Die Sicherheitschallenges durch KI-Agenten lassen sich auf zwei zentrale Faktoren reduzieren: Zugriff und Autonomie. Der Zugriff definiert, welche Systeme, Daten und Infrastrukturen ein Agent nutzen kann – von Anwendungen und Datenbanken bis zu SaaS-Plattformen, Cloud-Services und APIs. Die Autonomie beschreibt, wie unabhängig der Agent agieren kann, ohne menschliche Genehmigung einzuholen. Während ein Agent, der lediglich Dokumentationen liest, minimal riskant wirkt, stellt ein System, das auf geschäftskritische Services zugreift oder Infrastruktur modifizieren kann, ein erhebliches Sicherheitsrisiko dar.
Unternehmen können ihre KI-Agenten in drei Kategorien einordnen, die unterschiedliche Sicherheitsrisiken mit sich bringen:
Agentic Chatbots sind die vertrauteste Kategorie. Diese KI-Assistenten operieren innerhalb von verwalteten Plattformen wie Produktivitätstools oder Kundenservice-Systemen. Sie werden typischerweise durch menschliche Interaktion ausgelöst und helfen bei Informationsbeschaffung, Dokumentenzusammenfassungen oder einfachen Integrationen. Zwar erscheinen sie auf den ersten Blick sicherheitstechnisch unkritisch, doch verstecken sich häufig Risiken dahinter: Viele Chatbot-Tools nutzen eingebettete API-Verbinder oder statische Anmeldedaten mit zu breiten Zugriffsrechten. Auch Wissensdatenbanken, die mit diesen Systemen verbunden sind, könnten durch Konversationen sensible Daten preisgeben.
Lokale Agenten sind die am schnellsten wachsende und gleichzeitig am wenigsten kontrolierte Kategorie. Sie laufen direkt auf Mitarbeiter-Computern und integrieren sich in Entwicklungsumgebungen, Terminals oder produktive Workflows. Das besondere Sicherheitsproblem: Diese Agenten erben die Berechtigungen und Netzwerkzugriffe desjenigen Benutzers, der sie ausführt. Mitarbeiter können damit Agenten unmittelbar mit GitHub, Slack, internen APIs oder Cloud-Umgebungen verbinden – ohne dass zentrale IT-Abteilungen diese Verbindungen genehmigen oder überwachen. Hinzu kommt das Supply-Chain-Risiko durch Third-Party-Plugins aus öffentlichen Ökosystemen, die möglicherweise böswillige Anweisungen enthalten.
Production Agents sind die mächtigste Klasse autonomer KI-Systeme. Sie laufen als Unternehmensservices und können kontinuierlich ohne menschliche Interaktion operieren, auf Systemereignisse reagieren und komplexe Workflows über mehrere Systeme orchestrieren. Organisationen setzen sie für Incident-Response-Automatisierung, DevOps-Workflows und Business-Prozesse ein. Da sie als Services laufen, nutzen sie dedizierte Machine-Identitäten und Zugangsdaten. Hier entsteht eine völlig neue Identitätsfläche innerhalb von Unternehmensumgebungen.
Die Priorität für CISOs ist klar: Je größer der Zugriff und die Autonomie eines Agenten, desto höher die Sicherheitspriorität. Erfolgreiche Unternehmen werden nicht diejenigen sein, die KI-Agenten ganz vermeiden, sondern die, die ihre Agenten verstehen, ihre Identitäten richtig verwalten und Zugriffsrechte korrekt einschränken. Denn in der Ära der KI-Agenten wird die Identitätsverwaltung zur Kontrolleben der Unternehmens-KI-Sicherheit.