Die Geschichte wiederholt sich: Jedes Mal, wenn eine neue Technologie in Unternehmen Einzug hält, folgt ein vorhersehbares Muster. Erst adoptiert die Organisation die Technologie, dann versucht Security, sie zu kontrollieren. Bei Firewalls musste man zuerst Netzwerke verstehen, bevor man sie schützen konnte. Bei Cloud Computing entstanden chaotische Umgebungen, weil Organisationen ohne fundamentales Verständnis der Architektur Sicherheitsrichtlinien schrieben, die sowieso nicht funktionierten. Heute existiert Cloud Security als eigenständige Disziplin – weil die Technologie das erzwungen hat.
Agentic AI durchlebt denselben Zyklus, nur schneller und mit höheren Einsätzen. Überall in Organisationen laufen bereits autonome Agenten: GitHub Copilot und Claude Code in der Entwicklung, MCP-basierte Agenten (Model Context Protocol) von großen Anbietern, die mit Kalendern, E-Mail-Systemen und Ticketing-Tools verbunden sind. Und zunehmend bauen auch nicht-technische Abteilungen – Marketing, Finance, Operations – ihre eigenen Agenten, weil die KI-Tools das jetzt ohne traditionelle Programmierung ermöglichen.
Das ist das eigentliche Problem: Die Barriere zwischen denjenigen, die Risiken verstehen, und dem Code, der in der Umgebung läuft, ist gefallen. Sicherheitsprofis müssen nicht programmieren können. Aber jetzt können alle programmieren – zumindest im KI-Sinne. Das schafft eine Lieferketten-Sicherheitslücke neuer Art.
Die praktischen Risiken sind real und vielfältig. Ein Telegram-Bot, der mit jedermann kommunizieren kann – einfach nur eine fehlende Konfiguration. Ein Agent mit Zugriff auf Terminal und E-Mail kann über jeden Kanal manipuliert werden und Befehle in den anderen ausführen – klassische laterale Bewegung. Ein bösartig platzierter Kalendertermin mit versteckten Instruktionen in der Beschreibung kann ein MCP-verbundener Agent auslesen und ausführen. Das sind keine theoretischen Angriffsvektoren mehr.
Die Lösung beginnt damit, dass Sicherheitsteams tatsächlich mit diesen Systemen arbeiten – nicht nur Policy schreiben. Wer einen Agenten selbst baut, versteht die Architektur. Wer versteht, wie KI-Anwendungen Input konsumieren, Tools verketten und Output erzeugen, kann sinnvoll über Kontrollen sprechen.
Zwei Ebenen von Know-how sind essentiell: Erstens ein grundlegendes Verständnis, wie KI-Anwendungen gebaut sind – vom Security-Praktiker-Blickwinkel aus. Zweitens ständige Aktualisierung, denn die Landschaft ändert sich wöchentlich. OWASP veröffentlicht fortlaufend neue Threat-Taxonomien, Open-Source-Frameworks entstehen, Anbieter bauen Security-Controls, die noch reifen.
Die Organisationen, die jetzt echte Kompetenz in Agentic AI Security aufbauen, werden gestalten können, wie diese Systeme deployed werden. Alle anderen werden erneut spät dran sein – und wieder Kontrollen auf eine bereits entschiedene Architektur anwenden, diesmal ohne ihren Input.