Maschinen-Identitäten: die Konten, die niemand zählt
7 Min. Lesezeit
Mit Microsoft Entra Agent ID bekommen KI-Agenten seit dem 1. Mai eigene Identitäten, mit demselben Apparat aus Zugriffsrichtlinien, Risikoerkennung und Protokollierung, den bisher Menschen und Workloads hatten. Das ist die richtige Antwort auf ein reales Problem. Es schafft aber auch eine neue Klasse von Konten im Verzeichnis, die schneller wächst als das IAM-Team sie zählt. Maschinen-Identitäten sind ab jetzt ein Posten in jedem Security-Review.
Das Wichtigste in Kürze
- Agenten werden zu Identitäten. Entra Agent ID gibt KI-Agenten erstklassige Identitäten mit Zugriffsrichtlinien, Risikoerkennung und Audit-Log, wie sie Menschen und Workloads kennen.
- Ein neues Identitätsmodell. Statt einer einzelnen App-Registrierung kommt eine dreistufige Hierarchie mit vier Objekttypen, bis hin zum Agent-User, einer benutzerähnlichen Agenten-Identität.
- Non-Human-Identities wachsen schnell. Jeder produktive Agent erzeugt mindestens eine Identität, oft mehrere. Ohne Inventar und Lifecycle entsteht ein Konten-Wildwuchs, den keine Standard-Routine erfasst.
- Der Agent-User ist der heikle Posten. Eine benutzerähnliche Identität für einen Agenten kann Zugriffsrechte sammeln. Wer Agenten-Accounts nicht wie privilegierte Konten behandelt, öffnet einen Eskalationspfad.
Verwandt:Copilot Cowork handelt allein, das SOC sieht es nicht / Selbst-Replikation: KI-Agenten von 6 auf 81 Prozent
Was ist Microsoft Entra Agent ID? Entra Agent ID ist ein Identitäts- und Sicherheits-Framework, das die Microsoft-Entra-Funktionen auf KI-Agenten ausdehnt. Agenten erhalten eigene Identitäten, über die sie sich authentifizieren, autorisieren und verwalten lassen. Sie bekommen dieselben identitätsgetriebenen Schutzmechanismen wie Nutzer und Workloads: adaptive Zugriffsrichtlinien, Risikoerkennung in Echtzeit, Lifecycle-Verwaltung und Protokollierung. Entra Agent ID ist seit dem 1. Mai 2026 allgemein verfügbar und Teil von Agent 365, das 15 US-Dollar pro Nutzer und Monat kostet oder im Bundle Microsoft 365 E7 enthalten ist.
Vom App-Registrierungs-Behelf zur echten Identität
Bis 2025 liefen KI-Agenten in der Microsoft-Welt meist über eine App-Registrierung. Ein Agent war aus Identitätssicht eine Anwendung, kein eigenständiger Akteur. Das funktionierte, solange Agenten Randerscheinungen waren. Sobald ein Unternehmen Dutzende davon produktiv betreibt, bricht das Modell. Eine App-Registrierung sagt wenig darüber, was der Agent tut, wer ihn verantwortet und welche Rechte er über die Zeit angesammelt hat.
Entra Agent ID ersetzt diesen Behelf durch ein eigenes Identitätsmodell. Statt einer einzelnen App-Registrierung kommt eine dreistufige Hierarchie mit vier Objekttypen. Das ist auf den ersten Blick mehr Komplexität, auf den zweiten Blick mehr Kontrolle, weil sich Rechte, Verantwortung und Lebenszyklus pro Agent sauber zuordnen lassen.
| Objekttyp | Funktion im Modell |
|---|---|
| Agent Identity Blueprint | Die Vorlage, aus der konkrete Agenten-Identitäten erzeugt werden |
| Blueprint Principal | Der Sicherheitsanker der Vorlage im Verzeichnis |
| Agent Identity | Die Identität des konkreten, laufenden Agenten |
| Agent User | Eine optionale benutzerähnliche Identität pro Agenten-Identität |
Quelle: Microsoft Learn zur Microsoft-Entra-Agent-ID, Stand Mai 2026.
Über den Blueprint kann ein Agent eine oder mehrere Agenten-Identitäten erzeugen, optional je eine Agent-User-Identität dazu. Das ist die Stelle, an der ein Security-Team genau hinschauen muss. Aus einer Vorlage entstehen viele Identitäten. Jede davon ist ein Konto im Verzeichnis.
