_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

Agentic AI und Sicherheit: Eine neue Angriffsfläche für Unternehmen im Jahr 2026

21. 02. 2026 8 Min. Lesezeit CORE SYSTEMSsecurity
Agentic AI und Sicherheit: Eine neue Angriffsfläche für Unternehmen im Jahr 2026

Klassische Software tut genau das, was man ihr sagt. Ein KI-Agent tut das, was er versteht, tun zu sollen — und wählt dann eigenständig die Tools, Daten und Schritte aus, um sein Ziel zu erreichen. Genau diese Autonomie macht ihn zu einem grundlegend anderen Sicherheitsproblem. Es handelt sich nicht um einen weiteren Endpunkt, den man mit einer Firewall schützen kann. Es ist eine Entität, die sich innerhalb Ihrer Infrastruktur bewegt, Zugang zu Tools und Daten hat und Entscheidungen auf nicht-deterministische Weise trifft.

In diesem Artikel betrachten wir die Zahlen, reale Risiken und konkrete Schritte, die jedes Unternehmen in der ersten Hälfte des Jahres 2026 in Betracht ziehen sollte.

Warum Agentic AI ein anderes Risiko darstellt

Das traditionelle Sicherheitsmodell geht davon aus, dass Software vorhersagbar ist. Sie wissen, welche APIs sie aufruft, welche Daten sie liest, wohin sie schreibt. Sie können sie testen, zertifizieren und mit der Gewissheit einsetzen, dass sie sich genauso verhält wie im Test.

KI-Agenten brechen diese Prämisse. Sie haben drei Eigenschaften, die sie zu einer einzigartigen Sicherheitsherausforderung machen:

  1. Autonome Entscheidungsfindung — der Agent wählt seinen eigenen Ansatz, Tools und die Reihenfolge der Schritte. Zwei identische Anfragen können zu unterschiedlichen Ausführungspfaden führen.
  2. Tool-Nutzung — Agenten rufen APIs auf, lesen Datenbanken, führen Code aus, senden E-Mails. Jedes Tool ist eine potenzielle Angriffsfläche.
  3. Nicht-deterministisches Verhalten — der Output hängt vom Kontext, Prompt und dem aktuellen Zustand des Modells ab. Traditionelle Unit-Tests reichen nicht aus.

IBMs Forschung vergleicht KI-Agenten mit „digitalen Insidern” — sie haben Zugang auf Mitarbeiterebene, aber ihnen fehlt menschliches Urteilsvermögen, Loyalität und die Fähigkeit, soziale Manipulation zu erkennen. McKinsey geht noch weiter und empfiehlt, KI-Agenten wie Insider-Bedrohungen zu behandeln — also dasselbe Bedrohungsmodell wie für einen potenziell kompromittierten Mitarbeiter anzuwenden.

Die Adoption von Agentic AI ist massiv und beschleunigt sich:

  • 79 % der Organisationen setzen bereits KI-Agenten in irgendeiner Form ein (PwC 2026 AI Business Predictions).
  • 88 % der Führungskräfte planen, die KI-Budgets 2026 zu erhöhen (PwC).
  • KI-Agenten sind keine Experimente mehr — sie werden Teil der Kern-Geschäftsprozesse, vom Kundensupport über Finanzanalyse bis zur DevOps-Automatisierung.

Gleichzeitig wächst das Bewusstsein für Risiken:

  • 48 % der Sicherheitsexperten bezeichnen Agentic AI als den wichtigsten Angriffsvektor für 2026 (DarkReading / Gartner-Umfrage). Dies ist eine deutliche Verschiebung — noch vor einem Jahr dominierten Bedenken wegen Ransomware und Supply-Chain-Attacken.
  • NIST hat über sein NCCoE (National Cybersecurity Center of Excellence) eine Roadmap für 2026 veröffentlicht, in der KI-Sicherheit als einer von vier strategischen Pfeilern neben Post-Quanten-Kryptografie, Zero-Trust-Architektur und Software-Supply-Chain-Security steht.

Mit anderen Worten: Unternehmen setzen Agenten schneller ein, als sie sie absichern können. Und genau diese Lücke werden Angreifer ausnutzen.

