Dies ist der zweite Blog in einer siebenteiligen Serie über Identitätssicherheit als KI-Sicherheit.
TL;DR: Im August 2025 erschütterte eine stille Sicherheitsverletzung die SaaS-Welt: keine Ransomware-Forderung, keine auffällige Verunstaltung. Nur gestohlene Anmeldedaten, stillschweigend vergessen und gefährlich lebendig. Das Ziel war Salesloft Drift, eine Marketing-Automatisierungsplattform, die den Drift KI Chat Agent unter anderem mit einer Salesforce- oder Google Workspace-Instanz verbindet. Angreifer brauchten keine Brute Force; sie nutzten OAuth-Tokens (digitale Schlüssel, die Monate zuvor ausgestellt wurden), um über 700 Organisationen zu infiltrieren. Die Folgen waren massiv: Geschäftskontakte, Salesforce-Daten und interne API-Keys wurden abgezweigt. Es war eine der größten SaaS-to-SaaS-Sicherheitsverletzungen bis dato und beleuchtete ein tieferliegendes Problem im Identity-Management. KI-Agenten melden sich nicht ab, aber ihre Anmeldedaten bleiben oft monatelang bestehen, vergessen und nicht widerrufen. Diese ruhenden Token werden zu tickenden Zeitbomben.
Die Lösung beginnt mit einer Neukonzeption von Identität und Zugriff. Anmeldedaten sollten kurzlebig, automatisch erneuert und widerrufen werden, sobald sie nicht mehr benötigt werden. Dauerhafte Autorisierung muss mit einem eingebauten Ablaufdatum versehen sein, nicht nur mit Bequemlichkeit.
Der Vorfall, der das Problem beweist
Im August 2025 ereignete sich eine der weitreichendsten SaaS-Sicherheitsverletzungen der letzten Zeit. Salesloft Drift wurde ohne Exploit-Code, Zero-Day-Schwachstellen oder Malware kompromittiert. Die Angreifer brauchten sie nicht. Alles, was sie brauchten, waren Zeit und Tokens. Die Angreifer verschafften sich zuerst zwischen März und Juni 2025 Zugriff auf das GitHub-Account von Salesloft. Dann platzierten sie bösartige Workflows und griffen auf die AWS-Umgebung von Drift zu. Einmal drin, stahlen sie OAuth-Tokens für die Technologieintegrationen der Drift-Kunden. Mehr als 700 Organisationen waren betroffen.
Aber die eigentliche Schwachstelle war nicht der Diebstahl, sondern die Langlebigkeit. Diese Token, von denen viele bereits Monate zuvor ausgestellt worden waren, waren immer noch aktiv. Sie waren weder abgelaufen noch widerrufen worden. Als Angreifer im August begannen, sie für den Zugriff auf Daten von verbundenen Diensten wie Salesforce, Cloudflare, Palo Alto Networks und Zscaler zu verwenden, erschien die Aktivität legitim. Die Token waren gültig. Die Dienste vertrauten ihnen. Die Automatisierung sah normal aus.
Es war nicht nötig einzubrechen, da die Türen nie verschlossen waren.
Diese Episode ist ein Paradebeispiel für "Authorization Drift" – ein wachsendes Sicherheitsrisiko, bei dem Maschinen-Anmeldedaten die Workflows und geschäftlichen Absichten, für die sie erstellt wurden, überdauern. Und das ist nicht verwunderlich, wenn man bedenkt, dass 51 % der Unternehmen immer noch keinen formalen Prozess haben, um diese langlebigen Geheimnisse zu widerrufen. Da nicht-menschliche Identitäten mittlerweile die menschlichen um das 144-fache übertreffen, stellt diese Nachlässigkeit eine große Kluft im System dar.
Um das Problem zu lösen, muss die Art und Weise, wie wir Machine-to-Machine-Aktivitäten autorisieren, überdacht werden. Static Credentials sollten durch kurzlebige Tokens ersetzt werden, die nur erneuert werden, wenn der Kontext dies zulässt. Die Zugriffskontrolle muss nicht nur fragen: "Ist dieses Token gültig?", sondern auch: "Sollte es noch verwendet werden?" Und in sich schnell bewegenden, verteilten Systemen muss sich die Autorisierung kontinuierlich anpassen, um mit der Absicht synchron zu bleiben. um mit der Absicht übereinzustimmen.
