Chancen und Risiken von Multi-Agenten-Systemen

Stellen Sie sich vor, Sie übergeben jemandem die Autoschlüssel und bitten ihn, Lebensmittel zu besorgen. Ist der Laden in der Nähe und Ihre Einkaufsliste unkompliziert, bleibt wenig Raum für Fehler. Je komplexer die Aufgabe wird – etwa wegen spezieller Marken, Ernährungsgewohnheiten oder eines engen Budgets –, desto anspruchsvoller wird sie. Die Folgen eines Fehlers reichen von unberechtigten Käufen bis zum Totalschaden des Wagens.

Viele Unternehmen stehen bei der Umsetzung von KI-Agenten vor vergleichbaren Herausforderungen. Es kostet viel Zeit und Geld, Agenten zu entwickeln, die alle Aufgaben eines Workflows herausragend bewältigen, und bis vor Kurzem fehlten einheitliche Standards für die Kommunikation zwischen Agenten und Tools – etwas Ähnliches wie HTTP für die Webverbindung.

Multi-Agenten-Systeme (MAS) stellen ein neues KI-Paradigma dar, bei dem viele hochspezialisierte Agenten gemeinsam agieren, um präzisere und relevantere Ergebnisse zu erzielen. Wir erreichen das, indem wir den Umfang, Zugriff und die Fachexpertise jedes Agenten gezielt einschränken und gleichzeitig durch modulare Aufgabenausführung die Skalierbarkeit erhöhen. MAS bietet große Chancen, aber sobald Sie der agentenbasierten KI „Schlüssel zum Schloss“ anvertrauen, zählen diese Chancen neben einer Vielzahl von Sicherheitsherausforderungen. Hinter der Chance steckt das Risiko: Die Angriffsflächen wachsen, weshalb Sie Sicherheit, Vertrauen und Verantwortung in agentenbasierten KI-Systemen neu gestalten müssen.

MAS ist im Kern ein Framework zum Aufbau verteilter, agentenbasierter KI-Systeme. Anstatt monolithische KI-Agenten einzusetzen, die viele Aufgaben nur suboptimal bewältigen, verteilt MAS die Aufgaben auf Agenten, die sich jeweils auf einen oder wenige Bereiche spezialisieren und oft Hierarchien oder Gruppen von Unteragenten bilden. Diese Agenten handeln eigenständig, arbeiten aber zusammen, um individuelle wie gemeinsame Ziele zu erreichen. Innerhalb von MAS sollten Sie einige zentrale Agentenkategorien beachten: 

• Superagenten – Workflow-Orchestratoren innerhalb eines MAS. Der Grad der Zentralisierung hängt vom Anwendungsfall ab; bei einigen einfachen MAS-Workflows verteilen wir gleiche Autonomie auf alle Agenten. 
• Triage-Agenten – Ressourcenzuteiler, die dafür sorgen, dass jeder Agent die nötigen Tools und Ressourcen bekommt, um seine Aufgaben effizient zu erfüllen. 
• Guardian-Agenten – Validatoren, die als Kontrollinstanzen fungieren, um die Genauigkeit der Ergebnisse zu prüfen und sicherzustellen, dass sie der Nutzerabsicht entsprechen. 

Das Konzept eines verteilten Systems oder Expertengremiums ist keine neue Idee, aber bis vor Kurzem fehlten für die Kommunikation zwischen KI-Agenten einheitliche Standards, um dies zu ermöglichen. Dank der Einführung des Model Context Protocol (MCP) von Anthropic gibt es jetzt einen universellen Standard für den Datenabruf und den Toolzugriff über strukturierte Quellen hinweg, und dank des Agent-to-Agent (A2A)-Frameworks von Google verfügen KI-Agenten jetzt über ein modellunabhängiges Framework für die Kommunikation mit anderen Agenten über natürliche Sprache. Einfach ausgedrückt ist MCP die Agent-zu-Daten-Kommunikation, während A2A die Agent-zu-Agent-Kommunikation ist.

