Was ist agentische KI-Sicherheit?

Autonome KI-Systeme sind in Unternehmensumgebungen im Einsatz, treffen Entscheidungen, greifen auf Daten zu und führen Aufgaben aus, ohne dass menschliches Eingreifen erforderlich ist. Diese Autonomie erfordert ein grundlegend anderes Sicherheitsmodell, das nicht auf menschlichen Nutzern, sondern auf Maschinenidentitäten, kryptografischem Vertrauen und kontinuierlicher Verifizierung basiert. Die Sicherheit agentischer KI ist die Disziplin, die sich mit der Absicherung dieser autonomen Akteure befasst, damit Unternehmen deren Fähigkeiten nutzen können, ohne die Kontrolle zu verlieren.

Was ist agentische KI-Sicherheit?

Die Sicherheit agentenbasierter KI konzentriert sich auf den Schutz von KI-Systemen, die autonom arbeiten, d. h. von Systemen, die nicht nur Texte generieren oder auf Eingaben reagieren, sondern aktiv Maßnahmen in Unternehmensumgebungen ergreifen. Diese KI-Agenten können Datenbanken abfragen, APIs aufrufen, Konfigurationen ändern, Unteragenten erstellen und mit externen Diensten interagieren, ohne dabei auf die Genehmigung jedes einzelnen Schritts durch einen Menschen warten zu müssen.

Dadurch entsteht eine Sicherheitskategorie, die sich sowohl von der herkömmlichen Sicherheit von KI-Modellen (Schutz des Modells selbst vor feindlichen Angriffen, Datenvergiftung oder Prompt-Injektion) als auch von der Anwendungssicherheit (Absicherung der software das Modell läuft) unterscheidet. Die Sicherheit agentischer KI befasst sich mit einem dritten Aspekt: Wie lässt sich ein autonomer Akteur, der über Zugriff auf Unternehmensebene verfügt, kontrollieren, verifizieren und steuern?

Diese Unterscheidung ist von Bedeutung, da ein KI-Agent keine statische Arbeitslast ist. Er ist ein autonomer Akteur in Ihrer Infrastruktur, der mit maschineller Geschwindigkeit weitreichende Maßnahmen ergreifen kann. Um ihn zu schützen, müssen Annahmen zu Identität, Autorisierung und Vertrauen überdacht werden, die ursprünglich auf menschliche Nutzer zugeschnitten waren.

Autonomie vs. Automatisierung

Ein wesentlicher Unterschied prägt diese gesamte Disziplin. Automatisierte Systeme folgen vorgegebenen Skripten. Autonome KI-Agenten interpretieren Ziele, wählen Werkzeuge aus und legen ihre eigenen Ausführungswege fest. Wenn ein Agent entscheiden kann, was zu tun ist – und nicht nur, wie es zu tun ist –, ist die Identität der Mechanismus, der bestimmt, ob ihm überhaupt das Handeln gestattet werden soll.

Warum herkömmliche Sicherheitsmodelle bei agentenbasierter KI versagen

Die Sicherheitsarchitekturen in den meisten Unternehmen wurden für zwei Arten von Akteuren konzipiert: menschliche Nutzer und statische Anwendungen. Menschen authentifizieren sich über Passwörter, Multi-Faktor-Authentifizierung (MFA) und Passkeys. Anwendungen laufen in definierten Umgebungen mit festen Berechtigungen. Keines dieser Modelle berücksichtigt autonome Agenten, die unabhängig handeln, sich sofort skalieren lassen, kontinuierlich arbeiten und sich unvorhersehbar verhalten können. Das Ergebnis ist eine Risikokategorie, für deren Bewältigung bestehende Kontrollmechanismen nie ausgelegt waren.

KI-Agenten sind nicht-menschliche autonome Akteure

Herkömmliche Identitäts- und Zugriffsmanagementsysteme (IAM) gehen davon aus, dass jeder Akteur entweder eine Person oder ein deterministischer Dienst ist. KI-Agenten sind weder das eine noch das andere. Sie sind nicht-menschliche, autonome Akteure, d. h. Einheiten, die Entscheidungen treffen, ihr Verhalten an den Kontext anpassen und bei jedem Ausführen unterschiedliche Aktionen ausführen können, selbst bei identischen Eingaben. Für Menschen entwickelte Modelle des Privileged Access Management (PAM) sind für KI-Agenten nicht geeignet. Das Prinzip der geringsten Berechtigungen für KI-Agenten ist keine statische Richtlinie, sondern muss eine dynamische Abwägung zwischen Fähigkeiten und Einschränkungen sein, die kontinuierlich angepasst wird, wenn sich der Aufgabenkontext des Agenten ändert.

