KI-Agenten sind im Netzwerk oft nicht von normalem User-Traffic zu unterscheiden, verfügen aber über weitreichende Zugriffsrechte. Ohne saubere Authentifizierung wird jeder Agent zum Werkzeug für Datenlecks oder Rechte-Eskalation. Ein Framework aus sieben Bausteinen zeigt, wie Unternehmen ihre KI-Agenten wie jeden anderen Workload absichern.
Ein KI-Agent mit weitreichenden Rechten wirkt im Netzwerk oft wie ein normaler Nutzer. Erst geprüfte Identität macht ihn wirklich vertrauenswürdig.
Der Aufstieg von agentenbasierter KI ist zweifellos eine der dynamischsten Entwicklungen in der aktuellen Technologielandschaft. Ob digitale Assistenten für Endanwender, netzwerkbasierte Automatisierungs-Tools oder mandantenfähige SaaS-Services: Diese KI-Agenten agieren vielseitig und führen im Namen von Usern oder Unternehmen komplexe, weitreichende und oft unvorhersehbare Aktionen aus. Doch genau in dieser enormen Leistungsfähigkeit und Autonomie verbirgt sich ein massives, häufig unterschätztes Sicherheitsrisiko.
Im Kern sind solche Agenten nichts anderes als Workloads und damit Software, die irgendwo ausgeführt wird. Security-Experten müssen sie auch als solche behandeln und damit dieselben strengen Maßstäbe an Authentifizierung und Autorisierung anlegen, die über Jahrzehnte für traditionelle Workloads etabliert wurden. Dieses Prinzip zu ignorieren und Agenten ohne angemessene Kontrollen agieren zu lassen, wäre risikoreich für jede Organisation.
Das Hauptproblem bei unregulierten Agenten liegt auf der Hand: Ihre Aktionen sind netzwerkseitig oft nicht von denen der User im Hintergrund zu unterscheiden, obwohl sie über Zugriffsrechte verfügen, die zu katastrophalen Sicherheitsrisiken führen können. In der IT-Security wurden bewährte Standards zur Absicherung traditioneller Systeme mühsam und schmerzhaft erarbeitet. Es wäre fahrlässig, diese gesammelten Erfahrungswerte zugunsten einer unberechenbaren neuen Technologie über Bord zu werfen.
Viele Agenten laufen direkt auf dem Endgerät eines Users und übernehmen dabei oft dessen vollständigen Kontext sowie alle Zugriffsrechte. Ohne eine explizite Authentifizierung des Agenten selbst wertet das Netzwerk diesen ausgehenden Traffic schlicht als regulären User-Traffic. Zwar trägt der Mitarbeitende letztlich die Verantwortung, doch in der Realität war es vielleicht der Agent, der auf einen bösartigen Link geklickt oder sensible Dateien geteilt hat. Zudem hat ein Agent potenziell Zugriff auf alles, worauf auch der User zugreifen kann: sensible interne Dokumente, Firmen-E-Mails und persönliche Dateien. Wird ein solcher Agent kompromittiert oder verhält er sich aufgrund seiner inhärenten chaotischen Natur unerwartet, kann er hochsensible Daten an unautorisierte Ziele weiterleiten.
Unternehmensspezifische Agenten, die für mehrere User zugänglich sind, bergen ein noch größeres Risiko für laterale Bewegung und den Missbrauch von Berechtigungen. Um ihre Aufgaben zu erfüllen, erhalten sie oft weitreichenden Zugriff auf Unternehmensressourcen wie Tools, Dienste und Datenspeicher. Dadurch sind sie prinzipiell in der Lage, bestehende User-Autorisierungen zu umgehen.
Ein Beispiel: Einem Mitarbeitenden ist der Zugriff auf die Gehaltsdaten von Kollegen korrekterweise untersagt. Wenn der Agent nun jedoch eine Anfrage dieses Mitarbeitenden bearbeitet, ohne dessen spezifisch eingeschränkte Autorisierung zu berücksichtigen, könnte der Agent mit seinen erweiterten Zugriffsrechten die Gehaltsdaten abrufen und an den Mitarbeitenden weiterleiten. Der Agent wird so zum unabsichtlichen Werkzeug für die Ausweitung von Berechtigungen und verschafft Usern Zugang zu Informationen, die ihnen eigentlich verwehrt bleiben sollten.
