Die klassische Cyber-Kill-Chain, ein 2011 von Lockheed Martin entwickeltes Sicherheitsmodell, beschreibt traditionell, wie Angreifer Schritt für Schritt Zugriff auf Systeme erlangen. Jede Phase bietet Verteidigern eine Chance, den Angriff zu erkennen und zu stoppen: Endpoint-Security kann die initiale Payload blockieren, Netzwerk-Monitoring kann verdächtige Bewegungen entdecken, Identity-Systeme können Privilege-Escalations flaggen. Die bisherige Logik: Je mehr Schritte ein Angreifer unternehmen muss, desto höher die Erkennungswahrscheinlichkeit.
Doch KI-Agenten spielen nach anderen Regeln. Sie funktionieren grundlegend anders als menschliche Nutzer. Sie arbeiten kontinuierlich über mehrere Systeme hinweg, verschieben Daten zwischen Anwendungen und haben bei ihrer Bereitstellung häufig umfassende Admin-Rechte erhalten. Ein kompromittierter Agent ist ein Angreifer, der die gesamte Kill-Chain überspringt.
Die OpenClaw-Krise verdeutlichte diese neue Realität: Etwa 12 Prozent der Fähigkeiten auf dem öffentlichen Marktplatz waren bösartig. Eine kritische Remote-Code-Execution-Schwachstelle ermöglichte die Kompromittierung mit einem Klick. Über 21.000 Instanzen waren öffentlich exponiert. Das Beängstigende: Ein kompromittierter Agent konnte sofort auf Slack-Nachrichten, Google-Workspace-Dokumente und E-Mails zugreifen — mit persistentem Speicher über Session-Grenzen hinweg.
Das zentrale Problem liegt in der Normalität von KI-Agenten. Sicherheitswerkzeuge sind darauf ausgelegt, abnormales Verhalten zu erkennen. Wenn ein Angreifer einen KI-Agenten nutzt, sieht alles legitim aus: Der Agent greift auf die gewohnten Systeme zu, verschiebt die üblichen Daten, operiert zu den üblichen Zeiten. Das ist die Erkennungslücke, vor der deutsche Sicherheitsteams stehen.
Die meisten Organisationen haben keine Übersicht über die in ihrer Umgebung operierenden KI-Agenten, deren Verbindungen und Berechtigungen. Dies ist die Basis einer neuen Sicherheitsstrategie: Sichtbarkeit schaffen. Unternehmen müssen zunächst inventarisieren, welche KI-Agenten in ihrem SaaS-Ökosystem aktiv sind — einschließlich Schatten-KI-Tools ohne IT-Genehmigung. Dann müssen sie abbilden, welche Anwendungen diese Agenten verbinden, welche Berechtigungen sie besitzen und auf welche Daten sie zugreifen.
Darüber hinaus ist es entscheidend, die Berechtigungen dieser Agenten zu beschränken. Viele Agenten erhalten bei der Bereitstellung mehr Zugriff als nötig. Eine Rechte-Minimierung kann die Schadensauswirkung eines kompromittierten Agenten erheblich reduzieren. Zusätzlich sollten Sicherheitsteams identitätsorientierte verhaltensbasierte Analysen auf KI-Agenten anwenden — ähnlich wie auf menschliche Benutzer — um echte Anomalien in Echtzeit zu erkennen.
Die klassische Kill-Chain setzte voraus, dass Angreifer für jeden Zugriff kämpfen müssen. Doch ein kompromittierter KI-Agent stellt diese Annahme in Frage. Deutsche Unternehmen, die sich weiterhin ausschließlich auf die Erkennung menschlichen Angreifer-Verhaltens konzentrieren, werden diese neue Bedrohung übersehen. Der Angreifer wird die normalen Workflows des KI-Agenten nutzen — unsichtbar im Rauschen legitimer Operationen. Sichtbarkeit ist der Unterschied zwischen früher Erkennung und spätem Incident Response.