Sieben Säulen für sichere KI-Agenten Ohne Authentifizierung wird jeder KI-Agent zum Sicherheitsrisiko

Ein Gastbeitrag von Yaroslav Rosomakho 6 min Lesedauer

Anbieter zum Thema

KI-Agenten sind im Netzwerk oft nicht von normalem User-Traffic zu unterscheiden, verfügen aber über weitreichende Zugriffsrechte. Ohne saubere Authentifizierung wird jeder Agent zum Werkzeug für Datenlecks oder Rechte-Eskalation. Ein Framework aus sieben Bausteinen zeigt, wie Unternehmen ihre KI-Agenten wie jeden anderen Workload absichern.

Ein KI-Agent mit weitreichenden Rechten wirkt im Netzwerk oft wie ein normaler Nutzer. Erst geprüfte Identität macht ihn wirklich vertrauenswürdig.(Bild: ©  ภาคภูมิ ปัจจังคะตา - stock.adobe.com)
Ein KI-Agent mit weitreichenden Rechten wirkt im Netzwerk oft wie ein normaler Nutzer. Erst geprüfte Identität macht ihn wirklich vertrauenswürdig.
(Bild: © ภาคภูมิ ปัจจังคะตา - stock.adobe.com)

Der Aufstieg von agentenbasierter KI ist zweifellos eine der dynamischsten Entwicklungen in der aktuellen Technologielandschaft. Ob digitale Assistenten für Endanwender, netzwerk­basierte Automatisierungs-Tools oder mandantenfähige SaaS-Services: Diese KI-Agenten agieren vielseitig und führen im Namen von Usern oder Unternehmen komplexe, weitreichende und oft unvorhersehbare Aktionen aus. Doch genau in dieser enormen Leistungsfähigkeit und Autonomie verbirgt sich ein massives, häufig unterschätztes Sicherheitsrisiko.

Im Kern sind solche Agenten nichts anderes als Workloads und damit Software, die irgendwo ausgeführt wird. Security-Experten müssen sie auch als solche behandeln und damit dieselben strengen Maßstäbe an Authentifizierung und Autorisierung anlegen, die über Jahrzehnte für traditionelle Workloads etabliert wurden. Dieses Prinzip zu ignorieren und Agenten ohne angemessene Kontrollen agieren zu lassen, wäre risikoreich für jede Organisation.

Die Gefahren unkontrollierter agentischer KI

Das Hauptproblem bei unregulierten Agenten liegt auf der Hand: Ihre Aktionen sind netzwerkseitig oft nicht von denen der User im Hintergrund zu unterscheiden, obwohl sie über Zugriffsrechte verfügen, die zu katastrophalen Sicherheitsrisiken führen können. In der IT-Security wurden bewährte Standards zur Absicherung traditioneller Systeme mühsam und schmerzhaft erarbeitet. Es wäre fahrlässig, diese gesammelten Erfahrungswerte zugunsten einer unberechenbaren neuen Technologie über Bord zu werfen.

Viele Agenten laufen direkt auf dem Endgerät eines Users und übernehmen dabei oft dessen vollständigen Kontext sowie alle Zugriffsrechte. Ohne eine explizite Authentifizierung des Agenten selbst wertet das Netzwerk diesen ausgehenden Traffic schlicht als regulären User-Traffic. Zwar trägt der Mitarbeitende letztlich die Verantwortung, doch in der Realität war es vielleicht der Agent, der auf einen bösartigen Link geklickt oder sensible Dateien geteilt hat. Zudem hat ein Agent potenziell Zugriff auf alles, worauf auch der User zugreifen kann: sensible interne Dokumente, Firmen-E-Mails und persönliche Dateien. Wird ein solcher Agent kompromittiert oder verhält er sich aufgrund seiner inhärenten chaotischen Natur unerwartet, kann er hochsensible Daten an unautorisierte Ziele weiterleiten.

Unternehmensspezifische Agenten, die für mehrere User zugänglich sind, bergen ein noch größeres Risiko für laterale Bewegung und den Missbrauch von Berechtigungen. Um ihre Aufgaben zu erfüllen, erhalten sie oft weitreichenden Zugriff auf Unternehmensressourcen wie Tools, Dienste und Datenspeicher. Dadurch sind sie prinzipiell in der Lage, bestehende User-Autorisierungen zu umgehen.

