Die rasante Adoption agentischer KI-Technologien verleitet Organisationen zu einem fahrlässigen Ansatz: Sie deployten komplexe Systeme, ohne deren Funktionsweise wirklich zu verstehen. Das Ergebnis sind nicht innovative Cyber-Bedrohungen, sondern altbekannte Verwundbarkeiten in neuem Gewand.
Der Kern des Problems liegt nicht in der Künstlichen Intelligenz selbst, sondern an der unsauberen Integration klassischer Software-Komponenten mit KI-Modellen. Sicherheitsforscher Eliad Kimhy von Acronis bringt es auf den Punkt: “Agentische Systeme bauen auf alter Technologie und alten Schwachstellen auf. Was ausgenutzt wird, sind klassische Softwarevulnerabilitäten – und wer das nicht versteht, schreibt schlechte Software.”
Zwei prominente Beispiele verdeutlichen das Muster: Bei Salesforce konnten Angreifer böswillige Anweisungen in Formulare einschleusen, die der KI-Agent auf dem Backend ausführte – verstärkt durch eine abgelaufene, noch whitelistete Domain. Bei ServiceNow wiederum konnte ein Forscher durch schwache Standard-Authentifizierung als beliebiger Nutzer agieren und KI-Agenten mit Administratorrechten erstellen.
Was diese Fälle gemein haben: Sie sind nicht das Resultat von KI-spezifischen Sicherheitsproblemen, sondern von Versäumnissen bei grundlegenden Sicherheitsprinzipien – fehlende Input-Sanitization, hartcodierte Credentials, unzureichende Zugriffskontrolle.
Agentische KI funktioniert wie ein Hybrid-System aus zwei Hälften: deterministischen Tools (klassische Software mit vorhersehbarem Verhalten) und nicht-deterministischen LLM-Modellen (probabilistisch arbeitend). Die kritische Verwundbarkeit entsteht an der Schnittstelle zwischen beiden. Ein Reisebucht-Agent könnte beispielsweise Buchungsdaten offenlegen, ohne die Identität des Anfragenden zu validieren – nicht weil die KI fehlerhafte ist, sondern weil die Authentifizierung fehlschlägt.
Kimhy warnt vor einer gefährlichen Verschiebung der Aufmerksamkeit: Die Cybersecurity-Community fokussiert sich auf “sexy” Angriffe wie Jailbreaks gegen das LLM-Modell. Das ist jedoch nur die halbe oder sogar weniger als die halbe Geschichte. Die echten Probleme entstehen durch mangelnde klassische Sicherheitspraktiken.
Für deutsche Unternehmen und Behörden ist dies hochrelevant: Jeder Datenschutzvorfall durch unsicher implementierte agentische KI fällt unter DSGVO-Meldepflichten. Das BSI sollte entsprechende Richtlinien entwickeln. Die Lösung lautet “alte Prinzipien mit neuem Ansatz”: Token-basierte Authentifizierung, strenge Zugriffskontrolle auf KI-Agenten wie auf menschliche Mitarbeiter, und vor allem: tiefgehendes Verständnis dafür, wie deterministische und nicht-deterministische Komponenten interagieren.