Sicherheit von KI-Agenten im Unternehmen — Warum 88 % der Firmen bereits einen Vorfall hatten

KI-Agenten sind überall. Sie beantworten Kundenanfragen, genehmigen Rechnungen, analysieren Verträge, schreiben Code und rufen autonom APIs von Drittanbietern auf. Doch während 81 % der technischen Teams bereits Agenten im Test- oder Produktionsbetrieb haben, haben nur 14 % von ihnen einen vollständigen Sicherheitsgenehmigungsprozess durchlaufen. Das Ergebnis? 88 % der Organisationen melden einen bestätigten oder vermuteten Sicherheitsvorfall im Zusammenhang mit KI-Agenten. Dieser Artikel untersucht, warum das passiert, wo die größten Lücken liegen — und vor allem, was dagegen zu tun ist.

Marktsituation: Die Adoption hat die Sicherheit überholt¶

Der Gravitee State of AI Agent Security 2026 Report, der Hunderte von Organisationen branchenübergreifend analysierte, offenbarte eine beunruhigende Kluft zwischen der Adoption von KI-Agenten und deren Absicherung. Die Zahlen sprechen für sich:

80,9 % der Teams haben KI-Agenten im Test- oder Produktionsbetrieb

14,4 % haben die volle Security/IT-Genehmigung für alle Agenten

88 % der Organisationen melden einen KI-Agenten-Sicherheitsvorfall

47,1 % der Agenten werden tatsächlich überwacht

Das alarmierendste Ergebnis ist die Diskrepanz zwischen Führungsebene und Realität: 82 % der Führungskräfte glauben, ihre Organisation sei angemessen geschützt — während weniger als die Hälfte aller Agenten überhaupt überwacht wird. Das ist kein Optimismus; das ist eine Illusion von Sicherheit. Und genau diese Illusion führt dazu, dass Probleme erst nach einem Vorfall adressiert werden statt präventiv.

Der Gesundheitssektor führt die Statistik mit 92,7 % der Organisationen, die Vorfälle melden, aber Finanzdienstleistungen und Fertigung liegen nicht weit dahinter. Laut einer Dark-Reading-Umfrage glauben 48 % der Sicherheitsexperten, dass Agentic AI bis Ende 2026 der primäre Angriffsvektor sein wird. Und im Januar 2026 veröffentlichte die US-Regierung ein Request for Information zur Sicherheit von KI-Agenten, weil Schwachstellen in agentischen Systemen kritische Infrastruktur gefährden können.

Das Problem ist nicht, dass Organisationen keine Sicherheit wollen. Das Problem ist, dass KI-Agenten eine fundamental andere Technologie sind als alles, wofür bestehende Sicherheitsmodelle konzipiert wurden. Ein Agent ist kein API-Endpunkt. Ein Agent ist eine autonome Entität, die Entscheidungen trifft, Tools aufruft, Aktionen verkettet und mit anderen Agenten interagiert. Und Sicherheits-Frameworks sind darauf nicht vorbereitet.

Größte Risiken: Von Shadow AI bis Prompt Injection¶

Shadow AI — Unsichtbare Agenten¶

Entwickler und Business-Teams setzen KI-Agenten schneller ein, als das Security-Team sie auditieren kann. Ein Agent, der über den persönlichen API-Schlüssel eines Mitarbeiters mit dem Unternehmens-CRM verbunden ist. Ein GPT-Wrapper, der über ein nicht autorisiertes Plugin Zugang zu internen Dokumenten hat. Ein Copilot, der automatisch in ein Produktions-Repository committed. Shadow AI ist das neue Shadow IT — mit dem Unterschied, dass ein Agent aktiv handelt, während die alte SaaS-Anwendung Daten nur passiv gespeichert hat. Ohne Transparenz darüber, wie viele Agenten in Ihrer Organisation laufen, können Sie nicht einmal einen absichern.

Prompt Injection & Tool Poisoning¶

Prompt Injection bleibt an der Spitze der OWASP Top 10 für LLMs. Aber bei Agenten ist der Impact um Größenordnungen schlimmer: Ein injizierter Prompt ändert nicht nur den Textoutput — er löst reale Aktionen aus. Ein Agent mit Zugang zu E-Mail, Datenbank und Zahlungssystem kann nach einer Prompt Injection Daten an einen Angreifer senden, Datensätze löschen oder Überweisungen autorisieren. Tool Poisoning — bei dem ein Angreifer die Beschreibung oder den Output eines Tools manipuliert, das der Agent nutzt — ist ein weiterer Vektor, den traditionelle Sicherheitstools nicht erkennen, weil er wie eine legitime Interaktion aussieht.

Unkontrollierte Aktionsverkettung¶

Ein Agent führt typischerweise nicht eine einzelne Aktion aus — er führt eine Kette von Aktionen aus. E-Mail lesen → Daten extrahieren → API aufrufen → in Datenbank schreiben → Benachrichtigung senden. Jeder Schritt in der Kette ist ein potenzieller Fehlerpunkt. Wenn der Agent in Schritt 2 manipulierte Daten aus Schritt 1 verarbeitet, werden die restlichen Schritte mit kontaminiertem Input ausgeführt.

Gemeinsame Credentials und Über-Berechtigungen¶

45,6 % der Organisationen verwenden gemeinsame API-Schlüssel für die Agent-zu-Agent-Authentifizierung. Das bedeutet, dass die Kompromittierung eines einzelnen Agenten dem Angreifer Zugang zu allen Diensten gibt, die alle Agenten mit demselben Schlüssel erreichen können. Das Prinzip der geringsten Berechtigung, ein Grundpfeiler von Zero Trust, wird bei KI-Agenten systematisch ignoriert.

