Ein AI Agent hat Zugriff auf das CRM, die interne Wissensdatenbank, das E-Mail-System und drei externe APIs. Er arbeitet rund um die Uhr, schläft nicht, macht keine Pausen und trifft eigenständige Entscheidungen. Was passiert, wenn jemand diesen Agent kompromittiert? Die Antwort: Er hat den Schlüssel zum Königreich.
Warum klassische Perimeter-Sicherheit bei Agents scheitert
Traditionelle IT-Sicherheit basiert auf einem Perimeter: Innen ist vertrauenswürdig, außen ist feindlich. Firewalls, VPNs und Netzwerksegmentierung schützen die Grenze. Dieses Modell funktioniert schon bei menschlichen Remote-Mitarbeitern nur noch bedingt. Bei AI Agents versagt es vollständig.
Der Grund: AI Agents operieren per Definition über Grenzen hinweg. Sie rufen externe APIs auf, verarbeiten Daten aus verschiedenen Quellen, kommunizieren mit anderen Agents und treffen autonome Entscheidungen über Systemgrenzen hinweg. Sie sind keine passiven Werkzeuge, die auf Eingaben warten – sie agieren proaktiv, initiieren Prozesse und verketten Aktionen.
Palo Alto Networks bringt es auf den Punkt: „AI Agents sind die neue Insider-Bedrohung.“ Anders als menschliche Insider sind sie always-on, implizit vertrauenswürdig und haben oft Zugriff auf privilegierte APIs – eine Kombination, die Angreifer zunehmend ins Visier nehmen.
Asymmetric Trust und Negative Trust
Zero Trust bedeutet: Keinem Akteur wird implizit vertraut, jeder Zugriff wird verifiziert. Für AI Agents muss dieses Prinzip erweitert werden um das Konzept des Asymmetric Trust.
Ein AI Agent erhält Daten aus verschiedenen Quellen mit unterschiedlichem Vertrauensniveau. Eine interne Datenbank hat ein höheres Vertrauensniveau als eine Webseite, die der Agent per Browsing aufruft. Traditionelle Systeme differenzieren hier nicht – Daten sind Daten. Zero Trust für Agents muss jeden Dateninput mit einem Vertrauensscore versehen und die Handlungsfähigkeit des Agents entsprechend einschränken.
Einen Schritt weiter gehen Deception Technologies. Honeypots und Decoys erzeugen „Negative Trust“ – absichtlich platzierte Fallen, die nur ein kompromittierter Agent auslösen würde. Greift ein Agent auf einen Honeypot-Datensatz zu, der in keinem legitimen Workflow vorkommt, ist das ein starkes Signal für eine Kompromittierung. Diese Methode funktioniert unabhängig davon, ob der Angriff über Prompt Injection, Token-Diebstahl oder eine kompromittierte Tool-Integration erfolgt.
Die Agent-spezifischen Bedrohungen
2026 erleben wir einen Surge in Angriffen, die spezifisch auf AI Agents zielen. Die Logik der Angreifer ist rational: Warum einen Menschen per Phishing angreifen, wenn ein Agent mit weitreichenderen Berechtigungen und ohne Misstrauen zur Verfügung steht?
Die Angriffsvektoren:
- Prompt Injection über Datenquellen: Der Agent liest eine E-Mail, ein Dokument oder eine Webseite mit versteckten Anweisungen. Wie der Fall OpenClaw zeigt, reicht ein manipulierter Input, um die gesamte Handlungskette des Agents zu kapern.
- Tool Abuse: Ein kompromittierter Agent nutzt seine legitimen Tool-Zugänge für nicht autorisierte Aktionen – Datenexfiltration über die E-Mail-API, Manipulation von CRM-Einträgen, Erstellung von Admin-Accounts.
- Agent-to-Agent Manipulation: In Multi-Agent-Systemen kann ein kompromittierter Agent andere Agents instruieren, die seinen Output als vertrauenswürdig einstufen.
- Token Hijacking: Angreifer stehlen die API-Tokens eines Agents und agieren in dessen Identität – mit allen Berechtigungen.
- Modellmanipulation: Über Fine-Tuning-Poisoning oder manipulierte Retrieval-Augmented-Generation-Datenbanken wird das Verhalten des Agents subtil verändert.
Zero-Trust-Architektur für AI Agents
Kryptographische Identität statt Token-basierte Authentifizierung
API-Tokens sind statische Credentials. Werden sie gestohlen, hat der Angreifer unbegrenzten Zugang bis zum Token-Widerruf. Für AI Agents braucht es kryptographische Identitäten: Kurzlebige, automatisch rotierende Zertifikate, die an die spezifische Agent-Instanz gebunden sind. Mutual TLS (mTLS) zwischen Agent und API stellt sicher, dass beide Seiten ihre Identität nachweisen.