In all diesen Fällen verwandeln fehlende Kontrollmechanismen ein mächtiges Business-Tool in ein massives Sicherheitsrisiko. Eine agentenbasierte KI, die ihre Identität oder ihren autorisierten Zweck nicht nachweisen kann, ist letztlich nur ein High-Risk-Workload, der darauf wartet, kompromittiert zu werden.
Die sieben Säulen der Authentifizierung von agentischer KI
Für die nötigen Sicherheitsmechanismen muss das Rad nicht neu erfunden werden. Unternehmen können auf bestehende, praxiserprobte Workload Identity-Standards basierend auf Zero-Trust-Prinzipien zurückgreifen und ein Framework aus sieben essentiellen Bausteinen erstellen:
1. Identifikatoren: Jeder Agent benötigt zwingend eine eindeutige, verifizierbare Identität. Empfehlenswert sind hier WIMSE-Identifikatoren (Workload Identity in Multi-System Environments), die URI-basierte, relativ freie Formate nutzen. Eine praxisnahe Implementierung bieten SPIFFE IDs (SVIDs), die für die Workload-Identität in Cloud- und Container-Umgebungen bereits weit verbreitet sind. Damit erhält der Agent einen überprüfbaren Namen.
2. Anmeldeinformationen: Um die behauptete Identität zu beweisen, müssen kryptografische Anmeldeinformationen generiert und verwaltet werden. Dies sollten kurzlebige Schlüssel sein, die zum Schutz vor Diebstahl idealerweise in sicheren Speichern wie einem Trusted Platform Module (TPM) oder einer Secure Enclave abgelegt sind.
3. Nachweis: Authentifizierung ist nur so zuverlässig wie ihre Ausführungsumgebung. Dieser Schritt stellt sicher, dass der Agent wie vorgesehen arbeitet und nicht manipuliert wurde. Dazu eignen sich Umgebungsprüfungen (Läuft der Agent auf einem sicheren Gerät?) und Software-Integritätschecks. Eine an die Plattform gebundene kryptografische Signatur, die während der Bereitstellung bestätigt wird, kann Manipulationen an der Software selbst ausschließen.
4. Bereitstellung: Dies umfasst die fortlaufende Ausgabe und Erneuerung der Agenten-Anmeldeinformationen während der Laufzeit. Dieser plattformspezifische Prozess sorgt dafür, dass der Agent seine Identität und Schlüssel erhält. Das erfolgt in traditionellen Umgebungen meist durch SPIFFE-Agenten, auf Endgeräten durch Betriebssystem-, UEM- oder MDM-Ansätze.
5. Authentifizierung: Sobald der Agent identifiziert und bereitgestellt ist, muss er sich mithilfe seiner Anmeldedaten gegenüber externen Systemen authentifizieren. Die Methode hängt von der Umgebung ab: Mutually Authenticated TLS (mTLS) eignet sich optimal für geschlossene, interne Umgebungen. Für den Großteil des agentenbasierten Web-/HTTP-Verkehrs empfehlen sich HTTP-Nachrichtensignaturen, da sie kryptografische Authentifizierungsdaten transparent in die Header einfügen und Zwischenstellen passieren können. Für Non-HTTP-Protokolle sollten WIMSE Workload Proof Tokens (WPTs) genutzt werden.
6. Autorisierung: Hier wird auf Basis des etablierten OAuth 2.0-Frameworks definiert, was der Agent überhaupt tun darf. Zugriffs- und Transaktions-Token müssen in ihrem Geltungsbereich extrem limitiert und an bestimmte Aktionen, Ziele oder Zielgruppen gebunden sein, um den Missbrauch von Berechtigungen zu verhindern. Im Idealfall erfolgt die Autorisierung transaktionsspezifisch. Bei hochriskanten oder sensiblen Aktionen ist eine Stufen-Authentifizierung mit Human-in-the-Loop-Prinzip (HitL) zwingend erforderlich, bei der der User die geplante Aktion des Agenten explizit bestätigen muss.