Zentrale Sicherheitsrisiken

Tool Poisoning

Agenten arbeiten mit Tools — APIs, Datenbanken, Dateisystemen. Ein Angreifer muss das Modell selbst nicht kompromittieren. Er muss nur ein Tool vergiften, das der Agent nutzt. Stellen Sie sich einen Agenten vor, der Daten von einer externen API liest. Wenn ein Angreifer die Antworten dieser API modifiziert, wird der Agent auf Basis manipulierter Daten handeln — Aktionen, die er sonst nie durchgeführt hätte.

Tool Poisoning ist tückisch, weil Agenten ihren Tools implizit vertrauen — sie haben keinen Grund, Daten aus einer konfigurierten Quelle anzuzweifeln.

Prompt Injection

Der bekannteste Angriffsvektor für LLM-Systeme, aber bei Agenten mit weitaus schwerwiegenderen Konsequenzen. Während Prompt Injection bei einem Chatbot zu einer unerwünschten Antwort führt, führt sie bei einem Agenten zu einer unerwünschten Aktion. Ein injizierter Prompt kann einen Agenten dazu bringen:

  • Sensible Daten an einen externen Endpunkt zu senden
  • Die Systemkonfiguration zu ändern
  • Die eigenen Berechtigungen zu eskalieren
  • Sicherheits-Guardrails zu ignorieren

Indirekte Prompt Injection — bei der der bösartige Prompt in Daten versteckt ist, die der Agent verarbeitet (E-Mail, Dokument, Webseite) — ist besonders gefährlich, weil keine Perimeter-Firewall sie abfangen wird.

Privilege Escalation

Agenten brauchen Berechtigungen, um ihre Aufgaben zu erfüllen. Das Problem entsteht, wenn sie mehr Berechtigungen erhalten, als sie brauchen — ob durch schlechtes Design oder aktive Ausnutzung. Ein typisches Szenario: Ein Agent hat Zugang zu einer Nur-Lese-API für Kundendaten. Ein Angreifer bringt den Agenten per Prompt Injection dazu, einen anderen Endpunkt derselben API zu nutzen — diesmal zum Schreiben oder Löschen.

In traditionellen Systemen adressieren wir Privilege Escalation über RBAC und Least Privilege. Bei Agenten ist es komplexer, weil sich der Umfang der benötigten Aktionen dynamisch basierend auf dem Kontext ändert.

Datenexfiltration

Ein Agent hat Zugang zu Daten und die Fähigkeit, mit externen Diensten zu kommunizieren. Diese Kombination macht Datenexfiltration trivial — wenn angemessene Kontrollen fehlen. Ein Agent kann angewiesen werden (direkt oder über Injection):

  • Sensible Daten in seinen Output einzubetten, der einer dritten Partei zugänglich ist
  • Einen Webhook mit internen Daten als Payload aufzurufen
  • Daten in einen gemeinsamen Speicher zu schreiben, auf den der Angreifer Zugriff hat

Anders als ein Mitarbeiter, der erkennt „das sollte ich wohl nicht nach außen senden”, hat ein Agent kein solches Urteilsvermögen.

Best Practices: So sichern Sie KI-Agenten ab

Sandboxing

Jeder Agent sollte in einer isolierten Umgebung mit klar definierten Grenzen laufen. Das bedeutet:

  • Netzwerkisolierung — der Agent hat keinen Zugang zum gesamten Netzwerk, nur zu explizit erlaubten Endpunkten.
  • Dateisystemisolierung — der Agent sieht nur Verzeichnisse, die er braucht.
  • Prozessisolierung — Containerisierung (Docker, gVisor) oder VM-Level-Isolierung für kritische Workloads.

Sandboxing dient nicht nur der Angriffsprävention. Es ist ein Sicherheitsnetz gegen Fehler — und Agenten machen häufig Fehler, weil sie nicht-deterministisch sind.

Human-in-the-Loop (HITL)

Nicht jede Agent-Aktion braucht menschliche Genehmigung — das würde den Zweck der Automatisierung zunichtemachen. Aber kritische Aktionen schon:

  • Operationen mit finanziellem Impact (Zahlungen, Rechnungsfreigaben)
  • Zugriff auf sensible Daten (PII, Gesundheitsakten, Geschäftsgeheimnisse)
  • Änderungen der Infrastrukturkonfiguration
  • Kommunikation mit externen Parteien

Implementieren Sie abgestufte Genehmigung — der Agent kann Routineaufgaben autonom ausführen, eskaliert aber zum Menschen, wenn er einen definierten Risikoschwellenwert überschreitet.