Ein Beispiel: Einem Mitarbeitenden ist der Zugriff auf die Gehaltsdaten von Kollegen korrekterweise untersagt. Wenn der Agent nun jedoch eine Anfrage dieses Mitarbeitenden bearbeitet, ohne dessen spezifisch eingeschränkte Autorisierung zu berücksichtigen, könnte der Agent mit seinen erweiterten Zugriffsrechten die Gehaltsdaten abrufen und an den Mitarbeitenden weiterleiten. Der Agent wird so zum unabsichtlichen Werkzeug für die Ausweitung von Berechtigungen und verschafft Usern Zugang zu Informationen, die ihnen eigentlich verwehrt bleiben sollten.

In all diesen Fällen verwandeln fehlende Kontrollmechanismen ein mächtiges Business-Tool in ein massives Sicherheitsrisiko. Eine agentenbasierte KI, die ihre Identität oder ihren autorisierten Zweck nicht nachweisen kann, ist letztlich nur ein High-Risk-Workload, der darauf wartet, kompromittiert zu werden.

Die sieben Säulen der Authentifizierung von agentischer KI

Für die nötigen Sicherheitsmechanismen muss das Rad nicht neu erfunden werden. Unternehmen können auf bestehende, praxiserprobte Workload Identity-Standards basierend auf Zero-Trust-Prinzipien zurückgreifen und ein Framework aus sieben essentiellen Bausteinen erstellen:

  • 1. Identifikatoren: Jeder Agent benötigt zwingend eine eindeutige, verifizierbare Identität. Empfehlenswert sind hier WIMSE-Identifikatoren (Workload Identity in Multi-System Environments), die URI-basierte, relativ freie Formate nutzen. Eine praxisnahe Implementierung bieten SPIFFE IDs (SVIDs), die für die Workload-Identität in Cloud- und Container-Umgebungen bereits weit verbreitet sind. Damit erhält der Agent einen überprüfbaren Namen.
  • 2. Anmeldeinformationen: Um die behauptete Identität zu beweisen, müssen kryptografische Anmeldeinformationen generiert und verwaltet werden. Dies sollten kurzlebige Schlüssel sein, die zum Schutz vor Diebstahl idealerweise in sicheren Speichern wie einem Trusted Platform Module (TPM) oder einer Secure Enclave abgelegt sind.
  • 3. Nachweis: Authentifizierung ist nur so zuverlässig wie ihre Ausführungsumgebung. Dieser Schritt stellt sicher, dass der Agent wie vorgesehen arbeitet und nicht manipuliert wurde. Dazu eignen sich Umgebungsprüfungen (Läuft der Agent auf einem sicheren Gerät?) und Software-Integritätschecks. Eine an die Plattform gebundene kryptografische Signatur, die während der Bereitstellung bestätigt wird, kann Manipulationen an der Software selbst ausschließen.
  • 4. Bereitstellung: Dies umfasst die fortlaufende Ausgabe und Erneuerung der Agenten-Anmeldeinformationen während der Laufzeit. Dieser plattformspezifische Prozess sorgt dafür, dass der Agent seine Identität und Schlüssel erhält. Das erfolgt in traditionellen Umgebungen meist durch SPIFFE-Agenten, auf Endgeräten durch Betriebssystem-, UEM- oder MDM-Ansätze.
  • 5. Authentifizierung: Sobald der Agent identifiziert und bereitgestellt ist, muss er sich mithilfe seiner Anmeldedaten gegenüber externen Systemen authentifizieren. Die Methode hängt von der Umgebung ab: Mutually Authenticated TLS (mTLS) eignet sich optimal für geschlossene, interne Umgebungen. Für den Großteil des agentenbasierten Web-/HTTP-Verkehrs empfehlen sich HTTP-Nachrichtensignaturen, da sie kryptografische Authentifizierungsdaten transparent in die Header einfügen und Zwischenstellen passieren können. Für Non-HTTP-Protokolle sollten WIMSE Workload Proof Tokens (WPTs) genutzt werden.
  • 6. Autorisierung: Hier wird auf Basis des etablierten OAuth 2.0-Frameworks definiert, was der Agent überhaupt tun darf. Zugriffs- und Transaktions-Token müssen in ihrem Geltungsbereich extrem limitiert und an bestimmte Aktionen, Ziele oder Zielgruppen gebunden sein, um den Missbrauch von Berechtigungen zu verhindern. Im Idealfall erfolgt die Autorisierung transaktionsspezifisch. Bei hochriskanten oder sensiblen Aktionen ist eine Stufen-Authentifizierung mit Human-in-the-Loop-Prinzip (HitL) zwingend erforderlich, bei der der User die geplante Aktion des Agenten explizit bestätigen muss.
  • 7. Beobachtbarkeit: Aufgrund der Unvorhersehbarkeit von agentischer KI ist dieser Punkt unverzichtbar. Agenten müssen ihre Aktivitäten lückenlos protokollieren – „Was haben sie getan?“ und idealerweise auch „Warum haben sie es getan?“. Angesichts der chaotischen Natur dieser Systeme sind Überwachung, Beobachtbarkeit und Korrektur-Kontrollen von entscheidender Bedeutung.