Warum bestehende Kontrollmechanismen versagen

MFA findet hier keine Anwendung. MFA funktioniert, indem es überprüft, ob ein Mensch anwesend ist, indem es den Zugriff auf mehrere externe Ressourcen zu einem bestimmten Zeitpunkt bestätigt. Agente-basierte KI-Systeme verfügen über mehrere nicht-menschliche Komponenten, die nicht mithilfe externer Ressourcen überprüft werden können.

Statische Anmeldedaten reichen nicht aus. API-Schlüssel und OAuth-Client-Geheimnisse können weitergegeben, offengelegt oder gestohlen werden. Sie eignen sich daher nicht zum Nachweis der Identität des jeweiligen Agenten, der sie vorlegt. Sie weisen keine kryptografische Bindung an eine bestimmte Arbeitslast oder einen bestimmten Ausführungskontext auf.

Der Netzwerkperimeter spielt keine Rolle. KI-Agenten sind über Cloud-Regionen, Konten, SaaS-Plattformen und lokale Systeme hinweg tätig. Standortbasierte Vertrauensgrenzen bieten keinen Schutz.

Berechtigungsmodelle setzen Vorhersehbarkeit voraus. Die rollenbasierte Zugriffskontrolle (RBAC) geht davon aus, dass sich der Akteur innerhalb seiner Rolle konsistent verhält. KI-Agenten könnten ihren Auftrag weit auslegen, mehrere Tool-Aufrufe miteinander verknüpfen oder ihre Zugriffsrechte selbst erweitern, wenn keine Sicherheitsvorkehrungen vorhanden sind.

Das Problem von Geschwindigkeit und Umfang

Menschliche Sicherheitsabläufe setzen Reaktionszeiten voraus. KI-Agenten arbeiten mit maschineller Geschwindigkeit. Ein Agent mit übermäßigen Berechtigungen oder ein kompromittierter Agent kann Daten abziehen, Konfigurationen ändern oder sich schneller über Systeme verbreiten, als jede von Menschen geleitete Reaktion dies eindämmen kann. Wenn Tausende von Agenten gleichzeitig arbeiten und jeder unabhängig entscheidet, welche APIs aufgerufen, auf welche Daten zugegriffen und welche Maßnahmen ergriffen werden sollen, vergrößert sich die Angriffsfläche um ein Vielfaches. Ein einzelner falsch konfigurierter Agent wird zu einem Risiko; eine ganze Flotte davon wird zu einer systemischen Gefährdung.

Systemübergreifender Zugriff und seitliche Bewegung

KI-Agenten benötigen in der Regel Zugriff auf mehrere Unternehmenssysteme: Datenbanken, Cloud-Dienste, Kommunikationsplattformen, Code-Repositorys und APIs von Drittanbietern. Dieser systemübergreifende Zugriff schafft Wege für laterale Bewegungen, die durch herkömmliche Segmentierung nicht eingedämmt werden können. Ein in einem System kompromittierter Agent kann sich mithilfe seiner vorhandenen Anmeldedaten auf andere Systeme ausweiten. Dinesh Nagarajan, Global Partner für Cybersicherheit bei IBM Consulting, weist auf ein sich verstärkendes Risiko hin: Agenten, die weitere Agenten erstellen, wobei jeder die Zugriffsrechte des übergeordneten Agenten erbt oder erweitert. Die Steuerung dieser kaskadierenden Ketten erfordert Identitäts- und Autorisierungskontrollen, die im gleichen Umfang und mit derselben Geschwindigkeit arbeiten wie die Agenten selbst.

