Stellen Sie sich vor, Sie übergeben jemandem die Autoschlüssel und bitten ihn, Lebensmittel zu besorgen. Ist der Laden in der Nähe und Ihre Einkaufsliste unkompliziert, bleibt wenig Raum für Fehler. Je komplexer die Aufgabe wird – etwa wegen spezieller Marken, Ernährungsgewohnheiten oder eines engen Budgets –, desto anspruchsvoller wird sie. Die Folgen eines Fehlers reichen von unberechtigten Käufen bis zum Totalschaden des Wagens.
Viele Unternehmen stehen bei der Umsetzung von KI-Agenten vor vergleichbaren Herausforderungen. Es kostet viel Zeit und Geld, Agenten zu entwickeln, die alle Aufgaben eines Workflows herausragend bewältigen, und bis vor Kurzem fehlten einheitliche Standards für die Kommunikation zwischen Agenten und Tools – etwas Ähnliches wie HTTP für die Webverbindung.
Multi-Agenten-Systeme (MAS) stellen ein neues KI-Paradigma dar, bei dem viele hochspezialisierte Agenten gemeinsam agieren, um präzisere und relevantere Ergebnisse zu erzielen. Wir erreichen das, indem wir den Umfang, Zugriff und die Fachexpertise jedes Agenten gezielt einschränken und gleichzeitig durch modulare Aufgabenausführung die Skalierbarkeit erhöhen. MAS bietet große Chancen, aber sobald Sie der agentenbasierten KI „Schlüssel zum Schloss“ anvertrauen, zählen diese Chancen neben einer Vielzahl von Sicherheitsherausforderungen. Hinter der Chance steckt das Risiko: Die Angriffsflächen wachsen, weshalb Sie Sicherheit, Vertrauen und Verantwortung in agentenbasierten KI-Systemen neu gestalten müssen.
MAS ist im Kern ein Framework zum Aufbau verteilter, agentenbasierter KI-Systeme. Anstatt monolithische KI-Agenten einzusetzen, die viele Aufgaben nur suboptimal bewältigen, verteilt MAS die Aufgaben auf Agenten, die sich jeweils auf einen oder wenige Bereiche spezialisieren und oft Hierarchien oder Gruppen von Unteragenten bilden. Diese Agenten handeln eigenständig, arbeiten aber zusammen, um individuelle wie gemeinsame Ziele zu erreichen. Innerhalb von MAS sollten Sie einige zentrale Agentenkategorien beachten:
Das Konzept eines verteilten Systems oder Expertengremiums ist keine neue Idee, aber bis vor Kurzem fehlten für die Kommunikation zwischen KI-Agenten einheitliche Standards, um dies zu ermöglichen. Dank der Einführung des Model Context Protocol (MCP) von Anthropic gibt es jetzt einen universellen Standard für den Datenabruf und den Toolzugriff über strukturierte Quellen hinweg, und dank des Agent-to-Agent (A2A)-Frameworks von Google verfügen KI-Agenten jetzt über ein modellunabhängiges Framework für die Kommunikation mit anderen Agenten über natürliche Sprache. Einfach ausgedrückt ist MCP die Agent-zu-Daten-Kommunikation, während A2A die Agent-zu-Agent-Kommunikation ist.
Die größten Hürden, um mit agentischer KI eine positive Kapitalrendite zu erzielen, sind Genauigkeit, Kosten und Skalierbarkeit. Obwohl MAS unvermeidlich Komplexität mit sich bringt, bietet es eines der vielversprechendsten Mittel, alle drei Bereiche effektiv zu optimieren:
Nutzen wir das folgende Diagramm, um einen hypothetischen Anwendungsfall zu erläutern. Stellen Sie sich vor, Sie sind Finanzberater und Ihre Kundin Alice erhält gern individuelle Berichte über die Entwicklung ihres Portfolios.
Der Superagent erhält den Auftrag, definiert die übergeordnete Absicht und aktiviert den Triage-Agenten, um die nötigen Ressourcen zu ermitteln. Der Triage-Agent oder die regelbasierte Engine ruft den CRM-Agenten für benutzerspezifische Informationen, den Lokalisierungsagenten für Alices Land oder Region sowie den Portfolio-Agenten für die Handelsplattform-Daten auf. Der Compliance-Agent prüft zuerst, welche Daten und Werkzeuge für diese Aufgabe zugänglich sind, bevor der Triage-Agent die weiteren Aufrufe tätigt.
Sie setzen wahrscheinlich Multi-Agenten-Systeme ein, weil Flexibilität beim Ausgleich zwischen Leistung, Sicherheit und Kosteneffizienz deutlichen Vorrang vor anderen Faktoren hat – genau wie die meisten Unternehmen hybride Umgebungen bevorzugen.
Jeder dieser nachgelagerten Agenten hat weitere Hierarchien und Cluster von Unteragenten, die spezielle Aufgaben übernehmen, wie Personalisierung oder Nachrichtenanalyse. Manche arbeiten vernetzt, andere isoliert.
Nachdem wir einen Bericht zusammengestellt haben, senden wir ihn an den Compliance-Agenten, der überprüft, ob er alle gesetzlichen Anforderungen erfüllt. Anschließend übermitteln wir ihn an den Guardian Agent oder einen menschlichen Prüfer, die bestätigen, dass das Ergebnis korrekt ist und den Absichten des Kunden entspricht. So stellen wir die präzise und individuell abgestimmte Bereitstellung eines wertvollen Vermögenswerts sicher.
