Schlagwort: IAM

KI-Agenten im Identity & Access Management: Warum IAM neu gedacht werden muss

Vom Effizienzhebel zum prüfungsrelevanten Kontrollobjekt

Identity & Access Management ist geprägt von klaren Regeln: Wer ist die Person? Welche Rolle hat sie? Welche Berechtigungen sind angemessen? Wer genehmigt, wer rezertifiziert, wer entzieht Zugriff?

Mit KI-Agenten verändert sich diese Logik. Denn KI-Agenten sind nicht nur weitere Tools im IAM-Werkzeugkasten. Sie sind digitale Entitäten, die Zusammenhänge verstehen, Entscheidungen eigenständig vorbereiten, Prozesse anstoßen und innerhalb bestimmter Grenzen autonom handeln können. Damit entstehen neue Möglichkeiten für effizientere Governance, schnellere Kontrollen und bessere Risikoerkennung. Dem gegenüber stehen allerdings auch neue Fragen und damit Herausforderungen:

  • Welche Identität hat ein KI-Agent?
  • Welche Berechtigungen sind im Sinne des Need-To-Know- und Least-Privilege-Prinzips angemessen?
  • Wer ist verantwortlich, wenn ein Agent falsche Entscheidungen trifft oder überprivilegiert agiert (Ownership)?

Gerade im regulierten Umfeld – etwa bei Finanzdienstleistern, kritischen Infrastrukturen oder börsennahen Unternehmen – wird diese Entwicklung nicht nur ein technisches Thema sein. Sie wird zu einem Thema für IT Audit, interne Kontrollsysteme, Datenschutz, Informationssicherheit und regulatorische Compliance.

Was sind KI-Agenten?

KI-Agenten sind softwarebasierte Systeme, die auf Basis eines Ziels eigenständig oder teilautonom Aufgaben ausführen. Im Unterschied zu klassischen Automatisierungen folgen sie nicht ausschließlich festen Wenn-Dann-Regeln. Sie können Informationen aus verschiedenen Quellen auswerten, Handlungsoptionen ableiten, Entscheidungen vorschlagen oder Aktionen über angebundene Systeme ausführen.

Ein einfacher Chatbot beantwortet eine Frage. Ein KI-Agent kann darüber hinaus beispielsweise prüfen, ob ein Benutzer Zugriff auf ein System benötigt, verfügbare Richtlinien interpretieren, Risiken bewerten, eine Genehmigung vorbereiten, ein Ticket aktualisieren und im nächsten Schritt eine Berechtigung über ein IAM- oder ITSM-System provisionieren.

Damit bewegen sich KI-Agenten an der Schnittstelle zwischen Identität, Autorisierung, Automatisierung und Kontrolle. Genau deshalb sind sie für das Identity & Access Management so relevant.

Einsatzmöglichkeiten von KI-Agenten im IAM

Der Einsatz von KI im IAM ist nicht völlig neu. Machine Learning wird bereits heute in Identity-Governance-Lösungen genutzt, etwa zur Erkennung ungewöhnlicher Zugriffsmuster, zur Unterstützung von Access Reviews oder zur Empfehlung von  Berechtigungen. Viele moderne Identity-Governance-Lösungen nutzen KI-gestützte Funktionen bereits heute für risikobasierte Genehmigungen, Lifecycle Workflows, Access Certifications und Access-Risk-Erkennung.

KI-Agenten gehen jedoch einen Schritt weiter: Sie können IAM-Prozesse nicht nur analysieren, sondern aktiv orchestrieren.

Übersicht über Einsatzmöglichkeiten von KI-Agenten im Identity & Access Management, darunter Access Requests, Rezertifizierung, Joiner-Mover-Leaver-Prozesse, Privileged Access Management und Non-Human Identities.

Aus diesen Einsatzmöglichkeiten wird deutlich: KI-Agenten können IAM-Prozesse nicht nur beschleunigen, sondern auch qualitativ verändern. Sie schaffen mehr Kontext, ermöglichen risikoorientiertere Entscheidungen und können operative Entlastung bringen. Gleichzeitig greifen sie in hochsensible Prozesse ein (insbesondere im Joiner-Mover-Leaver-Prozess und im Privileged Access Management (PAM)). Genau deshalb muss der mögliche Nutzen den potenziellen Risiken gegenübergestellt und ein durchdachter, konsistenter Governance-Ansatz erarbeitet werden.

Gegenüberstellung von Nutzen und Risiken von KI-Agenten im IAM, mit Vorteilen wie Entscheidungsqualität, Risikoorientierung und Auditierbarkeit sowie Risiken wie Überprivilegierung, Black Box, Prompt Injection und Datenschutz.