Unzureichende Rückverfolgbarkeit der Herkunft

Systemen fehlt es möglicherweise an einem umfassenden und kryptografisch sicheren Mechanismus zur Rückverfolgung der Herkunft. Ohne einen solchen Mechanismus gibt es keinen zuverlässigen Prüfpfad. Wenn ein KI-Agent einen Datenbankeintrag ändert, eine Transaktion genehmigt oder eine Nachricht versendet, muss das Unternehmen nachweisen können, welcher Agent die Aktion wann und mit welcher Berechtigung durchgeführt hat. Statische Anmeldedaten wie API-Schlüssel können dies nicht gewährleisten. Sie können von verschiedenen Agenten gemeinsam genutzt, über Sitzungen hinweg wiederverwendet werden und bieten keinen kryptografischen Herkunftsnachweis.

Wenn ein Agent auf eine unerwartete Situation stößt, kann sein Verhalten unvorhersehbar sein. Im Gegensatz zu deterministischer software einen Fehlercode zurückgibt und den Vorgang abbricht, kann ein autonomer Agent alternative Ansätze ausprobieren, es mit anderen Parametern erneut versuchen oder seine Aktionen ohne menschliches Zutun eskalieren. Die Definition und Durchsetzung eines ausfallsicheren Verhaltens für autonome Agenten stellt eine Herausforderung für das Sicherheitsdesign dar, für die es keine eindeutigen Vorbilder gibt.

Identität als Grundlage für agentenbasierte KI-Sicherheit

Jede weitere Sicherheitsmaßnahme (wie Autorisierung, Überwachung, Governance oder Entzug von Zugriffsrechten) hängt davon ab, dass zunächst eine Frage beantwortet wird: Wer ist dieser Akteur? Die Identitätsfeststellung muss der Autorisierung vorausgehen. Ohne eine verifizierte, eindeutige Identität für jeden KI-Akteur gibt es keine zuverlässige Möglichkeit, Zugriffsrichtlinien durchzusetzen, das Verhalten zu überprüfen oder bei Bedarf Zugriffsrechte zu entziehen.

Warum Methoden zur Identitätserkennung bei Maschinen und nicht bei Menschen?

KI-Agenten können keine Passwörter verwenden. Sie können nicht auf MFA-Abfragen reagieren. Sie verfügen nicht über biometrische Daten. Die für menschliche Nutzer konzipierten Identitätsgrundelemente sind architektonisch nicht mit autonomen KI-Workloads kompatibel.

Die Maschinenidentität (genauer gesagt die kryptografische Identität auf der Grundlage digitaler Zertifikate) löst dieses Problem. Digitale Zertifikate bieten:

Einzigartige, fälschungssichere Identität. Jedes Zertifikat ist kryptografisch an einen bestimmten Agenten oder eine bestimmte Workload gebunden. Es kann nicht kopiert, weitergegeben oder manipuliert werden, ohne dass dies bemerkt wird.

Integriertes Lebenszyklusmanagement. Zertifikate haben Ablaufdaten, können automatisch verlängert und sofort widerrufen werden, wenn ein Agent außer Betrieb genommen oder kompromittiert wird.

Nicht-Zurückweisbarkeit. Aktionen, die mit einem an ein Zertifikat gebundenen privaten Schlüssel signiert wurden, lassen sich mit kryptografischer Sicherheit auf einen bestimmten Akteur zurückführen. Dies unterstützt Audits, die Einhaltung von Vorschriften und forensische Untersuchungen.

Verschlüsselung und gegenseitige Authentifizierung. Zertifikate können für die gegenseitige Authentifizierung über Protokolle wie mTLS verwendet werden, wodurch sichergestellt wird, dass sowohl der Agent als auch der Dienst, mit dem er sich verbindet, vor dem Datenaustausch die Identität des jeweils anderen überprüfen.

Mehr als nur Zertifikate: SPIFFE für containerbasierte KI

Für KI-Agenten, die in containerisierten oder cloud-nativen Umgebungen ausgeführt werden, bietet der SPIFFE-Standard (Secure Production Identity Framework for Everyone) eine speziell für Workloads entwickelte Identitätsschicht. SPIFFE ermöglicht die automatische Identitätszuweisung, stellt kurzlebige X.509-SVIDs (SPIFFE Verifiable Identity Documents) aus und unterstützt gegenseitiges TLS manuelle Zertifikatsverwaltung. Wenn KI-Agenten als kurzlebige Container ausgeführt werden, stellt SPIFFE sicher, dass jede Instanz vom Startmoment an über eine verifizierte Identität verfügt.

