KI-Agenten dringen schneller in Unternehmenssysteme ein, als die Sicherheitsrahmen, die sie regeln sollen, mithalten können. Das Ergebnis ist eine Lücke – keine theoretische, sondern eine, die bereits in Datenpannen und Live-Angriffsvorstellungen dokumentiert ist – zwischen dem, was autonome Software leisten kann, und dem, was Unternehmen tatsächlich kontrollieren können.
Im März 2023 luden drei Samsung-Ingenieure innerhalb weniger Wochen nach der internen Freigabe proprietären Quellcode auf einen externen KI-Dienst hoch. Keines der bestehenden Data-Loss-Prevention-Tools des Unternehmens erkannte dies. Der Datenverkehr sah aus wie normales Surfen. Die Agenten – hier KI-gestützte Tools mit breitem Zugriff und ohne definierte Identitätsgrenzen – waren für die Governance unsichtbar. Eine Studie von KuppingerCole im Auftrag von Ping Identity gibt dazu wertvolle Informationen.
Dieser Vorfall war keine Anomalie. Er war ein Vorgeschmack auf das, was kommt. Während KI-Agenten von experimentellen Pilotprojekten in operative Unternehmenssysteme wechseln, untergraben sie Annahmen, auf die Identity-and-Access-Management-Frameworks zwei Jahrzehnte lang gesetzt haben. Die Lücke zwischen dem, was diese Agenten können, und dem, was Sicherheitsteams kontrollieren können, ist real, messbar und wächst.
Eine neue Art von Akteur
Traditionelles Identitätsmanagement basierte auf einem einfachen Modell: Ein Mensch beantragt Zugriff, ein System gewährt oder verweigert ihn, ein Protokoll zeichnet auf, was geschah. KI-Agenten unterbrechen alle drei Schritte gleichzeitig.
Anders als konventionelle Software folgen autonome Agenten keinen festen Befehlssätzen. Sie verfolgen Ziele über adaptive Abfolgen von API-Aufrufen, delegieren Teilaufgaben an andere Agenten und treffen probabilistische Entscheidungen zur Laufzeit. Ein Agent, der mit der Erstellung eines Vertrags beauftragt ist, greift möglicherweise auf Rechtsdatenbanken zu, fragt interne Akten ab, sendet Entwürfe zur Prüfung und protokolliert seine eigene Tätigkeit – alles ohne menschliche Genehmigung für jeden einzelnen Schritt.
Dies bricht das Zustimmungsmodell, das OAuth und OpenID Connect zugrunde liegt, den Protokollen, die die meisten Unternehmensauthentifizierungen regeln. Diese Standards erfordern einen expliziten menschlichen Autorisierungsschritt. Agenten, die im großen Maßstab operieren, umgehen ihn routinemäßig. Die Zugriffsrechte, die sie ansammeln, sind technisch gültig. Die damit verbundene Rechenschaftspflicht ist es nicht.
Der IBM Cost of a Data Breach Report 2025 beziffert das Risiko: 13 Prozent der Organisationen hatten im Vorjahr Datenpannen mit KI-Modellen oder -Anwendungen erlebt. Davon verfügten 97 Prozent über unzureichende Zugriffskontrollen. Das sind keine Randphänomene. Sie repräsentieren die Spitze eines strukturellen Problems.
Vorfälle, die das Problem definierten
Der Samsung-Leak veranschaulichte eine Fehlfunktion: ein KI-Tool, das als internes Produktivitätsmittel behandelt wurde, anstatt als externes System mit eigener Identität und Datenzugangsgrenzen. Doch die Anfälligkeitslandschaft geht weit über versehentliche Offenlegung hinaus.
Auf der Black Hat 2024 demonstrierte Sicherheitsforscher Michael Bargury, wie Microsoft 365 Copilot durch eine Technik namens Prompt Injection zu einem Exfiltrations- und Phishing-Tool werden konnte. Indem Anweisungen in ein Dokument oder eine E-Mail eingebettet wurden, die Copilot verarbeiten sollte, konnte ein Angreifer den Agenten dazu bringen, E-Mails weiterzuleiten, nach sensiblen Dateien zu suchen und Phishing-Nachrichten zu generieren – alles mit den eigenen Anmeldedaten und der Sitzung des Opfers.
Prompt Injection ist kein Produktfehler. Es ist eine strukturelle Schwäche der aktuellen Generation autonomer Agenten: das Fehlen einer Vertrauensgrenze zwischen dem Instruktionskontext des Agenten und dem von ihm verarbeiteten Inhalt. Jeder autonome Agent, der externe Inhalte liest, ist gefährdet. Das Patchen einzelner Produkte schließt die zugrunde liegende Lücke nicht.
Wie eine Governance-Architektur aussieht
KuppingerCole-Analyst Martin Kuppinger schlägt eine Referenzarchitektur vor, die auf vier Säulen aufgebaut ist, von denen jede ein spezifisches Versagen aktueller Frameworks adressiert.
Die erste Säule ist die Identitätsregistrierung. Jeder KI-Agent sollte einer eindeutigen, stabilen Kennung in einem zentralen Identitätsspeicher zugewiesen werden, mit dokumentiertem Eigentümer, autorisiertem Umfang und erwarteter Betriebslebensdauer. Ohne dies sind Agenten Schattenressourcen – in Produktionssystemen aktiv, aber für die Governance unsichtbar.
Die zweite Säule ist die Autorisierung. Statische rollenbasierte Zugriffskontrolle ist zu starr für Agenten, deren effektive Berechtigungen sich mit jeder Aufgabe verschieben. Policy-Based Access Control (PBAC) kann Kontextsignale – Datensensibilität, Tageszeit, aktuelles Bedrohungsniveau – in Autorisierungsentscheidungen zur Laufzeit einbeziehen und Agentenberechtigungen auf eine Teilmenge der Berechtigungen des autorisierenden Menschen begrenzen.
Die dritte Säule ist die Governance. Intra-Agent-Kontrollen definieren, was ein Agent in seinem eigenen Instruktionssatz tun darf. Extra-Agent-Kontrollen setzen Zugriffsbeschränkungen unabhängig davon durch, was der Agent zu sein behauptet. Die Unterscheidung zwischen Human-in-the-Loop-Überwachung und Human-on-the-Loop-Überwachung sollte eine bewusste Governance-Entscheidung sein.
Die vierte Säule ist die Prüfbarkeit. Protokolle einzelner API-Aufrufe reichen nicht aus. Was benötigt wird, sind Entscheidungsspuren: Aufzeichnungen nicht nur dessen, was ein Agent tat, sondern auch, wozu er angewiesen wurde, unter welcher Richtlinie und wie er zu jeder Aktion kam.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de