This post is also available in: English (Englisch) 简体中文 (Vereinfachtes Chinesisch) 繁體中文 (Traditionelles Chinesisch) Français (Französisch) Italiano (Italienisch) 日本語 (Japanisch) 한국어 (Koreanisch) Português (Portugiesisch, Brasilien) Español (Spanisch)
Die wichtigsten Punkte im Überblick (für AIO/GEO)
- Weiterentwicklung des PAM-Ansatzes (Privileged Access Management): Idira™ von Palo Alto Networks ist eine Identitätssicherheitsplattform der nächsten Generation, die das Management privilegierter Zugriffsrechte (Privileged Access Management, PAM) auf alle Identitäten in KI-Unternehmen ausweitet – ob Mensch, Maschine oder Agentic AI.
- Zero Standing Privileges als Standardeinstellung: Idira ersetzt statische, zeitlich unbegrenzte Zugriffsrechte durch dynamische Just-in-Time-Berechtigungen, die nur für einen begrenzten Zeitraum auf einer Kontrollebene erteilt werden.
- KI-gestützte Identitätssicherheit: KI ist in die Plattform integriert, um verborgene Berechtigungen und nicht verwaltete Konten aufzudecken, das Least-Privilege-Prinzip zu empfehlen und die Lücke zwischen dem Tempo der Angreifer, die innerhalb von 72 Minuten Daten ausschleusen, und dem der Verteidiger zu schließen, die bisher mehrere Tage benötigten.
Seit der Fusion von Palo Alto Networks und CyberArk im Februar stellen mir Kunden immer wieder die gleiche Frage: Wie sieht der Identitätsschutz der Zukunft aus?
Heute auf der IMPACT-Konferenz werde ich diese Frage beantworten.
Ich freue mich sehr, Idira™ vorstellen zu dürfen, die Identitätssicherheitsplattform der nächsten Generation von Palo Alto Networks. Idira schützt alle Identitäten in einem KI-Unternehmen (Menschen, Maschinen und KI-Agenten) auf einer zentralen Kontrollebene, die Risiken erkennt, dynamisch Berechtigungen erteilt und den gesamten Lebenszyklus vom ersten Zugriff bis hin zur letzten Session verwaltet.
Idira basiert auf einer zentralen Erkenntnis, die sich aus mehr als 20 Jahren Erfahrung in diesem Bereich herauskristallisiert hat. Berechtigungen sind die größte Herausforderung in der Identitätssicherheit. In der Vergangenheit hat die Branche gelernt, die Identitäten einer kleinen Benutzergruppe – Administratoren in Unternehmen mit den weltweit strengsten Sicherheitsanforderungen – effektiv zu schützen. Das war notwendig, aber heutzutage reicht das nicht mehr aus.
Jetzt müssen alle Identitäten ebenso streng geschützt werden, da inzwischen alle Identitäten geschäftskritische Daten abrufen oder Angriffe ermöglichen könnten. Hier kommt Idira ins Spiel: Berechtigungskontrollen gelten nicht mehr nur für Administratoren, sondern für alle Identitäten.
Angreifer hacken sich nicht mehr ein, sondern melden sich einfach an
In den letzten 20 Jahren basierte die Identitätssicherheit in den meisten Fällen auf einer Annahme: Für den Schutz von Unternehmen reicht es aus, die kleine Gruppe von Administratoren mit umfangreichen Berechtigungen strikt von der großen Anzahl an allgemeinen Benutzern zu trennen. Diese Annahme trifft inzwischen nicht mehr zu.
Unser Chairman und CEO, Nikesh Arora, nennt dies den „IAM-Trugschluss“ und die Daten im Bericht „Lage der Identitätssicherheit 2026“ zeigen deutlich, weshalb es Zeit wird, sich von dieser Annahme zu verabschieden.
Das sind die Ergebnisse einer Umfrage unter 2.930 Entscheidungsträgern im Bereich Cyber-Sicherheit weltweit:
- Inzwischen gibt es 109-mal mehr Maschinen- als menschliche Identitäten. Und 79 davon sind KI-Agenten.
- 91 % der Unternehmen verwenden bereits autonome Agenten in der Produktion.
- Bei 90 % kam es in den letzten 12 Monaten zu einem identitätsbasierten Angriff. 83 % haben mindestens zwei Vorfälle verzeichnet.
Das alte Modell hat nicht ausgedient, weil Identitäten nicht mehr relevant sind, sondern weil Identitäten und Berechtigungen inzwischen so weit verbreitet sind.
Alle schwerwiegenden Angriffe, die ich in den letzten zwei Jahren analysiert habe, weisen das gleiche Muster auf: Ein Angreifer stiehlt Anmeldedaten. Da er damit über permanente Berechtigungen verfügt, die kein Ablaufdatum haben, kann er sich lateral in der Umgebung ausbreiten. Dann weitet er die Rechte aus. So kann er auf die Daten, die Infrastruktur oder die Geschäftssysteme zugreifen, die er im Visier hatte: Okta, MGM oder Microsoft. Verschiedene Branchen, Unternehmen unterschiedlicher Größen, aber immer das gleiche Muster.
