KI-Identität: Warum jeder KI-Agent eine überprüfbare digitale Identität benötigt

Autonome Systeme werden zu aktiven Akteuren in Unternehmensumgebungen, treffen Entscheidungen und ergreifen Maßnahmen, die sich auf Daten, Infrastruktur und Geschäftsabläufe auswirken können. Im Gegensatz zu herkömmlicher software können KI-Agenten Anweisungen dynamisch interpretieren, auf Systeme zugreifen, mit anderen Agenten interagieren und mit einem hohen Maß an Unabhängigkeit agieren. Unternehmen benötigen daher eine zuverlässige Möglichkeit, um zu erkennen, welcher Agent gerade aktiv ist, wozu er berechtigt ist und ob seine Handlungen vertrauenswürdig sind. Eine überprüfbare Identität bildet die Grundlage für Authentifizierung, Autorisierung, Rechenschaftspflicht und Widerruf und ermöglicht es Unternehmen, KI sicher und in großem Maßstab einzusetzen. Ohne sie werden autonome Agenten zu mächtigen, aber weitgehend unkontrollierten Akteuren, die innerhalb vertrauenswürdiger Netzwerke agieren, was das Risiko von Missbrauch, Kompromittierung und unbeabsichtigten Folgen erhöht. 

Die KI ist in das Zeitalter des Vertrauens eingetreten 

Die Fragen, die Unternehmen zum Thema KI stellen, haben sich geändert. Es geht nicht mehr um die Frage: „Was kann sie leisten?“, sondern um die Frage: „Wer ist sie?“ 

KI-Agenten sind längst über das bloße Generieren von Antworten auf Eingabeaufforderungen hinausgewachsen. Sie nehmen nun ihre Umgebung wahr, treffen eigenständige Entscheidungen und führen Aktionen in unternehmensweiten Systemen durch, beispielsweise das Initiieren von Workflows, den Zugriff auf sensible Datenbanken, das Aufrufen von APIs, die Koordination mit anderen Agenten in Maschinengeschwindigkeit und so weiter. Dieser Wandel von der Automatisierung zur Autonomie erfolgt nicht schrittweise. Automatisierte Systeme befolgen Anweisungen. Agentenbasierte Systeme interpretieren sie. Automatisierte Systeme arbeiten innerhalb statischer Grenzen. Agentenbasierte Systeme überschreiten diese dynamisch. 

Diese Unterscheidung ist von Bedeutung, da sie die Natur des Risikos grundlegend verändert. Sicherheitsverantwortliche gehen davon aus, dass KI-basierte Schwachstellen in den kommenden Jahren eine größere Bedrohung darstellen werden als menschlicher Missbrauch. Darüber hinaus glauben nur wenige von ihnen, dass sie einen außer Kontrolle geratenen KI-Agenten daran hindern könnten, Schaden anzurichten, bevor dieser tatsächlich eintritt. 

Die Kluft zwischen der Geschwindigkeit des KI-Einsatzes und der Identitätsbereitschaft wird immer größer. Unternehmen setzen KI-Agenten in Produktionsumgebungen ein, während sie sich weiterhin auf Identitätsmodelle stützen, die für Menschen und vorhersehbare Anwendungen konzipiert wurden. Die Folge ist eine wachsende Gruppe autonomer Akteure, die innerhalb vertrauenswürdiger Unternehmensgrenzen agieren, ohne dass Identitätskontrollen vorhanden sind, die ihren Fähigkeiten entsprechen. 

Die Identität bildet die Trennlinie zwischen KI-Innovation und KI-Risiko. Sie ist die grundlegende Steuerungsebene, die darüber entscheidet, ob autonome Agenten authentifiziert, autorisiert, nachverfolgt und widerrufen werden können. Ohne sie verlieren alle anderen Sicherheitsmaßnahmen an Wirksamkeit. 

Was ist KI-Identität und warum ist sie wichtig? 

Die KI-Identität ermöglicht es, den Zugriff und die Aktionen eines autonomen Agenten eindeutig zu authentifizieren, zu autorisieren, zu verfolgen und zu widerrufen. Damit lässt sich die grundlegendste Sicherheitsfrage zu jedem Akteur in einer Unternehmensumgebung beantworten:Welche Instanz hat dies getan und mit welcher Berechtigung? 

KI-Agenten lassen sich nicht in bestehende Identitätsmodelle einordnen, die für menschliche Nutzer oder herkömmliche Anwendungen konzipiert wurden. Sie bringen Eigenschaften mit sich, die die Identität sowohl wichtiger als auch schwieriger zu verwalten machen: 

• Beständigkeit und Dynamik.
  KI-Agentenkönnen langlebige Dienste oder kurzlebige „Worker“ sein, die nur wenige Minuten bestehen. Einige bleiben über mehrere Sitzungen hinweg bestehen und sammeln im Laufe der Zeit Kontextinformationen und Berechtigungen an. Andere werden für eine einzelne Aufgabe gestartet und sofort wieder deaktiviert. Identitätsmodelle müssen beiden Mustern gerecht werden. 

• Skalierbarkeit.
  Unternehmen können Hunderte oder Tausende von KI-Agenten gleichzeitig in verschiedenen Arbeitsabläufen einsetzen, was zu Herausforderungenbeim Identitätsmanagementführt, die alles übertreffen, was man aus herkömmlichen, benutzerorientierten Systemen kennt. 