Die neue Kontenklasse, die niemand zählt
Non-Human-Identities, also Identitäten ohne Mensch dahinter, sind kein neues Thema. Service-Accounts, Workload-Identitäten und API-Schlüssel begleiten Security-Teams seit Jahren. Neu ist das Tempo. Ein Service-Account wird bewusst angelegt, meist über einen Antrag. Eine Agenten-Identität entsteht, sobald jemand einen Agenten baut und produktiv schaltet.
Das verschiebt das Mengenproblem. Wo früher eine Hand voll Service-Accounts pro Abteilung stand, können nach wenigen Monaten Agenten-Betrieb Dutzende Agenten-Identitäten im Verzeichnis liegen, jede mit eigenen Rechten. Wenn der Blueprint mehrere Identitäten je Agent erzeugt und jede optional einen Agent-User bekommt, multipliziert sich die Zahl zusätzlich.
Der Befund aus der Praxis ist eindeutig: Wer kein laufendes Inventar der Agenten-Identitäten führt, verliert den Überblick innerhalb eines Quartals. Das Inventar ist keine Kür. Es ist die Voraussetzung dafür, im Vorfall überhaupt sagen zu können, welche nicht-menschlichen Konten existieren und welches davon gerade auffällig ist.
Wo der Agenten-Account zur Eskalation wird
Der heikelste der vier Objekttypen ist der Agent-User. Eine benutzerähnliche Identität für einen Agenten ist praktisch, weil der Agent damit in Systemen auftauchen kann, die auf Nutzer ausgelegt sind. Sie ist riskant aus demselben Grund. Ein Konto, das sich wie ein Nutzer verhält, kann auch Rechte sammeln wie ein Nutzer.
Das klassische Eskalationsmuster überträgt sich direkt. Ein Agent bekommt für eine erste Aufgabe Zugriff auf ein System. Für die nächste Aufgabe kommt ein zweiter Zugriff dazu, dann ein dritter. Niemand entzieht die alten Rechte, weil der Agent noch läuft. Nach einem Jahr hat die Agenten-Identität eine Rechtekombination, die niemand bewusst vergeben hat. Wird dieser Agent kompromittiert, etwa über eine manipulierte Eingabe, steht dem Angreifer die ganze angesammelte Rechtekombination offen.
Die Konsequenz ist klar: Agenten-Identitäten mit weitreichendem Zugriff gehören in dieselbe Kategorie wie privilegierte Nutzerkonten. Sie brauchen regelmäßige Rechte-Überprüfung, das Prinzip der minimalen Rechte und idealerweise eine zeitlich begrenzte Rechtevergabe statt einer dauerhaften. Entra Agent ID liefert die Werkzeuge dafür, weil Agenten dieselben Zugriffsrichtlinien bekommen wie Menschen. Die Werkzeuge greifen aber nur, wenn ein Team sie bewusst auf die Agenten-Konten anwendet.
Credential-Lifecycle für Nicht-Menschen
Ein menschliches Konto hat einen klaren Lebenszyklus. Es wird beim Eintritt angelegt, beim Rollenwechsel angepasst und beim Austritt deaktiviert. Der Austritt ist der wichtigste Moment, weil er das Konto schließt. Bei Agenten-Identitäten fehlt dieser Moment oft, weil ein Agent nicht kündigt.
Genau hier liegt die stille Lücke. Ein Agent wird für ein Projekt gebaut, das Projekt endet, der Agent läuft weiter oder bleibt zumindest im Verzeichnis. Seine Identität, seine Anmeldeinformationen und seine Rechte bleiben aktiv. Aus Sicht eines Angreifers ist eine vergessene, aber noch berechtigte Agenten-Identität ein ideales Ziel: funktionsfähig, mit Rechten ausgestattet und von niemandem beobachtet.
Der Lifecycle für Agenten-Identitäten braucht deshalb einen definierten Endpunkt. Jede Agenten-Identität gehört mit einem Ablaufdatum oder einer Review-Pflicht versehen. Eine Identität, deren zugehöriger Agent seit Monaten keine Aktivität zeigt, ist ein Kandidat für die Deaktivierung. Entra Agent ID protokolliert die Aktivität jeder Agenten-Identität, die Daten für diese Entscheidung liegen also vor. Sie müssen nur ausgewertet werden.
Was Security-Teams jetzt einplanen
Entra Agent ID ist eine Verbesserung. Es bringt Agenten in einen Apparat, der Identitäten seit Jahren ordentlich verwaltet. Der Fehler wäre, anzunehmen, dass die Verbesserung automatisch wirkt. Vier Schritte gehören in die Planung, bevor die Zahl der Agenten zweistellig wird.