Bedeutung und praktische Leitplanken für Unternehmen und prüfungsnahe Beratung

Für IT Audit verändert sich die Perspektive. KI-Agenten im IAM sind nicht nur Hilfsmittel zur Prüfung. Sie werden selbst zum Prüfungsgegenstand. Unternehmen sollten KI-Agenten im IAM daher nicht isoliert als Automatisierungsprojekt behandeln. Sinnvoll ist ein strukturierter Governance-Ansatz:

  1. Use Cases klassifizieren: Welche IAM-Prozesse sollen KI-gestützt werden? Welche Entscheidungen betreffen natürliche Personen, kritische Systeme oder regulatorisch relevante Kontrollen?
  2. Agenten als Identitäten behandeln: Jeder KI-Agent benötigt eine eindeutige Identität, einen Owner, definierte Berechtigungen, Lifecycle-Prozesse und Rezertifizierung.
  3. Human-in-the-Loop definieren: Kritische IAM-Entscheidungen sollten nicht unkontrolliert vollautomatisiert werden. Der Mensch muss dort eingebunden bleiben, wo Risiko, regulatorische Relevanz oder Grundrechtsbezug hoch sind.
  4. Logging und Evidence by Design umsetzen: Jede Empfehlung und jede Aktion des Agenten sollte prüfbar dokumentiert werden – inklusive Datenbasis, Entscheidungslogik, Genehmiger, Zeitpunkt und Ergebnis.
  5. Funktionstrennung, auch Segregation of Duties (SoD) und Least Privilege erweitern: Klassische SoD-Regeln müssen um Agentenaktivitäten ergänzt werden. Ein Agent darf nicht gleichzeitig Risiko erkennen, Zugriff genehmigen und Kontrolle abschließend bestätigen.
  6. Modellrisiken überwachen: Halluzinationen, Drift, Bias, Fehlklassifikationen und Manipulationsversuche müssen in das Kontroll- und Monitoringkonzept aufgenommen werden.
  7. Regulatorische Bewertung dokumentieren: Für jeden relevanten KI-IAM-Use-Case sollte nachvollziehbar dokumentiert werden, ob und warum der EU AI Act einschlägig ist, ob ein Hochrisiko-System vorliegt und welche Pflichten daraus abgeleitet wurden. Dabei sind Anforderungen wie Risikomanagement, Datenqualität, technische Dokumentation, Logging, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersecurity zu berücksichtigen.

Fazit: IAM wird agentenfähig, aber nur mit Governance

KI-Agenten werden das Identity & Access Management nachhaltig verändern. Sie können Berechtigungsprozesse beschleunigen, Reviews verbessern, Risiken früher erkennen und komplexe IAM-Landschaften beherrschbarer machen. Besonders in SAP-nahen und regulierten Umgebungen liegt hier erhebliches Potenzial.

Gleichzeitig verschiebt sich der Fokus: IAM muss künftig nicht nur menschliche Benutzer, technische Accounts und privilegierte Zugriffe steuern, sondern auch autonome oder teilautonome digitale Akteure. KI-Agenten brauchen Identitäten, Berechtigungskonzepte, Kontrollmechanismen und Audit Trails.

Für IT Audit und Regulatorik ist die Konsequenz klar: KI im IAM darf nicht als Black Box betrieben werden. Wer KI-Agenten einsetzt, muss erklären können, was sie tun, warum sie es tun, mit welchen Rechten sie handeln und wie ihre Ergebnisse kontrolliert werden.

Die zentrale Frage lautet daher nicht, ob KI-Agenten im IAM kommen. Sie sind bereits auf dem Weg. Die entscheidende Frage ist, ob Unternehmen sie kontrolliert, nachvollziehbar und regulatorisch belastbar einsetzen.

Ancarix Consulting
Responsible by Design

Weitere Artikel zu anderen spannenden Themenbereichen finden sie auf unserer Website:

zu weiteren Blogbeiträgen
zu unseren Projektreferenzen

DORA-konformes Berechtigungsmanagement: Kritisch-wichtige Funktionen brauchen ein starkes, prozessorientiertes IAM

DORA verändert nicht nur die Anforderungen an die digitale operationelle Resilienz von Banken. Die Verordnung verändert auch den Blick auf das Berechtigungsmanagement. Denn dort, wo kritische oder wichtige Funktionen betroffen sind, reicht ein formal sauberes Rollenmodell allein nicht mehr aus.

