Analyse Digitale Identitäten für KI-Agenten Identitätsmanagement

Wenn der Akteur keine Person mehr ist: KI-Agenten und das Scheitern des menschzentrierten IAM

Mai 6, 2026

Identity and Access Management war stets auf einen impliziten Grundbegriff gebaut: den menschlichen Nutzer als erkennbares, abgrenzbares Subjekt. KI-Agenten, die rund um die Uhr, probabilistisch und systemübergreifend operieren, lösen diesen Grundbegriff strukturell auf — und enthüllen dabei, wie wenig die bestehende Identitätsinfrastruktur für eine agentische Welt gerüstet ist.

Identity and Access Management hat jahrzehntelang auf einer anthropozentrischen Prämisse beruht, die so selbstverständlich war, dass sie kaum je explizit formuliert wurde: Ein Identitätssystem identifiziert Personen. Es authentifiziert einen Nutzer, weist ihm eine Rolle zu, begrenzt den Zugriff auf eine Session — und setzt dabei durchgängig voraus, dass der Akteur hinter der Anfrage ein Mensch ist, der vorhersehbar, regelgebunden und zeitlich diskret handelt. Diese Prämisse trägt nicht mehr.

Ein neuer Bericht der Analysten von KuppingerCole, im Auftrag von Ping Identity erstellt und unter dem Titel „From AI Agents to Trusted Digital Workers” veröffentlicht, bringt den Befund auf den Punkt: Agenten werden schneller in Produktionsumgebungen eingesetzt, als Unternehmen in der Lage sind, sie zu steuern. Die Lücke, die dabei entsteht, ist keine temporäre Implementierungsschwäche — sie ist struktureller Natur. Traditionelle IAM-Frameworks gehen von Anwendungen mit deterministischem Verhalten aus. KI-Agenten agieren probabilistisch, über Systemgrenzen hinweg, ohne klar definierte Sessions, ohne stabile Rollenzuweisungen, und — entscheidend — kontinuierlich. Sie schlafen nicht. Sie loggen sich nicht aus.

Diese drei Eigenschaften — Dauerbetrieb, Probabilismus, Grenzüberschreitung — genügen, um sämtliche Grundannahmen klassischer IAM-Architekturen zu unterlaufen. Das Authentifizierungsereignis setzt einen Beginn voraus; der Agent kennt keinen natürlichen Anfang. Die Rollenlogik setzt vorhersehbare Handlungsmuster voraus; der Agent plant, adaptiert und reagiert auf veränderte Eingaben zur Laufzeit. Die Sessionlogik setzt ein Ende voraus; der Agent akkumuliert Berechtigungen über seinen intendierten Einsatzzeitraum hinaus — was die Cloud Security Alliance als „Retirement Debt” bezeichnet: stille Altlasten im Berechtigungssystem, die wachsen, bis sie zur strukturellen Gefährdung werden.

Die empirische Lage ist ernüchternd. Daten der Cloud Security Alliance zeigen, dass 82 Prozent der Unternehmen unbekannte KI-Agenten in ihrer IT-Infrastruktur betreiben. Fast zwei Drittel haben in den zurückliegenden zwölf Monaten agentenbedingte Sicherheitsvorfälle erlebt. Das Paradoxe: 68 Prozent der Befragten geben an, hohe Konfidenz in die Sichtbarkeit ihrer Agenten zu haben. Die Diskrepanz zwischen subjektiver Überzeugung und objektiver Dunkelziffer ist keine Frage mangelnder Technologie — sie ist ein Hinweis auf eine systemische Wahrnehmungsverzerrung. Man glaubt zu sehen, was man nicht sieht, weil die Mess- und Governanceinstrumente noch an der Welt von gestern ausgerichtet sind.

Wie gravierend die Geschwindigkeitsdifferenz zwischen agentischen Bedrohungen und menschlichen Reaktionszeiten ist, illustriert ein konkreter Vorfall vom 31. März 2026: Ein nordkoreanischer Supply-Chain-Angriff, der über gestohlene npm-Credentials des primären Axios-Maintainers ausgeführt wurde, verbreitete sich so schnell, dass die erste Infektion bereits 89 Sekunden nach der Veröffentlichung des manipulierten Pakets beobachtet wurde. Kein manueller Workflow hätte reagieren können. Die Antwort auf agentische Bedrohungen kann nur maschinell sein — was die Frage aufwirft, wer oder was eigentlich noch kontrolliert, wenn Angriff und Abwehr gleichermaßen autonom operieren.

