Non-Human Identities: Die meist unterschätzte Angriffsfläche

Written byBryce SimononJuni 5, 2025- Last updated onDezember 9, 2025

Mit der wachsenden Komplexität moderner IT-Landschaften hat sich der Identitätsbegriff längst von klassischen Benutzerkonten entfernt. Systeme, Anwendungen, Cloud-Dienste und zahlreiche weitere Softwarekomponenten greifen auf sensible Ressourcen zu und interagieren miteinander. Diese nicht-menschlichen Akteure – sogenannte Non-Human Identities (NHIs) – sind inzwischen entscheidend für den täglichen Betrieb vieler Organisationen.

Aus meiner Zeit als Penetration Tester weiß ich: Fehlkonfigurierte oder öffentlich einsehbare Machine Identities gehörten zu den effektivsten Einstiegspunkten, um ersten Zugriff zu erlangen oder meine Position innerhalb der geprüften Umgebungen zu festigen.

Ihr Wesen, ihre Risiken und die notwendigen Best Practices für ein wirksames Management zu verstehen, ist heute ein zentraler Baustein robuster Cybersicherheit.

Non human identities

Was versteht man unter einer Non-Human Identity?

Eine NHI bezeichnet jede digitale Entität, die sich authentifizieren und autorisieren muss, um auf Ressourcen zuzugreifen – ohne selbst ein menschlicher Nutzer zu sein. Dieser Begriff umfasst eine breite Palette von Komponenten, darunter:

· Service Accounts: Von Anwendungen oder Diensten genutzt, um mit dem Betriebssystem, Datenbanken oder anderen Applikationen zu interagieren.

· API-Schlüssel: Ermöglichen Anwendungen die Kommunikation untereinander – komplett ohne menschliches Zutun.

· Secrets und Zertifikate: Dienen der Authentifizierung und Verschlüsselung.

· Cloud Workloads: Virtuelle Maschinen, Container oder serverlose Funktionen in der Cloud.

· Bots und automatisierte Skripte: Führen wiederkehrende Aufgaben aus oder interagieren mit Systemen. (Vielleicht nutzen Sie selbst eines für Slack- oder Discord-Nachrichten.)

· IoT-Geräte: Sensoren, Kameras und andere vernetzte Geräte, die Daten austauschen und kommunizieren.

Wenn über NHIs gesprochen wird, richtet sich der Blick oft schnell auf API Keys oder JWT-Tokens. Diese Mechanismen sind heute weit verbreitet und bilden die Grundlage sicherer Kommunikation zwischen Diensten. Doch NHIs können viele Formen annehmen: klassische Benutzername-/Passwort-Kombinationen, Zertifikate, Maschinen-Tokens und vieles mehr.

Wichtig ist auch zu berücksichtigen, dass menschliche Benutzer indirekt über NHIs handeln. Nutzt jemand etwa eine Web-Anwendung, die im Hintergrund API-Requests ausführt, dann interagiert das System nicht mit der Person selbst, sondern mit einer nicht-menschlichen Identität – beispielsweise einem Service Account oder einem Systemtoken –, auch wenn die Aktion vom Menschen ausgelöst wurde.

Und manchmal – weil Menschen eben Menschen sind – werden Service-Account-Credentials direkt durch Personen verwendet. Ein bekanntes, bequemes Schlupfloch, das mit minimalem Aufwand weitreichende Privilegien eröffnet.

Warum stellen NHIs ein zentrales Sicherheitsrisiko dar?

Die rapide Zunahme nicht-menschlicher Identitäten macht die Sicherheitslandschaft deutlich komplexer. Mehrere Faktoren verstärken diese Herausforderung:

· Menge und Vielfalt: NHIs übertreffen menschliche Benutzerzahlen oft um ein Vielfaches. Sie treten in unterschiedlichsten Formen auf – Microservices, Bots, Cronjobs, Cloud Functions usw. – was ihre Erfassung und einheitliche Governance erheblich erschwert.

· Fehlende Transparenz: Im Gegensatz zu normalen Benutzerkonten sind NHIs häufig nicht dokumentiert oder tief in Infrastrukturlayern verborgen. Fehlende Verantwortlichkeiten und unzureichendes Lifecycle-Management führen zu gefährlichen Blindspots – sowohl in der Security-Telemetrie als auch in Incident-Response-Prozessen.

· Komplexes Berechtigungsmanagement: Rechte zu vergeben oder zu entziehen ist bei NHIs besonders anspruchsvoll. Ohne strikte Governance sammeln sie schnell überhöhte, veraltete oder nicht mehr benötigte Privilegien an – ein ideales Szenario für laterale Bewegungen oder Privilegieneskalation.