• Autonomie.
  Agenten treffen Entscheidungen in Echtzeit, ohne dass eine menschliche Aufsicht erforderlich ist. Sie warten nicht auf eine Genehmigung, bevor sie handeln, und ihr Wert liegt in ihrer Anpassungsfähigkeit. Genau diese Eigenschaft wird von Sicherheitssystemen oft als verdächtig eingestuft. 

• Systemübergreifender Zugriff.
  Ein einzelner Agent kann im Rahmen einer einzigen Aufgabe mit mehreren APIs, Datenbanken und Diensten interagieren. Im Gegensatz zu einem menschlichen Benutzer, der in der Regel nur mit wenigen Anwendungen arbeitet, kann sich der Zugriffsbereich eines Agenten innerhalb von Sekunden über das gesamte Unternehmen erstrecken. 

• Nicht unterscheidbare Anfragen.
  Auf API-Ebene gibt es für eine Unternehmensanwendung keine zuverlässige Möglichkeit, KI-Eingaben von menschlichen Eingaben zu unterscheiden. Wenn ein Agent eine API aufruft, sieht die Anfrage genauso aus wie die eines menschlichen Nutzers. 

Die folgende Analogie (aus der Biologie) hilft, das Gesamtbild zu verstehen. Damit ein lebender Organismus überleben kann, muss er seine Umgebung wahrnehmen, Bedrohungen erkennen, Reaktionen auswählen und diese ausführen. Dies erfordert das, was Forscher als „Ich“ bezeichnen: ein Modell von sich selbst als kausalem Akteur unter anderen kausalen Akteuren. Ein LLM enthält eine ausgefeilte Entscheidungsengine, aber eine rein generative KI ist kein kausales Agens. Sie erlangt diesen Status erst, wenn sie beginnt, über Protokolle wie MCP ihre Umgebung wahrzunehmen und zu handeln, ihre Umgebung zu interpretieren, Entscheidungen zu treffen und Maßnahmen zu ergreifen. 

Die gleiche Erwartung, die für jeden menschlichen Akteur gilt, sollte auch für einen KI-Agenten gelten: Wenn er kontinuierlich wahrnimmt, beurteilt und handelt, sollte er über eine eigene, einzigartige Identität sowie mit dieser Identität verknüpfte Berechtigungsnachweise verfügen. 

Das Problem mit statischen Anmeldedaten: Warum API-Schlüssel und Passwörter nicht ausreichen 

Herkömmliche Authentifizierungsmechanismen (wie API-Schlüssel, OAuth-Client-Geheimnisse, Passwörter und statische Token) wurden für eine andere Ära entwickelt. In KI-Umgebungen versagen sie in mehrfacher Hinsicht. 

Keine zuverlässige Herkunftsüberprüfung.
Statische Anmeldedaten bieten keine Möglichkeit, die tatsächliche Herkunft einer Aktion festzustellen. Ein Nutzer, der die erwarteten Interaktionsmuster nicht versteht, könnte ein OAuth-Client-Secret in einen KI-Chat einfügen und es so möglicherweise als Trainingsdaten für ein LLM offenlegen. Ein Agent könnte einen API-Schlüssel aus einer von ihm gecrawlten Konfigurationsdatei extrahieren. In beiden Fällen gibt es keine zuverlässige Möglichkeit, sicherzustellen, dass jede Aktion so robust autorisiert wird, dass der Akteur sie nicht leugnen kann. Das grundlegende Sicherheitsprinzip der Nichtabstreitbarkeit bricht somit zusammen. 

Mängel bei der Überprüfung und Verwaltung.
Statische Schlüssel lassen sich in der Regel nicht durch eine Überprüfung einer bestimmten Person zuordnen. Gültige, funktionierende Schlüssel lassen sich ohne zusätzlichen Kontext nicht von ungültigen oder nicht vertrauenswürdigen Schlüsseln unterscheiden. Der Schlüssel selbst enthält keine Informationen darüber, unter welcher Richtlinie er ausgestellt wurde, und es gibt keine einheitlichen Kontrollmechanismen, um eine angemessene Rotation der Zugangsdaten durchzusetzen. 

Kein Datenschutz.
Client-Geheimnisse bieten keine Verschlüsselung. Selbst wenn statische Anmeldedaten für die Identitätsprüfung geeignet wären, würden sie die Daten während der Übertragung nicht schützen. 

Gefährlich im KI-Maßstab.
Diese Mängel, die bei begrenzten, menschenzentrierten Einsatzszenarien noch beherrschbar sind, werden gefährlich, wenn sie durch KI-Agenten verstärkt werden, die mit Maschinen-Geschwindigkeit arbeiten. Ein kompromittierter Agent kann sich ohne zu zögern quer durch Systeme bewegen. Ein falsch konfigurierter Agent kann Grenzen auf eine Weise überschreiten, die von außen betrachtet wie vorsätzlicher Missbrauch aussieht. 

