GitGuardian NHI Governance: Machine-Identitäten endlich zentral überwachen

Die Sicherheit von Mitarbeiteridentitäten hat in vielen Unternehmen in den letzten Jahren deutliche Fortschritte gemacht. Von der flächendeckenden Einführung der Zwei-Faktor-Authentifizierung bis hin zur präzisen Verwaltung von Zugriffsrechten – die Fortschritte sind sichtbar. Doch während sich IT-Teams auf die Absicherung menschlicher Identitäten konzentrieren, entsteht eine neue Sicherheitslücke, die oft unterschätzt wird: die unkontrollierte Ausbreitung von Maschinenidentitäten.

Das unsichtbare Risiko: Maschinenidentitäten im Schatten

Laut aktuellen Sicherheitsanalysen entfallen auf jede von Ihnen verwaltete Mitarbeiteridentität im Durchschnitt mehrere hundert Maschinenidentitäten – API-Schlüssel, Service-Accounts oder Bot-Tokens, die ohne zentrale Kontrolle agieren. Diese Anmeldedaten verteilen sich oft über verschiedene Teams und Tools, werden selten aktualisiert und sind selbst nach dem Ausscheiden von Mitarbeitern noch aktiv. Besonders kritisch wird es, wenn sensible Zugriffsdaten wie AWS-Anmeldedaten gestohlen werden: Studien zeigen, dass Angreifer diese bereits innerhalb von 17 Minuten für gezielte Angriffe missbrauchen – schneller, als ein Kaffeepausenbesuch dauert.

Die Herausforderung liegt nicht nur in der schieren Menge dieser Identitäten, sondern auch in der fehlenden Transparenz. Viele dieser Anmeldedaten existieren in Secrets-Managern, die einzelne Teams unabhängig voneinander eingeführt haben. Andere verstecken sich in SaaS-Plattformen, die der Sicherheitsteam möglicherweise gar nicht kennt. Die Folge: Eine wachsende Anzahl aktiver, aber unkontrollierter Zugriffsmöglichkeiten – laut jüngstem GitGuardian-Bericht sind noch immer 70 % der im Jahr 2022 geleakten Anmeldedaten weiterhin aktiv.

Warum herkömmliche IAM-Lösungen versagen

Traditionelle Identity-and-Access-Management-Systeme (IAM) waren für eine andere Ära konzipiert – eine Zeit, in der sich Zugriffsrechte auf menschliche Nutzer wie „Bob aus der Buchhaltung“ beschränkten. Heute hingegen basiert die Infrastruktur auf Hunderten von Service-Accounts, automatisierten Datenpipelines und KI-Agenten, die mit privilegierten Anmeldedaten agieren. Diese neuen Identitätsformen folgen anderen Regeln:

• Verstreute Verwaltung: Unterschiedliche Teams nutzen unterschiedliche Secrets-Manager wie HashiCorp Vault, AWS Secrets Manager oder CyberArk – eine zentrale Übersicht fehlt.

• Überzogene Berechtigungen: Anmeldedaten werden oft mit zu vielen Rechten ausgestattet, weil „wir räumen das später auf“.

• Fehlende Rotation: Niemand weiß genau, welche Dienste von einer Rotation der Anmeldedaten betroffen wären, also bleibt alles unverändert.

• SaaS-Blindstellen: Tools wie Airbyte, Datadog oder Snowflake beherbergen sensible Anmeldedaten, die traditionelle IAM-Systeme nicht erfassen.

Die Konsequenz? Eine Infrastruktur, in der kritische Zugriffspfade im Dunkeln liegen – bis ein Vorfall eintritt.

GitGuardians neue NHI Governance: Transparenz durch Integration

Um diese Lücken zu schließen, hat GitGuardian sein Portfolio um die NHI Governance (Non-Human Identity Governance) erweitert. Die Lösung aggregiert alle Maschinenidentitäten über eine zentrale Oberfläche und bewertet deren Risiko automatisch nach den Kriterien der OWASP-Top-10-Liste für Nicht-Menschliche Identitäten. Im Ernstfall ermöglicht sie sogar die sofortige Sperrung gefährdeter Anmeldedaten.

Vollständige Abdeckung: Von Cloud bis KI

Die Integration erstreckt sich über die gesamte IT-Landschaft:

#### Secrets-Manager als Fundament

• Unternehmenslösungen: HashiCorp Vault, CyberArk (sowohl Cloud- als auch On-Premise-Versionen), Akeyless und Delinea Secret Server.

• Cloud-native Dienste: AWS Secrets Manager, Azure Key Vault und Google Cloud Secret Manager.