Die Salesloft Drift-Sicherheitsverletzung nutzte keine Schwäche im Code aus. Sie nutzte eine Schwäche in den Annahmen aus, dass der gewährte Zugriff verantwortungsvoll verwaltet würde. Wenn sich die Verwaltung von Anmeldedaten nicht weiterentwickelt, brauchen Angreifer keine neuen Taktiken. Sie werden einfach warten.
Das Problem des Autorisierungslebenszyklus
KI-Agenten sind keine Benutzer im traditionellen Sinne. Sie melden sich nicht an, erledigen eine Aufgabe und melden sich wieder ab. Sie laufen kontinuierlich tagelang, sogar wochenlang und führen lange Workflows wie Datenabgleich, Onboarding oder Modelltraining aus. Und dennoch basieren die meisten Identity-Systeme immer noch auf menschlichen Annahmen: Sessions mit Anfang und Ende, einmal ausgestellte und vergessene Anmeldedaten.
Dieses Modell funktioniert nicht, wenn es auf autonome Systeme angewendet wird. Über die Verwaltung von Benutzer-Logins hinaus entwickelt sich IAM zu einem Echtzeit-Vertrauensmanagement über Menschen, Dienste und Agenten hinweg, die in unserem Namen agieren, über Systeme hinweg, ohne direkte Aufsicht. Die OpenID Foundation nennt dies „asynchrone Ausführung mit dauerhafter delegierter Autorität“: Agenten, die unabhängig unter verwalteten, widerruflichen Identitäten agieren.
In der Praxis bedeutet dies ein Überdenken der Grundlagen:
Delegierte Identitäten, die speziell für Agenten entwickelt wurden und von Benutzeranmeldedaten getrennt sind.
Kontinuierlich erneuerbarer Zugriff, bei dem sich die Berechtigung dynamisch an den Kontext anpasst.
Sofortiges De-Provisioning über alle Systeme hinweg, wenn Risiken auftauchen – keine Verzögerung, keine manuelle Bereinigung.
Echtzeitprüfungen, die den Zweck im Moment der Handlung validieren, nicht nur zum Zeitpunkt der Tokenausstellung.
Das ist die Richtung, in die sich die Sicherheit von KI-Agenten entwickelt: Identität als dynamische Vertrauensebene für KI.
Und wenn Prävention nicht genug Motivation ist, wird die Regulierung kommen.
Ab dem 2. August 2026 wird die Durchsetzung von Artikel 14 des EU AI Act von Organisationen verlangen, nachzuweisen, dass jede KI-gesteuerte Aktion zum Zeitpunkt ihres Auftretens autorisiert war, nicht nur bei der Ausstellung der Anmeldeinformationen. Diese Verlagerung hin zur Verantwortlichkeit zur Ausführungszeit hat echtes Gewicht: Verstöße könnten bis zu 35 Millionen Euro (38 Millionen Dollar) oder 7 % des weltweiten Umsatzes kosten.
Die USA bewegen sich in die gleiche Richtung. Frameworks wie Federal identity, credibility, and access management (FICAM) und die Data Security Program Rule des Justizministeriums beginnen, die Lebenszyklus-Kontrolle über nicht-menschliche Identitäten und das automatisierte Zugriffsmanagement zu fordern.
Die alte Denkweise mit der Annahme, dass „das Token gültig war“, hält nicht mehr stand.
Wirtschaftsprüfer stellen jetzt härtere Fragen:
„Dieser Agent hat am Tag 45 auf Kundendaten zugegriffen. Der Mitarbeiter ist am Tag 30 ausgeschieden. Die Aufgabe wurde am Tag 10 beendet. Zeigen Sie mir den Autorisierungs-Trail.“
Ein schwaches System könnte antworten:
„Das OAuth-Token war 90 Tage lang gültig.“ Das ist nicht mehr gut genug.
Ein ausgereiftes, Lebenszyklus-orientiertes System reagiert anders:
„Der Agent operierte unter einer eindeutigen, delegierten Identity. Das Token wurde automatisch widerrufen, als die Aufgabe an Tag 10 abgeschlossen war. Der gesamte Zugriff wurde geloggt, die Delegierungskette verifiziert und die Deprovisionierung erfolgte innerhalb von Sekunden.“
Die Kosten für die Autorisierungsabweichung
Autorisierungsdrift ist die stille Bedrohung, die die meisten Teams nicht kommen sehen. Es ist die Lücke zwischen dem Zeitpunkt, an dem etwas den Zugriff verlieren sollte, und dem Zeitpunkt, an dem es tatsächlich geschieht. Laut OWASP’s NHI7 report bleiben Anmeldedaten durchschnittlich 47 Tage aktiv, nachdem sie nicht mehr benötigt werden. Das sind fast zwei Monate, in denen Angreifer (oder unvorhergesehene Fehler) freie Hand haben.