Derzeit setzen die meisten Unternehmen auf API-Schlüssel, symmetrische Schlüssel oder statische Token. Nur etwa jedes zweite Unternehmen nutzt digitale Zertifikate zur Identifizierung von KI-Agenten. Diese Mischung aus verschiedenen Ansätzen spiegelt eine Übergangsphase wider. Die meisten Unternehmen erkennen zwar die Notwendigkeit einer stärkeren Identitätssicherung, doch viele verlassen sich nach wie vor auf Mechanismen, die nie für autonomes Verhalten konzipiert wurden. 

Was einigen Experten am meisten Sorgen bereitet, ist nicht böswillige KI, sondern vielmehr KI, der man zu sehr vertraut. Viele KI-Implementierungen führen im Namen der Geschwindigkeit und des Experimentierens stillschweigend dieselben Anti-Muster wieder ein, vor denen die Sicherheitsbranche seit Jahren warnt – fest codierte Anmeldedaten, gemeinsam genutzte Geheimnisse und langfristig gültige Zugriffsrechte. 

Zertifikatsbasierte Identität: Die Grundlage für Vertrauen in KI 

Digitale X.509-Zertifikate lösen die Probleme, die mit statischen Anmeldedaten nicht bewältigt werden können. Sie sind der am weitesten verbreitete Standard für digitale Zertifikate und bilden die kryptografische Grundlage, die KI-Agenten benötigen, um auf Unternehmensebene sicher zu arbeiten. 

Zertifikate bieten sechs entscheidende Eigenschaften, die statischen Anmeldedaten fehlen: 

• Unbestreitbare Herkunft.
  Jede Aktion lässt sich bis zu einem bestimmten Zertifikatsinhaber zurückverfolgen. Es besteht kein Zweifel daran, welche Stelle eine Aktion durchgeführt hat. 

• Sie können nicht versehentlich weitergegeben werden.
  Private Schlüssel können sicher in einem Hardware oder einem vom Betriebssystem verwalteten Speicher aufbewahrt werden und tauchen niemals in Chat-Protokollen oder Konfigurationsdateien auf. 

• Integriertes Lebenszyklusmanagement.
  Zertifikate haben eine festgelegte Gültigkeitsdauer und können bei einer Kompromittierung sofort widerrufen werden. Das Ablaufen der Gültigkeit ist ein vorgesehenes Merkmal, kein Fehlerfall. 

• Durchsetzung von Richtlinien.
  Zertifikatserweiterungen können bestimmte Autorisierungsrichtlinien und Einschränkungen kodieren, beispielsweise auf welche Systeme der Agent zugreifen darf, welche Vorgänge er ausführen darf, zeitliche Beschränkungen sowie Compliance-Anforderungen. Das Zertifikat selbst wird so zu einem Punkt der Richtlinienumsetzung. 

• Gegenseitige Authentifizierung.
  Beide Kommunikationspartner überprüfen die Identität des jeweils anderen auf kryptografische Weise, wodurch die Möglichkeit einer Identitätsfälschung ausgeschlossen wird. 

• Verschlüsselung während der Übertragung.
  Zertifikate dienen nicht nur der Identifizierung von Endgeräten, sondern stellen auch einen sicheren Kanal für die Datenübertragung bereit. 

Die Public-Key-Infrastruktur (PKI) ist das System, das diese Zertifikate in großem Maßstab ausstellt, verwaltet und validiert. Die PKI bildet die kryptografische Grundlage für die Einrichtung und Pflege sicherer Identitäten im gesamten Agenten-Ökosystem einer Organisation. 

In modernen OAuth-Implementierungen werden statische Geheimnisse zunehmend durch Client-Zertifikate ersetzt, was zu einer stärkeren Client-Authentifizierung führt. Bei interaktiver KI (bei der ein Mensch über Protokolle wie MCP mit einem KI-Agenten zusammenarbeitet) authentifiziert sich das Client-Zertifikat des Benutzers beim Identitätsanbieter, der OAuth-Zugriffstoken mit begrenztem Geltungsbereich ausstellt. KI-Aktionen werden unter der vom Benutzer übertragenen Berechtigung mit einem vollständigen Prüfpfad ausgeführt. Bei autonomen Agenten erfolgt die Authentifizierung direkt über das eigene Workload-Zertifikat des Agenten, und der Identitätsanbieter stellt Token auf der Grundlage des vorkonfigurierten Autorisierungsumfangs des Agenten aus. 

Dieser Ansatz beseitigt die Risiken statischer Client-Geheimnisse und bewahrt gleichzeitig die Skalierbarkeit und Flexibilität moderner OAuth-Frameworks. 

Bei containerisierten KI-Workloads automatisiert SPIFFE (Secure Production Identity Framework for Everyone) den gesamten Zertifikatslebenszyklus. Jeder Container erhält eine eindeutige SPIFFE-ID, die Laufzeitumgebung stellt automatisch kurzlebige X.509-Zertifikate aus, zwischen den Workloads TLS automatisch TLS gegenseitige TLS hergestellt, und es entsteht keinerlei betrieblicher Aufwand für die Zertifikatsverwaltung – selbst bei kurzlebigen Agenten, die nur wenige Minuten lang existieren. 

