Die Cyber Kill Chain wurde 2011 von Lockheed Martin entwickelt, um zu beschreiben, wie Angreifer von der ersten Kompromittierung bis zu ihrem eigentlichen Ziel vorgehen. Das Modell prägt seither, wie Sicherheitsteams über Erkennung denken: Angreifer müssen eine Abfolge von Schritten durchlaufen, und Verteidiger können diese Kette an jedem Punkt unterbrechen.

Jede Stufe schafft eine Gelegenheit zur Erkennung. Endpunktschutz fängt womöglich die erste Schadlast ab, Netzwerküberwachung registriert ungewöhnliche laterale Bewegungen, Identitätssysteme melden eine Rechteausweitung, und ein SIEM korreliert auffälliges Verhalten über mehrere Systeme hinweg. Je mehr Schritte ein Angreifer geht, desto höher die Chance, ihn zu erwischen.

Deshalb investieren fortgeschrittene Akteure wie LUCR-3 und APT29 stark in Tarnung, leben über Wochen “von der Substanz des Systems” und verschmelzen mit dem normalen Datenverkehr. Selbst dann hinterlassen sie Spuren: ungewöhnliche Anmeldeorte, auffällige Zugriffsmuster, leichte Abweichungen vom Normalverhalten. Genau danach suchen moderne Erkennungssysteme.

KI-Agenten folgen diesem Drehbuch jedoch nicht. Sie arbeiten grundlegend anders als menschliche Nutzer: Sie agieren über Systeme hinweg, verschieben Daten zwischen Anwendungen und laufen ununterbrochen. Wird ein solcher Agent kompromittiert, umgeht der Angreifer die gesamte Kill Chain, weil der Agent selbst zur Kill Chain wird.

Ein typischer Agent zieht Daten aus Salesforce, schreibt nach Slack, synchronisiert mit Google Drive und aktualisiert ServiceNow. Bei der Inbetriebnahme erhält er oft breite Rechte, häufig auf Administratorebene über mehrere Anwendungen hinweg. Seine Aktivitätshistorie ist eine genaue Karte davon, welche Daten existieren und wo sie liegen. Wer den Agenten übernimmt, erbt all das sofort: die Karte, den Zugriff, die Berechtigungen und einen legitimen Grund, Daten zu verschieben.

Wie das in der Praxis aussieht, zeigte laut Quelltext die “OpenClaw”-Krise. Demnach waren rund zwölf Prozent der Skills im öffentlichen Marktplatz bösartig, eine kritische RCE-Schwachstelle erlaubte eine Kompromittierung mit einem einzigen Klick, und mehr als 21.000 Instanzen waren öffentlich erreichbar. Besonders kritisch war, worauf ein kompromittierter Agent nach Anbindung an Slack und Google Workspace zugreifen konnte: Nachrichten, Dateien, E-Mails und Dokumente, mit dauerhaftem Gedächtnis über Sitzungen hinweg.

Das Kernproblem: Sicherheitswerkzeuge sind darauf ausgelegt, anormales Verhalten zu erkennen. Reitet ein Angreifer auf dem bestehenden Arbeitsablauf eines KI-Agenten, wirkt alles normal. Der Agent greift auf die Systeme zu, auf die er immer zugreift, bewegt die Daten, die er immer bewegt, und das zu den üblichen Zeiten. Genau hier entsteht die Erkennungslücke.

Nach Darstellung des Anbieters Reco beginnt die Verteidigung damit, zu wissen, welche Agenten im Umfeld aktiv sind, womit sie verbunden sind und welche Rechte sie halten — eine Bestandsaufnahme, die den meisten Organisationen für ihr SaaS-Umfeld fehlt. Recos Lösung soll jeden KI-Agenten, eingebettete KI-Funktionen und Drittanbieter-Integrationen erfassen, einschließlich ohne IT-Freigabe angebundener Schatten-KI, und abbilden, welche Apps ein Agent verbindet und welche Daten er erreicht. Eine SaaS-zu-SaaS-Visualisierung soll dabei riskante Kombinationen aufdecken, in denen Agenten über MCP, OAuth oder API-Integrationen Systeme verknüpfen und Rechteketten entstehen, die kein einzelner Anwendungsverantwortlicher genehmigen würde.