Warum Identity Management die Schwachstelle ist¶

Nur 21,9 % der Teams behandeln KI-Agenten als unabhängige identitätstragende Entitäten. Der korrekte Ansatz ist eindeutig: Jeder KI-Agent braucht seine eigene Identität im Identity-Management-System — genau wie jeder Mitarbeiter oder Service-Account. Diese Identität muss haben:

• Einzigartige Credentials — keine gemeinsamen API-Schlüssel, keine geerbten Tokens
• Explizite Berechtigungen — auf die spezifischen Aktionen und Ressourcen beschränkt, die der Agent benötigt
• Auditierbarkeit — jede Agent-Aktion muss protokollierbar und zuordenbar sein
• Lifecycle Management — Erstellung, Credential-Rotation, Deaktivierung, Löschung
• Kontextuelle Richtlinien — der Agent darf die Zahlungs-API nur während der Geschäftszeiten, nur aus der Produktionsumgebung, nur für Beträge unter einem Schwellenwert aufrufen

Runtime- vs. Build-Time-Sicherheit¶

Die meisten Organisationen konzentrieren sich auf Build-Time-Kontrollen: Code Review, Prompt-Testing, Red Teaming vor dem Deployment. Das ist notwendig — aber bei weitem nicht ausreichend. Runtime-Security-Checks sind entscheidend, weil sich das Agentenverhalten in der Produktion von dem unterscheidet, was Sie in der Testumgebung gesehen haben.

Was Runtime-Sicherheit in der Praxis bedeutet¶

• Webhook-basierte Runtime-Checks — vor jeder riskanten Aktion sendet der Agent einen Webhook an einen Security-Endpunkt, der die Aktion in Echtzeit genehmigt oder ablehnt
• Guardrails auf Orchestrator-Ebene — das Framework erzwingt Limits: maximale Schrittanzahl, erlaubte Tools, verbotene Aktionen, Output-Filterung
• Anomalieerkennung — Monitoring erkennt ungewöhnliche Muster
• Human-in-the-Loop für kritische Aktionen — Genehmigung für Aktionen über einem definierten Risikoschwellenwert
• Session-Isolierung — jede Agent-Konversation/Aufgabe läuft in einem isolierten Kontext

5 Schritte zur Absicherung von KI-Agenten¶

Schritt 1 — Inventarisierung

Finden Sie heraus, wie viele Agenten in Ihrer Organisation laufen¶

Bevor Sie etwas absichern, müssen Sie wissen, was Sie absichern. Führen Sie ein Audit durch. Schließen Sie „inoffizielle” Agenten ein. Shadow AI ist ein reales Problem, und ohne Inventar bauen Sie Verteidigungen blind.

Schritt 2 — Identity & Access

Weisen Sie jedem Agenten seine eigene Identität zu¶

Erweitern Sie Ihr IAM-System um Non-Human-Identities für KI-Agenten. Eliminieren Sie gemeinsame API-Schlüssel — ersetzen Sie sie durch kurzlebige Tokens mit automatischer Rotation.

Schritt 3 — Runtime-Monitoring

Setzen Sie eine Runtime-Sicherheitsschicht ein¶

Implementieren Sie Webhook-basierte oder Middleware-basierte Runtime-Checks. Definieren Sie Verhaltens-Baselines und alarmieren Sie bei Anomalien.

Schritt 4 — Guardrails & Governance

Definieren Sie, was der Agent darf und nicht darf¶

Jeder Agent braucht eine explizite Sicherheitsrichtlinie: erlaubte Tools, maximale Schrittanzahl in einer Kette, verbotene Aktionen, Output-Filterregeln und Eskalationsschwellenwerte.

Schritt 5 — Testing & Red Teaming

Testen Sie wie ein Angreifer, nicht wie ein Entwickler¶

Etablieren Sie regelmäßiges Red Teaming, das speziell auf KI-Agenten ausgerichtet ist. Testen Sie nicht nur einzelne Agenten, sondern auch deren Interaktionen — Multi-Agent-Systeme zeigen emergentes Verhalten, das sich bei einzelnen Agenten nicht manifestiert.

Fazit: Agenten sind nicht nur eine weitere API — behandeln Sie sie entsprechend¶

KI-Agenten sind die am schnellsten adoptierte Enterprise-Technologie des letzten Jahrzehnts. Und gleichzeitig die am schnellsten ignorierte aus Sicherheitsperspektive. 88 % der Organisationen mit einem Sicherheitsvorfall ist keine statistische Anomalie — es ist die natürliche Konsequenz davon, autonomen Systemen Zugang zu sensiblen Daten und kritischen Prozessen ohne angemessene Kontrollen zu geben.

Die Lösung ist nicht, die Adoption zu stoppen. Die Lösung ist, das Sicherheitsmodell zu erweitern: Agenten als neue Identitätskategorie hinzufügen, Runtime-Monitoring einführen, Guardrails implementieren und wie ein Angreifer testen. Organisationen, die das jetzt tun, werden einen Wettbewerbsvorteil haben. Die, die es aufschieben, werden Vorfälle managen.

Beginnen Sie mit dem einfachsten Schritt: Finden Sie heraus, wie viele Agenten in Ihrer Organisation laufen. Die Antwort wird Sie wahrscheinlich überraschen.