KI-Agenten sicher einsetzen: Warum klare Leitplanken wichtig sind

Tim Berghoff,    |
KI-Agenten: Größeres Risiko als maschinelle Identitäten

KI-Agenten sicher einsetzen: Warum klare Leitplanken wichtiger sind als große Versprechen,

KI-Agenten gehören derzeit zu den meistdiskutierten Entwicklungen in der IT. Sie können Aufgaben eigenständig ausführen, Arbeitsabläufe beschleunigen und Fachkräfte entlasten. Genau darin liegt viel Potenzial für Unternehmen. Gleichzeitig bergen sie auch Sicherheitsrisiken. Daher gilt: Je selbstständiger ein System handelt, desto klarer müssen Berechtigungen, Kontrolle und Verantwortung geregelt sein.

Zusammenfassung (TL; DR):

  • KI-Agenten bieten große Potenziale, bergen jedoch erhebliche Sicherheitsrisiken, wenn sie mi weitreichenden Rechten und ohne Kontrolle ausgestattet werden.
  • Für einen sicheren Einsatz sind bekannte Schutzmaßnahmen wie das Least-Privilege-Prinzip konsequent übertragen und kritische Aktionen an menschliche Freigaben (Human-in-the-Loop) einzubinden.
  • Nicht die Technologie selbst ist das Risiko, sondern eine fehlende Governance und mangelhafte Zugriffskontrolle seitens der Unternehmen.

Für IT-Sicherheitsverantwortliche steht beim Einsatz von KI-Agenten weniger die Frage im Vordergrund, ob KI-Agenten in Unternehmen Einzug halten. Entscheidend ist, unter welchen Bedingungen sie handeln dürfen. Je selbstständiger ein System arbeitet, desto enger müssen Berechtigungen, Kontrolle und Verantwortung gefasst sein. Die gute Nachricht: Viele wirksame Schutzmaßnahmen sind bekannt. Sie müssen nicht neu erfunden, sondern konsequent auf KI-Agenten übertragen werden.

Das Risiko beginnt bei den Rechten

Ein typisches Cloud-Szenario zeigt, wo die Gefahren lauern: Ein KI-Agent soll Dateien aus einem S3-Bucket auslesen, also aus einem klar begrenzten Datenspeicher. Statt ausschließlich Leserechte für diesen Speicherbereich zu erhalten, erteilen die Verantwortlichen Zugriff auf das gesamte AWS-Konto. Damit kann das System plötzlich nicht nur Daten lesen, sondern auch virtuelle Maschinen stoppen, Netzwerke verändern oder Infrastruktur löschen. Vielleicht führt der Agent im Alltag trotzdem nur die gewünschte Aufgabe aus. Entscheidend ist aber: Er könnte mehr. Und genau dieses „Könnte“ ist in der IT-Sicherheit selten harmlos.

Hier greift das Least-Privilege-Prinzip: Ein Agent erhält nur die Rechte, die er für seine konkrete Aufgabe benötigt – nicht mehr. Ein System, das Informationen abrufen soll, braucht keine administrativen Rechte. Ein Werkzeug, das Analysen erstellt, darf keine Produktivdaten verändern. Und ein Agent, der Empfehlungen gibt, muss nicht automatisch Konfigurationen anpassen. Berechtigungen sind in diesem Kontext kein technisches Detail, sie sind der zentrale Sicherheitsmechanismus.

Herstellerclaims reichen nicht

Die öffentliche Debatte über KI-Agenten ist stark von Versprechen geprägt: Systeme sollen Schwachstellen schneller finden, Code prüfen, Abläufe automatisieren und Sicherheitsabteilungen entlasten. Projekte wie OpenClawd und Ankündigungen rund um Anthropic „Mythos“ zeigen, wie groß die Erwartungen inzwischen sind. Für Unternehmen liegt darin durchaus eine Chance. Doch unter dem Blickwinkel der IT-Sicherheit reicht die Leistungsbeschreibung eines Herstellers nicht aus. Entscheidend ist nicht nur, was ein Agent angeblich kann, sondern mit welchen Zugriffskontrollen er betrieben wird. Gerade bei besonders leistungsfähigen Systemen gilt: Wer auf Automatisierung setzt, muss nachweisbar kontrollieren können, was das System darf, was es getan hat und wo seine Grenzen liegen. Unabhängige Prüfungen, saubere Zugangskonzepte, Protokollierung und klare Verantwortlichkeiten sind wichtiger als spektakuläre Produktversprechen. Die Lehre aus dem Hype lautet daher: Nicht die Ankündigung macht ein System sicher. Die Zugriffskontrolle tut es.

