Die bisherigen Standards für AI BOMs wie CycloneDX und SPDX behandeln KI-Systeme wie statische Softwareartefakte. Sie dokumentieren Modelle, Datensätze, Frameworks und Abhängigkeiten — was für traditionelle KI ausreicht. Mit dem Aufkommen von agentenbasierten Systemen reicht dieses Konzept jedoch nicht mehr aus. “Bei delegierter Agentur sind die sicherheitsrelevantesten Abhängigkeiten nicht Modell plus Daten — sondern Aktionspfade”, erklärt Kriti Tallam, VP of AI bei Kamiwaza AI und Mitbeitragender zum NIST AI Risk Management Framework.
Das zentrale Problem: Agentenbasierte KI-Systeme führen Entscheidungen zur Laufzeit aus und können ihre Umgebung manipulieren. Dies schafft eine neue Dimension von Risiken, die über reine Komponentendokumentation hinausgeht. Helen Oakley, eine der Leiterinnen des OWASP AIBOM Generator, fasst dies in zwei Kategorien zusammen: “Artifact Lineage” erfasst, welche Komponenten vorhanden sind und woher sie stammen. “Authority Lineage” dokumentiert hingegen, wie Entscheidungsrechte während der Ausführung durch ein System fließen.
Das PocketOS-Szenario verdeutlicht die praktische Gefahr: Der KI-Agent hatte einen legitimen API-Schlüssel, interpretierten einen Credential-Mismatch falsch und beschloss, ungenutzte Ressourcen zu bereinigen — ohne Bestätigung oder Umgebungsprüfung. Das Autorisierungsmodell versagte vollständig.
Für CISOs in Deutschland bedeutet dies zusätzliche Komplexität bei der Erfüllung von DSGVO-Anforderungen und BSI-Empfehlungen zur KI-Sicherheit. Eine März-2026-Studie von Forschern aus Oxford und Cisco zeigt einen praktischen Weg: Schema-Erweiterungen für CycloneDX und SPDX, die Ausführungskontext und agentenbasierte Entscheidungsfindung erfassen. Dies verbessert sowohl Reproduzierbarkeit als auch Schwachstellenbewertungen.
Sicherheitsberater Andrew Storms schlägt vor, agentenbasierte Sicherheitsgrenzen als Kombination von fünf Elementen zu definieren: Identity Scope (Identitätsbereich), Tool Permissions (Werkzeugberechtigungen), Network Egress Policy (Netzwerk-Ausgangsrichtlinie), Action-Level Authorization (Autorisierung auf Aktionsebene) und Auditing. Diese Kategorien könnten die Grundlage für erweiterte AI-BOM-Standards bilden.
Tallam empfiehlt CISOs, nicht auf perfekte Standards zu warten, sondern jetzt zu handeln. Der erste Schritt: KI-Systeme wie Produkte, nicht wie Experimente behandeln. Ein einfaches Register mit Modellquellen, Datenkonnektivität, Tool-Aufrufen und Ownership schafft bereits eine Grundpolitik. Kritisch ist auch die Dokumentation genehmigter Verhaltensbaselines und die Definition von Abweichungen. Nicht jeder Output eines nicht-deterministischen Systems lässt sich vorhersagen — aber der erwartete Aktionsbereich kann definiert und überwacht werden.
Das Fazit ist eindeutig: CISOs sollten bereits heute damit beginnen, Verhaltensbaselines zu dokumentieren, Agenten-Identitätskontrollen einzurichten und Autorisierungsgrenzen zu erfassen. Dies wird ihnen Vorsprung verschaffen, wenn agentenbasierte Standards sich durchsetzen.