Least Privilege

Das Prinzip der geringsten Berechtigung ist nicht neu, aber bei Agenten erfordert es einen spezifischen Ansatz:

  • Dynamische Berechtigungen — der Agent erhält Zugang zu einem Tool nur für die Dauer einer bestimmten Aufgabe, nicht dauerhaft.
  • Scoped Tokens — statt eines API-Schlüssels mit vollem Zugang verwenden Sie Tokens, die auf bestimmte Operationen und Ressourcen beschränkt sind.
  • Explizite Allow-Listen — definieren Sie, was der Agent darf, nicht was er nicht darf. Deny-by-Default.

Monitoring und Audit Trail

Jede Agent-Aktion muss mit ausreichendem Kontext für forensische Analyse protokolliert werden:

  • Welchen Prompt der Agent erhalten hat
  • Welche Tools er aufgerufen hat und mit welchen Parametern
  • Welche Daten er gelesen hat und wohin er geschrieben hat
  • Wie er sich entschieden hat und warum (Chain-of-Thought-Logging)

Überwachen Sie Anomalien: ungewöhnliche API-Aufrufmuster, Datenzugriffe außerhalb des normalen Bereichs, Versuche, mit nicht autorisierten Endpunkten zu kommunizieren. Verhaltensbasiertes Monitoring ist der Schlüssel — wie IBM betont, muss Threat Modeling bei KI-Agenten verhaltensbasiert sein, nicht nur technologisch.

Zero-Trust für Agenten

Zero-Trust-Architektur ist nicht nur für menschliche Benutzer. Wenden Sie sie auch auf KI-Agenten an:

  • Niemals vertrauen, immer verifizieren — jede Agent-Anfrage wird individuell authentifiziert und autorisiert.
  • Mikrosegmentierung — der Agent hat nur Zugang zum Infrastruktur-Mikrosegment, das er für die aktuelle Aufgabe benötigt.
  • Kontinuierliche Verifizierung — Berechtigungen werden fortlaufend überprüft, nicht nur einmalig beim Start des Agenten.
  • Assume Breach — entwerfen Sie Systeme unter der Annahme, dass der Agent kompromittiert sein könnte.

Regulatorische Landschaft: EU AI Act und NCCoE

EU AI Act — Artikel 14: Menschliche Aufsicht

Der EU AI Act, seit Februar 2025 vollständig in Kraft, verlangt in Artikel 14 ausdrücklich menschliche Aufsicht für Hochrisiko-KI-Systeme. Das umfasst:

  • Die Fähigkeit für Menschen, die Outputs des KI-Systems zu verstehen
  • Die Möglichkeit, KI-Entscheidungen zu ignorieren, zu überschreiben oder zu stoppen
  • Die Fähigkeit, in Echtzeit einzugreifen (Stopptaste)

Für Agentic AI sind die Auswirkungen direkt: Wenn Ihr Agent Daten in einer regulierten Branche verarbeitet (Finanzen, Gesundheitswesen, HR), müssen Sie HITL-Mechanismen implementieren, die den Anforderungen von Artikel 14 entsprechen. Volle Autonomie ohne menschliche Aufsicht ist in diesen Fällen nicht compliant.

NCCoE (NIST) 2026 Roadmap

Das US National Cybersecurity Center of Excellence unter NIST hat seinen Strategieplan für 2026 veröffentlicht, in dem KI-Sicherheit als einer von vier Pfeilern steht:

  1. KI- & Machine-Learning-Sicherheit — Sicherheit von KI-Systemen einschließlich agentischer Architekturen
  2. Post-Quanten-Kryptografie
  3. Zero-Trust-Architektur
  4. Software-Supply-Chain-Security

NCCoE arbeitet an praktischen Referenzarchitekturen und Richtlinien, die direkt auf Enterprise-KI-Agenten-Deployments anwendbar sein werden. Für Unternehmen, die global operieren oder den US-Markt beliefern, ist dies ein relevantes regulatorisches Signal.

