BLOG | BÜRO DES CTO

Sobald die Agenten eingreifen, verliert Ihr Sicherheitsmodell an Wirkung

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 3. September 2025

Die meisten Sicherheitstools von Unternehmen basieren heute auf einer sehr spezifischen Reihe von Annahmen. Das ist eine solide Grundlage, denn diese Annahmen haben sich in den letzten zwanzig Jahren vielfach bewährt. Kern dieser Annahmen ist, dass Software tut, was ihr vorgegeben wird, Nutzer sich profilieren lassen und Systeme sich unter bekannten Bedingungen vorhersagbar verhalten. Das gelang, als Sie APIs, Webserver oder Personen mit schwacher Passworthygiene absicherten.

Doch all das gerät ins Wanken, sobald autonome Agenten ins Spiel kommen.

Agenten folgen nicht immer festen Drehbüchern. Sie bewegen sich nicht ausschließlich auf statisch vorgegebenen Wegen. Sie denken nach, planen, passen sich an – und können sich danebenbenehmen, wenn Sie nicht aufpassen. Das bedeutet, Ihr klassisches Verteidigungsmanual ist rückblickend zu optimistisch.

Glücklicherweise nehmen sich Sicherheitsforscher zunehmend dieser Realität an. Ein deutliches Zeichen dafür liegt in Form eines Papiers vor: „Sicherung von Agenten-KI: Bedrohungsmodellierung für LLM-Agenten.“ Es präsentiert nicht nur neue, erschreckende Szenarien, sondern bietet einen praxisnahen Rahmen, der gezielt für die agentenbasierte Welt entwickelt wurde, in die wir gerade eintreten.

SHIELD: Ein Framework, das für Agenten entwickelt wurde, nicht für APIs

Die Autoren stellen SHIELD vor, einen mehrstufigen Ansatz zur Steuerung autonomer Agenten in realen Umgebungen. Es geht nicht nur um eine Auflistung von Angriffsvektoren, sondern um ein umfassendes Steuerungskonzept. SHIELD umfasst:

  • Sandboxing: Legen Sie genau fest, worauf ein Agent zugreifen darf (Werkzeuge, Dateien, APIs), bevor er aktiv wird. Setzen Sie konsequente Zugriffskontrollen ein. Das grundlegende Prinzip ist solide, und es gibt bereits zahlreiche Ansätze, um die Nutzung von Tools durch KI effektiv zu steuern.
  • Menschliche Kontrolle: Setzen Sie Kontrollpunkte oder Eskalationswege ein, bevor irreversible Maßnahmen ergriffen werden. Das ist selbstverständlich, denn es gehört zu den Grundlagen der meisten Automatisierungsprozesse.
  • Schnittstellenbeschränkungen: Strikte Ein- und Ausgaberegeln für die Interaktion von Agenten mit dem System. Erinnert an Datenbereinigung und Überprüfung der Antworten. Hm.
  • Ausführungsverfolgung: Sie überwachen Toolaufrufe, Änderungen im Speicherzustand und Planungsschleifen. Beobachtbarkeit. Beobachtbarkeit. Beobachtbarkeit.
  • Protokollierung: Sie erfassen die Gedankengänge und die Nutzung von Tools, nicht nur die Ergebnisse. Das ist zwar nötig, um ein prägnantes Akronym zu bilden, gehört aber eigentlich zum oben genannten Tracking und ist Teil einer umfassenden Observability-Strategie.
  • Deterministische Wiedergabe: Stellen Sie Inferenzsitzungen so wieder her, dass Sie nachvollziehen können, warum etwas passiert ist und nicht nur was. Ich halte das für äußerst schwierig, da es nahezu unmöglich ist, den „Zustand“ eines Agenten – oder einer beliebigen KI – exakt nachzubilden. Doch wenn es gelingt, wäre das wirklich beeindruckend.

Es ist noch früh, doch SHIELD erkennt entscheidend: Agenten-KI verlangt neue Kontrollpunkte, neue Annahmen und neue Denkweisen. Wir haben das vor Kurzem vielleicht erwähnt, unter anderem in diesem Whitepaper. Fassen wir jetzt zusammen, was das konkret für Sicherheitsverantwortliche und -ingenieure bedeutet.

Die fünf Veränderungen, die die Sicherheitsbranche für agentische KI vornehmen muss

1. Von statischen Risikoanalysen zu dynamischer Verhaltensüberwachung
Traditionelle Bedrohungsmodelle gehen davon aus, dass Angreifer bekannten Mustern folgen wie zum Beispiel laterale Bewegungen, Rechteausweitungen und Nutzlastübertragung. Doch Angreifer halten sich an keine festen Muster. Sie handeln flexibel und passen sich an.

