Mit der zunehmenden Verbreitung von KI-Tools in Unternehmen entsteht eine Sicherheitslücke, die herkömmlicher Endpunktschutz nicht schließen kann.
Als ein einzelner Entwickler einen KI-Agenten namens OpenClaw veröffentlichte, dauerte es weniger als eine Woche, um Millionen von Downloads zu verzeichnen — und weniger als eine weitere Woche, bis Forscher 135.000 exponierte Instanzen und Hunderte schädlicher Erweiterungen in seinem Marktplatz entdeckten. Der Vorfall war kein ausgefeilter Angriff eines Nationalstaats. Er war eine Vorschau auf das, womit sich Sicherheitsteams in Unternehmen nun konfrontiert sehen: eine unkontrollierte, weitgehend unsichtbare Schicht von KI-Software, die still innerhalb von Unternehmensnetzwerken mit Mitarbeiterberechtigungen und maschineller Geschwindigkeit operiert.
Der moderne Unternehmensendpunkt hat sich in einer Weise verändert, mit der die Sicherheits-Tools nicht Schritt gehalten haben. Wo früher der Perimeter durch ausführbare Dateien und bekannte Binärdateien definiert wurde, wird die heutige Arbeitsumgebung durch eine weitläufige Schicht aus Code-Paketen, Browser-Erweiterungen, IDE-Plugins, lokalen Servern, Containern, Modellartefakten und KI-Agenten geprägt — die meisten davon direkt von Mitarbeitern und Entwicklern ohne zentrale Aufsicht installiert.
Da es sich bei diesen Komponenten nicht um klassische Binärdateien handelt, entziehen sie sich häufig der Sichtbarkeit und Kontrolle herkömmlicher Endpoint-Security-Tools. Das bedeutet, dass ein wachsender Anteil dessen, was auf Unternehmensrechnern läuft, aus Sicherheitssicht effektiv unsichtbar ist.
Das Agenten-Problem
KI-Agenten verleihen diesem ohnehin komplexen Bild eine besondere Risikoebene. Sie sind legitime Tools, die mit den Anmeldedaten und Berechtigungen des Nutzers arbeiten und ihnen ermöglichen, Daten zu lesen, zu schreiben, zu verschieben und privilegierte Aktionen über Systeme hinweg auszuführen. Wenn sie kompromittiert oder missbraucht werden, werden Agenten zum „ultimativen Insider“. Sie können autonom weitere Komponenten mit Maschinengeschwindigkeit entdecken, aufrufen und sogar installieren, was das Risiko in einer ohnehin expandierenden, weitgehend unkontrollierten Software-Schicht beschleunigt.
Ein Lehrbeispiel: OpenClaw
Das jüngste Aufkommen von OpenClaw ist ein warnendes Beispiel für das Agentenzeitalter. Von einer einzelnen Person in nur einer Woche entwickelt, erzielte es schnell Millionen von Downloads und erhielt weitreichende Berechtigungen für E-Mails, Dateisysteme und Shells der Nutzer. Innerhalb weniger Tage identifizierten Forscher 135.000 exponierte Instanzen und mehr als 800 schädliche Skills in seinem Marktplatz — ein deutliches Zeichen, wie ein einzelner ungeprüfter Agent eine unmittelbare, globale Angriffsfläche schaffen kann.
OpenClaw ist kein Einzelfall. Forscher haben ein Muster von Risiken dokumentiert, das aus Tools entsteht, auf die sich Entwickler und Wissensarbeiter täglich verlassen.
Eine KI-Erweiterung in VS Code wurde entdeckt, die Code von 1,5 Millionen Entwicklern abgreift. Das Tool konnte jede geöffnete Datei lesen und zurückschicken, Massendateien ohne Nutzerinteraktion sammeln und Nutzer mit kommerziellen Analytics-SDKs verfolgen.
Separat dokumentierten Forscher den ersten schädlichen Model Context Protocol (MCP)-Server in freier Wildbahn. Wenn Entwickler eine bestimmte Funktion zu Tools wie Claude Code oder Cursor hinzufügten, wurden alle E-Mails stillschweigend an den Plugin-Ersteller weitergeleitet — eine Funktion, die erst nach der Einführung des Tools hinzugefügt wurde.
Die Sichtbarkeitslücke in Security Operations
Autonome Agentenaktionen sind oft schwer zu verfolgen oder zu rekonstruieren, was Security Operations Center ohne die nötige Transparenz lässt, wenn ein Vorfall eintritt. Herkömmliche Endpoint-Erkennungstools wurden für eine Welt bekannter Dateitypen und Prozessverhalten entwickelt. Sie sind nicht dafür ausgelegt zu überwachen, ob ein KI-Coding-Assistent still Quellcode exfiltriert oder ob ein MCP-Server aktualisiert wurde, um ausgehende Kommunikation umzuleiten.
Eine Akquisition und eine neue Kategorie
Palo Alto Networks kündigte seine Absicht an, Koi Security zu akquirieren, ein Unternehmen, das sich speziell auf KI-nativen Endpunktschutz konzentriert. Das Unternehmen beabsichtigt, Kois Fähigkeiten nach Abschluss der geplanten Akquisition in seine Plattformen zu integrieren. Die Akquisition spiegelt eine breitere Erkenntnis wider, dass die Ausbreitung von KI-Tooling in Organisationen die Sicherheitsrahmen, die zu seiner Verwaltung entwickelt wurden, überholt hat.
Was klar ist: Das Risiko besteht bereits. Die Agenten sind bereits installiert. Viele von ihnen sind bereits aktiv. Und in den meisten Organisationen schaut niemand hin.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de