Ausweitung des Zero-Trust-Ansatzes auf KI: „Never Trust, Always Verify“ für nicht-menschliche Akteure 

Die Zero-Trust-Architektur basiert auf einem grundlegenden Prinzip: Niemals vertrauen, immer überprüfen. Bei jeder Kommunikationsverbindung müssen beide Parteien authentifiziert und autorisiert sein, unabhängig von der Netzwerkadresse oder früheren Zugriffen. Während sich Zero Trust traditionell auf menschliche Nutzer und bekannte Anwendungen konzentriert hat, erfordert der Aufstieg der agentenbasierten KI, dass das Modell auf autonome Systeme ausgeweitet wird. 

In einer durch PKI gesicherten Zero-Trust-Umgebung muss jede Entität – sei es ein Mensch, ein KI-Agent, ein Dienst oder ein Gerät – vor dem Zugriff auf Ressourcen einen kryptografischen Identitätsnachweis vorlegen: 

• KI-Agenten benötigen Zertifikate, genauso wie menschliche Nutzer Zertifikate benötigen. 

• Bei jedem API-Aufruf eines KI-Agenten muss eine Zertifikatsauthentifizierung erzwungen werden. 

• Die Kommunikation zwischen Agenten erfordert eine gegenseitige TLS Authentifizierung TLS mTLS). 

• Der Zugriff auf Ressourcen wird durch identitätsbasierte Richtlinien geregelt, nicht durch API-Schlüssel oder netzwerkbasierte Kontrollen. 

Auf dieser Grundlage wandelt sich Zero Trust von einer Philosophie der Netzwerksicherheit zu einem operativen Rahmenwerk für Autonomie. Jede Aktion eines Agenten kann in dem Moment, in dem sie stattfindet, authentifiziert und autorisiert werden. Jede Verbindung – sei es zwischen einem Agenten und einer Datenbank oder zwischen zwei Agenten – kann über mTLS überprüft werden. Wenn sich ein Agent fehlerhaft verhält oder sein Verhalten sich unerwartet ändert, kann seine Identität sofort widerrufen werden, wodurch das Risiko isoliert wird, ohne andere Workloads zu beeinträchtigen. 

Wo das traditionelle Zero-Trust-Modell versagt 

Das traditionelle Zero-Trust-Modell geht von menschenzentrierten Mustern aus, beispielsweise vorhersehbaren Arbeitszeiten, stabilen Verhaltensgrundwerten, einer Geschwindigkeit im menschlichen Maßstab, gerätebasierten Vertrauenssignalen usw. KI-Agenten verstoßen in mehrfacher Hinsicht gegen diese Annahmen: 

Identität wird zu einer Verhaltensidentität und basiert nicht mehr nur auf Anmeldedaten.
Ein Mensch verfügt über eine stabile Identität durch SSO, Zertifikate und MFA. Ein KI-Agent, der Tool-Aufrufe ausführt, kann möglicherweise bei allen Aufrufen dieselben Anmeldedaten verwenden. Zero Trust für KI muss dies durch eine Verhaltensidentität ergänzen. Die Handlungsentwicklung des Agenten (d. h. seine Vergangenheit) fließt in seine Vertrauensbewertung ein. 

Das Prinzip der geringsten Berechtigungen muss sich auf die jeweilige Aufgabe beziehen und nicht nur auf eine Rolle. 
Menschen gewähren Organisationen „Lesezugriff auf den Speicher-Bucket X“. Bei KI-Agenten muss der Zugriff auf die jeweilige Aufgabenabsicht beschränkt sein. Das heißt, der Agent sollte nur Tools aufrufen, die für seine erklärte Aufgabe plausibel notwendig sind. Dies erfordert eine Richtlinienebene, die nicht nur die Zugriffskontrolllisten für Ressourcen versteht, sondern auch den Kontext jeder einzelnen Aufgabe. 

Kontinuierliche Neubewertung während der Aktion.
Menschen führen einzelne Aktionen aus und melden sich anschließend ab. KI-Agenten führen Ketten von Tool-Aufrufen aus, bei denen sich das Risikoprofil im Verlauf der Kette ändert. „Zero Trust“ für KI erfordert eine Neubewertung der Richtlinien innerhalb einer Sitzung. Nach jedem Tool-Aufruf muss das System erneut bewerten, ob die nächste angeforderte Aktion angesichts der bisherigen Ereignisse weiterhin innerhalb der Vertrauensgrenzen liegt. 

Die Eingabeaufforderung stellt eine Angriffsfläche dar.
Es gibt kein menschliches Äquivalent zur Prompt-Injection. Bei „Zero Trust“ für KI muss der Eingabekanal selbst als nicht vertrauenswürdig behandelt werden. Ein abgerufenes Dokument oder eine externe API-Antwort kann böswillige Anweisungen enthalten, die versuchen, die Berechtigungen eines Agenten während der Ausführung einer Aufgabe zu erweitern. 

Diese Anpassungen stellen eine bedeutende Weiterentwicklung der Zero-Trust-Prinzipien dar, stellen jedoch das Kernkonzept nicht auf den Kopf. Sie erweitern es, um Akteure einzubeziehen, deren Wert in ihrer Anpassungsfähigkeit und Autonomie liegt. 

Verwaltung von KI-Identitäten in großem Maßstab: Lebenszyklus, Automatisierung und Überwachbarkeit 

Die praktische Herausforderung, die Identitäten von potenziell Tausenden kurzlebiger KI-Agenten zu verwalten, zwingt die PKI dazu, sich in drei wesentlichen Punkten weiterzuentwickeln. 

