KI-Agenten benötigen hochprivilegierte API-Schlüssel, um mit Sprachmodellen zu interagieren. Diese Schlüssel werden häufig unkontrolliert geteilt oder versehentlich veröffentlicht und entwickeln sich zur wachsenden Angriffsfläche. Mit dem EU AI Act wird der Kontrollverlust über API-Schlüssel zum regulatorischen Risiko für Unternehmen.
Unkontrollierte API-Schlüssel für KI-Agenten werden zur wachsenden Angriffsfläche. Mit dem EU AI Act wird der Kontrollverlust zum regulatorischen Risiko für Unternehmen.
(Bild: Dall-E / KI-generiert)
Die rasante Verbreitung generativer KI (GenAI) hat eine Entwicklung ausgelöst, die viele Experten bereits als die fünfte Welle der Cyberkriminalität bezeichnen, geprägt durch die Kommerzialisierung KI-gestützter Angriffe. Während sich die Branche stark auf die Ausgaben dieser Modelle konzentriert, wird ein grundlegenderes Infrastrukturrisiko oft übersehen: die Authentifizierungsebene. Auf der RSA Conference 2026 in San Francisco betonten große Unternehmen, dass Agenten inzwischen in der Lage sind, Webserver zu durchsuchen, digitale Prozesse anzustoßen und Code auszuführen, Aufgaben also, die bislang menschliches Urteilsvermögen und Entscheidungsfähigkeit erforderten.
Cyberkriminelle experimentieren dabei längst nicht mehr nur; sie nutzen zunehmend strukturierte „Crimeware-as-a-Service"-Ökosysteme, in denen automatisierte Phishing-Kits und sogenannte Dark LLMs bereits für wenige Dollar im Monat verfügbar sind.
Dabei müssen Angreifer nicht immer neue Exploits entwickeln. Stattdessen verstärken sie bestehende Angriffsmethoden, etwa den Diebstahl von Zugangsdaten, um Reichweite und Geschwindigkeit ihrer Operationen zu erhöhen. In typischen Entwicklungsumgebungen benötigen Ingenieure und automatisierte Coding-Agenten hochprivilegierte API-Schlüssel, um mit Modellanbietern zu interagieren. Diese Schlüssel, die häufig gehandelt, versehentlich in öffentlichen Repositories veröffentlicht oder über unsichere Kanäle geteilt werden, sind zu einer leicht zugänglichen Angriffsfläche für moderne Bedrohungsakteure geworden. Erlangt ein Angreifer Zugriff auf einen zentralen API-Schlüssel eines großen LLM-Anbieters, stiehlt er nicht nur Daten; er erhält die Möglichkeit, auf Kosten des Opfers umfangreiche, nicht autorisierte Rechenoperationen auszuführen.
Die Illusion von Kontrolle im dezentralen Zeitalter
Der traditionelle Ansatz zur Absicherung digitaler Ressourcen beruht häufig auf statischen Regeln und manueller Kontrolle. Doch wie Branchenanalysten betonen, stößt dieser Ansatz angesichts der schieren Menge KI-generierter Aktivitäten an seine Grenzen: In einem einzigen Jahr wurden über 30 Millionen Phishing-E-Mails registriert, von denen viele inzwischen KI-optimiert sind. In einem solchen Umfeld können menschliche Analysten mit der manuellen Rotation und Überwachung von API-Schlüsseln über Dutzende unterschiedlicher KI-Dienste hinweg kaum noch Schritt halten.
Sicherheitsteams befinden sich daher oft in einem Dilemma: Entweder überlassen sie Entwicklern die Verwaltung ihrer eigenen Schlüssel, was zu mangelnder Transparenz führt, oder sie setzen auf strikte Kontrollmechanismen, die Innovation ausbremsen. Doch damit nicht genug: API-Schlüssel entwickeln sich zunehmend selbst zu einem Risikofaktor, insbesondere vor dem Hintergrund verschärfter regulatorischer Anforderungen in Europa im Umgang mit großen Sprachmodellen und deren Handlungsspielräumen.
Aktuellen Berichten zum KI-Gesetz zufolge bewegt sich die Europäische Union auf ein risikobasiertes Regulierungsmodell zu, in dem Robustheit und Cybersicherheit zu verbindlichen Compliance-Anforderungen für Hochrisiko-KI-Systeme werden. Dabei werden insbesondere Angriffe zur Modell- und Datenextraktion als zentrale Bedrohungen hervorgehoben. Für einen CISO bedeutet das: Der Verlust der Kontrolle über einen API-Schlüssel ist längst nicht mehr nur ein IT-Problem, sondern kann schnell zu einem regulatorischen Verstoß werden.
Vom statischen Schlüssel zur identitätsbasierten Zugriffskontrolle
Um die Krise rund um Zugangsdaten zu bewältigen, ist ein grundlegender Paradigmenwechsel erforderlich: weg vom bloßen Wissen eines Geheimnisses, wie etwa eines API-Schlüssels, hin zur verlässlichen Verifikation von Identitäten. In einer modernen, sicheren Infrastruktur sollte das System implizit erkennen, wer oder was eine Verbindung herstellt. Genau hier wird das Konzept eines spezialisierten AI-Gateways zentral.