Die Anbieterseite reagiert mit einem breiten Spektrum an Lösungsansätzen, die in ihrer Summe das Ausmaß des Problems anzeigen. Zero Trust auf der Transaktionsschicht, Intent-basierte Berechtigungsmodelle, agentenspezifische Orchestrierung, cryptographisch signierte Consent-Token, die mit jeder Agentenhandlung mitgeführt werden — und schließlich, im kuriosen Fall von Identity Digital, die Idee einer Art Geburtsschein für KI-Agenten: ein DNSid-Konzept, das DNS, PKI und Blockchain kombiniert, um die Verantwortlichkeit für einen Agenten zuordenbar zu machen. Der Geburtsschein, so die Analogie, öffnet kein Bankkonto und passiert keine Grenzkontrolle — aber er ist Voraussetzung dafür, die dafür notwendigen Nachweise überhaupt zu erlangen.

Diese Metapher ist analytisch aufschlussreich. Sie benennt, was fehlt: nicht primär eine bessere Authentifizierungstechnologie, sondern eine zivile Infrastruktur der Identität für nicht-menschliche Akteure. Was Menschen selbstverständlich durch institutionelle Einbettung erhalten — Geburtsurkunde, Personalausweis, Steuernummer, Berufslizenz — muss für Agenten erst erfunden werden. Die Frage ist nicht nur technischer, sondern institutioneller und rechtlicher Natur: Wer ist Subjekt einer Agentenidentität? Ist es der Mensch, in dessen Auftrag der Agent handelt? Die Organisation, die ihn deployt? Oder entsteht mit dem Agenten ein neuer Identitätstyp, der weder mit natürlichen noch mit juristischen Personen deckungsgleich ist?

Aus der Perspektive der Identitätswirtschaft liegt die eigentliche Sprengkraft des Problems hier. IAM war bislang eine Infrastrukturfrage: Wie schützt man den Zugang zu Systemen? Mit der Agentifizierung wird es zur Konstitutionsfrage: Welche Entitäten sind überhaupt identitätsfähig, wer trägt Verantwortung für ihre Handlungen, und welche Institutionen müssen diese Zuordnungen verbürgen? Die Identitätsinfrastruktur der Gegenwart — einschließlich des EUDI-Wallets, der SSI-Architekturen und der nationalen eID-Systeme — ist auf menschliche Träger ausgelegt. Sie setzt voraus, dass Identität an biologische Kontinuität, an Willenserklärungen und an rechtliche Handlungsfähigkeit gebunden ist.

Agenten haben keine davon. Sie können im Auftrag handeln, aber ohne eigene Rechtspersönlichkeit. Sie können Entscheidungen treffen, aber ohne eigene Verantwortlichkeit. Sie können Zugriff erlangen, aber ohne eigene Interessen. In Luhmanns Begriffen: Das IAM-System produziert Entscheidungen (Zugang gewährt/verweigert) auf Basis einer Leitunterscheidung (authentifiziert/nicht authentifiziert). Agenten destabilisieren diese Unterscheidung, weil Entscheidungsträger und Identitätsträger auseinanderfallen — die Entscheidung wird vom Agenten getroffen, die Identität gehört dem menschlichen Prinzipal.

Was das für die praktische Identitätspolitik bedeutet, ist noch weitgehend offen. Die technischen Lösungen, die der Markt gerade hervorbringt, adressieren das Symptom: unkontrollierte Agentenberechtigungen, unbekannte Laufzeitidentitäten, fehlende Governance-Sichtbarkeit. Die strukturelle Frage — wer Subjekt von Identität sein darf und wer dafür institutionell einsteht — bleibt vorerst unbeantwortet. Es ist eine Frage, die die Identitätswirtschaft nicht an die Technikbranche delegieren kann.

Ralf Keuper 

Quellen:

Ähnliche Beiträge:

  1. KI-Agenten und die Zukunft der Sicherheit: Identität als neuer Perimeter
  2. Warum herkömmliche Zugangssysteme an agentischer KI scheitern
  3. Die Machine Economy: Wie Europa die Kontrolle über KI-Agenten und die Identifizierung verliert
  4. Das Agent Identity Protocol: Protokoll sucht Institution

Ähnliche Beiträge

Digitale Identitäten für KI-Agenten Künstliche Intelligenz

Wer handelt hier eigentlich? Multi-Existence Identity und die Fragmentierung des Identitätssubjekts

Mai 11, 2026 Ralf Keuper
Analyse Digitale Identitäten für KI-Agenten

Wer darf Regeln setzen? Der institutionell situierte Agent und die Governance-Architektur von NEXIS

Mai 5, 2026 Ralf Keuper
Analyse

Vom Schaufenster zur Dauerbaustelle: Digitale Identität zwischen Förderlogik und Institutionalisierung

Mai 4, 2026 Ralf Keuper