· Default-Privilegien & Overprovisioning: NHIs werden häufig mit Standard- oder geerbten Berechtigungen erstellt – oft basierend auf den Rechten des Benutzers oder Systems, das sie generiert hat. Beispiel: Wird ein Personal Access Token in GitHub oder GitLab erstellt, erhält es standardmäßig sehr breite Berechtigungsscope – sofern sie nicht manuell eingeschränkt werden. Da es kaum automatisierte Mechanismen gibt, diese Rechte zu reduzieren oder korrekt zu dimensionieren, entsteht schnell dauerhafte Überexponierung.

· Ungenügende Rotation von Secrets: NHIs basieren auf Credentials wie API Keys, Tokens oder Zertifikaten. Diese werden häufig hartcodiert, selten oder gar nicht rotiert – oder schlicht vergessen. Das macht Systeme besonders anfällig für langfristige Kompromittierungen.

· Begrenztes Monitoring: Die Aktivitäten von NHIs werden selten umfassend überwacht. Oft gibt es weder Echtzeit-Transparenz noch verhaltensbasierte Analysen. Da NHIs im Hintergrund „leise“ arbeiten, lösen sie kaum Alarme aus und erscheinen kaum in klassischen Security-Dashboards. Das schafft einen gefährlichen blinden Fleck, in dem Fehlkonfigurationen oder bösartige Aktivitäten lange unentdeckt bleiben können.

· Attraktive Ziele für Angreifer: Aufgrund ihres breiten und oft privilegierten Zugriffs sind NHIs besonders wertvoll für Angreifer. Wer eine solche Identität kompromittiert, erhält häufig unkontrollierten, schwer erkennbaren Zugang – perfekt für laterale Bewegung oder Datenexfiltration.

Ironischerweise werden viele dieser Probleme erst sichtbar, wenn ein Penetrationstest oder ein externer Audit durchgeführt wird. Plötzlich stehen dem CISO und dem Security-Management kritische Lücken vor Augen. Diese reaktive Entdeckung zeigt ein grundlegendes Problem: Organisationen wissen häufig nicht, wie exponiert ihre NHI-Landschaft tatsächlich ist – bis jemand aktiv versucht, sie zu kompromittieren. Und selbst dann bleiben Security- und IT-Teams oft unsicher, wie sie wirksam reagieren sollen.

Um das Ausmaß noch greifbarer zu machen, lohnt sich ein Blick auf reale Zahlen. Die folgenden Daten stammen aus GitGuardians Report „The State of the Secret Sprawl 2025“.

Im Jahr 2024 entdeckte GitGuardian unglaubliche 23,8 Millionen geleakte Secrets in öffentlichen GitHub-Repositories – ein Anstieg von 25 Prozent gegenüber dem Vorjahr. Besonders alarmierend ist, dass 4,6 Prozent aller öffentlichen und sogar 35 Prozent aller privaten Repositories mindestens ein offengelegtes Secret enthielten. Private Repos werden häufig weniger streng behandelt, was auf ein trügerisches Sicherheitsgefühl zurückzuführen ist.

Noch besorgniserregender ist die Langlebigkeit dieser Leaks: 70 Prozent der 2022 kompromittierten Secrets waren auch 2024 noch aktiv, was auf erhebliche Defizite bei der Bereinigung und Verwaltung hindeutet.

Unter den in öffentlichen Repositories offengelegten Zugangsdaten waren MongoDB-Credentials mit 18,8 Prozent am häufigsten vertreten. In privaten Repositories tauchten hingegen AWS-IAM-Schlüssel in 8 Prozent der Fälle auf – fünfmal häufiger als in öffentlichen Projekten.

Diese anhaltende Problematik wird vor allem durch den Einsatz langfristig gültiger Credentials, durch fehlende Ablauf- und Rotationsrichtlinien sowie durch das Fehlen automatisierter Prozesse für die Rotation und den Entzug von Secrets begünstigt.

Risiken im Zusammenhang mit Non-Human Identities (OWASP Top 10 NHI)

Das OWASP (Open Web Application Security Project) hat kürzlich eine eigene Top-10-Liste der größten Risiken im Umgang mit Non-Human Identities veröffentlicht – ein deutlicher Hinweis darauf, wie relevant dieses Thema inzwischen für die IT-Sicherheit geworden ist. Dazu zählen:

1. Unzureichende Inventarisierung und Verwaltung von NHIs: Fehlende Sichtbarkeit und fehlende Kontrolle über vorhandene nicht-menschliche Identitäten.