Kürzere Lebensdauer 

KI-Agenten benötigen selten eine langfristige Identität. Kurzlebige Zertifikate (die nur Minuten oder Stunden statt Monate gültig sind) verringern das Risiko und begrenzen den Schadensumfang, wenn Zugangsdaten kompromittiert werden. In den meisten Fällen ist es nicht erforderlich, dass ein Zertifikat länger gültig bleibt als der Agent, für den es ausgestellt wurde. Das Ablaufen des Zertifikats wird so zu einem Sicherheitsmerkmal, das nicht mehr benötigte Zugangsdaten automatisch bereinigt. 

Vollautomatisierung 

Die manuelle Zertifikatsverwaltung wird im KI-Maßstab fast sofort unhaltbar. Ausstellung, Erneuerung, Rotation und Widerruf müssen durchgängig automatisiert werden. Zertifikate müssen automatisch im Rahmen von Agent-Bereitstellungspipelines, Orchestrierungsplattformen oder Mesh-Zulassungs-Workflows ausgestellt werden. Menschliches Eingreifen bei routinemäßigen Identitätsvorgängen lässt sich einfach nicht skalieren. 

Richtliniengesteuerte Identität 

Autorisierungsentscheidungen müssen in Identitätsrichtlinien und Zertifikatsvorlagen festgeschrieben werden, anstatt über Ausnahmen und manuelle Kontrollen abgewickelt zu werden. In Zertifikatsvorlagen lassen sich die Fähigkeiten und Einschränkungen von Agenten festlegen, wodurch sichergestellt wird, dass die Durchsetzung der Richtlinien auf der Identitätsebene erfolgt – und nicht erst im Nachhinein. 

Service Meshes als Durchsetzungsschichten 

Service-Meshes entwickeln sich zu einem praktischen Kontrollpunkt für die Identität von Workloads, einschließlich KI-Agenten. Sie bilden eine natürliche Durchsetzungsebene in containerisierten Bereitstellungen, wo sie einzelne Workloads voneinander unterscheiden, beobachten können, welche Workloads miteinander kommunizieren, TLS gegenseitiges TLS erzwingen, Identitätsangaben von Workloads validieren und regeln können, welche Identitäten miteinander interagieren dürfen. 

In diesem Zusammenhang wird die Zertifikatsausstellung Teil der Workload-Zulassung und -Orchestrierung und ist nicht mehr nur ein eigenständiger Sicherheitsprozess. 

Agentenklassifizierung 

Nicht alle KI-Agenten sind gleich. Unternehmen sollten ihre Agenten anhand von vier Dimensionen klassifizieren: 

• Zugriffsrechte:
  – welche Systeme und Daten sie nutzen dürfen 

• Entscheidungsbefugnis:
  Welche Maßnahmen können sie ohne menschliche Zustimmung ergreifen? 

• Risikoexposition:
  – die möglichen Auswirkungen im Falle einer Kompromittierung des Agenten 

• Lebensdauer:
  , unabhängig davon, ob es sich um persistente Dienste oder kurzlebige Worker handelt 

Agenten mit weitreichenden Berechtigungen und langer Laufzeit erfordern strengere Zertifikatsrichtlinien und eine häufigere Überwachung als Agenten mit begrenztem Wirkungsbereich und kurzer Laufzeit. 

Identitätsorientierte Beobachtbarkeit 

Protokolle, Telemetriedaten und Warnmeldungen müssen mit einer kryptografischen Identität verknüpft sein, damit Aktionen genau zugeordnet werden können. Wenn Sie nicht sagen können, welcher Agent eine Aktion ausgeführt hat, haben Sie keine sinnvolle Kontrolle. Identitätsorientierte Observability schließt die Lücke zwischen dem, was passiert ist, und dem, wer es getan hat. 

KI-gestützte Identitätsverwaltung und Compliance 

Die KI-gestützte Identitätsverwaltung entwickelt sich zu einem der folgenreichsten und zugleich am wenigsten ausgereiften Bereiche der Unternehmenssicherheit. 

Der aktuelle Stand 

Derzeit hat nur jede zweite Organisation Governance-Rahmenwerke für KI-Agenten vollständig umgesetzt. Die andere Hälfte befindet sich noch in der Planungsphase oder in informellen Gesprächen. Diese Aufteilung spiegelt wider, dass wir uns in einer Übergangsphase befinden. Die Einführung von KI schreitet immer schneller voran, doch der Reifegrad der Governance ist uneinheitlich. 

Das Risiko besteht nicht darin, dass sich die Organisationen des Problems nicht bewusst sind. Vielmehr hinkt die Umsetzung der betrieblichen Realität hinterher. 

 Dieser Anteil spiegelt sich auch in der Zahl der Führungskräfte wider, die diese Bedrohungen ernst nehmen. Diese Diskrepanz verdeutlicht eine tiefgreifende Spannung in der Unternehmensführung: KI-Risiken werden oft bereits auf technischer Ebene erkannt, bevor sie auf Führungsebene in vollem Umfang berücksichtigt werden. 