7. Beobachtbarkeit: Aufgrund der Unvorhersehbarkeit von agentischer KI ist dieser Punkt unverzichtbar. Agenten müssen ihre Aktivitäten lückenlos protokollieren – „Was haben sie getan?“ und idealerweise auch „Warum haben sie es getan?“. Angesichts der chaotischen Natur dieser Systeme sind Überwachung, Beobachtbarkeit und Korrektur-Kontrollen von entscheidender Bedeutung.
Die Implementierung dieses Sieben Punkte-Frameworks verdeutlicht die Bedeutung eines Zero-Trust-Ökosystems für agentische KI. Sicherheit darf sich nicht allein auf das Wohlwollen des Agenten oder die korrekte Umsetzung dieser Standards verlassen. Eine Zero-Trust-Sicherheitsplattform bietet die externen Kontrollmechanismen, die zur Absicherung dieser speziellen Workloads erforderlich sind.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Bei User-spezifischen Agenten können Endpunktkontext-Funktionen selbst dann eine anwendungsspezifische Zuordnung sicherstellen, wenn der Agent schlecht implementiert wurde. So lässt sich erkennen, dass der Traffic nicht nur von einem Mitarbeitenden stammt, sondern von einem Mitarbeitenden, der einen spezifischen Prozess nutzt, welcher wiederum auf ein LLM zur Entscheidungsfindung zugreift. Dies ermöglicht deutlich striktere Richtlinien-Kontrollen.
Bei unternehmensspezifischen Agenten stellt eine Zero-Trust-Plattform zusätzlichen Kontext und erweiterte Autorisierungsschranken bereit. Sie garantiert, dass die spezifischen Berechtigungen des Users beim Zugriff auf Tools und Daten durch den Agenten stets korrekt durchgereicht werden, was eine Privilegien-Eskalation effektiv verhindert.
Schließlich müssen bei Multi-Tenant-SaaS-Agenten konsequent DLP- und Zugriffskontrollen greifen, unabhängig davon, ob der Agent prinzipiell als vertrauenswürdig eingestuft wird. Nur so lässt sich der unbefugte Austausch sensibler Informationen in beide Richtungen – zum Agenten und vom Agenten zum User – unterbinden.
Die Zukunft von agentischer KI sicher gestalten
Agentische KI ist kein kurzlebiger Hype, sondern eine fundamentale Innovation, die die operativen Abläufe in jedem Unternehmen transformieren wird. Zwar sind die Chancen für Effizienz und Wachstum immens, doch genau deshalb müssen Unternehmen sicherstellen, dass der technologische Fortschritt nicht die vorhandenen Sicherheitsmaßnahmen überholt. Wenn Unternehmen die bewährten, robusten Prinzipien von Workload Identity und Zero Trust proaktiv adaptieren, schaffen sie ein starkes, zukunftssicheres Fundament. Dieser Ansatz gewährleistet, dass sämtliche KI-Agenten korrekt authentifiziert und für jede ausgeführte Aufgabe explizit autorisiert sind.
Dieser Übergang verwandelt das potenzielle Chaos einer unbeaufsichtigten KI-Umgebung in eine kontrollierte, vorhersehbare und letztlich sichere Quelle von signifikantem geschäftlichen Mehrwert. Die Zukunft der Unternehmens-KI hängt maßgeblich davon ab, dass die Verantwortlichen mit einem Security First-Mindset agieren.
Über den Autor: Yaroslav Rosomakho ist Chief Scientist bei Zscaler, wo er die Forschung und Strategie in den Bereichen neue Technologien, sichere Netzwerke und kryptografische Protokolle leitet. Er engagiert sich aktiv in der IETF, leitet die Arbeitsgruppen HPKE und SEAT und beteiligt sich aktiv an den Arbeitsgruppen zu TLS, QUIC, HTTP und anderen Themen. Yaroslav verfügt über Erfahrung in der Entwicklung groß angelegter Sicherheitssysteme und seine Leidenschaft gilt der Verbindung von fundierten technischen Erkenntnissen mit praktischen Implementierungsstrategien.