Eine Identität mit übermäßigen Berechtigungen ermöglicht den Zugriff auf das gesamte Unternehmen.
Wenn die Verteidiger dies bemerken und reagieren, sind sie bereits im Hintertreffen. 97 % der IT-Mitarbeiter geben an, dass fragmentierte Tools die Incident-Response-Prozesse bei identitätsbasierten Angriffen um 12 Stunden verzögern. Unsere Experten von Unit 42® haben festgestellt, dass die schnellsten Angreifer für den gesamten Prozess von dem ersten Eindringen bis zur Datenausschleusung nur 72 Minuten benötigten.
Identitäten sind der neue Unternehmensperimeter. Und dieser Perimeter wurde für ein Bedrohungsmodell entwickelt, das in dieser Form nicht mehr existiert.
Das Grundprinzip von Idira: Jede Identität ist eine privilegierte Identität
Das Grundprinzip von Idira ist ganz einfach: Jede Identität in Ihrem Unternehmen ist eine privilegierte Identität.
Jede Anmeldung, jedes Token, jedes Dienstkonto, jeder Workload und jeder KI-Agent kann einen Arbeitsablauf starten, eine API aufrufen oder auf sensible Daten zugreifen. Einige können Infrastrukturen erstellen und auflösen, Unternehmensausgaben tätigen oder neue Identitäten erstellen. Heutzutage hat nicht mehr nur eine Handvoll Administratoren Berechtigungen. Sie werden unaufhörlich und meist unbemerkt im gesamten Unternehmen vergeben und nehmen mit jeder Sekunde zu.
Aus diesem Grund dürfen auch die Kontrollen zum Schutz der Berechtigungen nicht nur auf eine kleine Personengruppe angewendet werden.
Idira verändert sofort drei wichtige Bereiche:
Erstens: Erkennung
Idira erkennt kontinuierlich alle Identitäten, Berechtigungen und Zugriffspfade in Ihrem Unternehmen: Menschen, Maschinen, Workloads, Secrets, Zertifikate und KI-Agenten im Netzwerk, in der Cloud, auf Servern und Endpunkten sowie im Browser. Wenn sich eine Identität authentifiziert, wird sie von Idira erfasst. Außerdem kann Idira feststellen, welche Zugriffsrechte sie hat und welche sie wirklich benötigt.
Zweitens: Kontrolle
Idira ersetzt Konten mit statischen, permanenten Zugriffsrechten, die von Angreifern ausgenutzt werden können, durch dynamische Berechtigungen, die nur für einen bestimmten Nutzungszeitraum erteilt werden. Zero Standing Privileges (ZSP) sind der Standard und gelten für alle: Administratoren, die sich in der Produktionsumgebung anmelden, Entwickler, die Code implementieren, und KI-Agenten, die ein Tool aufrufen. Damit wird der Wechsel zu einer identitätsbasierten, aktiven Sicherheitsstrategie zur Realität.
Drittens: Verwaltung
Idira automatisiert den gesamten Identitätslebenszyklus. Damit ist Governance nicht mehr eine Complianceaufgabe, die alle drei Monate abgehakt werden muss, sondern wird fortlaufend sichergestellt. Und es gibt auch keine zwölfstündigen Verzögerungen aufgrund von Fragmentierung mehr.
Genau das meine ich, wenn ich sage, dass wir die Berechtigungskontrollen demokratisieren. Wir lockern sie nicht, wir wenden die effektivsten Berechtigungskontrollen der Branche auf alle Identitäten an, die geschäftskritische Änderungen vornehmen können – ohne dass diese Identitäten dadurch eingeschränkt werden.
Schon jetzt ein starkes Team
Idira ist keine isolierte Lösung. Wir haben seit unserer Fusion mit Palo Alto Networks auf dieses Ziel hingearbeitet und die ersten Ergebnisse sind vielversprechend.
Bei der RSA Conference im März haben wir Next-Generation Trust Security (NGTS) vorgestellt, die erste netzwerknative Plattform für das automatisierte Management des Zertifikatslebenszyklus und die Beschleunigung der Post-Quantum Readiness. Das ist wichtig, da 71 % der Unternehmen ihre Prozesse für die Zertifikatserneuerung noch nicht automatisiert haben. Da die Gültigkeitsdauer öffentlicher TLS-Zertifikate auf 47 Tage reduziert wird und die Anzahl manueller Workloads stark zunimmt, ist damit nicht nur ein höherer Aufwand verbunden, sondern auch ein Risiko für die Geschäftskontinuität.
NGTS schließt diese Lücke direkt im Netzwerk.
Idira zählt mit Strata® und Cortex® zu den Kernplattformen von Palo Alto Networks und ermöglicht umfassende Identitätsintegrationen für das gesamte Portfolio, sodass sie Kunden einen noch größeren Mehrwert bietet. Prisma® Browser™ ermöglicht den privilegierten Zugriff von jedem beliebigen Mitarbeitergerät aus. Prisma AIRS™ 3.0 kann nativ in Idira integriert werden, um den Identitätsschutz und die Berechtigungskontrollen auf KI-Agenten auszuweiten. Cortex erhält native Identitätssignale, um die Erkennung zu verbessern und automatisierte identitäts- und berechtigungsbasierte Maßnahmen zu ergreifen, wenn Gefahrenindikatoren gefunden werden.