Nicht-menschliche Identitäten sind in einigen Unternehmen inzwischen um das 144-fache höher als die Anzahl der menschlichen Identitäten. Jedes verbleibende Token, das mit einem KI-Agenten verbunden ist, öffnet die Tür zu unbeabsichtigtem Zugriff, lange nachdem die Aufgabe erledigt, der Mitarbeiter gegangen oder die Integration verschoben wurde.
Deshalb wird die lebenszyklusbewusste Autorisierung immer wichtiger. Sie trägt dazu bei, dass der Zugriff nicht einfach gewährt und vergessen wird, sondern sich anpasst. Anmeldedaten laufen automatisch ab, wenn Workflows abgeschlossen sind. Der Zugriff wird nur erneuert, wenn der Kontext noch sinnvoll ist. Es ist dynamisches Vertrauen, nicht statische Berechtigung.
Ohne sie ist das Risiko sehr hoch. IBM’s 2025 Cost of a Data Breach Report schätzt, dass die globale durchschnittliche Sicherheitsverletzung jetzt 4,4 Millionen Dollar kostet. Wenn der Zugriff nicht an die Absicht gebunden und die Absicht nicht in Echtzeit überwacht wird, wird „dauerhafte Autorisierung“ nur zu einem weiteren Begriff für verborgene Risiken.
Von statischer zu Lifecycle-Autorisierung.
Um Authorization Drift zu stoppen, benötigen KI-Agenten Anmeldedaten, die sich an die Echtzeitbedingungen anpassen, unter denen sie operieren. Die meisten Sicherheitstools wurden nicht für Agenten entwickelt, die wochenlang autonom arbeiten.
Die Behebung beginnt mit der Lebenszyklus-orientierten Autorisierung: Sie überprüft, ob Anmeldedaten ablaufen, erneuert oder widerrufen werden, basierend auf dem Kontext und nicht nur auf einem voreingestellten Timer. Vier wichtige Designprinzipien machen dies möglich:
Durable Delegated Identity: Jeder KI-Agent hat seine eigene Identität, getrennt von Benutzern, verwaltet und überprüfbar.
Kontinuierlich erneuerbare Autorisierung: Der Zugriff passt sich automatisch an, wenn sich die Aufgabe, der Benutzer oder die Umgebung ändert.
Sofortiges systemübergreifendes De-Provisioning: Der Widerruf des Zugriffs an einer Stelle schaltet ihn überall ab, schnell.
Echtzeit-Autorisierungsvalidierung: Aktionen werden im Moment ihres Geschehens erneut mit den aktuellen Richtlinien abgeglichen, nicht nur bei der Ausstellung der Anmeldedaten.
Das Okta-Framework für das Lifecycle Management (LCM) von KI-Agenten setzt diese Ideen in die Praxis um. Es handhabt die Erstellung von Identitäten, fortlaufende Autorisierungsprüfungen und die automatisierte Deprovisionierung für KI-Systeme und unterstützt so einen sichereren, konformen Betrieb, da KI mehr Verantwortung übernimmt. Da die behördliche Kontrolle zunimmt und die Agenten autonomer werden, wird dieser Ansatz schnell zu einer Notwendigkeit und nicht zu einem Luxus.
Wie Okta und Auth0 diesRealität werden lassen
Lebenszyklus-basierte Autorisierung ist kein Ersatz für IAM; sie erweitert es, um die Anforderungen moderner, autonomer Systeme zu erfüllen. Da KI-Agenten mehr Verantwortung in verschiedenen Systemen übernehmen, müssen Anmeldeinformationen den gleichen Regeln folgen wie der Zugriff durch Menschen: nur gültig, wenn dies erforderlich ist, und widerrufen, sobald sie nicht mehr benötigt werden.
1. Dauerhafte delegierte Identity – Okta KI Agent Lifecycle Management
Als Teil der Identity Security Fabric registriert Oktas KI-Agenten-Lebenszyklusverwaltung KI-Agenten als separate Entitäten und verwaltet diese Identitäten mit klaren Delegationsketten. Nicht als Stellvertreter für Benutzer, sondern als verwaltete, nicht-menschliche Akteure mit Richtlinien, die auf ihre Rollen zugeschnitten sind. Durch Okta Identity Governance und Privileged Access erhalten Agenten nur das, was sie benötigen, wann sie es benötigen, und der Zugriff wird ihnen in dem Moment entzogen, in dem dieser Kontext endet.
