Agentic AI: Wenn autonome KI-Systeme zum Sicherheitsrisiko werden
Von Privilegieneskalationüber unkontrollierte Datenexfiltration bis hin zu systemischen Sicherheitslücken – Agentic AI erweitert nicht nur Möglichkeiten, sondern auch die Angriffsfläche. Aktuelle Vorfälle zeigen: Agentic AI ist nicht nur ein Effizienztreiber, sondern kann auch zum Einfallstor für Angriffe und Missbrauch werden. Ein Beispiel ist der ServiceNow-Vorfall aus dem Januar 2026 (CVE-2025-12420). Ein hartcodierter, systemweiter Schlüssel ermöglichte es Angreifern, über dieVirtual-Agent-API Administratorrechte zu erlangen.
Doch dieser Fall ist kein Einzelfall– sondern ein Hinweis auf ein strukturelles Problem: Wenn grundlegende Sicherheitsprinzipien nicht konsequent umgesetzt werden, wird Agentic AI selbst zum Risiko.
Reale Risiken mit Agentic AI: Aktuelle Vorfälle und Einordnung
Aktuelle Vorfälle zeigen, dass Agentic AI neue Angriffspfade eröffnet – insbesondere durch Privilegieneskalation, manipulierte Entscheidungslogik und kompromittierte Agenten:
1. Privilegieneskalation durch Agenten
ServiceNow (Januar 2026, CVE-2025-12420): Ein hartcodierter Schlüssel in der Virtual-Agent-API ermöglichte Angreifern, Administratorrechte zu erlangen. ? Ein klassischer Agent-to-Agent-Angriff (A2A).
Microsoft Copilot (EchoLeak, CVE-2025-32711): Durch manipulierte Prompts konnten Angreifer sensible Daten extrahieren und Berechtigungen erweitern.
Langflow (CVE-2025-3248): Eine Code-Injection in AI-Agenten führte zur vollständigen Kompromittierung der AI-Infrastruktur und angebundener Systeme.
2. Datenexfiltration und -manipulation
Reconciliation Agent bei einem Finanzdienstleister (2024)
Eine scheinbar normale Business-Anfrage brachte einen «Reconciliation Agent» dazu, 45.000 Kundendatensätze zu exportieren. Die AI erkannte die Manipulation nicht, weil die Anfrage «geschäftsüblich» formuliert war.
Kompromittierte Open-Source-Frameworks
Veränderte Agenten-Frameworks installierten Backdoors, die erst nach Monaten entdeckt wurden – mit entsprechend langer unbemerkter Datenabflusssituation.
3. Supply-Chain-Risiken in der AI-Lieferkette
Salt Typhoon (2024–2025)
Staatliche Akteure nutzten die AI-Supply-Chain, um Agenten-Frameworks zu kompromittieren und sich so persistenten Zugang zu Unternehmensnetzwerken zu verschaffen.
4. Prompt Injection und Missbrauch von Tools
Prompt Injection bei gängigen Plattformen
Schädliche Prompts manipulierten AI-Agenten und führten von Datenabflüssen bis zur Ausführung bösartiger Skripte. Betroffen waren u.a. GitHub Copilot, Salesforce Einstein und ChatGPT.
Missbrauch von Non-Human Identities (NHI)
Kompromittierte Agenten-Credentials gewährten Angreifern über Wochen unentdeckten Zugriff auf Systeme (NHI Compromise).
Warum klassische Sicherheitsmassnahmen versagen
Agentic AIöffnet neue Angriffsvektoren, die von traditionellen Security-Controls nicht erfasst werden:
Autonomie
Agenten handeln eigenständig, oft ohne laufende menschliche Kontrolle oder Freigabe.
Komplexität
Multi-Agenten-Systeme, Shared Service Accounts und dynamische Workflows erschweren die Zuordnung von Aktionen und Verantwortlichkeiten.
Dynamik
AI-Agenten lernen, kombinieren Tools und interagieren miteinander; Sicherheitslücken entstehen durch unvorhergesehene Interaktionen – nicht nur durch klassischen Code.