Unterdessen sind die Erwartungen hinsichtlich der Widerstandsfähigkeit nach wie vor gering. Nur wenige Sicherheitsexperten glauben, dass sie einen auf Abwege geratenen KI-Agenten aufhalten könnten, bevor Schaden entsteht. Im Gegenteil: Die meisten gehen davon aus, dass eine Erkennung oder Reaktion erst dann erfolgt, wenn ein Vorfall bereits eingetreten ist, und betrachten durch KI verursachte Schwachstellen oft als größere kurzfristige Bedrohung als den Missbrauch durch Menschen. 

Die operativen Risiken autonomer Behörden 

KI-Agenten übernehmen Berechtigungen, die aus Gründen der Bequemlichkeit und nicht im Sinne der Rechenschaftspflicht konzipiert wurden. „Vorübergehender“ Zugriff hat sich in der Vergangenheit oft als dauerhaft erwiesen. Bei autonomen Agenten werden solche Kompromisse gefährlich. 

Das Prinzip der geringsten Berechtigungen im Zeitalter der Agenten ist keine statische Richtlinie. Es handelt sich um einen Echtzeit-Abwägungsprozess zwischen Möglichkeiten und Einschränkungen. Dies erfordert eine dynamische Berechtigungsvergabe, ein ausgeprägtes Kontextbewusstsein und eine kontinuierliche Überprüfung der Absichten. Zudem zwingt es dazu, sich mit einer Frage auseinanderzusetzen, die jeder Diskussion über Governance zugrunde liegt: Wer ist verantwortlich, wenn ein autonomer Agent seine Zugriffsrechte missbraucht? 

Identitätswechsel und fortlaufende Nachweise 

Kurzlebige Agenten führen zu einer hohen Identitätsfluktuation, für deren Bewältigung herkömmliche Governance-Modelle nie ausgelegt waren. Identitäten können nur wenige Minuten oder Sekunden lang bestehen, was eine kontinuierliche Vergabe und Rotation, häufige Sperrungen ohne Dienstunterbrechung sowie ein hohes Volumen an Ost-West-Datenverkehr zwischen den Agenten erfordert. 

Risiko- und Compliance-Teams werden zunehmend kontinuierliche Nachweise anstelle von punktuellen Kontrollen benötigen. Die Prüfer verlagern ihren Fokus vom Modelldesign auf das operative Verhalten: Wie authentifiziert sich ein KI-Agent vor dem Handeln, wie werden seine Aktionen protokolliert und zugeordnet, wie schnell kann sein Zugriff widerrufen werden und lassen sich Entscheidungen nachträglich rekonstruieren? 

Die bevorstehende Konvergenz 

Die KI-Governance läuft heute oft parallel zu Sicherheits- und Identitätsprogrammen. In den nächsten Jahren wird diese Trennung jedoch verschwinden. Die Identität wird zum Bindeglied zwischen Zugriffskontrolle, Sicherheitsdurchsetzung, Risikomanagement und Lebenszyklusüberwachung. 

Bis zum Ende des Jahrzehnts wird die KI-Governance keine eigenständige Initiative mehr sein. Sie wird in die Identitäts- und Sicherheitsarchitekturen von Unternehmen eingebettet sein, da dort bereits durchsetzbare Kontrollmechanismen vorhanden sind. 

Ein Experte für Regulierungsfragen bemerkt dazu: „Governance ohne durchsetzbare Identitätskontrollen ist nur dem Namen nach Governance.“ Rahmenwerke wie das NIST AI RMF, ISO/IEC 42001 und das EU-KI-Gesetz basieren alle auf der Fähigkeit, KI-Handlungen nachzuverfolgen, zuzuordnen und zu prüfen. Jedes dieser Rahmenwerke setzt voraus, dass Organisationen erkennen können, welcher KI-Agent gehandelt hat und unter welcher Befugnis. Für Regulierungsbehörden ist ein ungleichmäßiger Reifegrad oft ein Vorläufer für formelle Vorschriften. Das Zeitfenster, um Identitätsgrundlagen zu schaffen, bevor die Regulierung strenger wird, wird bereits immer enger. 

Neue Horizonte: MCP, Vibe Coding und KI-gestützte PKI 

Drei zukunftsweisende Aspekte der KI-Identität verdeutlichen, wie rasant sich die Landschaft weiterentwickelt. 

Model Context Protocol (MCP): Der KI „Augen und Hände“ verleihen 

MCP ist das Protokoll, das ein LLM von einer generativen Engine in einen autonomen Agenten verwandelt. MCP wurde von Anthropic entwickelt und der open-source AI Foundation“ zur Verfügung gestellt. Es bindet Unternehmenssysteme in KI-Prozesse ein und ermöglicht es Agenten, Dateifreigaben zu lesen, Konfigurationen anzupassen, mit Fachanwendungen zu interagieren und mehrere Tools zu komplexen Arbeitsabläufen zusammenzufügen. 

Das Ausmaß ist beeindruckend: Allein im ersten Jahr seit Einführung von MCP wurden mehr als 17.000 MCP-Server eingerichtet. Da Unternehmen agentenbasierte Workloads ausbauen, entwickelt sich MCP zu einer grundlegenden Ebene und ist längst keine Randtechnologie mehr. Experten und Praktiker sind der Ansicht, dass MCP auf dem besten Weg ist, „das HTTP des KI-Zeitalters“ zu werden. Und genau wie damals bei HTTP braucht es eine Identitäts- und Verschlüsselungsebene, um für den Einsatz in Unternehmen bereit zu sein. 

