Autonome KI-Agenten
Autonome KI-Agenten erhöhen die Angriffsfläche in Unternehmen
KI-Agenten verändern die Cybersecurity grundlegend
Was früher ein Assistent war, der auf Eingaben wartete, handelt heute zunehmend eigenständig: Er liest E-Mails, greift auf Dateien zu, schreibt Code und trifft Entscheidungen im Namen von Beschäftigten. Genau darin liegt der Gamechanger: Unternehmen bekommen nicht nur neue Produktivität, sondern auch eine neue, oft unterschätzte Angriffsfläche. Künstliche Intelligenz ist in vielen Unternehmen längst mehr als ein Werkzeug. Autonome KI-Agenten übernehmen konkrete Aufgaben, durchsuchen Postfächer, analysieren interne Dokumente, planen Termine oder greifen auf Repositories zu. Damit rücken sie in eine Rolle, die bislang Menschen vorbehalten war: Sie arbeiten mit Unternehmensdaten, nutzen Berechtigungen und treffen operative Entscheidungen.
Für Sicherheitsverantwortliche entsteht dadurch eine neue Herausforderung. Denn KI-Agenten verhalten sich nicht wie klassische Software, deren Abläufe vollständig vorhersehbar sind. Sie reagieren auf Inhalte, interpretieren Kontext und können bei ähnlichen Anfragen unterschiedlich handeln. Gleichzeitig verfügen sie häufig über weitreichende Zugriffsrechte, weil sie im Namen eines Nutzers agieren.
Wie riskant diese Entwicklung werden kann, zeigte der Fall EchoLeak . Die unter CVE-2025-32711 geführte Schwachstelle in Microsoft 365 Copilot erreichte einen CVSS-Wert von 9,3. Nach Angaben der bekannten Fallbeschreibung genügte eine präparierte E-Mail, um den KI-Assistenten dazu zu bringen, vertrauliche Informationen an einen externen Server weiterzugeben. Der Angriff erforderte kein Anklicken, keine Nutzerinteraktion und kein bestimmtes Fehlverhalten. Microsoft schloss die Lücke serverseitig und erklärte, keine Ausnutzung in freier Wildbahn festgestellt zu haben. Dennoch gilt EchoLeak als Warnsignal: Es zeigt, dass KI-Agenten mit Zugriff auf mehrere interne Datenquellen selbst dann zum Risiko werden können, wenn Mitarbeitende nichts falsch machen.
Der Kern des Problems liegt in der Arbeitsweise solcher Systeme. KI-Agenten übernehmen Aufgaben ähnlich wie Beschäftigte, besitzen aber kein menschliches Bauchgefühl. Ein Mensch wird misstrauisch, wenn eine Anfrage ungewöhnlich, übergriffig oder widersprüchlich wirkt. Ein Agent folgt dagegen oft der Anweisung, die er im jeweiligen Kontext als relevant erkennt. Genau das nutzen Angreifer aus. Beim klassischen Social Engineering richten sich Autorität, Dringlichkeit und Vertrauen gegen Menschen. Bei KI-Agenten verschiebt sich dieses Prinzip auf Maschinen. Manipulierte Inhalte können den Agenten dazu bringen, interne Informationen preiszugeben, Schutzmechanismen zu umgehen oder unerwünschte Aktionen auszuführen.
Besonders kritisch ist die indirekte Prompt Injection. Dabei verstecken Angreifer Anweisungen in Dokumenten, Webseiten oder E-Mails, die ein KI-Agent verarbeitet. Für Menschen können diese Hinweise unsichtbar oder unauffällig sein, etwa durch weiße Schrift auf weißem Hintergrund. Für den Agenten sind sie Teil des Kontexts und können als Handlungsanweisung interpretiert werden. Auch Kontextmanipulation wird zu einem wachsenden Risiko. Schädliche Befehle werden dabei als Recherche, Testfall oder fiktives Szenario getarnt. Ziel ist es, Sicherheitsregeln zu umgehen und den Agenten zu einer Aktion zu bewegen, die außerhalb des eigentlich erlaubten Rahmens liegt.
„Zwei Jahrzehnte lang haben Unternehmen Mitarbeitende dafür sensibilisiert, nicht jeder E-Mail zu vertrauen. Jetzt führen sie Systeme ein, die genau diese Inhalte lesen, bewerten und teilweise eigenständig darauf reagieren“, sagt Dr. Martin J. Krämer, CISO Advisor bei KnowBe4 . „KI-Agenten müssen deshalb wie digitale Mitarbeitende behandelt werden – mit klaren Rollen, begrenzten Rechten und überprüfbaren Prozessen.“
Die Antwort auf dieses Risiko kann nicht darin bestehen, KI-Agenten pauschal zu verbieten. Dafür ist ihr Nutzen in vielen Bereichen zu groß. Entscheidend ist vielmehr eine kontrollierte Einführung mit klarer Governance.
Ein tragfähiger Rahmen unterscheidet zwischen drei Kategorien: freigegebene Unternehmenswerkzeuge mit Single Sign-on und Sicherheitskontrollen, eingeschränkt nutzbare Tools für klar definierte Anwendungsfälle sowie untersagte Verbraucherprodukte, die eingegebene Daten für Trainingszwecke verwenden oder keine ausreichenden Schutzmechanismen bieten. Darauf aufbauend sollten Unternehmen vier Maßnahmen priorisieren. Erstens braucht es ein vollständiges Inventar aller KI-Tools, Agenten, Schnittstellen und Integrationen. Was nicht bekannt ist, lässt sich nicht schützen.
Zweitens müssen KI-Agenten nach dem Prinzip minimaler Rechte arbeiten. Ein Agent sollte nicht automatisch die gesamte Rolle eines Nutzers erben, sondern nur die Berechtigungen erhalten, die für eine konkrete Aufgabe erforderlich sind.
Drittens wird Prompt-Hygiene zu einem festen Bestandteil der Sicherheitskultur. Mitarbeitende müssen verstehen, welche Informationen sie in KI-Systeme eingeben dürfen, wie manipulierte Inhalte aussehen können und warum KI-Ausgaben nicht ungeprüft übernommen werden sollten.
Viertens braucht es menschliche Kontrolle bei sensiblen Vorgängen. Wenn ein Agent Daten verschickt, Code verändert, externe Systeme anspricht oder Entscheidungen mit rechtlicher, finanzieller oder sicherheitsrelevanter Wirkung vorbereitet, sollte ein Mensch die Ausgabe prüfen, bevor sie wirksam wird.
Für Unternehmen markiert der Aufstieg autonomer KI-Agenten damit einen Wendepunkt. KI wird zur Kollegin – aber zu einer Kollegin, die keine Intuition besitzt, keine Absichten erkennt und auf manipulierte Informationen reagieren kann. Wer KI-Agenten produktiv einsetzen will, muss sie deshalb mit derselben Sorgfalt einführen wie neue Mitarbeitende: mit klaren Aufgaben, begrenztem Zugriff, Schulung, Kontrolle und Verantwortung.
Die entscheidende Frage für CISOs lautet nicht mehr, ob KI-Agenten im Unternehmen genutzt werden. Die Frage ist, ob sie bereits sicher genug eingebunden sind.
