KI-Agenten: Größeres Risiko als maschinelle Identitäten.
96 Prozent der Technikexperten sehen in KI-Agenten ein wachsendes Sicherheitsrisiko, dennoch planen 98 Prozent eine verstärkte Einführung. Experten fordern daher, dass Agenten wie menschliche Identitäten mit klaren Zugriffsrechten und Verantwortlichkeiten verwaltet werden
SailPoint, Anbieter von Unified Identity Security für Unternehmen, hat einen neuen Forschungsbericht mit dem Titel „KI-Agenten: Die neue Angriffsfläche“ veröffentlicht. Grundlage ist eine weltweite Umfrage unter Sicherheits- und IT-Fachleuten sowie Führungskräften. Der Bericht betont, wie wichtig es angesichts des zunehmenden Einsatzes von KI-Agenten ist, die Identitätssicherheit zu verbessern.
Laut dem Bericht setzen 82 Prozent der Unternehmen bereits KI-Agenten ein, aber nur 44 Prozent verfügen über Richtlinien zu deren Schutz. Ein bemerkenswertes Paradoxon: 96 Prozent der Technologieexperten halten diese für ein wachsendes Risiko – gleichzeitig planen 98 Prozent der Unternehmen, deren Einsatz innerhalb des nächsten Jahres auszuweiten.
Im weitesten Sinne umfassen die Begriffe „KI-Agent“ oder „agentenbasierte KI“ autonome Systeme, die wahrnehmen, Entscheidungen treffen und Maßnahmen ergreifen, um bestimmte Ziele in einer definierten Umgebung zu erreichen. Diese Agenten benötigen oft mehrere verschiedene Maschinenidentitäten, um auf benötigte Daten, Anwendungen und Dienste zugreifen zu können. Sie bringen außerdem zusätzliche Komplexität mit sich, beispielsweise in Form von Selbstmodifikation und der Fähigkeit, Unteragenten zu erzeugen. Bemerkenswert ist, dass 72 Prozent der Befragten KI-Agenten als größeres Risiko einstufen als Maschinenidentitäten. Zu den Faktoren, die dazu beitragen, dass KI-Agenten ein Sicherheitsrisiko darstellen, gehören:
- die Fähigkeit, auf privilegierte Daten zuzugreifen (60 Prozent)
- ihr Potenzial, unbeabsichtigte Aktionen durchzuführen (58 Prozent)
- Weitergabe privilegierter Daten (57 Prozent)
- Treffen von Entscheidungen auf der Grundlage ungenauer oder ungeprüfter Daten (55 Prozent)
- Zugriff auf und Weitergabe von unangemessenen Informationen (54 Prozent)
KI-Agenten: Innovationstreiber und potenzielles Risiko
„KI-Agenten sind sowohl ein starker Innovationstreiber als auch ein potenzielles Risiko“, sagt Chandra Gnanasambandam, EVP of Product und CTO bei SailPoint. „Diese autonomen Agenten verändern grundlegend, wie gearbeitet wird, eröffnen aber zugleich neue Angriffsflächen. Sie haben häufig weitreichenden Zugriff auf sensible Systeme und Daten, unterliegen jedoch oft nur eingeschränkter Kontrolle. Diese Kombination aus hohen Privilegien und geringer Transparenz macht sie zu bevorzugten Zielen für Angreifer. Wenn Unternehmen den Einsatz ausweiten, sollten sie deshalb einen identitätsorientierten Ansatz verfolgen, um sicherzustellen, dass diese Agenten genauso streng kontrolliert werden wie menschliche Nutzer: mit Echtzeit-Berechtigungen, minimalen Privilegien und vollständiger Nachvollziehbarkeit ihrer Aktionen.“
KI-Agenten haben heute bereits Zugriff eine Vielzahl hochsensibler Daten, darunter Kundeninformationen, Finanzdaten, geistiges Eigentum, juristische Dokumente, und Transaktionen in der Lieferkette. Dennoch geben die Befragten an, große Bedenken hinsichtlich der Kontrolle der Daten zu haben, auf die KI-Agenten zugreifen und die sie weitergeben können. 92 Prozent sind der Meinung, dass die Kontrolle entscheidend für die Sicherheit des Unternehmens ist. Alarmierend: 23 Prozent der Befragten berichteten, dass ihre KI-Agenten dazu gebracht wurden, Zugangsdaten preiszugeben. Zudem gaben 80 Prozent an, dass ihre KI-Agenten unbeabsichtigte Aktionen ausgeführt haben, darunter:
- Zugriff auf nicht autorisierte Systeme oder Ressourcen (39 Prozent)
- Zugriff auf oder Weitergabe von sensiblen bzw. ungeeigneten Daten (31 Prozent bzw. 33 Prozent)
- Herunterladen sensibler Inhalte (32 Prozent)
KI-Agenten sind nicht nur tief in verschiedene Systeme eingebettet, sondern sind ein eigener Identitätstyp. Da fast alle Unternehmen (98 Prozent) planen, ihre Nutzung von agentenbasierter KI im kommenden Jahr auszuweiten, sind spezielle Lösungen für die Identitätssicherheit unerlässlich. Viele Unternehmen stehen noch am Anfang dieses Prozesses. Wachsende Bedenken hinsichtlich der Datenkontrolle verdeutlichen die Notwendigkeit umfassenderer Strategien zur Identitätssicherheit.
Diese müssen nicht nur menschliche, sondern auch KI- und Maschinenidentitäten verwalten. Solche Lösungen müssen in der Lage sein, alle Agenten in der Umgebung zu erkennen, eine einheitliche Sichtbarkeit zu bieten, Zero Standing Privilege durchzusetzen und die Auditierbarkeit zu gewährleisten, damit Unternehmen die Sicherheit erhöhen und die gesetzlichen Anforderungen erfüllen können. In Zeiten weit verbreiteter Datenschutzverletzungen erhöhen unzureichend verwaltete Agenten das Risiko zusätzlich.
Methodik: Für die Umfrage wurden IT-Fachleute befragt, die in Unternehmen für KI, Sicherheit, Identitätsmanagement, Compliance und Betrieb verantwortlich sind. Insgesamt 353 qualifizierte Teilnehmer, die von Dimensional Research, einem unabhängigen Dienstleister, ausgewählt wurden, beantworteten die Umfrage. Alle Teilnehmer waren für die Unternehmenssicherheit verantwortlich. Die Teilnehmer stammten aus fünf Kontinenten, sodass eine globale Perspektive gewährleistet war.