Unsere Empfehlungen: Die CORE SYSTEMS Perspektive

Basierend auf unserer Erfahrung mit Enterprise-Kunden sehen wir ein klares Muster: Organisationen, die die Sicherheit von KI-Agenten proaktiv angehen, haben ein deutlich niedrigeres Risikoprofil als solche, die erst nach einem Vorfall reagieren. Hier sind unsere Empfehlungen:

1. Führen Sie ein KI-Agent-Threat-Assessment durch

Bevor Sie einen weiteren Agenten einsetzen, kartieren Sie: - Welche Agenten Sie in der Produktion haben (einschließlich Shadow AI) - Auf welche Daten und Systeme sie zugreifen können - Wer sie verantwortet (Accountability) - Was das Worst-Case-Szenario bei einer Kompromittierung ist

2. Implementieren Sie ein Agent-Governance-Framework

Definieren Sie Regeln für den gesamten KI-Agenten-Lifecycle: - Genehmigung — wer darf einen neuen Agenten einsetzen und unter welchen Bedingungen - Berechtigungen — wie sie vergeben, überprüft und entzogen werden - Monitoring — was protokolliert wird und wer es überprüft - Incident Response — was passiert, wenn ein Agent außer Kontrolle gerät

3. Beginnen Sie mit Sandboxing und Least Privilege

Sie müssen nicht alles auf einmal implementieren. Zwei Schritte mit dem höchsten ROI: - Isolieren Sie Agenten in Sandboxen (Container, Netzwerksegmente) - Beschränken Sie Berechtigungen auf das für den Anwendungsfall notwendige Minimum

4. Setzen Sie verhaltensbasiertes Monitoring ein

Traditionelle WAFs und IDS können nicht sehen, was ein Agent innerhalb Ihrer Infrastruktur tut. Sie brauchen: - Protokollierung aller Tool-Aufrufe und Agent-Entscheidungen - Anomalieerkennung auf Verhaltensmustern - Alerting bei ungewöhnlichen Datenzugriffsmustern

5. Bereiten Sie sich auf Regulierung vor

Der EU AI Act und die NCCoE-Roadmap zeigen die Richtung klar auf. Bereiten Sie vor: - Dokumentation der HITL-Mechanismen - Audit Trails für alle Hochrisiko-KI-Operationen - Einen Compliance-Plan für Artikel 14 des EU AI Act

6. Adoptieren Sie ein Zero-Trust-Mindset für KI

Hören Sie auf, den Agenten als vertrauenswürdiges Tool zu betrachten. Er ist eine Entität mit Zugang — und jede Entität mit Zugang muss kontinuierlich verifiziert, überwacht und eingeschränkt werden.

Fazit

Agentic AI ist eine transformative Technologie. Aber transformative Technologien bringen transformative Risiken mit sich. 2026 ist ein Wendepunkt — die meisten Unternehmen haben bereits Agenten oder setzen sie ein, aber nur ein Bruchteil hat sie ordentlich abgesichert.

Die Zahlen sind eindeutig: 48 % der Sicherheitsexperten sehen Agentic AI als den wichtigsten Angriffsvektor, 79 % der Organisationen setzen bereits Agenten ein, und Regulierungsbehörden verschärfen die Regeln. Das Zeitfenster für proaktive Vorbereitung schließt sich.

Die Sicherheit von KI-Agenten ist kein technisches Nice-to-have. Es ist eine geschäftskritische Priorität. Und je früher Sie damit beginnen, desto weniger wird es kosten — in Geld und in Reputation.

Brauchen Sie Hilfe bei einem Sicherheitsaudit von KI-Agenten in Ihrer Organisation? Kontaktieren Sie uns — wir helfen Ihnen, Risiken zu identifizieren und eine maßgeschneiderte Lösung zu entwickeln.

Teilen:

CORE SYSTEMS

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Brauchen Sie Hilfe bei der Implementierung?

Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.

Kontaktieren Sie uns

Verwandte Artikel

SSL/TLS-Zertifikate in Java-Anwendungen

Verwaltung von SSL-Zertifikaten in Java Keystores. Keytool, Truststore, Mutual TLS und häufige HTTPS-Probleme.

Apache HTTP Server als Reverse Proxy

Apache HTTP als Reverse Proxy für Tomcat/GlassFish. SSL-Terminierung, Security-Header, statische Dateien.

OWASP Top 10 — Sicherheit von Webanwendungen

OWASP-Empfehlungen in Java EE. SQL Injection, XSS, CSRF und wie man sich dagegen verteidigt.