Die größten Hürden, um mit agentischer KI eine positive Kapitalrendite zu erzielen, sind Genauigkeit, Kosten und Skalierbarkeit. Obwohl MAS unvermeidlich Komplexität mit sich bringt, bietet es eines der vielversprechendsten Mittel, alle drei Bereiche effektiv zu optimieren:

1. Genauigkeit – Spezialisierte Agenten schaffen eine modulare Ebene für Risikominderung und Qualitätssicherung, die Sie an Ihre Arbeitsabläufe anpassen können. Indem wir die Verantwortlichkeiten der einzelnen Agenten klar begrenzen, reduziert MAS das Risiko von Fehlwahrnehmungen oder Fehlinterpretationen im Vergleich zu monolithischen Modellen (Yang et al., 2025).
2. Kosten – Obwohl die Trainingskosten vieler spezialisierter Agenten im Vergleich zu einem Generalisten-Agenten variieren, reduzieren sich die Inferenzkosten in einer verteilten MAS-Umgebung durch geringere Redundanz und Überverarbeitung (Gandhi, Patwardhan, Vig, & Shroff, 2024).
3. Skalierbarkeit – MAS revolutioniert, wie Skalierbarkeit in KI-Ökosystemen funktioniert. Statt ganze Systeme zu ersetzen oder umzuschulen, fügen Sie flexibel Agenten hinzu, um neue Geschäftsanforderungen kostengünstig zu erfüllen

Jeder dieser nachgelagerten Agenten hat weitere Hierarchien und Cluster von Unteragenten, die spezielle Aufgaben übernehmen, wie Personalisierung oder Nachrichtenanalyse. Manche arbeiten vernetzt, andere isoliert.

Nachdem wir einen Bericht zusammengestellt haben, senden wir ihn an den Compliance-Agenten, der überprüft, ob er alle gesetzlichen Anforderungen erfüllt. Anschließend übermitteln wir ihn an den Guardian Agent oder einen menschlichen Prüfer, die bestätigen, dass das Ergebnis korrekt ist und den Absichten des Kunden entspricht. So stellen wir die präzise und individuell abgestimmte Bereitstellung eines wertvollen Vermögenswerts sicher.

Angenommen, Ihr MAS-Workflow erhält keine optimale Absicherung. Jede Verbindung zwischen Ihren Agenten basiert auf einer Standard-API – ein häufiger Angriffsvektor, dem viele Organisationen weiterhin schutzlos ausgeliefert sind.

Ein Injektionsangriff hat Ihre ursprüngliche Eingabeaufforderung manipuliert und dazu angewiesen, Alices Abschlussbericht an eine E-Mail-Adresse des Angreifers zu senden. Solange der Compliance-Agent dies erkennt, sollte das kein Problem sein. Doch eine ungesicherte API-Verbindung ermöglicht einen Spoofing-Angriff. Indem er sich als Compliance-Agent ausgibt, erlaubt der Angreifer nachgelagerten Agenten den Zugriff auf Alices Bankkonto- und Kreditkarteninformationen und hebt weitere Beschränkungen auf.

Ohne Richtlinien erleben Agenten eine exponentielle Eskalation von Berechtigungen – sie greifen auf alles zu, was ihnen zugänglich ist. Der Personalisierungsagent könnte den Kontostand von Alice als relevanten Kontext ansehen, oder der Finanzanalyseagent verwechselt proprietäre Handelsalgorithmen und Partnerschaftsvereinbarungen mit wichtigen Eingaben für andere Agenten.

Wenn wir die Ausgabe beim Human-in-the-Loop oder dem Guardian-Agenten zur Prüfung vorlegen, stimmen Genauigkeit und Benutzerabsicht überein, doch verbreiten sich Vertrauen, Informationsweitergabe und Privilegienerhöhung über die Verbindungen stark. Allein mit einer Anfrage schwächen Sie das Vertrauen Ihrer Kunden und Partner und öffnen etliche Anwendungsschwachstellen.