2. Kontextabhängige Autorisierung – Auth0 Token Vault + FGA
Auth0 Token Vault stellt kurzlebige Zugangsdaten aus, die an bestimmte Aufgaben gebunden sind, wodurch Token-Drift und -Persistenz minimiert werden. Auth0 Fine-Grained Authorization (FGA) fügt bei jedem API-Aufruf eine dynamische, kontextbezogene Entscheidungsfindung hinzu. Für asynchrone Aktionen überprüfen die Client-Initiated Backchannel Authentication (CIBA) Frameworks von Auth0 die Live-Delegierung vor der Ausführung und nicht nur bei der Ausstellung von Anmeldedaten.
3. Kontinuierlicher Widerruf und Audit-Transparenz – Okta Identity Security Fabric
Wenn der Zugriff widerrufen wird, muss er überall sofort wirksam werden, andernfalls bleibt das Potenzial für die Ausnutzung dieses Zugriffs bestehen. Die Identity Security Fabric von Okta erzwingt Shared-Signal-Revocation und offene Standards wie DPoP (RFC 9449), wodurch sichergestellt wird, dass widerrufene Anmeldeinformationen sofort in gesamten SaaS-Ökosystemen verbreitet werden. Die Subsekunden-Propagierung trägt dazu bei, dass keine alten Token verbleiben und jede Entscheidung für eine vollständige Audit-Transparenz protokolliert wird.
Fazit
KI-Agenten sind ihren menschlichen Pendants inzwischen zahlenmäßig weit überlegen, in einigen Unternehmen sogar um das 144-fache! Aber mit dieser Größenordnung geht eine gefährliche Lücke einher.
Die Salesloft–Drift-Sicherheitsverletzung legt zusammen mit der NIST-Studie Agent Hijacking von 2025 ein beunruhigendes Muster offen: gültige Anmeldedaten, die noch lange nach ihrer Aufhebung vorhanden sind. Das geschäftliche Bedürfnis war beendet. Die Benutzer waren weg. Aber der Zugriff blieb bestehen.
Das Problem ist nicht, dass KI-Agenten zu mächtig sind, sondern dass unsere Systeme zur Verwaltung ihres Zugriffs nicht mitgekommen sind. Sie wurden für Personen entwickelt, die sich an- und abmelden, nicht für autonomen Code, der wochenlang läuft und stillschweigend sensible Aufgaben ausführt.
Okta’s Identity Security Fabric und Auth0’s adaptive authorization stack bahnen einen neuen Weg. Ihre sich entwickelnden Frameworks zeigen, wie die Zukunft aussieht: KI-Agenten mit ihren eigenen Identities, nicht mit geliehenen Anmeldedaten, verwaltet durch Richtlinien, die sich kontinuierlich an den Echtzeitkontext anpassen. Der Zugriff wird nicht nur zu Beginn eines Auftrags gewährt, sondern ständig neu bewertet. Und wenn eine Aufgabe endet oder sich eine Bedingung ändert, verschwindet der Zugriff sofort. Kein Warten, keine manuelle Bereinigung.
Mit anderen Worten, dies ist ein Paradigmenwechsel:
Gemeinsam genutzte Anmeldedaten werden durch delegierte, agentenspezifische Identitäten ersetzt.
Statische, langlebige Token weichen Anmeldedaten, die sich im Kontext erneuern oder ablaufen.
Beliebige Zeitlimits werden durch einen an die Business Logic gebundenen Widerruf ersetzt.
Die manuelle Deprovisionierung wird durch sofortige, automatisierte Abschaltungen in allen Systemen ersetzt.
Dies ist mehr als ein Upgrade von IAM, es ist eine Revolution. Der Zugriff ist jetzt dynamisch und reagiert auf Workflows, Rollen und Aufgaben. Anmeldedaten passen sich dem an, was in Echtzeit geschieht, und verschwinden, wenn ihre Aufgabe erledigt ist.
Keine verbleibenden Token mehr. Keine stille Gefährdung mehr. Nur Identität als eine lebende Vertrauensebene für autonome Systeme. Alles andere setzt Unternehmen Sicherheitsverletzungen aus, die nicht aus böser Absicht, sondern aus Trägheit entstehen.
Weiter: blog 3 befasst sich mit der domänenübergreifenden Föderation. Wie KI-Agenten eine delegierte Berechtigung über mehrere Organisationen hinweg nachweisen können, selbst wenn es keine einzige verlässliche Informationsquelle gibt.
