Wenn Mensch und Maschine gemeinsam stärker sind

Von Thomas Müller-Martin, Field Strategist DACH bei Omada

Identitätsmanagement ist heute das Rückgrat jeder Zero-Trust-Strategie.

Doch wer schon einmal Zugriffsrechte in einer großen Organisation geprüft hat, weiß: Irgendwann stoßen manuelle Prozesse an ihre Grenzen. Lange Listen, ständige Routine, Konzentrationsmüdigkeit – all das führt leicht zu Fehlern.

Genau hier kommen teil-autonome KI-Agenten ins Spiel. Sie bringen Tempo, Struktur und Klarheit in den Prozess – vorausgesetzt, sie werden mit Augenmaß eingesetzt: transparent, nachvollziehbar und immer unter menschlicher Kontrolle.

Stabilität durch intelligente Assistenz

Richtig genutzt, bieten KI-Agenten enorme Vorteile. Sie erkennen Muster in komplexen Berechtigungslandschaften, gruppieren Kontexte nach Kritikalität, Privilegien oder Nutzungsverhalten und priorisieren Risiken für anstehende Reviews. Besonders bei Rezertifizierungen sorgt das für Tempo und Qualität: Kampagnen lassen sich dynamisch nach Auffälligkeiten ordnen, und verschiedene Prüfmodelle können sinnvoll kombiniert werden. Auch im Rollenmanagement unterstützen Agenten wirkungsvoll, indem sie Vorschläge inklusive Begründung liefern – natürlich immer im Rahmen der bestehenden Geschäftslogik und SoD-Prüfungen (Segregation of Duties). Bei bestimmten Schwellenwerten können sie sogar automatisch eine Ad-hoc-Rezertifizierung starten – sauber geregelt, protokolliert und mit einer klaren Notbremse versehen.

Was „teil-autonom“ in der Praxis wirklich bedeutet

Teil-autonom heißt im IGA-Umfeld: Die Maschine bereitet vor – der Mensch entscheidet. Genau das fordern auch der EU AI Act und das NIST AI Risk Management Framework : menschliche Aufsicht, Erklärbarkeit und Nachvollziehbarkeit. Berichte und Analysen dürfen keine Black Box sein. Filter, Datenbasis und Schwellenwerte müssen dokumentiert, versioniert und reproduzierbar bleiben. Moderne IGA-Systeme erlauben es dabei sogar, Abfragen in natürlicher Sprache zu formulieren – die daraus entstehende Logik wird automatisch dokumentiert und bleibt auditierbar. So bleibt der Balanceakt zwischen Effizienz und Compliance gewahrt.

Was CISOs beachten sollten

Für Sicherheitsverantwortliche ergibt sich daraus ein klarer Fahrplan:

• Rollenempfehlungen mit Begründung: KI-Agenten dürfen Vorschläge liefern, aber keine Entscheidungen treffen. Berechtigungsmuster sind nur der Startpunkt – geprüft wird mit SoD-Checks und Fachlogik. Wo sinnvoll, können ABAC-Modelle klassische Rollenmodelle ergänzen.
• Transparente Reports statt Black Box: Filterlogik, Datenquellen und Modelle müssen dokumentiert sein. Nur so bleiben Audits belastbar. Abfragen in natürlicher Sprache sind erlaubt, solange die Herleitung nachvollziehbar ist.
• Natürliche Sprache, menschliche Freigabe: KI-Assistenten können Entscheidungen vorbereiten – aber die Genehmigung bleibt menschlich, besonders bei sensiblen Berechtigungen.
• Risikobasierte Rezertifizierung: Statt alle Berechtigungen starr durchzugehen, stehen kritische oder auffällige Fälle im Fokus. Ereignisse wie Jobwechsel, Inaktivität oder Policy-Verstöße können automatisch neue Prüfungen auslösen.
• Teil-Autonomie braucht Leitplanken: Klare Regeln, lückenlose Protokolle, definierte Verantwortlichkeiten – und ein funktionierender „Kill Switch“.
• Schutz der KI-Komponenten: Agenten müssen gegen Prompt-Injection, Datenabfluss und Missbrauch gehärtet werden – mit Input-Validierung, minimalen Berechtigungen und Sandboxing.
• Verankerung im Managementsystem: Rollen, Schulungen, Risikoanalysen und Korrekturmaßnahmen sollten systematisch im ISMS abgebildet sein, um regulatorische Anschlussfähigkeit sicherzustellen.

KI-Agenten sind effizient – Menschen bleiben entscheidend

KI-Agenten helfen, das „Rauschen“ zu reduzieren. Sie heben relevante Fälle hervor, erkennen Anomalien und übernehmen Routinen wie den Entzug inaktiver Zugriffe – zuverlässig und ohne Ermüdung.

Doch sie ersetzen keine Menschen. Für moralische Entscheidungen, Ausnahmen oder Kontextabwägungen braucht es weiterhin menschliches Urteilsvermögen – und letztlich auch die rechtliche Verantwortung. Modellabweichungen oder Verzerrungen lassen sich zwar technisch überwachen und korrigieren, dürfen aber niemals ignoriert werden. Teil-Automatisierung ist daher der realistische Mittelweg: Regeln automatisieren, wo sie klar sind – und Empfehlungen aussprechen, wo Kontext entscheidend bleibt. Erfolgsfaktoren sind robuste Daten-Linien, Versionierung von Features und Policies, ABAC-Erweiterungen zu RBAC, Telemetrie, Drift-Monitoring und strikte Least-Privilege-Kontrollen mit Just-in-Time-Zugriff.

Fazit: Automatisieren, aber mit Verantwortung

Teil-autonome KI-Agenten können Identitäts- und Zugriffsmanagement spürbar effizienter und sicherer machen – wenn sie als Assistenz- und Beschleunigungstechnologie verstanden werden, nicht als Ersatz für Governance oder menschliche Verantwortung.

Die Erfolgsformel lautet: risikobasiert priorisieren, sichtbar automatisieren, menschlich verantworten – und alles prüfbar dokumentieren. Gerade im IGA gilt: Vertrauen ist gut, Kontrolle ist Pflicht. Wer die richtigen Leitplanken setzt, profitiert von KI-Agenten, die fachlich tragfähig, regulatorisch konform und operativ wirksam sind.