Die Absicherung von MCP-Servern durch gegenseitiges TLS zertifikatsbasierte Authentifizierung ist von entscheidender Bedeutung. Ein MCP-Server stellt der KI API-Funktionen zur Verfügung, und die KI kann ihre Fähigkeiten im Bereich der natürlichen Sprache nutzen, um die Dokumentation des Servers zu lesen und verfügbare Operationen dynamisch, außerhalb einer vorprogrammierten Abfolge, auszuführen. Das bedeutet, dass MCP-Server durch eine ordnungsgemäße zertifikatsbasierte Authentifizierung abgesichert werden müssen, da der KI-Client faktisch ein Nutzer der Anwendung ist und Datenverkehr erzeugt, den die Anwendung nicht von den Handlungen eines Menschen unterscheiden kann. 

Vibe – Programmierung und Identität 

Im modernen Sprachgebrauch bezeichnet der Begriff „Vibe-Coding“ den Prozess, bei dem Code nicht durch Tastatureingaben, sondern über Anweisungen in natürlicher Sprache geschrieben wird. Entwickler beschreiben, was sie wollen, und ein LLM entwirft die Logik. Die Produktivitätssteigerungen sind real: Prototypen entstehen in Rekordzeit, und Nachwuchskräfte können mit dem Tempo erfahrener Entwickler mithalten. 

Doch das „Vibe-Coding“ durchbricht die traditionelle Kette von Urheberschaft und Überprüfung. Wenn ein Entwickler ein LLM auffordert, „diesen Fehler zu beheben“, und der daraus resultierende Patch eine Sicherheitslücke verursacht – wer ist dann der Urheber dieser Logik? Der Entwickler? Das Modell? Die Trainingsdaten? 

Die Zahlen sprechen eine deutliche Sprache: Nur jedes dritte Unternehmen gibt an, über ausreichende Transparenz und Kontrollmechanismen im Bereich der KI-gestützten Programmierung zu verfügen. Diese Lücke stellt einen wachsenden blinden Fleck im Bereich DevSecOps und bei den Risiken software dar. 

Identität ist die Lösung. Kryptografische Herkunftsnachweise und Codesignierung sorgen durch verschiedene Mechanismen für die Nachvollziehbarkeit von KI-generiertem Code: 

• Alle Codeänderungen – egal ob von Menschen oder KI – kryptografisch signieren, um sicherzustellen, dass jede Zeile einen nachweisbaren Autor hat 

• Für Commits ist eine identitätsbasierte Authentifizierung erforderlich, damit KI-Agenten unter eindeutigen, kryptografisch verknüpften Identitäten mit Repositorys interagieren können 

• Prüfen und signieren Sie Eingabeaufforderungen, bevor Modelle Code generieren, um Schutz vor Prompt-Injection zu bieten 

• Sichere Pipelinesmit statischer Analyse, Abhängigkeitsprüfungen, SBOM-Erstellung und Schwachstellenscans bereits während der Build-Phase bereitstellen 

Da sich software in Richtung einer Zukunft entwickelt, in der Entwickler und KI-Agenten gemeinsam Code erstellen, muss jeder Beitrag der KI mit einem kryptografischen Fingerabdruck versehen sein, jeder Codepfad muss eine nachprüfbare Herkunft aufweisen und jeder Commit muss einer zuordenbaren Identität zugeordnet werden können. 

KI als operativer Hebel für PKI 

Mit der zunehmenden Verbreitung von KI-Agenten steigt die Komplexität der Verwaltung kryptografischer Identitäten stark an. Die KI selbst wird dabei zu einem Teil der Lösung. 

Unternehmen beginnen damit, KI-gestützte PKI-Abläufe einzuführen: 

• Schnittstellen in natürlicher Sprache für die Zertifikatsverwaltung – damit können Administratoren Zertifikate über dialogbasierte Eingabeaufforderungen statt über spezielle Tools verwalten 

• Automatische Erkennung kryptografischer Ressourcen– KI-Agenten, die unternehmensweit Zertifikate, Schlüssel und Konfigurationen identifizieren 

• Richtliniengesteuerte Ausstellung und Verlängerung– automatisiertes Zertifikatslebenszyklusmanagement, das in Echtzeit auf Richtlinienänderungen reagiert 

• Intelligente Erkennung von Fehlkonfigurationen und Anomalien– KI-gestützte Überwachung, die Probleme identifiziert, bevor sie zu Ausfällen oder Sicherheitsvorfällen führen 

Bei diesen Funktionen geht es nicht darum, PKI-Teams zu ersetzen, sondern vielmehr darum, den Teams zu ermöglichen, in dem Tempo zu arbeiten, das autonome Systeme erfordern. 

WieKeyfactor helfenKeyfactor 

Keyfactor diese Prinzipien der KI-Identität mithilfe einer Plattform Keyfactor , die speziell für digitales Vertrauen im Unternehmensmaßstab entwickelt wurde.Keyfactor genießt das Vertrauen der weltweit größten Unternehmen bei der Ausstellung und Verwaltung von Milliarden von Zertifikaten für Geräte, Workloads und nun auch KI-Agenten undKeyfactor damit die kryptografische Grundlage für den sicheren Einsatz agentenbasierter KI. 