Institute müssen heute deutlich präziser beantworten können: Welche Berechtigungen unterstützen kritische oder wichtige Funktionen, warum sind diese erforderlich und wie werden sie wirksam kontrolliert (DORA Art. 21 RTS RMF). Genau an dieser Stelle wird Identity und Access Management zu einem strategischen Steuerungsinstrument.

Kritische oder wichtige Funktionen: Warum DORA das Thema Berechtigungen aufwertet

Kritische oder wichtige Funktionen stehen unter DORA im Fokus der Risikobetrachtung. Fällt eine solche Funktion aus oder ist sie nur eingeschränkt verfügbar, kann das erhebliche Auswirkungen auf die Servicekontinuität, die regulatorische Compliance oder die Stabilität des Instituts haben.

Für das IAM bedeutet das einen Perspektivwechsel. Berechtigungen sind nicht mehr nur technische Zugriffe auf Systeme. Sie sind ein wesentlicher Teil der operativen Absicherung kritischer Abläufe. Sie entscheiden darüber, wer sensible Prozessschritte ausführen, freigeben, ändern oder im Notfall stabilisieren darf.

Damit wird deutlich: Wer DORA wirksam umsetzen will, muss Berechtigungen stärker an den tatsächlich unterstützten Geschäftsprozessen ausrichten, insbesondere dort, wo kritische oder wichtige Funktionen betroffen sind.

Die Realität in vielen Banken: Solides IAM, aber oft ohne klare Prozessverknüpfung

Viele Banken bringen grundsätzlich gute Voraussetzungen mit. Themen wie Funktionstrennung, Rezertifizierung, privilegierte Berechtigungen und Kontrollnachweise sind seit Jahren etabliert. Auch regulatorische Anforderungen aus BAIT, MaRisk und prüfungsnaher Beratung haben in vielen Häusern zu einem belastbaren Grundgerüst geführt.

Trotzdem zeigt sich in der Praxis häufig ein wiederkehrendes Muster: Das Berechtigungsmanagement ist technisch und organisatorisch oft solide aufgesetzt, aber nicht durchgängig mit den tatsächlich kritischen oder wichtigen Prozessen verknüpft.

Typische Fragen bleiben deshalb offen:

  1. Welche Rechte sind für einen kritischen Prozessschritt wirklich erforderlich?
  2. Welche Rollen sind historisch gewachsen und enthalten mehr Berechtigungen als notwendig?
  3. Und an welchen Stellen fehlt die nachvollziehbare Verbindung zwischen Prozess, Anwendung, Rolle und Einzelrecht?

Genau hier entsteht unter DORA Handlungsbedarf.

Was Banken mit der Identifikation solcher Berechtigungen tatsächlich erreichen

Die Identifikation von Berechtigungen zur Unterstützung kritischer oder wichtiger Prozesse ist weit mehr als eine regulatorische Pflichtübung. Sie schafft die Grundlage für ein risikoorientiertes und belastbares Berechtigungsmanagement.

Institute profitieren dabei in mehrfacher Hinsicht:

  • Erhöhung der Transparenz über besonders sensible Zugriffe.
  • Verbesserung der Nachweisfähigkeit gegenüber Aufsicht, Revision und externen Prüfern.
  • Stärkung der operationellen Resilienz in Störungs- und Notfallsituationen.
  • Reduzierung unnötiger Berechtigungen, die sich über Jahre in Rollenmodellen angesammelt haben.

Vor allem aber entsteht eine klare Steuerungslogik: Rechte werden nicht mehr nur aus organisatorischen Zuständigkeiten oder bestehenden Rollenprofilen abgeleitet, sondern aus den tatsächlichen Anforderungen kritischer oder wichtiger Prozessschritte.

Der entscheidende Erfolgsfaktor: Berechtigungskonzepte mit Prozessmanagement verknüpfen

In vielen DORA-Initiativen wird zu früh auf Rollenmodelle, Rezertifizierungen oder Tooling geschaut. Der wirksamere Ansatz beginnt an einer anderen Stelle: im Prozessmanagement.

Zunächst muss belastbar feststehen, welche Funktionen als kritisch oder wichtig eingestuft wurden. Darauf aufbauend werden diese Funktionen in End-to-End-Prozesse, Teilprozesse und konkrete Aktivitäten übersetzt. Erst dann lässt sich sauber ableiten, welche Anwendungen, Rollen und Berechtigungen diese Abläufe tatsächlich unterstützen.

Genau diese Verbindung ist entscheidend. Denn nur wenn Berechtigungskonzepte mit der Prozessarchitektur verknüpft sind, entsteht eine nachvollziehbare Traceability, von der kritischen Funktion bis hin zum einzelnen Recht.