Least Privilege für jede einzelne Tool-Interaktion
Ein Agent, der E-Mails zusammenfassen soll, braucht Lesezugriff auf den Posteingang. Er braucht keinen Schreibzugriff, keinen Zugang zu Kontakten und schon gar keinen Admin-Zugriff auf den Mailserver. Least Privilege muss auf der Ebene jeder einzelnen Tool-Funktion durchgesetzt werden – nicht auf der Ebene der gesamten API.
Konkret: Statt einem OAuth-Token mit „mail.readwrite“-Scope erhält der Agent ein Token mit „mail.read:inbox:summary“ – Lesezugriff, nur Posteingang, nur Zusammenfassungen. Jede Scope-Erweiterung erfordert eine explizite Genehmigung, entweder durch einen Menschen oder durch einen übergeordneten Governance-Agent.
Kill Switches
Jeder AI Agent muss über einen Kill Switch verfügen – einen Mechanismus, der den Agent sofort und vollständig deaktiviert. Nicht „nach dem aktuellen Task“, sondern sofort: Alle laufenden Aktionen werden abgebrochen, alle Tokens werden widerrufen, alle offenen Verbindungen werden geschlossen.
Kill Switches müssen von mehreren Stellen aus auslösbar sein: Vom SOC-Analysten manuell, von einem Monitoring-System automatisch bei Anomalie-Detection, und von einem übergeordneten Governance-System bei Policy-Verstößen. Die größte Gefahr: Ein Kill Switch, der nur auf dem Papier existiert und im Ernstfall nicht funktioniert, weil er nie getestet wurde.
Agent-Level Monitoring und Audit Logging
Jede Aktion eines AI Agents muss geloggt werden – nicht nur die Ergebnisse, sondern auch die Entscheidungskette: Welcher Input führte zu welcher Reasoning-Kette, die zu welcher Aktion führte? Dieses Audit-Log muss unveränderlich sein (append-only, kryptographisch signiert) und getrennt vom Agent selbst gespeichert werden.
Monitoring auf Basis dieser Logs erkennt Anomalien: Ein Agent, der plötzlich auf Daten zugreift, die er noch nie benötigt hat. Ein Agent, der in ungewöhnlichen Zeitfenstern aktiv ist. Ein Agent, dessen Error-Rate plötzlich ansteigt. Diese Signale müssen automatisiert bewertet und bei Überschreitung von Schwellwerten an das SOC eskaliert werden.
Continuous Red Teaming
Einmaliges Testen vor dem Deployment reicht nicht. Agents werden laufend mit neuen Daten konfrontiert, ihre Tool-Integrationen ändern sich, und neue Angriffstechniken werden entdeckt. Continuous Red Teaming bedeutet: Automatisierte Angriffssimulationen laufen parallel zum Produktivbetrieb – in einer Sandbox, die die Produktionsumgebung spiegelt.
AI Governance Tools als neue Pflichtkategorie
Der Markt reagiert auf diese Anforderungen mit einer neuen Produktkategorie: AI Governance Tools. Zscaler prognostiziert, dass Zero Trust auf AI Agents ausgeweitet werden muss – „als Erweiterung der menschlichen Belegschaft.“ Die Kernfunktionen dieser Tools:
- Discovery: Welche AI Agents laufen in der Organisation? Mit welchen Berechtigungen? Auf welche Daten greifen sie zu? Die Schattenwelt unkontrollierter Agents ist das KI-Äquivalent der Shadow IT.
- Posture Management: Sind die Agents nach Best Practices konfiguriert? Gibt es überprivilegierte Tokens? Fehlen Kill Switches? Sind Audit Logs aktiviert?
- Runtime AI Firewall: Echtzeit-Überwachung und Filterung aller Agent-Interaktionen. Erkennung von Prompt Injection, Datenexfiltration und Policy-Verstößen.
Prognose: Das Agent-getriebene SOC
Bis Ende 2026 werden laut Branchenprognosen über 30 % der SOC-Workflows nicht mehr von Menschen, sondern von AI Agents ausgeführt. Triage, Erstanalyse, Enrichment, automatisierte Response-Aktionen – alles Tätigkeiten, die Agents effizienter erledigen als überlastete Tier-1-Analysten.
Das erzeugt eine paradoxe Situation: Wir setzen AI Agents ein, um Cybersicherheit zu verbessern, während gleichzeitig AI Agents selbst zu einem der größten Sicherheitsrisiken werden. Zero Trust ist der Rahmen, der dieses Paradox auflösen kann – aber nur, wenn es konsequent implementiert wird.
Die Zeit des impliziten Vertrauens in autonome Systeme ist vorbei. Jeder Agent, jede Aktion, jeder Datenzugriff muss verifiziert werden. Nicht weil wir der Technologie misstrauen, sondern weil wir wissen, dass Angreifer jede Vertrauensannahme ausnutzen werden.