Sicherheitsteams müssen beginnen, emergentes Verhalten zu überwachen. Sie sollten Telemetrie aufbauen, die erfasst, was Agenten tun, wie sie denken und wann sie vom vorgesehenen Weg abkommen. Semantisch. Beobachtbarkeit. Mehr muss man nicht sagen.

2. Von Perimeterschutz bis zur Laufzeit-Richtliniendurchsetzung
Firewalls und Gateways schützen Sie nicht, wenn der LLM-Agent schon im System agiert, eigenständig Tools nutzt, auf Dateien zugreift oder API-Anfragen stellt.

Sicherheit muss näher an den Laufzeitpunkt rücken und aufgabenbezogene Berechtigungen, Umgebungsisolation sowie Absichtsprüfung in Echtzeit durchsetzen. Betrachten Sie es als Richtlinie durch Schlussfolgerung: Wir prüfen genau in dem Moment, in dem ein Agent eine Handlung ausführen will, ob er dazu befugt ist. Hier verschmelzen Daten- und Kontrollschicht, weshalb Sicherheit aktiv eingebunden sein muss.

3. Von der Ereignisprotokollierung zur Erfassung des Kontexts
Sie können nur das schützen, was Sie verstehen – und bei Agenten reicht das Protokollieren allein nicht aus. Sie brauchen ablaufende Ketten, Metadaten zu Toolaufrufen, Speicher-Snapshots und Ausführungskontexte – alles protokolliert und nachvollziehbar. Kontext ist der neue Schutzbereich.

Warum hat der Agent fünf Termine gebucht und um 2 Uhr morgens eine E-Mail an einen Anbieter geschickt? Sie können es nur verstehen, wenn Sie seinen Entscheidungsbaum erneut abspielen. Das ist keine Beobachtbarkeit. Es ist Agentenforensik.

4. Von Code-Reviews bis zu Verhaltenstests
Die Logik eines Agenten steckt nicht im Code, sondern in der Kombination aus Gewichtungen, Eingabeaufforderungen, Werkzeugen und Kontext. Darum bringt eine statische Prüfung nichts.

Was Sie brauchen, ist sandboxbasierte Verhaltensprüfung: Simulieren Sie Grenzfälle, feindliche Eingaben und Berechtigungsschranken. Lassen Sie Agenten arbeiten wie Nachwuchsingenieure in der Praxis, nicht wie deterministische Codemodule.

Red-Teaming muss sich weiterentwickeln – von „Systemeinbruch“ hin zu „gezielter Agentenmanipulation“, und das immer wieder mit wachsamem Blick für Ausfallketten.

5. Von der Benutzeridentität zur Agentenidentität und ihrem Umfang
Heute basiert Zugriffskontrolle meist auf dem Nutzer: Wer sind Sie und welche Rollen haben Sie? Das reicht für Agenten nicht aus. Sie müssen KI-Akteure nun mit Identität, Berechtigungsumfang und Aufgabenbereichen ausstatten – inklusive automatischer Ablaufzeiten (denken Sie an TTL), Speicherisolation und durchgehender Prüfprotokolle.

Kurz gesagt: Zero Trust gilt jetzt auch für nicht-menschliche Akteure. Sie müssen sich jedes Mal neu bewähren, wenn sie ein Tool nutzen oder auf eine Ressource zugreifen.

Sicherheit muss mitwachsen

Agentische KI ist kein bloßes Experiment, sondern eine grundlegende Veränderung auf Systemebene. Wenn Modelle selbstständig handeln, steigt die Unordnung in Ihrem System, und Ihre bisherigen Annahmen erwachsen zu Risiken.

Was SHIELD richtig macht, ist nicht nur seine Kontrollliste. Es ist die Philosophie, die auf zwei grundlegenden Annahmen basiert:

  • Planen Sie damit, dass Agenten vom Drehbuch abweichen, unabhängig davon, ob es ihre Art oder Beeinflussung ist
  • Gehen Sie davon aus, dass Denkfehler systemweite Auswirkungen haben können

Sicherheitsteams, die jetzt darauf setzen, schaffen skalierbare Leitplanken. Und die, die es nicht tun? Sie räumen die Folgen auf, nachdem die Agenten „nur helfen wollten“.

Nein, Ihre bestehenden Frameworks sind nicht ausreichend. Die Agenten sind eingetreten. Begegnen Sie ihnen jetzt mit Governance, die wirklich versteht, worum es geht.