiko darstellt. Es handelt sich vielmehr um ein rechtliches und ein Reputationsrisiko.

Die Bedrohungslage im Bereich der Identitätssicherheit hat sich so weit entwickelt, dass jedes Governance-Programm, das keine kontinuierliche, durch Richtlinien durchgesetzte Zugriffskontrolle in Echtzeit nachweisen kann, mit einem strukturellen Risiko operiert. Regelmäßige Überprüfungen können nach wie vor eine Rolle spielen, etwa als Nachweis und Bestätigung kontinuierlicher Kontrollen, als Mechanismus zur Verfeinerung von Richtlinien und als regulatorische Anforderung. Sie können jedoch nicht die primäre Kontrollmaßnahme sein. Risiken warten nicht auf Überprüfungszyklen.

Unternehmen, die auf ADG umsteigen, schaffen damit mehr als nur ein effektiveres Sicherheitsprogramm. Sie etablieren eine Governance-Strategie, die in den entscheidenden Situationen Bestand hat: bei behördlichen Untersuchungen, bei Gesprächen im Vorstand, bei Untersuchungen nach Sicherheitsverletzungen und, falls es dazu kommen sollte, vor Gericht.

Die Frage ist nicht, ob Ihr Unternehmen über eine Governance-Richtlinie verfügt. Die Frage ist, ob Sie nachweisen können, dass diese Richtlinie in entscheidenden Momenten funktioniert hat und auch heute noch funktioniert.

Über diesen Artikel

Dieses Positionspapier wurde von den Experten für Identitäts-Governance und -Verwaltung bei RSA erarbeitet. Es soll Praktikern, Programmleitern und Führungskräften einen Rahmen bieten, um ihre Identitäts-Governance-Strategie zu bewerten und weiterzuentwickeln – weg von periodischen Compliance-Maßnahmen hin zu einem kontinuierlichen, vertretbaren Modell der „Active Defense Governance“.