2. Hartcodierte Secrets: API-Schlüssel, Passwörter oder Zertifikate, die direkt im Code oder in Konfigurationsdateien hinterlegt sind.

3. Kompromittiertes Secrets-Management: Unsichere Speicherung oder mangelnde Rotation von Secrets.

4. Übermäßige Berechtigungen: NHIs erhalten weiterreichende Rechte, als für ihre eigentliche Funktion nötig wäre.

5. Fehlende starke Authentifizierung und Autorisierung: Einsatz schwacher Authentifizierungsmechanismen oder fehlende, robuste Berechtigungsrichtlinien.

6. Unzureichendes Monitoring und Auditing: Mangelnde Nachverfolgung der NHI-Aktivität, wodurch auffälliges Verhalten unerkannt bleibt.

7. Unsichere Bereitstellung und Aufhebung von NHIs: Schwache Prozesse beim Erstellen oder Löschen von Identitäten, was verwaiste Zugänge hinterlassen kann.

8. Missbräuchliche Nutzung von NHIs: Kompromittierte NHIs werden von Angreifern genutzt, um unerlaubte Aktionen auszuführen.

9. Schwachstellen in NHI-Managementplattformen: Sicherheitslücken in Tools oder Systemen, die NHIs verwalten sollen.

10. Fehlendes Lifecycle-Management: Keine klaren Richtlinien für Erstellung, Nutzung, Entzug oder Löschung von NHIs.

Ich empfehle jedem, der sich tiefer mit dem Thema beschäftigen möchte, diese Liste sowie die weiterführenden Artikel auf der OWASP-Website als Einstieg zu lesen.

Best Practices für den Umgang mit Non-Human Identities

Um die wachsenden Sicherheitsrisiken rund um NHIs wirksam zu kontrollieren, benötigen Unternehmen einen proaktiven, strukturierten und am gesamten Lebenszyklus orientierten Ansatz. Das bedeutet: NHI-Governance muss fester Bestandteil aller Identity- und Access-Management-Prozesse sein.

Sensibilisierung und Schulungen

Wenn es um die Absicherung von NHIs geht, ist mein erster Impuls immer derselbe: Teams müssen verstehen, warum NHI-Sicherheit so wichtig ist und welche Best Practices gelten. Gamifizierte Formate wie kleine Capture-the-Flag-Challenges, bei denen NHIs bewusst missbraucht werden können (Grüße an das Terraform-Projekt-Repository), sind oft besonders wirksam, um Risiken greifbar zu machen.

Umfassende Discovery und Inventarisierung

Wie bei menschlichen Benutzerprivilegien beginnt der Prozess damit, alle NHIs in der gesamten Infrastruktur zu identifizieren und ihre jeweiligen Rechte zu überprüfen. Spezialisierte Tools unterstützen dabei, Service Accounts, Token und weitere Machine Identities automatisiert sowohl in Cloud- als auch in On-Prem-Umgebungen aufzuspüren.

Zentralisiertes Secrets Management

API-Schlüssel, Tokens und Zertifikate sollten konsequent über sichere Vault-Lösungen verwaltet werden – etwa WALLIX Bastion oder OpenBao Vault. Solche Plattformen bieten Verschlüsselung, granulare Zugriffskontrolle sowie Audit-Logging für alle hinterlegten Secrets und bilden damit die Grundlage eines sicheren NHI-Ökosystems.

Prinzip der minimalen Rechtevergabe

NHIs sollten stets nur die Berechtigungen erhalten, die sie tatsächlich benötigen – eigentlich selbstverständlich, aber in der Praxis lohnt es sich, diese Regel immer wieder zu betonen. Dazu gehören robuste Authentifizierungsmechanismen und granular definierte Autorisierungsrichtlinien:

1. Regelmäßige Rotation von Secrets ist zentral, um langfristig gültige Zugangsdaten zu vermeiden. Plattformen wie OpenBAO oder WALLIX Vault unterstützen automatisierte Rotationsrichtlinien, sodass Credentials ohne manuellen Aufwand regelmäßig erneuert werden.

2. Ebenso wichtig sind eine kontinuierliche Überwachung und Protokollierung aller NHI-Aktivitäten, um Anomalien früh zu erkennen.

3. Ergänzend sollten Unternehmen die Provisionierung und Deprovisionierung von NHIs automatisieren, um unverwaltete Zugänge zu vermeiden. Die meisten CI/CD-Systeme ermöglichen inzwischen die Lifecycle-Automatisierung durch Vault-Integrationen, Funktionen, Plugins – oder ein wenig Kreativität.