Der Mittelweg beim Betrieb von Multiagentensystemen liegt darin, dass die Genauigkeit der Ergebnisse deutlich steigt, während sich die Absicherung der Angriffsfläche merklich schwieriger gestaltet. Auch wenn vollständig agentenbasierte Anwendungen inzwischen technisch möglich sind, setzt die praktisch effektivste Umsetzung dieser Systeme vor allem auf hybride Modelle—die sowohl vorhandene Infrastruktur als auch KI-Komponenten integrieren. Dieser Wandel geschieht nicht über Nacht, doch wegen der Komplexität erfordert er eine aktive Zusammenarbeit aller Beteiligten, um agentenbasierte Systeme zu entwickeln, die echten geschäftlichen Mehrwert schaffen, ohne höhere Risiken als Nutzen mit sich zu bringen.

In der Geschichte moderner Anwendungen erkennen wir immer wieder einen Zyklus von Konsolidierung und Hybridisierung. Unternehmen starten oft mit einer vollständigen Fokussierung auf monolithische Plattformen, wechseln dann aber zu hybriden Portfolios, die Funktionalität und Kosten besser ausbalancieren. Agentische KI wird vermutlich denselben Weg gehen. Die anfängliche Begeisterung für monolithische Plattformen wird einem verteilten Ökosystem aus Anwendungen und APIs weichen, das On-Premise, SaaS, Edge und die unvermeidliche Vielfalt an Tools umfasst, die wir heute beobachten. Wenn Sie diesen Zyklus frühzeitig erkennen, können Sie proaktiv Maßnahmen ergreifen, um sich auf MAS-gesteuerte Workflows und die verteilte Zukunft der KI vorzubereiten.

1. Schützen Sie Ihre APIs – Durch die Ausbreitung von MCP-Verbindungen und agentengestützten Systemen wächst der Bedarf an API-Sicherheit ständig. Sie benötigen umfassende Lösungen, die alle bekannten und unbekannten APIs abdecken, Schwachstellen dynamisch erkennen und Ihnen kontinuierliche Einblicke bieten.
2. Erklärbares Verhalten sicherstellen – Solange die KI-„Blackbox“ weiterhin existiert, kombinieren wir Agenten mit bewusst begrenztem Handlungsspielraum mit programmierbarem erklärbarem Verhalten, um Halluzinationen und schädliche Ergebnisse besser nachvollziehbar zu machen. Wir protokollieren Agentenausgaben, kennzeichnen problematisches Verhalten während der Laufzeit und analysieren es, um unberechtigte Verbreitung zu verhindern.
3. Richten Sie Richtlinien für Human-in-the-Loop (HITL) ein – Setzen Sie HITL bei Aufgaben ein, deren fehlerhafte Entscheidungen schwerwiegende Folgen haben, bei denen Sie menschliche Kontrolle für Compliance benötigen und bei denen Randfälle keine erprobten Protokolle besitzen. Guardian-Agenten ersetzen keine menschliche Intelligenz und können für Angreifer ein attraktives Ziel darstellen. Um Engpässe zu vermeiden, bleiben traditionelle regelbasierte Systeme mit HITL die sicherste Methode, um Risiken unter einem festgelegten Schwellenwert zu halten. Liegt das Risiko unterhalb der festgelegten Schwellenwerte, verwenden Sie Guardian-Agenten zurückhaltend, um Risiken zusätzlich zu minimieren. Unternehmen sollten aber stets die erzielte Risikominderung gegen das Worst-Case-Szenario eines kompromittierten Agenten abwägen.
4. Zero Trust konsequent für vertrauliche Daten durchsetzen – Beschränken Sie den Zugriff von Agenten nach dem Prinzip der geringsten Rechte, verifizieren Sie kontinuierlich Berechtigungen zur Verhinderung von Privilegienausweitung und gehen Sie in jeder Phase und für jeden Agenten von einem Sicherheitsvorfall aus.
5. Verschiedene Tools zusammenführen – Da die Anzahl der eingesetzten Agenten in der heutigen Tool-Landschaft rasant wächst, lässt sich Observability nicht mehr mit Flickwerk-Lösungen erreichen. Sie sollten in integrierte Sicherheitsplattformen investieren, die alle nötigen Tools und Einblicke bündeln, damit Sie Ihre Sicherheitsarchitektur trotz der zunehmend erweiterten Angriffsfläche stabil halten.