Kontrolle muss beherrschbar bleiben

Die wirksamsten Schutzmaßnahmen gegen riskante KI-Agenten stammen aus dem bekannten Werkzeugkasten der IT-Sicherheit. Dazu gehören klar begrenzte Rechte, definierte Zuständigkeiten, Protokollierung, kontinuierliche Überwachung und menschliche Freigaben für kritische Aktionen.

Gerade bei autonomen Systemen gewinnen diese Maßnahmen an Gewicht. Ein Agent arbeitet nicht wie ein Mensch. Er zögert nicht, interpretiert Berechtigungen nicht vorsichtig und nutzt seinen Handlungsspielraum so, wie er technisch verfügbar ist. Das ist im menschlichen Sinn weder böse noch klug. Es ist eine Frage der Gestaltung. Wer einem KI-Agenten zu viele Rechte gibt, baut einen digitalen Werkzeugkasten ohne Schloss. Vielleicht passiert nichts. Vielleicht aber doch.

Wenn Autonomie zu weit geht

Der Vorfall bei PocketOS, einem US-Hersteller von Softwarelösungen für Autovermietungen, macht diese Gefahr greifbar. Dort hatte ein interner KI-Agent Zugriff auf Zugangsdaten, die ursprünglich für andere Zwecke vorgesehen waren. Anschließend führte das System eigenständig Aktionen aus, die zur Löschung produktiver Datenbanken führten. Der Schaden war erheblich, obwohl keine klassische Kompromittierung durch externe Angreifer stattfand.

Der Fall zeigt: Risiken entstehen nicht nur durch Cyberkriminelle. Auch zu weit gefasste Berechtigungen, fehlende Kontrolle und autonomes Handeln gefährden geschäftskritische Systeme. Für Unternehmen bedeutet das: KI-Agenten brauchen mindestens denselben Sicherheitsrahmen wie Mitarbeitende, Dienstleister, Skripte oder Servicekonten – oft sogar einen strengeren. Denn sie handeln schnell, dauerhaft und ohne natürliches Zögern.

Leitplanken machen KI-Agenten nützlich

KI-Agenten sollten nicht einfach in Unternehmensnetzwerke integriert und anschließend unbeaufsichtigt betrieben werden. Sicherer ist ein stufenweiser Ansatz: erst begrenzen, dann beobachten, dann gezielt erweitern.

Besonders sensible Vorgänge sollten grundsätzlich eine menschliche Freigabe erfordern. Dazu zählen das Löschen von Daten, Änderungen an kritischen Konfigurationen, Zugriffe auf besonders schützenswerte Informationen und Aktionen, die sich nicht oder nur schwer rückgängig machen lassen.

Sogenannte Human-in-the-Loop-Konzepte sind deshalb mehr als eine Komfortfunktion. Sie sind ein Sicherheitsgurt für autonome Systeme. Der Agent darf arbeiten – aber bei riskanten Entscheidungen bleibt der Mensch in der Verantwortung. Das schafft nicht nur Schutz, sondern auch Vertrauen. Fachabteilungen können KI-Agenten produktiv nutzen, während IT- und Sicherheitsverantwortliche klare Kontrollpunkte behalten.

Keine Panik, aber klare Governance

KI-Agenten sind ein weiterer Technologiesprung: leistungsfähig, nützlich und mit klarer Verantwortung verbunden. Die eigentliche Gefahr liegt nicht in ihrer Existenz. Problematisch wird es, wenn Unternehmen sie ohne Governance, Berechtigungskonzept und Überwachung einsetzen. Wer heute Rollen, Rechte, Protokolle und Freigaben sauber definiert, kann morgen sicherer von der Technologie profitieren. So werden KI-Agenten nicht zum unkontrollierten Risiko, sondern zu einem beherrschbaren Werkzeug. Nicht der Agent ist das Risiko – die falsch gesetzten Rechte sind es.

Autoren

  • Tim Berghoff G_Data

    Tim Berghoff ist Security Evangelist bei G DATA CyberDefense. In seiner Position bei G DATA bildet er die Schnittstelle zwischen technischer Komplexität und dem Anwender. Er ist zuständig für eine klare Kommunikation von G DATA in der Sicherheits-Fachwelt, bei Presse, Händlern, Resellern und Endkunden und er spricht häufig auf nationalen und internationalen Veranstaltungen. Tim Berghoff arbeitet seit 2009 bei G DATA, erst im Support für Unternehmenskunden, später im Consulting für internationale B2B-Distributoren, Partner und Endkunden.

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung

Das könnte Sie auch interessieren