Identität als Steuerungsebene

Ben Schreiner von AWS beschreibt Identität als „die einzige Steuerungsebene, die Konten, Regionen, Dienste und Akteure übergreift“. Für agentenbasierte KI ist diese Sichtweise von entscheidender Bedeutung. Identität ist kein Sicherheitsmerkmal, das einer KI-Implementierung nachträglich hinzugefügt wird – sie ist die architektonische Ebene, die alle anderen Sicherheitskontrollen erst ermöglicht.

Zero Trust für agentenbasierte KI

Zero Trust – „niemals vertrauen, immer überprüfen“ – ist ein Sicherheitsmodell, das ursprünglich für Unternehmensnetzwerke und menschliche Nutzer entwickelt wurde. Auf agentenbasierte KI angewendet bedeutet dies, dass keinem KI-Agenten standardmäßig vertraut wird, unabhängig davon, wo er ausgeführt wird, wer ihn bereitgestellt hat oder welche Anmeldedaten er vorlegt.

Warum das Zero-Trust-Prinzip für KI-Agenten gilt

Herkömmliche Sicherheitsmodelle gewähren implizites Vertrauen auf der Grundlage des Netzwerkstandorts, der Bereitstellungsumgebung oder der anfänglichen Authentifizierung. Diese Annahmen greifen bei KI-Agenten nicht, weil:

• Agenten bewegen sich zwischen verschiedenen Umgebungen. Ein KI-Agent kann in einer Cloud-Region starten, auf Dienste in einer anderen zugreifen und mit lokalen Systemen interagieren – und das alles im Rahmen einer einzigen Aufgabe.
• Statische Anmeldedaten bleiben über ihre vorgesehene Nutzungsdauer hinaus bestehen. Ein für eine bestimmte Aufgabe ausgestellter API-Schlüssel kann noch lange nach Abschluss dieser Aufgabe gültig bleiben, wodurch ein dauerhaftes Zugriffsrecht entsteht, das ein Angreifer – oder ein fehlgeleiteter Agent – ausnutzen kann.
• Eine einmalige Authentifizierung reicht nicht aus. Ein beim Start authentifizierter Agent kann stunden- oder tagelang laufen, wobei sich sein Kontext, seine Berechtigungen oder seine Vertrauenswürdigkeit in dieser Zeit ändern können.

Kontinuierliche Überprüfung bei jeder Aktion

In einem Zero-Trust-Modell für agentenbasierte KI muss jede Handlung eines Agenten unabhängig überprüft werden:

• Überprüfen Sie die Identität des Agenten anhand eines kryptografischen Zugangsnachweises (keines statischen Tokens).
• Genehmigen Sie die jeweilige Aktion auf der Grundlage der aktuellen Richtlinien und nicht aufgrund allgemeiner Berechtigungen.
• Überprüfen Sie den Kontext, indem Sie prüfen, ob der Agent innerhalb des vorgesehenen Anwendungsbereichs, Zeitfensters und der Ressourcengrenzen arbeitet.
• Protokolliere die Aktion mit einem kryptografischen Identitätsnachweis, um die Nachvollziehbarkeit zu gewährleisten.

Dieses Modell ersetzt das Prinzip „Einmal authentifizieren, immer vertrauen“ durch „Jedes Mal überprüfen, nichts vertrauen“. OAuth-Abläufe, die auf Client-Zertifikaten – statt auf statischen Client-Geheimnissen – basieren, bieten ein praktisches Implementierungsmuster für die Authentifizierung von KI-Agenten, das Zero-Trust-Prinzipien mit der bestehenden Unternehmensinfrastruktur verbindet.

Die dreistufige Roadmap für die Einführung

Unternehmen können Zero Trust für agentenbasierte KI in drei Phasen einführen:

• Schaffen Sie die Grundlagen für Zero Trust. Stellen Sie eine PKI-Infrastruktur bereit, definieren Sie Identitätsrichtlinien für KI-Workloads und implementieren Sie eine zertifikatsbasierte Authentifizierung für die Maschine-zu-Maschine-Kommunikation.
• Stellen Sie den ersten sicheren Agenten bereit. Rüsten Sie einen einzelnen KI-Agenten mit einer zertifikatsgebundenen Identität aus, setzen Sie das Prinzip der geringsten Berechtigungen durch und überprüfen Sie den Überwachungs- und Widerrufs-Workflow.
• Skalierung durch Automatisierung. Erweitern Sie das Identitäts-Framework auf alle KI-Agenten mithilfe automatisierter Zertifikatsausstellung, Lebenszyklusverwaltung und Durchsetzung von Richtlinien. Integrieren Sie das System in Orchestrierungsplattformen, um sicherzustellen, dass jeder neue Agent eine Identität erhält, bevor er aktiv werden kann.