Erstens das Inventar. Ein laufendes Verzeichnis aller Agenten-Identitäten, mit zugehörigem Agenten, Eigentümer und Rechteumfang. Ohne dieses Inventar ist jede weitere Maßnahme blind.
Zweitens die Privilegien-Einstufung. Agenten-Identitäten mit weitreichendem Zugriff werden wie privilegierte Konten behandelt, mit regelmäßiger Rechte-Überprüfung und minimaler Rechtevergabe.
Drittens der Lifecycle. Jede Agenten-Identität bekommt ein Ablaufdatum oder eine Review-Pflicht. Inaktive Identitäten werden deaktiviert, nicht aus Bequemlichkeit stehen gelassen.
Viertens die Detection. Das SOC braucht Regeln für anomales Verhalten von Agenten-Identitäten, etwa eine ungewöhnliche Rechteausweitung oder Aktivität außerhalb des erwarteten Musters. Die Protokolldaten dafür liefert Entra Agent ID, die Auswertung ist eine eigene Aufgabe.
Die nüchterne Einordnung: Maschinen-Identitäten sind kein Grund zur Aufregung, aber ein Grund zur Disziplin. Microsoft hat den richtigen Rahmen gebaut, in dem KI-Agenten als verwaltbare Identitäten existieren. Ob daraus ein sauber geführtes Konten-Verzeichnis wird oder ein Wildwuchs nicht-menschlicher Accounts, entscheidet das Security-Team, nicht das Produkt.
Häufige Fragen
Was ist Microsoft Entra Agent ID?
Entra Agent ID ist ein Identitäts- und Sicherheits-Framework, das die Microsoft-Entra-Funktionen auf KI-Agenten ausdehnt. Agenten bekommen eigene Identitäten mit adaptiven Zugriffsrichtlinien, Risikoerkennung, Lifecycle-Verwaltung und Protokollierung. Es ist seit dem 1. Mai 2026 allgemein verfügbar und Teil von Agent 365.
Was sind die vier Objekttypen im Identitätsmodell?
Das Modell besteht aus dem Agent Identity Blueprint als Vorlage, dem Blueprint Principal als Sicherheitsanker, der Agent Identity als Identität des laufenden Agenten und dem optionalen Agent User, einer benutzerähnlichen Identität. Über den Blueprint lassen sich eine oder mehrere Agenten-Identitäten erzeugen.
Warum sind Maschinen-Identitäten ein Security-Risiko?
Nicht weil sie grundsätzlich unsicher sind, sondern weil sie schnell und unbemerkt wachsen. Jeder produktive Agent erzeugt mindestens eine Identität. Ohne Inventar, Privilegien-Einstufung und Lifecycle entsteht ein Bestand nicht-menschlicher Konten, den keine Standard-Routine erfasst und der im Vorfall zum blinden Fleck wird.
Was ist am Agent-User besonders heikel?
Der Agent User ist eine benutzerähnliche Identität für einen Agenten. Weil sie sich wie ein Nutzerkonto verhält, kann sie auch Rechte ansammeln wie ein Nutzerkonto. Ohne regelmäßige Rechte-Überprüfung entsteht eine Rechtekombination, die niemand bewusst vergeben hat. Ein kompromittierter Agent-User öffnet dann diesen ganzen Zugriff.
Was sollten Security-Teams zuerst tun?
Ein laufendes Inventar aller Agenten-Identitäten aufsetzen, Identitäten mit weitreichendem Zugriff wie privilegierte Konten behandeln, jeder Agenten-Identität ein Ablaufdatum oder eine Review-Pflicht geben und Detection-Regeln für anomales Agenten-Verhalten im SOC ergänzen. Die Protokolldaten dafür liefert Entra Agent ID.
Lesetipps der Redaktion
- NIS2-Audit: Wo die Vendor-Liste in zwei Stunden zerbricht
- eBPF-Monitoring im Kubernetes: Detektion unsichtbarer Runtime-Vorgänge
- Detection-Engineering ohne Vendor-Lock: Wazuh-Stack 2026
Mehr aus dem MBF Media Netzwerk
- cloudmagazin: Copilot Studio wird zur Agenten-Leitstelle
- MyBusinessFuture: Microsofts KI-Bundle für 99 Dollar: Lohnt der Sprung?
- Digital Chiefs: Agent 365 ordnet die KI-Agenten, die Haftung bleibt offen
Quelle Titelbild: Pexels / Google DeepMind (px:17485706)