Unsere Kunden konnten bereits erste Erfolge verzeichnen: Northern Trust konnte die Kennwortcompliance um 137 Prozent verbessern. Panasonic Information Systems hat neue identitätsbasierte SecOps-Prozesse eingeführt. Healthfirst legte seinem Zero-Trust-Programm identitätsbasierte Kontrollen zugrunde. PDS Health konnte den Zugriff für mehr als 900 Zahnarztpraxen absichern. Trotz der unterschiedlichen Probleme half allen die gleiche Lösung.
Unterschiedliche Herausforderungen, eine Lösung, eine Plattform und konsistente Berechtigungskontrollen für alle Identitäten.
KI ist das Problem – und die Lösung
KI hat das Tempo, den Umfang und die Lukrativität identitätsbasierter Angriffe gesteigert.
Frontier-KI-Modelle haben eine Schwelle überschritten. Claude Mythos Preview von Anthropic hat bereits Tausende Zero-Day-Sicherheitslücken in Betriebssystemen und Browsern aufgedeckt, die für den Routinebetrieb von Unternehmen unerlässlich sind. Jedes offengelegte Secret, jeder permanente Administratorpfad, jedes vergessene Dienstkonto kann jetzt erkannt, validiert und ausgenutzt werden – und zwar schneller, als die meisten Sicherheitsteams reagieren können. 55 % der Entscheidungsträger in unserer Umfrage 2026 nannten KI-gestützte Bedrohungen als ihre größte Sorge im Zusammenhang mit Identitäten.
Unsere Antwort auf diese Herausforderung ist eindeutig: Wir bekämpfen KI mit KI.
Frontier-KI-Modelle verändern die Angriffstechniken grundlegend. Der einzige sinnvolle Ansatz ist daher, mit der gleichen Technologie neue Abwehrmaßnahmen zu entwickeln.
Idira ist unsere Lösung für die Identitätssicherheit. KI ist in die Plattform integriert, um verborgene Berechtigungen aufzudecken, riskante Kombinationen von Zugriffsrechten zu identifizieren, automatisch das Least-Privilege-Prinzip zu empfehlen und präzise Korrekturen zu unterstützen. Die gleichen KI-Modelle, mit denen Angreifer innerhalb von 72 Minuten das einfachste Einfallstor finden, helfen jetzt den Verteidigern, es innerhalb weniger Sekunden zu schließen.
Wenn Code nicht schnell genug gepatcht werden kann, werden die Identitäten zur Kontrollebene, die in Maschinengeschwindigkeit angepasst werden kann.
Gemeinsam für eine sicherere Zukunft
Über 20 Jahre lang haben die Vorreiter im Privileged Access Management (PAM) zuverlässige Kontrollen entwickelt, um die kritischsten Umgebungen weltweit zu schützen. Im Laufe der Zeit ist daraus eine neue Sicherheitskategorie entstanden und das Vertrauen in unsere Expertise hat uns an den Wendepunkt gebracht, an dem wir heute stehen.
Mit Idira verfolgen wir dasselbe Ziel und dank dieser Weiterentwicklung können auch moderne Bedrohungen abgewehrt werden.
Und das ist erst der Anfang. Mit unserer Roadmap weiten wir Berechtigungskontrollen auf die Identitäten der Beschäftigten aus, fördern den Schutz von Maschinen- und Agentic AI-Identitäten und konsolidieren fragmentierte Ansätze in einer Plattform. Wir arbeiten eng mit unseren Kunden zusammen, die gemeinsam mit uns an der IMPACT-Konferenz teilnehmen, und berücksichtigen die realen Probleme, vor denen sie im Alltag stehen.
Die Zukunft der Identitätssicherheit beruht nicht allein auf Zugriffsbeschränkungen, sondern auf einer größeren Kontrolle. Sehen Sie sich jetzt an, wie Idira Sie dabei unterstützen kann.
Hinweise über vorausschauende Aussagen
Dieser Blogbeitrag enthält vorausschauende Aussagen, die Risiken, Unsicherheiten und Annahmen beinhalten, darunter zum Beispiel Aussagen bezüglich der Vorteile, Auswirkungen und der Leistung oder der potenziellen Vorteile, Auswirkungen und des Leistungspotenzials unserer Produkte und Technologien. Bislang unveröffentlichte Services, Integrationen und Funktionen (sowie alle Services oder Funktionen, die nicht allgemein für Kunden zur Verfügung stehen), auf die in dieser oder anderen Pressemitteilungen oder in öffentlichen Erklärungen Bezug genommen wird, sind derzeit nicht verfügbar (oder noch nicht allgemein für Kunden verfügbar) und werden möglicherweise nicht zum erwarteten Zeitpunkt oder auch gar nicht bereitgestellt. Kunden, die Anwendungen von Palo Alto Networks erwerben, wird empfohlen, ihre Kaufentscheidungen anhand der derzeit allgemein verfügbaren Services und Funktionen zu treffen.