Aufbau eines agentenbasierten KI-Sicherheitsprogramms

Die Einführung von KI-Agenten schreitet oft schneller voran als der Aufbau der dafür erforderlichen Identitätsinfrastruktur, und diese Lücke vergrößert sich mit jedem neu eingesetzten Agenten. Ein strukturiertes Sicherheitsprogramm begegnet dieser Herausforderung auf den Ebenen Governance, technische Kontrollen und Betriebsbereitschaft. Laut einer Studie Keyfactorhaben nur 50 % der Unternehmen eine umfassende Governance für KI-Agenten implementiert, und 55 % sind der Meinung, dass die Unternehmensleitung die Risiken im Zusammenhang mit KI-Identitäten nicht ernst genug nimmt.

Führung und Rechenschaftspflicht

Legen Sie klare Zuständigkeiten, Richtlinien und Verantwortlichkeiten für den Einsatz von KI-Agenten fest. Definieren Sie, wer Agenten einsetzen darf, auf welche Ressourcen sie zugreifen können und wie Entscheidungen überprüft werden. Governance ist kein optionales Element, sondern die organisatorische Voraussetzung für jede nachfolgende technische Kontrollmaßnahme. Die Steuerung von Systemen in Maschinen-Geschwindigkeit erfordert Kontrollmechanismen, die mit derselben Geschwindigkeit arbeiten. Eine richtlinienbasierte Governance, die durch Identitätsnachweise, automatisierte Autorisierung und Echtzeitüberwachung durchgesetzt wird, muss die manuelle Überwachung als primären Governance-Mechanismus ablösen.

Grundlegende Sicherheitsprinzipien

Die Sicherung agentischer KI erfordert einen systematischen Ansatz, der mehrere Bereiche umfasst. Die Untersuchungen Keyfactoridentifizieren acht Bereiche, die ein umfassendes Sicherheitskonzept bilden: Governance, Identität, Autorisierung, Datenschutz, Einhaltung kryptografischer Standards, operative Kontrollen, Ethik und Audit. Die folgenden Grundsätze befassen sich mit den wichtigsten dieser Bereiche:

• Stabile, überprüfbare Identitäten. Jeder KI-Agent muss über eine eindeutige, kryptografisch überprüfbare Identität verfügen, die auf digitalen Zertifikaten basiert. In Zertifikatserweiterungen können Zugriffsrichtlinien, zeitliche Beschränkungen und Compliance-Anforderungen direkt in die Identitätsdaten integriert werden.
• Zugriff nach dem Prinzip der geringsten Berechtigungen. Weisen Sie jedem Agenten nur die für seine aktuelle Aufgabe erforderlichen Mindestberechtigungen zu und entziehen Sie erweiterte Berechtigungen unmittelbar nach deren Nutzung. Bei KI-Agenten ist das Prinzip der geringsten Berechtigungen dynamisch, das heißt, die Berechtigungen sollten sich je nach der jeweils ausgeführten Aktion verengen oder erweitern.
• Gegenseitige Authentifizierung. Sowohl der Client als auch der Server, mit dem er eine Verbindung herstellt, müssen die Identität des jeweils anderen überprüfen. Gegenseitiges TLS, das durch digitale Zertifikate ermöglicht wird, sorgt bei jeder Verbindung für eine bidirektionale Identitätsprüfung.
• Kontinuierliche Überwachung. Überwachen Sie das Verhalten der Agenten in Echtzeit. Erkennen Sie Anomalien wie ungewöhnliche Zugriffsmuster, unerwartete API-Aufrufe und nicht zulässige Aktionen und lösen Sie automatisierte Reaktionen aus. Jede Aktion eines Agenten muss mit einem kryptografischen Identitätsnachweis protokolliert werden.
• Sofortige Sperrung. Wenn ein Agent kompromittiert wurde, sich fehlerhaft verhält oder nicht mehr benötigt wird, müssen seine Identität und seine Zugriffsrechte innerhalb von Sekunden gesperrt werden können, wodurch die Möglichkeit des Agenten, sich bei einem System zu authentifizieren, unterbunden wird.