Zero Trust ist ein Muss

Die Implementierung dieses Sieben Punkte-Frameworks verdeutlicht die Bedeutung eines Zero-Trust-Ökosystems für agentische KI. Sicherheit darf sich nicht allein auf das Wohlwollen des Agenten oder die korrekte Umsetzung dieser Standards verlassen. Eine Zero-Trust-Sicherheitsplattform bietet die externen Kontrollmechanismen, die zur Absicherung dieser speziellen Workloads erforderlich sind.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Bei User-spezifischen Agenten können Endpunktkontext-Funktionen selbst dann eine anwendungsspezifische Zuordnung sicherstellen, wenn der Agent schlecht implementiert wurde. So lässt sich erkennen, dass der Traffic nicht nur von einem Mitarbeitenden stammt, sondern von einem Mitarbeitenden, der einen spezifischen Prozess nutzt, welcher wiederum auf ein LLM zur Entscheidungsfindung zugreift. Dies ermöglicht deutlich striktere Richtlinien-Kontrollen.

Bei unternehmensspezifischen Agenten stellt eine Zero-Trust-Plattform zusätzlichen Kontext und erweiterte Autorisierungsschranken bereit. Sie garantiert, dass die spezifischen Berechtigungen des Users beim Zugriff auf Tools und Daten durch den Agenten stets korrekt durchgereicht werden, was eine Privilegien-Eskalation effektiv verhindert.

Schließlich müssen bei Multi-Tenant-SaaS-Agenten konsequent DLP- und Zugriffskontrollen greifen, unabhängig davon, ob der Agent prinzipiell als vertrauenswürdig eingestuft wird. Nur so lässt sich der unbefugte Austausch sensibler Informationen in beide Richtungen – zum Agenten und vom Agenten zum User – unterbinden.

Die Zukunft von agentischer KI sicher gestalten

Agentische KI ist kein kurzlebiger Hype, sondern eine fundamentale Innovation, die die operativen Abläufe in jedem Unternehmen transformieren wird. Zwar sind die Chancen für Effizienz und Wachstum immens, doch genau deshalb müssen Unternehmen sicherstellen, dass der technologische Fortschritt nicht die vorhandenen Sicherheitsmaßnahmen überholt. Wenn Unternehmen die bewährten, robusten Prinzipien von Workload Identity und Zero Trust proaktiv adaptieren, schaffen sie ein starkes, zukunftssicheres Fundament. Dieser Ansatz gewährleistet, dass sämtliche KI-Agenten korrekt authentifiziert und für jede ausgeführte Aufgabe explizit autorisiert sind.

Dieser Übergang verwandelt das potenzielle Chaos einer unbeaufsichtigten KI-Umgebung in eine kontrollierte, vorhersehbare und letztlich sichere Quelle von signifikantem geschäftlichen Mehrwert. Die Zukunft der Unternehmens-KI hängt maßgeblich davon ab, dass die Verantwortlichen mit einem Security First-Mindset agieren.

Über den Autor: Yaroslav Rosomakho ist Chief Scientist bei Zscaler, wo er die Forschung und Strategie in den Bereichen neue Technologien, sichere Netzwerke und kryptografische Protokolle leitet. Er engagiert sich aktiv in der IETF, leitet die Arbeitsgruppen HPKE und SEAT und beteiligt sich aktiv an den Arbeitsgruppen zu TLS, QUIC, HTTP und anderen Themen. Yaroslav verfügt über Erfahrung in der Entwicklung groß angelegter Sicherheitssysteme und seine Leidenschaft gilt der Verbindung von fundierten technischen Erkenntnissen mit praktischen Implementierungsstrategien.

(ID:50899328)