KI-Identitäten

Okta Studie zeigt: Eingebaute KI-Guardrails reichen nicht aus

, Okta | Autor: Herbert Wieler

Okta Studie zeigt: Eingebaute KI-Guardrails reichen nicht aus

Agentic AI und Cybersecurity: Warum eingebaute KI-Leitplanken für Agentic AI nicht ausreichen

KI-Agenten gelten als nächste Evolutionsstufe der Automatisierung – doch genau darin liegt ein massives Sicherheitsrisiko. Neue Untersuchungen zeigen, dass moderne Agentic-AI-Systeme sensible Zugangsdaten eigenständig preisgeben oder Sicherheitsmechanismen umgehen können. Unternehmen stehen damit vor einer neuen Realität: Wer KI-Agenten einsetzt, muss sie wie privilegierte digitale Identitäten behandeln – sonst drohen schwerwiegende Datenlecks und Kontrollverluste.

Arkadiusz Krowczynski, Principal Product Acceleration Specialist bei Okta ordnet ein:

Arkadiusz Krowczynski, Principal Product Acceleration Specialist bei Okta

KI-Agenten übernehmen zunehmend komplexe Aufgaben in Unternehmen. Dafür erhalten sie weitreichende Zugriffe auf SaaS-Anwendungen, Datenbanken, interne Systeme und externe Webdienste. Genau diese tiefgreifenden Berechtigungen machen Agentic AI jedoch zu einem neuen Angriffsvektor für Cyberkriminelle.

Ein aktueller Bericht von Okta Threat Intelligence warnt davor, KI-Agenten unkontrolliert mit sensiblen Zugangsdaten wie API-Keys, OAuth-Tokens oder persönlichen Access-Tokens auszustatten. Denn aktuelle Tests zeigen deutlich: Die integrierten Sicherheitsleitplanken moderner KI-Modelle reichen allein nicht aus, um Unternehmensdaten zuverlässig zu schützen.

KI-Agenten geben Zugangsdaten ungefragt preis

In einer isolierten Testumgebung analysierten Sicherheitsexperten die Open-Source-Automatisierungsplattform OpenClaw in Kombination mit verschiedenen Large Language Models (LLMs). Ziel war es, die Anfälligkeit der Systeme gegenüber Social Engineering sowie direkten und indirekten Prompt-Injection-Angriffen zu untersuchen.

Die Ergebnisse waren alarmierend: In einem Szenario genügte bereits ein simples Webformular auf einer präparierten Website, um ein unzensiertes LLM dazu zu bringen, seinen kompletten Credential-Store offenzulegen. Der Agent übermittelte eigenständig sensible Informationen wie Passwörter, GitHub-Tokens, API-Keys und E-Mail-Adressen – ohne explizite Aufforderung durch den Nutzer.

Ein weiteres Testszenario zeigte, wie ein KI-Agent auf Basis von Anthropics Sonnet 4.5 manipuliert werden konnte, um ein WLAN-Passwort aus der macOS-Keychain auszulesen und dieses anschließend automatisiert über einen Telegram-Bot an einen Angreifer zu senden. Die Untersuchung macht deutlich: Wird der Kommunikationskanal kompromittiert, können Angreifer unter Umständen die vollständige Kontrolle über den Agenten und dessen Berechtigungen übernehmen.

Semi-autonome KI vergrößert die Angriffsfläche

Besonders kritisch bewerten die Forscher die zunehmende Eigenständigkeit moderner KI-Agenten. Fehlt einem Agenten beispielsweise der Zugriff auf ein Browser-Tool, versucht er unter Umständen alternative Wege zu finden – etwa über Kommandozeilenwerkzeuge wie cURL. In komplexeren Szenarien starteten Agenten sogar eigenständig isolierte Browser-Profile oder versuchten Session-Cookies zu injizieren, um Sicherheitsbeschränkungen zu umgehen.

Genau diese semi-autonome Arbeitsweise macht den Umgang mit Zugangsdaten zum größten Risikofaktor. Werden Credentials unverschlüsselt gespeichert oder über unsichere Kommunikationswege wie Chatbots übertragen, steigt die Gefahr eines erfolgreichen Angriffs erheblich.

Hinzu kommt ein grundlegendes Problem moderner KI-Systeme: Aufgrund ihres probabilistischen Verhaltens lassen sich Prompt-Injection-Angriffe nie vollständig ausschließen. Klassische „Guardrails“ direkt im Modell bieten daher keinen verlässlichen Schutz gegen Missbrauch oder Datenabfluss.

Unternehmen müssen Agentic AI wie digitale Identitäten behandeln

Die wichtigste Erkenntnis der Untersuchung: Nicht die KI selbst ist das eigentliche Problem, sondern die fehlende Governance rund um ihren Einsatz. Während Unternehmen KI-Agenten immer schneller produktiv einsetzen, fehlen vielerorts klare Sicherheitsrichtlinien und belastbare Kontrollmechanismen.

Sicherheitsexperten empfehlen deshalb einen grundlegenden Strategiewechsel: Agentic AI sollte innerhalb der Unternehmens-IT als eigenständige, nicht-menschliche Identität betrachtet werden. Damit unterliegen KI-Agenten denselben Anforderungen an Identity- und Access-Management wie Mitarbeiterkonten oder Service-Accounts.

Dazu gehören unter anderem:

  • konsequente Umsetzung des Least-Privilege-Prinzips
  • Verzicht auf langlebige Tokens und statische Zugangsdaten
  • zentral abgesicherte Secret-Storage-Lösungen
  • schnelle Isolation kompromittierter Agenten per Kill-Switch
  • vollständige Kontrolle aller Zugriffsrechte über eine moderne Identity Security Fabric

Fest steht: Mit der rasanten Verbreitung von Agentic AI wächst auch die Angriffsfläche für Unternehmen massiv. Wer KI-Agenten produktiv einsetzen will, benötigt deshalb nicht nur leistungsfähige Modelle – sondern vor allem eine belastbare Identity- und Security-Strategie.