Skalierung der Identitätsinfrastruktur

KI-Implementierungen in Unternehmen entwickeln sich von Pilotprojekten mit einer Handvoll Agenten hin zu Produktionsumgebungen mit Tausenden von Agenten. Die Identitätsinfrastruktur muss entsprechend skalierbar sein. Eine manuelle Zertifikatsverwaltung ist bei diesem Umfang nicht mehr tragbar. Die automatisierte Ausstellung, Erneuerung und Sperrung von Zertifikaten, die über eine zentralisierte Plattform verwaltet wird, ist der einzig gangbare Weg.

Jede Identität eines KI-Agenten durchläuft einen Lebenszyklus: Erstellung, Ausstellung, Verlängerung und Widerruf. Durch die Automatisierung dieses Lebenszyklus werden menschliche Engpässe beseitigt, die sowohl Sicherheitslücken (abgelaufene oder nicht widerrufene Zertifikate) als auch betriebliche Verzögerungen (Agenten, die auf manuelle Genehmigung warten) verursachen. Ein vollständig automatisiertes Identitätslebenszyklusmanagement ist eine Grundvoraussetzung und nicht nur eine Optimierung.

Kryptografische Flexibilität und Post-Quanten-Bereitschaft

Quantencomputer stellen eine direkte Bedrohung für aktuelle kryptografische Algorithmen dar. Unternehmen, die KI-Agenten absichern, müssen sicherstellen, dass ihre Identitätsinfrastruktur kryptografische Agilität unterstützt – also die Fähigkeit, auf neue Algorithmen umzustellen, ohne die zugrunde liegende Plattform ersetzen zu müssen.

Kay Firth-Butterfield, CEO von Good Tech Advisory, bezeichnet die Verifizierung als grundlegende Voraussetzung für einen verantwortungsvollen Umgang mit KI. Da KI-Agenten mit immer größerer Leistungsfähigkeit und Autonomie agieren, entscheidet die Fähigkeit, ihre Identität zu verifizieren, ihre Handlungen zu autorisieren und ihr Verhalten zu überprüfen, darüber, ob Unternehmen KI verantwortungsvoll in großem Maßstab einsetzen können. Laut einer Studie Keyfactorsind 85 % der Cybersicherheitsexperten der Meinung, dass die Identitäten von KI-Agenten genauso verbreitet sein werden wie menschliche Identitäten. Die Infrastruktur zur Verwaltung dieser Identitäten muss bereitstehen, bevor die darauf angewiesenen Implementierungen erfolgen.

Warum Keyfactor für die Agentic-KI-Sicherheit von zentraler Bedeutung Keyfactor

Die Sicherheit agentenbasierter KI hängt von einer Infrastruktur für Maschinenidentitäten ab, die mit der Skalierbarkeit und Geschwindigkeit autonomer KI-Systeme Schritt hält. Die Plattform Keyfactorverwaltet Maschinenidentitäten geräte-, Workload- und KI-Agentenübergreifend im Unternehmensmaßstab. EJBCA bietet eine flexible PKI-Plattform zur Ausstellung von X.509-Zertifikaten als kryptografische Grundlage für die Identität von KI-Agenten. Keyfactor Command automatisiert das Zertifikatslebenszyklusmanagement – Erkennung, Ausstellung, Erneuerung und Widerruf –, sodass Sicherheitsteams Agentenidentitäten ohne manuelle Prozesse verwalten können. Keyfactor SignServer API-gesteuertes Signieren von Code und Artefakten für überprüfbare Agentenaktionen.

Wie Ted Shorter, CTO von Keyfactor, feststellt, tauchen Zertifikate in KI-Architekturen immer wieder auf, weil „sie Probleme lösen, die mit einfacheren Anmeldedaten nicht bewältigt werden können“. Keyfactor die kryptografische Grundlage, die Zero Trust, Governance und Nachvollziehbarkeit für autonome KI ermöglicht, und unterstützt durch Keyfactor NIST, ISO, SPIFFE, OAuth 2.0 sowie die Vorbereitung auf die Post-Quanten-Sicherheit.