Die zugrunde liegende Architektur basiert auf einer brokerbasierten Abstraktion von Geheimnissen, bei der API-Schlüssel in einem sicheren, internen Knotenpunkt zentralisiert werden. Dieses Design entkoppelt Entwickler konsequent von sensiblen Zugangsdaten und stellt sicher, dass diese weder in Entwicklungsumgebungen noch zur Laufzeit von Anwendungen direkt vorhanden sind. Anstatt Entwicklern rohe API-Schlüssel etwa von OpenAI oder Anthropic bereitzustellen, oder diese im schlimmsten Fall fest in die Umgebung eines Agenten zu integrieren, verweisen sie ihre Tools auf einen internen Proxy. Dieser übernimmt drei zentrale Funktionen:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Identitätszuordnung: Jede Anfrage wird eindeutig einer Nutzer- oder Maschinenidentität zugeordnet, wodurch eine transparente und nachvollziehbare Audit-Logik entsteht.
Schlüsselabschirmung: Die eigentlichen API-Schlüssel bleiben verschlüsselt im Gateway gespeichert und befinden sich nicht auf lokalen Entwicklergeräten.
Granulare Kontrolle: Sicherheitsteams können den Zugriff gezielt für einzelne Nutzer oder Rollen entziehen, ohne den zugrunde liegenden Master-Schlüssel rotieren zu müssen, was ansonsten produktive Systeme beeinträchtigen würde.
Ein zentrales Prinzip moderner Cyberabwehr ist, dass KI den Menschen nicht ersetzt, sondern ihn dabei unterstützt, Routineaufgaben effizienter zu bewältigen. Dasselbe gilt für Sicherheitsinfrastrukturen. Wenn das Management von Zugangsdaten automatisiert und an Netzwerkidentitäten gekoppelt ist, wird Sicherheit nicht länger zum Hindernis, sondern zum Enabler für Geschwindigkeit. Gleichzeitig verbessert sich die Developer Experience, da Transparenz in Echtzeit darüber entsteht, wie KI-Agenten agieren, auf welche Daten sie zugreifen und welche Entscheidungen sie treffen.
Setzt eine Organisation auf ein internes Gateway, können Produktverantwortliche und Entwickler deutlich schneller LLM-basierte Anwendungen entwickeln, da sie nicht mehr auf manuelle Bereitstellung von API-Schlüsseln angewiesen sind. Eine einfache Konfigurationsänderung genügt, um über eine einheitliche Schnittstelle auf Enterprise-Anbieter wie AWS Bedrock oder Google Vertex zuzugreifen.
Darüber hinaus ermöglicht diese Zentralisierung eine Analyse in Echtzeit: Sicherheitsteams können Log-Datenströme in entsprechende Tools integrieren, um beispielsweise zu prüfen, ob personenbezogene oder sensible Daten unzulässig an externe Modelle weitergegeben werden. Eine solche Überwachung wird zunehmend zur Pflicht, insbesondere im Kontext regulatorischer Anforderungen wie dem KI-Gesetz.
Fazit: Sicherheit und Geschwindigkeit schließen sich nicht aus
Moderne Sicherheitskonzepte sollten Teams befähigen, schnell zu handeln, ohne dabei Kompromisse bei der Sicherheit einzugehen. Die Ablösung klassischer API-Schlüssel zugunsten starker, in der Netzwerkarchitektur verankerter Identitäten ist dabei der logische Schritt in einer Welt jenseits traditioneller Perimeter. Organisationen, die heute KI-Agenten ohne entsprechende Schutzmechanismen einsetzen, gehen ein vermeidbares Risiko ein, das sich durch den Einsatz moderner Gateway-Architekturen wirksam reduzieren lässt.