Ein eigens entwickelter Agent namens ggscout sammelt Metadaten – ohne dabei die eigentlichen Geheimnisse zu berühren. Alle gesammelten Daten werden lokal gehasht, bevor sie das System verlassen, um zusätzliche Sicherheitsrisiken zu vermeiden.

#### Infrastruktur und Automatisierung

• Kubernetes-Umgebungen: Service-Accounts und Secrets in Containern, die notorisch schwer zu überwachen sind.

• CI/CD-Pipelines: Anmeldedaten in GitLab CI, die oft hohe Berechtigungen haben und selten rotiert werden.

#### Cloud-IAM mit Kontext

Hier geht es nicht nur um die Existenz von Anmeldedaten, sondern um ihr tatsächliches Risikopotenzial:

• Microsoft Entra ID: Erfassung aller Nutzer, Service-Principals, verwalteten Identitäten und Sicherheitsgruppen – inklusive detaillierter Berechtigungsanalyse.

• AWS IAM: Übersicht über Nutzer, Rollen und Gruppen mit vollständiger Policy-Analyse.

Beide Dienste nutzen OIDC-Authentifizierung, um den Einsatz langlebiger Anmeldedaten innerhalb der Plattform selbst zu vermeiden.

Der kritische Blind Spot: SaaS-Plattformen

Traditionelle IAM-Systeme stoßen hier an ihre Grenzen – dabei beherbergen genau diese Plattformen oft die sensibelsten Daten:

• KI-Dienste: API-Schlüssel für Plattformen wie Anthropic oder OpenAI vermehren sich rasant, sobald Teams neue KI-Features entwickeln.

• Workflow-Tools: Systeme wie n8n oder Airbyte agieren als „Rohrleitungen“ der Infrastruktur und benötigen weitreichende Zugriffsrechte.

• Beobachtungstools: Datadog oder ähnliche Dienste haben Zugriff auf die gesamte Infrastruktur – ein Kompromittierungsrisiko mit verheerenden Folgen.

• Datenplattformen: Snowflake oder ähnliche Lösungen beherbergen Kundendaten – Service-Accounts mit Zugriff müssen streng kontrolliert werden.

• Identitätsanbieter: Selbst Okta oder Auth0 nutzen Service-Accounts, die zu den mächtigsten Identitäten in der gesamten Umgebung gehören.

• Artefakt-Repositories: JFrog oder vergleichbare Dienste verwalten Zugriffe auf Software-Pakete – kritisch für die Lieferkettensicherheit.

• Business-Intelligence: Tools wie Metabase greifen auf große Datenmengen zu und benötigen daher eine strenge Governance.

GitGuardians NHI Governance listet alle diese Identitäten auf und priorisiert sie nach Risikostufe – etwa nach der Frage, ob eine bestimmte API mit Admin-Rechten auf die gesamte AWS-Umgebung zugreifen kann.

Praktischer Nutzen: Von der Übersicht zur Handlung

Eine reine Inventarisierung der Anmeldedaten ist sinnlos, wenn sie nicht zu konkreten Maßnahmen führt. GitGuardians Lösung geht einen Schritt weiter:

• Risikobewertung in Echtzeit: Automatische Identifikation und Priorisierung kritischer Zugriffspfade.

• Sofortige Sperrung: Bei einem Vorfall kann ein gefährdeter API-Schlüssel mit einem Klick deaktiviert werden.

• Einheitliche Steuerung: Alle Maschinenidentitäten werden über eine zentrale Oberfläche verwaltet – ohne Wechsel zwischen verschiedenen Tools.

• Compliance-Unterstützung: Automatisierte Dokumentation für Audits und Sicherheitszertifizierungen.

Die neue Lösung adressiert damit nicht nur ein technisches Problem, sondern auch eine organisatorische Herausforderung: Während menschliche Identitäten oft klar definiert und kontrolliert sind, wachsen Maschinenidentitäten in vielen Unternehmen unkontrolliert – fast wie ein unsichtbares Ökosystem im Hintergrund. Mit einer zentralen Governance-Strategie lässt sich dieses Risiko jedoch deutlich reduzieren – und das Potenzial für Sicherheitsvorfälle von vornherein minimieren.

In einer Zeit, in der Cyberangriffe immer ausgefeilter werden, ist es entscheidend, auch die unsichtbaren Teile der Infrastruktur zu schützen. Maschinenidentitäten sind kein Nischenthema mehr, sondern ein zentraler Baustein der IT-Sicherheit – und verdienen daher die gleiche Aufmerksamkeit wie die Absicherung menschlicher Nutzer.