In der Praxis scheitert die Verknüpfung von kritischen oder wichtigen Funktionen, Prozessen und Berechtigungen jedoch häufig nicht an der Methodik, sondern an unklaren Verantwortlichkeiten.

Typische Symptome sind:

  • Fachbereiche definieren Prozesse, ohne die IAM-Perspektive mitzudenken
  • IAM modelliert Rollen, ohne die tatsächlichen Prozessanforderungen vollständig zu kennen
  • Kontrollen sind vorhanden, aber Verantwortlichkeiten entlang der Prozesskette bleiben diffus

Genau hier entsteht ein wesentliches Risiko unter DORA: fehlende End-to-End-Verantwortung für kritische Berechtigungen.

Eine klare Governance-Struktur ist daher kein „Nice-to-have“, sondern Voraussetzung für prüfungssichere Umsetzung.

Die folgende RACI-Matrix zeigt exemplarisch, wie Banken Verantwortlichkeiten entlang der Schnittstelle von kritischen oder wichtigen Funktionen, Prozessmanagement und IAM konkret und praxisnah strukturieren können.

Die RACI-Matrix schafft dabei vor allem drei entscheidende Vorteile:

  • Erstens sorgt sie für klare Verantwortlichkeiten entlang der gesamten Ableitungskette – von der kritischen Funktion über den Prozess bis zur einzelnen Berechtigung.
  • Zweitens reduziert sie Abstimmungsaufwände zwischen Fachbereich, Prozessmanagement und IAM, da Rollen und Zuständigkeiten eindeutig definiert sind.
  • Drittens verbessert sie die Nachweisfähigkeit gegenüber Aufsicht und Revision, da Verantwortlichkeiten nicht nur implizit gelebt, sondern explizit dokumentiert sind.

Gerade im Kontext von DORA wird damit ein zentraler Aspekt adressiert: die nachvollziehbare Steuerung kritischer Funktionen über organisatorische Grenzen hinweg.

Der zentrale Punkt ist: Die Verantwortung für die Identifikation der kwF liegt nicht im IAM, sondern im Fachbereich beziehungsweise beim Process Owner. Dort wird entschieden, welche Funktionen und Prozessschritte kritisch oder wichtig sind.

IAM übernimmt dann die Übersetzung in Rollen, Berechtigungen, Rezertifizierungslogiken und Governance. Genau an dieser Stelle entsteht die eigentliche Vernetzung.

Gerade für Banken mit komplexen Systemlandschaften, ausgelagerten ICT-Services und historisch gewachsenen Rollenmodellen ist diese saubere Verknüpfung der entscheidende Hebel, um DORA nicht nur formal, sondern wirksam umzusetzen.

Fazit

DORA macht sichtbar, was in vielen Instituten lange unterschätzt wurde: Berechtigungsmanagement ist ein zentraler Bestandteil digitaler operationeller Resilienz.

Wer heute nachvollziehbar zeigen kann, welche Berechtigungen kritische oder wichtige Funktionen unterstützen, schafft nicht nur regulatorische Sicherheit. Er verbessert zugleich Transparenz, Steuerbarkeit und Sicherheit in genau den Prozessen, auf die es im Ernstfall ankommt.

Für Banken ist das die Chance, IAM aus der rein technischen Perspektive herauszulösen und als integralen Bestandteil von Governance, Resilienz und Prozesssteuerung zu etablieren.

Sie möchten Ihre DORA-Anforderungen mit Ihrem IAM gezielt zusammenbringen?

Wir unterstützen Sie dabei, kritische oder wichtige Funktionen methodisch mit Prozessen, Berechtigungskonzepten und Governance-Anforderungen zu verknüpfen. Praxisnah, prüfungssicher und mit Blick auf bestehende regulatorische Anforderungen wie DORA, MaRisk oder EBA-Guidelines.

Sprechen Sie uns an, wenn Sie

  • kritische oder wichtige Funktionen mit Ihrem IAM verknüpfen möchten,
  • Ihr Rollenmodell stärker prozessorientiert ausrichten wollen,
  • Nachweise für Aufsicht, Revision oder Jahresabschlussprüfung verbessern möchten,
  • oder Ihr Berechtigungsmanagement DORA-konform weiterentwickeln wollen.

Ancarix Consulting
Responsible by Design

Weitere Artikel zu anderen spannenden Themenbereichen finden sie auf unserer Website:

zu weiteren Blogbeiträgen
zu unseren Projektreferenzen
ancarix ancarix