Über den Autor: Avery Pennarun ist Mitbegründer und CEO von Tailscale, das mit seinem Zero-Trust-Ansatz die sichere Vernetzung vereinfacht. Er ist ein Software-Ingenieur mit Erfahrung von innovativen Start-ups bis hin zu Tech-Giganten wie Google. Avery ist bekannt dafür, komplexe Systeme zu vereinfachen und Innovationen voranzutreiben. Zu seinen Open-Source-Projekten gehören netselect, bup, sshuttle und gfblip. Seine Arbeit priorisiert Einfachheit, Zuverlässigkeit und Entwicklerergonomie. Als visionäre Führungskraft brennt er für moderne Vernetzung und Open-Source-Innovationen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/42/69/4269999773d4d413fa17a36ece8ae43a/0131174875v1.jpeg "Akamai erweitert seine API-Security-Plattform um ein Posture Center und Code-to-Runtime-Mapping für messbare API-Sicherheit und schnellere Fehlerbehebung. (Bild: Akamai)")
:quality(80)/p7i.vogel.de/wcms/d0/b0/d0b09e5dd4b6d0fb8d85dbc901fd4d0a/0131666382v2.jpeg "CISA nimmt aktiv ausgenutzte Schwachstellen in Langflow und Apex One in den KEV-Katalog auf. Eine davon ermöglicht sogar die Schadcode-Ausführung ohne Anmeldung. (Bild: © Svitlana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/40/cb407c88e468ea328316eacf9989bf51/0131691124v1.jpeg "Check Point stellt einen Hotfix für zwei VPN-Schwachstellen bereit. Eine der Lücken wird bereits aktiv ausgenutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/aa/8d/aa8da96123055f62a20b360a8d395663/0131669958v1.jpeg "Unkontrollierte API-Schlüssel für KI-Agenten werden zur wachsenden Angriffsfläche. Mit dem EU AI Act wird der Kontrollverlust zum regulatorischen Risiko für Unternehmen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/7d/d37da587e71df94e386d637359e2dd20/0131661753v2.jpeg "Underminr leitet Verbindungen über fremde CDN-Mandanten und tarnt dabei C2-Verkehr hinter erlaubten Domains. Rund 88 Millionen Domains sind potenziell betroffen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/52/aa/52aa56cfa8429500aed9c345cb3b5b26/0131021993v1.jpeg "Ein Blick in das Lernlabor des Konsortiums des Fraunhofer IESE und der Hochschule Worms in Kaiserslautern.
(Bild: Fraunhofer IESE)")
:quality(80)/p7i.vogel.de/wcms/ef/96/ef968c088417e27d44ff79e11ce3b74c/0131016395v1.jpeg "Proxmox Backup Server ist eine Software zur Sicherung und Wiederherstellung von virtuellen Maschinen, Containern und physischen Hosts. (Bild: Proxmox)")
:quality(80)/p7i.vogel.de/wcms/b8/e8/b8e8b6218eb7be40fe2a3a80cb992a2d/0131667121v1.jpeg "Europäische digitale Souveränität bedeutet nicht Abschottung, sondern kontrollierte Öffnung. Wer die kryptografischen Schlüssel hält, behält die Datenkontrolle unabhängig vom Standort. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/82/83/8283d1d700e0582909b74705cc6c4e28/0131665494v2.jpeg "Die kritische Schwachstelle CVE-2026-20223 mit CVSS 10.0 erlaubt unauthentifizierten Angreifern Site-Admin-Rechte in Cisco Secure Workload zu erlangen. Patches sind verfügbar. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/ed/33edaf32cea5c2a27807d46be06a48d9/0131662547v1.jpeg "Das FBI warnt: Kali365 missbraucht den legitimen OAuth Device Code Flow um MFA zu umgehen. Nutzer autorisieren Angreifer unwissentlich auf echter Microsoft-Seite. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b9/96/b9961e46daca5420dccaedff43b6f292/0127851745v1.jpeg "Unternehmen, die KI in großem Maßstab einsetzen, benötigen ein IAM, das diese Entitäten gleichberechtigt behandelt, streng überwacht und mit klar definierten Verantwortlichkeiten verknüpft. (Bild: © Isasoulart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/cc/1ccc422b9b4cff266216d930d7f251ce/0131030971v1.jpeg "Mit eIDAS 2.0 schafft die EU eine interoperable Wallet- und Vertrauensinfrastruktur mit Vertrauensdiensten, auf deren Basis KI‑Agenten mittels digitaler Vollmachten kryptografisch signierte, auditierbare Aktionen ausführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9b/c3/9bc3650365043192ef4509df28ac6859/0129429761v1.jpeg "OpenClaw ging Ende 2025 an den Start und schon mehrere Tausend Nutzer. Doch Malware-verseuchte Skills und Sicherheitslücken riskieren die Sicherheit der User. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b3/63/b363742bedc517d975030360caab8ef6/0131643019v2.jpeg "KI-Agenten brauchen Secrets für jeden Prozess und erweitern damit die Angriffsfläche. Dynamisches Secrets Management mit kurzlebigen Credentials minimiert dieses Risiko. (Bild: © Arnab Dey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/7f/b17f03bc089f2d895c95a746beb68318/0131662291v2.jpeg "Data Lineage macht sichtbar, wohin Daten wirklich fließen. Mit dem Vormarsch autonomer KI-Agenten wird Nachverfolgbarkeit zur operativen Notwendigkeit für Sicherheitsteams. (Bild: © Natalia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/5a/215a4ae8f72644cf33b313e97216b154/0130985818v1.jpeg "KI-Lieferketten haben keinen Perimeter. Identität wird damit zur primären Steuerungsebene, denn unkontrollierte Zugangsdaten schaffen in KI-Umgebungen systemische Risiken. (Bild: © Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/63/b363742bedc517d975030360caab8ef6/0131643019v2.jpeg "KI-Agenten brauchen Secrets für jeden Prozess und erweitern damit die Angriffsfläche. Dynamisches Secrets Management mit kurzlebigen Credentials minimiert dieses Risiko. (Bild: © Arnab Dey - stock.adobe.com)")