Kernkompetenzen für KI-basierte Identitätsmanagement 

Eindeutige X.509-Zertifikate für jeden KI-Agenten.
Jeder Agent erhält überKeyfactoreine kryptografisch abgesicherte, nicht reproduzierbare Identität EJBCA Enterprise-PKI-Plattform von Keyfactor, einer umfassenden, flexiblen PKI mit der von modernen Unternehmen geforderten Skalierbarkeit. 

Zertifikatsbasierte OAuth-Abläufe.
Ersetzen Sie statische Client-Geheimnisse durch die Authentifizierung mittels Client-Zertifikaten – sowohl für interaktive KI (Mensch + KI über MCP) als auch für vollständig autonome Agenten. Jede Aktion lässt sich so einem bestimmten Zertifikatsinhaber zuordnen. 

Gegenseitiges TLS die gesamte KI-Kommunikation.
Setzen Sie mTLS für die Kommunikation zwischen Agenten und Diensten sowie zwischen Agenten untereinander durch, um sicherzustellen, dass jede Verbindung kryptografisch verifiziert wird. 

Automatisiertes Zertifikatslebenszyklusmanagement im KI-Maßstab. 
Keyfactor Command überwacht und verwaltet den Lebenszyklus von Zertifikaten über alle CA-Lösungen hinweg und bietet Funktionen zur Massenwiderrufung und -bereitstellung, Echtzeit-Zustandsüberwachung sowie die für sich weiterentwickelnde Standards erforderliche Krypto-Agilität. Die SPIFFE-Integration ermöglicht eine Zertifikatsverwaltung ohne zusätzlichen Aufwand für containerisierte KI-Workloads. 

Richtliniengesteuerte Zertifikatsvorlagen.
Die Funktionen und Einschränkungen von Agenten werden direkt in die Zertifikatsvorlagen integriert – welche Systeme die Agenten aufrufen dürfen, welche Vorgänge sie ausführen können und welche zeitlichen Beschränkungen für ihre Aktivitäten gelten. 

MCP-Server fürKeyfactor Command.
Eine Schnittstelle in natürlicher Sprache für die Zertifikatsverwaltung, die KI-gestützte PKI-Vorgänge ermöglicht, durch die sich stundenlange Verwaltungsarbeit auf wenige Dialogaufforderungen reduzieren lässt. 

Risikoanalysen und identitätsorientierte Überwachbarkeit.
Überwachen Sie die Zertifikatsnutzung, erkennen Sie Anomalien, bewerten Sie die Sicherheitslage und erhalten Sie Echtzeit-Warnmeldungen bei Richtlinienverstößen – alles auf Basis kryptografischer Identitäten. 

Krypto-Agilität und Post-Quanten-Bereitschaft.
Mit der zunehmenden Verbreitung von KI-Agenten steigt auch der Bedarf an Zertifikaten.Keyfactor , dass Unternehmen Zertifikate in großem Maßstab ausstellen, verwalten und ersetzen können und dabei agil und für die Post-Quanten-Ära gerüstet bleiben. 

Sichere Code-Signierung.
Keyfactor SignServer bietet eine API-gesteuerte Signatur-Engine für schnelles, sicheres Signieren in nahezu jedem Format, einschließlich sichererCodesignaturundsofortiger Signatur. Dies ist entscheidend für die Aufrechterhaltung der Herkunftsnachweisbarkeit in dynamischen Entwicklungsumgebungen. 

Die Roadmap für die Einführung 

Die Umstellung auf eine durch PKI gesicherte agentenbasierte KI folgt einem logischen Ablauf: 

Phase 1: Grundlagen für Zero Trust schaffen.
Bevor Sie auch nur einen einzigen KI-Agenten bereitstellen, richten Sie ein PKI-basiertes Zero-Trust-Modell für die Systeme ein, mit denen die Agenten interagieren werden. Analysieren Sie die Zielumgebung, richten Sie eine zertifikatsbasierte Authentifizierung ein, konfigurieren Sie Identitätsanbieter für zertifikatsgestütztes OAuth, sichern Sie MCP-Server mit mTLS und richten Sie eine Überwachungsinfrastruktur ein. 

Phase 2: Stellen Sie Ihren ersten sicheren Agenten bereit.
Wählen Sie einen Anwendungsfall mit geringem Risiko und hohem Nutzen aus. Richten Sie die kryptografische Identität des Agenten ein. Testen Sie sowohl interaktive als auch autonome Authentifizierungsabläufe. Überwachen Sie den Zustand der Zertifikate und dokumentieren Sie wiederkehrende Muster. 

Phase 3: Skalierung auf Milliarden durch Automatisierung.
Automatisieren Sie die Zertifikatsregistrierung in Bereitstellungspipelines. Setzen Sie SPIFFE für containerisierte Agenten ein. Richten Sie Zertifikatsvorlagen für richtliniengesteuerte Identitätsverwaltung ein. Erweitern Sie den Zero-Trust-Perimeter entsprechend der zunehmenden Anzahl von Anwendungsfällen. Setzen Sie KI-gestütztes Zertifikatsmanagement ein und planen Sie die Umstellung auf postquantensichere Zertifikate.