4. Ein weiterer zentraler Schritt ist die Einführung eines klar definierten NHI-Lebenszyklus: von der Erstellung über die Nutzung bis zur Entfernung. Diese Vorgaben sollten ausdrücklich in der IT-Sicherheitsrichtlinie festgehalten und allen Mitarbeitenden zugänglich gemacht werden. Viele Vault-Lösungen bieten zudem Lifecycle-Hooks und Metadaten-Tagging, um Eigentümerschaft, Zweck und Ablaufdaten sauber zu dokumentieren.

5. Regelmäßige, NHI-spezifische Sicherheitsbewertungen runden das Ganze ab. Sicherheitsprüfungen sollten sich nicht nur auf einzelne Anwendungen oder die Gesamtlandschaft konzentrieren, sondern gezielt NHIs einbeziehen. Dazu gehört etwa, die Berechtigungsumfänge von GitHub- oder GitLab-Tokens zu testen, die Entwickler erstellen – diese sind standardmäßig häufig überberechtigt und werden selten rotiert.

Hardwarebasierte Sicherheit

Für Non-Human Identities lohnt sich zudem der Einsatz hardwarebasierter Sicherheitsmechanismen wie TPM 2.0. Trusted Platform Modules speichern kryptografische Schlüssel sicher, unterstützen Secure Boot und ermöglichen Device Attestation. So lässt sich sicherstellen, dass nur vertrauenswürdige NHIs Zugang zu sensiblen Systemen oder Daten erhalten. Das stärkt die Bindung zwischen Identität und Gerät und schützt vor Manipulationen auf Hardware-Ebene – ein wesentlicher Baustein für starke Authentifizierung und Autorisierung.

Fazit

Non-Human Identities (NHIs) sind heute ein tragendes Fundament moderner digitaler Ökosysteme. Sie ermöglichen Automatisierung, Skalierbarkeit und nahtlose Integrationen über Plattformen hinweg.

Doch mit ihrer wachsenden Verbreitung steigt auch das Risiko. Und dabei haben wir das explosive Zusammenspiel von NHIs und KI noch nicht einmal angesprochen – etwa, wenn der KI-Assistent in VS-Code plötzlich Zugriff auf den gesamten Quellcode erhält, inklusive sämtlicher hinterlegter NHIs…

Die sichere Verwaltung von NHIs ist längst kein optionaler Zusatz mehr, sondern ein strategisches Muss, um kritische Systeme und Daten zu schützen – und ein weiterer unverzichtbarer Punkt auf jeder Security Roadmap.

Wer die besonderen Herausforderungen von NHIs erkennt und eine robuste Governance etabliert, kann aus einer potenziellen Schwachstelle sogar eine Stärke machen. Proaktive Erkennung, konsequente Least-Privilege-Modelle, klar definierte Lebenszyklen und kontinuierliches Monitoring sind dabei nicht nur Best Practices – sie sind essenzielle Verteidigungsmaßnahmen in der heutigen Bedrohungslandschaft.

In die Sicherheit von NHIs zu investieren bedeutet, in die Widerstandsfähigkeit, Vertrauenswürdigkeit und Zukunftsfähigkeit der digitalen Infrastruktur von morgen zu investieren.

Related resources

Dezember 9, 2025

READ MORE

Webinar - 2. IT-Sicherheit Summit

WEBINARS
READ MORE

Webinar - Speed-Webkonferenz Zero Trust/IAM

WEBINARS
READ MORE

Webinar - OT-Security Summit

WEBINARS

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Non-Human Identities: Die meist unterschätzte Angriffsfläche

Was versteht man unter einer Non-Human Identity?

Warum stellen NHIs ein zentrales Sicherheitsrisiko dar?

Risiken im Zusammenhang mit Non-Human Identities (OWASP Top 10 NHI)

Best Practices für den Umgang mit Non-Human Identities

Fazit

Web Session Manager – PAM-Schutz auf Webanwendungen ausweiten

Industrie 4.0: Schutz kritischer IT-/OT-Infrastrukturen

Was ist Zero Trust?

Externen und Remote-Zugriff absichern: Herausforderungen und Best Practices

Identity and Access Management: Ein umfassender Leitfaden

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS

Non-Human Identities: Die meist unterschätzte Angriffsfläche

Was versteht man unter einer Non-Human Identity?

Warum stellen NHIs ein zentrales Sicherheitsrisiko dar?

Risiken im Zusammenhang mit Non-Human Identities (OWASP Top 10 NHI)

Best Practices für den Umgang mit Non-Human Identities

Fazit

Share this entry

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS