Autonome KI-Agenten arbeiten schon heute in Produktivumgebungen mit Datenbankzugriff, API-Schlüsseln und Systemberechtigungen. Doch ihre Absicherung basiert auf denselben softwarebasierten Guardrails, die schon 2023 bei ChatGPT-Jailbreaks versagt haben. Nur ist das Risiko diesmal ungleich größer. Es wird Zeit, dass die IT-Branche aus ihren alten, kostspieligen Fehlern lernt.
Autonome KI-Agenten arbeiten mit weitreichenden Systemberechtigungen. Ein Schutz durch rein softwarebasierte Guardrails reicht nicht aus, um Angriffe mit Maschinengeschwindigkeit zu stoppen.
Wenn Filtermechanismen versagen und eine böswillige Manipulation der KI durchlassen, bleibt menschlichen Nutzern keine Zeit mehr zum Eingreifen. Der autonome Agent führt die eingeschleusten Angriffsbefehle direkt und mit Maschinengeschwindigkeit aus. Die Dimension dieses Risikos zeigte sich deutlich, als Anthropic im November 2024 das Model Context Protocol (MCP) veröffentlichte, das KI-Agenten die standardisierte Verbindung mit Datenbanken, Dateisystemen und Unternehmensanwendungen ermöglicht.
Acht Monate klingt rasant, vor allem im Vergleich mit der Einführung früherer Technologien. Doch das Muster ist altbekannt. Wir beobachten dieselbe Entwicklung nur im Zeitraffer: schnell implementieren, Schwachstellen entdecken, hektisch patchen. Die Frage ist, ob die Branche aus drei Jahrzehnten vergangener Sicherheitsverletzungen lernen kann, bevor autonome Agenten einen schwerwiegenden Sicherheitsvorfall verursachen.
Software kann Software nicht perfekt absichern
Bei technologischen Innovationen stehen meist die schnelle Bereitstellung und ein schlankes Design im Vordergrund. Sicherheitslücken werden geschlossen, wenn sie auftreten. Diese Strategie hat der Industrie unglaubliche Agilität verliehen. Sie hat uns gleichzeitig aber auch eine ununterbrochene Kette von Cyberrisiken und Angriffen beschert. Der Zyklus wiederholt sich in jeder Sicherheitsdomäne identisch.
Netzwerksicherheitsansätze etwa nutzten in den 1990er- und 2000er-Jahren Software-Firewalls zum Schutz der Perimeter. Angreifer kompromittierten die Firewalls durch Software-Exploits. Die Antwort der Hersteller darauf war, weitere Softwareschichten hinzuzufügen – darunter Angriffserkennung, Intrusion-Prevention-Systeme sowie Lösungen für das Security Information and Event Management (SIEM). Die Cybervorfälle setzten sich dennoch fort, bis Unternehmen schließlich hardwarebasierte Netzwerksegmentierung und dedizierte Sicherheits-Appliances implementierten.
Die Endpunktsicherheitsstrategien der 2000er- und 2010er-Jahre setzten vor allem auf signaturbasierte Antivirensoftware. Aber Cyberkriminelle entwickelten ihre Malware immer weiter, um die Erkennungsmechanismen zu umgehen. Die Reaktion der Sicherheitsbranche bestand darin, Verhaltensanalysen, Sandboxing und Endpoint Detection and Response hinzuzufügen – allesamt weitere Softwareschichten. Erst TPM-Chips und hardwaregestütztes Secure Boot als Standard stärkten die Endpoint-Sicherheit merklich.
Und auch beim Thema Cloud-Sicherheit in den 2010er- und 2020er-Jahren ließ sich dieser Zyklus beobachten. Trotz softwarebasierter Hypervisor-Isolation gelangen Akteuren VM-Escapes und Container-Breakout-Angriffe. Weitere Softwaremaßnahmen wie Kubernetes-Richtlinien, Service-Mesh-Architekturen und Zero-Trust-Frameworks konnten die Sicherheitslücken nicht beseitigen, bis Hardware-Enklaven wie Intel SGX und AMD SEV eine Isolierung auf Chip-Ebene ermöglichten.
Der gemeinsame Nenner: Software-Sicherheitsgrenzen werden immer wieder kompromittiert. Hardware – also die Ebene, auf der die Daten tatsächlich gespeichert sind – bleibt verwundbar, bis die Branche entsprechende Schutzmaßnahmen entwickelt. Mit jeder neuen Technologie beginnt der Kreislauf von vorn. Jetzt führen viele Unternehmen KI-Agenten mit Systemzugang ein, abermals geschützt durch Software-Leitplanken.
KI-Agenten stellen einen grundlegenden architektonischen Wandel dar. Schon ein einzelner Agent mit autonomen Rechten kann ohne menschliche Kontrolle infrastrukturweite Schäden verursachen. Damit verändert sich das Bedrohungsmodell grundlegend. Wenn es keinen menschlichen Kontrollpunkt zwischen Entscheidung und Ausführung gibt, drohen im schlimmsten Fall autonome Datenexfiltration und Systemkompromittierung, und das über mehrere Umgebungen hinweg.
Leider folgen die derzeitigen Bemühungen, KI-Agenten abzusichern, dem etablierten Muster, dem Problem vor allem mit zusätzlicher Software zu begegnen. So bieten die NVIDIA NeMo Guardrails programmierbare Leitplanken für Agenten. Anthropics Constitutional AI implementiert eine wertorientierte Filterung; OpenAI bietet Moderationsendpunkte zur Inhaltskontrolle. Diese Tools zielen darauf ab, bösartige Anweisungen von vornherein von Agenten fernzuhalten. Doch es handelt sich dabei um heuristische Systeme, die auf Mustern basieren, nicht um Sicherheitsgarantien.
Andere Projekte konzentrieren sich auf die Themen Berechtigung und Überwachung. Das A2AS-Konsortium entwickelt Autorisierungsstandards für den Agentenzugriff. Unternehmen implementieren API-Ratenbegrenzung, Verhaltensanalysen und MCP-Server-Authentifizierungsprotokolle mit dem Ziel, zu begrenzen, worauf kompromittierte Agenten zugreifen können. Die Herausforderung ist, dass Agenten umfangreiche Berechtigungen benötigen, um überhaupt nützlich zu sein, und dass kompromittierte Agenten ihren legitimen Zugang missbrauchen können. Verhaltensüberwachung erkennt Anomalien zudem erst nach ihrem Auftreten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Beide Maßnahmen – also Leitplanken und beschränkte Berechtigungen – sind notwendig, doch beide operieren innerhalb der Software-Zone. Echte und tiefgehende Verteidigung erfordert ein drittes Sicherheitslevel, das die Hardware-Ebene überwacht, also dort wirkt, wo Daten physisch gespeichert sind.
Die letzten 30 Jahre haben immer wieder bewiesen, dass ein rein softwarebasierter Ansatz für die Cybersicherheit zwar schnell und leichtgewichtig, aber letztlich unzureichend ist. Wenn Sicherheitsverletzungen trotz Softwareschutzmaßnahmen an der Tagesordnung bleiben, dann ist die Lösung nicht, mehr Software einzuführen, sondern die Sicherheit schon auf Hardware-Ebene zu verankern.
Für Unternehmen bedeutet das, in den Aufbau eines ganzheitlichen Sicherheitskonzepts zu investieren, das starke Hardware-Sicherheitsmaßnahmen in Kombination mit speziell entwickelten Softwarelösungen nutzt. Es sind bereits intelligente hardwarebasierte Lösungen im Markt erhältlich, die zusammen mit Software-Sicherheitsvorkehrungen eingesetzt werden können, um die KI-Sicherheit zu verbessern.
Bei der Geschwindigkeit, mit der agentische KI eingeführt wird, hat die Branche jetzt keine Zeit mehr zu verlieren. Agenten haben bereits Zugang zu Kundendaten, Finanzsystemen und kritischen Infrastrukturen. Der potenzielle Schadensradius ist also beträchtlich. Die Frage ist, ob es erst einen bedeutenden Sicherheitsvorfall geben muss, bevor Unternehmen und Hersteller die Risiken einer reinen Softwareverteidigung für autonome KI-Systeme erkennen.
Über die Autorin: Camellia Chan ist CEO und Mitbegründerin von X-PHY Inc., einem Pionier im Bereich der hardwarebasierten Cybersicherheit. Sie leitet die Mission des Unternehmens, KI-gestützte Schutzmaßnahmen in die physische Ebene einzubetten und so proaktive, autonome Sicherheit zu ermöglichen. Mit über 40 Patenten setzt sie sich für Innovation und Inklusion in der Cyberabwehr ein.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/55/3855af46f26721068e776c3b94d175e1/0131974749v2.jpeg "Manipulierte CDN-Skripte von Awesome Motive legten auf 1,2 Millionen WordPress-Seiten Admin-Konten an. Ein einziger gestohlener CDN-Schlüssel genügte als Angriffsvektor. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/65/016588919d190567b485a6ccfeb61ed9/0131967372v2.jpeg "Zwei kritische Speicherfehler in NGINX ermöglichen Angreifern ohne Anmeldung Denial of Service und Codeausführung. F5 reagiert mit außerplanmäßigen Patches auf beide CVSS-9.2-Lücken. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4f/0d/4f0db1b470744561ee6ca509aa8c1d6e/0131904361v1.jpeg "Viele Begriffe rund um den Schutz von Smartphones und Laptops sind den Deutschen zwar vom Hörensagen bekannt, doch beim Detailwissen gibt es oft noch Aufklärungsbedarf. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/23/dc/23dc8345e87cad545daea668e8a4792d/0131996565v1.jpeg "Mit Sophos XDR können Unternehmen auch komplexe Cyberbedrohungen abwehren. (Bild: Getty Images)")
:quality(80)/p7i.vogel.de/wcms/da/b4/dab4612f7c2dcfc259b9ccd933a87cd8/0131971369v2.jpeg "Eine Phishing-Mail reicht aus, um ein Netzwerk in Minuten zu kompromittieren. Darauf antwortet Barracuda jetzt mit Integrated Email Protection. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4e/79/4e79d59da4087ea77a3885fe977f4ba7/0131972869v2.jpeg "Autonome KI-Agenten arbeiten mit weitreichenden Systemberechtigungen. Ein Schutz durch rein softwarebasierte Guardrails reicht nicht aus, um Angriffe mit Maschinengeschwindigkeit zu stoppen. (Bild: © Naseem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/f8/6cf8b167fef62b623afaa3e74ca6d7f6/0131970576v2.jpeg "Veraltete OT-Systeme sind leichte Ziele für Angreifer, ein Austausch kostet Millionen. OT-Security sichert Anlagen und verschafft Betreibern Zeit für strategische Modernisierung. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e8/d8/e8d8fc279ab506c111e3ea6337c42111/0131857480v2.jpeg "Der neu entdeckte DoS-Angriff HTTP/2 Bomb erschöpft den Webserver-Arbeitsspeicher binnen Sekunden. Für IIS, Envoy und Cloudflare Pingora fehlt bislang ein Patch. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/42/8d/428dc0efc2c83df53175fd9c7184e9fd/0131903746v1.jpeg "Über acht Terabyte an unverschlüsselten Passwörtern, Benutzernamen und E-Mail-Adressen waren zeitweise frei im Netz zugänglich. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/cb/67cb45f559ebb65b6989574c73c7e9a8/0131822268v2.jpeg "Fragmentierte IAM-Landschaften schaffen Angriffsflächen, die klassische Sicherheitsmaßnahmen nicht adressieren. Identity Fabric orchestriert bestehende Systeme und macht Zero Trust konsequent umsetzbar. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/71/66/71661611e59b8408605b7db7dcbec0e4/0131759983v2.jpeg "Die Hälfte der ISX-Tour ist geschafft: Nach München geht es jetzt weiter nach Hamburg und Düsseldorf. (Bild: Vogel-IT Akademie)")
:quality(80)/p7i.vogel.de/wcms/ef/02/ef026ebbc177a0ce4de09becbf79d5ac/0131660873v1.jpeg "Historisch gewachsene IT-Architekturen erweisen sich für die fortschreitende Digitalisierung als Bremsklotz. (Bild: © kiimoshi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/65/60/65609cf9d5d06/aagon-logo.png "aagon-logo (Aagon)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/5e/26/5e26172f43a1356ee4220f77157bb57d/0123816971v2.jpeg "Die Einführung von generativer KI (GenAI) in Unternehmen führt zu neuen Risiken – intern durch die stark steigende Vernetzung durch APIs und fehlerhafte Bedienung, extern durch neuartige Angriffsmöglichkeiten für Cyberkriminelle. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/93/3e93ebac78f49cc19dab6772372a2b8d/0131642048v2.jpeg "KI wird in Unternehmen wie ein Werkzeug behandelt, wirkt im Betrieb aber wie kritische Infrastruktur. Fehlentscheidungen entstehen, bevor jemand eingreifen kann. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f5/60/f5608f77a50ec07ad70cb9abc8d588b1/0126364909v1.jpeg "KI-Agenten verändern Cyberangriffe grundlegend, sie agieren schneller, skalierbarer und anpassungsfähiger als bisher bekannte Methoden. (Bild: © Antony Weerut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/97/3d9766294184f807990612e7f58bf2b3/0130059255v2.jpeg "KI-gestützte Entwicklungstools versprechen Produktivitätsgewinne, doch Prompt-Injection-Angriffe und autonome Spionagekampagnen zeigen die wachsenden Risiken für Unternehmen. (Bild: © Arnab Dey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/12/8312bf00e110a5f83e9044d3530cee45/0130131441v1.jpeg "Schwachstellen in KI-Systemen nehmen schneller zu als im restlichen Software-Ökosystem, besonders in neuen Architekturen wie agentischer KI. (Bild: Trend Micro)")
:quality(80)/p7i.vogel.de/wcms/21/93/2193abe92b41b79430ede4d31963ace8/0130666104v2.jpeg "Shadow Agentic AI ist ein blinder Fleck für CISOs. Autonome KI-Agenten handeln oft ohne Wissen der IT-Abteilung und ohne Governance-Richtlinien. (Bild: © Calado - stock.adobe.com)")