Angenommen, Ihr MAS-Workflow erhält keine optimale Absicherung. Jede Verbindung zwischen Ihren Agenten basiert auf einer Standard-API – ein häufiger Angriffsvektor, dem viele Organisationen weiterhin schutzlos ausgeliefert sind.
Ein Injektionsangriff hat Ihre ursprüngliche Eingabeaufforderung manipuliert und dazu angewiesen, Alices Abschlussbericht an eine E-Mail-Adresse des Angreifers zu senden. Solange der Compliance-Agent dies erkennt, sollte das kein Problem sein. Doch eine ungesicherte API-Verbindung ermöglicht einen Spoofing-Angriff. Indem er sich als Compliance-Agent ausgibt, erlaubt der Angreifer nachgelagerten Agenten den Zugriff auf Alices Bankkonto- und Kreditkarteninformationen und hebt weitere Beschränkungen auf.
Ohne Richtlinien erleben Agenten eine exponentielle Eskalation von Berechtigungen – sie greifen auf alles zu, was ihnen zugänglich ist. Der Personalisierungsagent könnte den Kontostand von Alice als relevanten Kontext ansehen, oder der Finanzanalyseagent verwechselt proprietäre Handelsalgorithmen und Partnerschaftsvereinbarungen mit wichtigen Eingaben für andere Agenten.
Wenn wir die Ausgabe beim Human-in-the-Loop oder dem Guardian-Agenten zur Prüfung vorlegen, stimmen Genauigkeit und Benutzerabsicht überein, doch verbreiten sich Vertrauen, Informationsweitergabe und Privilegienerhöhung über die Verbindungen stark. Allein mit einer Anfrage schwächen Sie das Vertrauen Ihrer Kunden und Partner und öffnen etliche Anwendungsschwachstellen.
Der Mittelweg beim Betrieb von Multiagentensystemen liegt darin, dass die Genauigkeit der Ergebnisse deutlich steigt, während sich die Absicherung der Angriffsfläche merklich schwieriger gestaltet. Auch wenn vollständig agentenbasierte Anwendungen inzwischen technisch möglich sind, setzt die praktisch effektivste Umsetzung dieser Systeme vor allem auf hybride Modelle—die sowohl vorhandene Infrastruktur als auch KI-Komponenten integrieren. Dieser Wandel geschieht nicht über Nacht, doch wegen der Komplexität erfordert er eine aktive Zusammenarbeit aller Beteiligten, um agentenbasierte Systeme zu entwickeln, die echten geschäftlichen Mehrwert schaffen, ohne höhere Risiken als Nutzen mit sich zu bringen.
In der Geschichte moderner Anwendungen erkennen wir immer wieder einen Zyklus von Konsolidierung und Hybridisierung. Unternehmen starten oft mit einer vollständigen Fokussierung auf monolithische Plattformen, wechseln dann aber zu hybriden Portfolios, die Funktionalität und Kosten besser ausbalancieren. Agentische KI wird vermutlich denselben Weg gehen. Die anfängliche Begeisterung für monolithische Plattformen wird einem verteilten Ökosystem aus Anwendungen und APIs weichen, das On-Premise, SaaS, Edge und die unvermeidliche Vielfalt an Tools umfasst, die wir heute beobachten. Wenn Sie diesen Zyklus frühzeitig erkennen, können Sie proaktiv Maßnahmen ergreifen, um sich auf MAS-gesteuerte Workflows und die verteilte Zukunft der KI vorzubereiten.
Systeme mit nicht-deterministischen Ausgaben sichern wir nicht mit deterministischen Lösungen. Klassische Testverfahren, die auf deterministischen Ergebnissen basieren, greifen bei Technologien nicht, die von Durchgang zu Durchgang keine konstanten Ergebnisse liefern. Da zudem eine einzelne Organisation selten die Mehrheit der APIs oder Agenten in einem Workflow besitzt oder kontrolliert, verlangt MAS einen ganzheitlicheren Sicherheitsansatz.
Multi-Agenten-Systeme erhöhen die Komplexität zugunsten der Genauigkeit. Jede neue Verbindung bringt Risiken, jede Vertrauensgrenze schafft eine neue Schwachstelle, und jeder Agent erweitert die Angriffsfläche. Doch vielfach gelten weiterhin dieselben Regeln – die Einhaltung ist jetzt nur umso entscheidender. Wenn Sie APIs absichern, Zero Trust durchsetzen und das Systemverhalten überwachen, schaffen Sie eine solide Grundlage für die wachsende Nutzung von Multi-Agenten-Systemen.
Auch wenn sich diese Technologie nicht sofort flächendeckend durchsetzen wird, stellen wir mit der Vorbereitung Ihres Sicherheits-Stacks sicher, dass Ihr Unternehmen nicht nur für MAS gerüstet ist, sondern auch gegenüber den Bedrohungen, denen moderne Systeme immer stärker ausgesetzt sind.
Durch den Einsatz von KI wächst die Angriffsfläche – und die Systeme, die Sie heute schützen, legen den Grundstein Ihrer Verteidigung von morgen. Setzen Sie KI-Anwendungen im großen Maßstab ein und erfahren Sie, wie F5 KI-Anwendungen überall bereitstellt und absichert.