Unternehmen, die AI-Agenten wie klassische Software behandeln, riskieren stille Kompromittierung, laterale Bewegung und Compliance-Verstösse.
Verantwortungskultur und Agentic AI Security Awareness
Agentic AI verändert nicht nur Technologie, sondern auch Verantwortung. Wer AI-Agenten sicher einsetzen will, braucht eine klare Governance, neue Rollen und gezielte Sensibilisierung.
Die Rolle des «AI Steward»: Verantwortlich für sichere AI-Agenten
Der AI Steward ist zentrale Ansprechperson für Agentic AI Security und Governance, mit den Kernaufgaben:
Risikobewertung vor dem Deployment von AI-Agenten
Laufende Audits von Agenten-Aktivitäten und Logs
Compliance-Checks (CH DSG, EU DSGVO, ISO 27001, NIST AI RMF)
Analyse von Prompts und Policies zur Erkennung von Datenlecks und Prompt Injection
Diese Rolle ist der Dreh- und Angelpunkt für Agentic AI Security Awareness im Unternehmen.
Automatisierte Security-Controls für AI-Agenten
Für Agentic AI braucht es automatisierte Sicherheitskontrollen, die:
Agenten-Workflows und Tool-Nutzung in Echtzeitüberwachen
Compliance- und Policy-Verstösse erkennen
Prompts und Antworten auf sensible Inhalte und Anomalien prüfen
Zentral ist dabei ein Zero-Trust-Ansatz für AI-Agenten: Jede Aktion muss autorisiert, protokolliert und konsequent nach dem Prinzip der geringsten Berechtigung (Least Privilege) beschränkt werden.
Schulung, Kulturwandel und AI Security Awareness
Technische Kontrollen genügen nicht – Sicherheitskultur ist entscheidend:
Mitarbeitende sensibilisieren: AI-Agenten sind keine «Black Boxes». Teams müssen verstehen, welche Daten in Prompts fliessen, welche Risiken Agenten-Tools haben und wie Agentic AI missbraucht werden kann.
Gezielte AI Security Awareness: KI-Sicherheitsbewertungen, Schulungen zu Themen wie Prompt Injection, Datenexfiltration, Agenten-Berechtigungen, Non-Human Identities (NHI) und verantwortungsvollem Umgang mit AI-Tools.
Regelmässige Penetrationstests für AI-Systeme: Spezialisierte AI-Pentests und Red-Teaming-Übungen, um Schwachstellen in Agenten-Workflows, Tool-Integrationen und Sicherheitskontrollen frühzeitig zu finden.
Organisationen, die Verantwortungskultur, AI Stewardship und Agentic AI Security Awareness verankern, reduzieren nicht nur das Risiko von Vorfällen – sie schaffen die Grundlage für vertrauenswürdige, skalierbare AI-Agenten im Unternehmen.
Best Practices: Was Unternehmen JETZT tun müssen
Wir empfehlen folgende technische Massnahmen für Unternehmen:
Secrets Management: Keine hardcodierten Secrets, konsequenter Einsatz sicherer Vaults.
MFA für alle AI-Interaktionen: Insbesondere bei Account-Linking, API-Zugriffen und Agent-Konfiguration.
Automatisierte Code-Reviews: Sicherheitsprüfungen für Agenten-Code, Policies und Workflows.
Deprovisioning inaktiver Agents: «Zombie-AI» konsequent abschalten, um versteckte Einfallstore zu vermeiden.
Sandboxing: Isolierte Ausführungsumgebungen für AI-Agenten, um Privilegieneskalation und Seitwärtsbewegungen zu begrenzen.
Organisatorische Massnahmen für Unternehmen:
AI Stewardship-Rolle etablieren: Klare Verantwortlichkeit für Agentic AI Security und Governance.
Transparenzprotokolle: Entscheidungen und Aktionen von AI-Agenten müssen lückenlos nachvollziehbar sein.
Notfallpläne für AI-Vorfälle: Definierte Playbooks, wenn ein Agent kompromittiert oder missbraucht wird.
Regelmässige Audits: Einsatz von Frameworks wie AI CSA und OWASP Agentic AI Top 10 als Leitlinien.
Kulturelle Massnahmen:
AI wie «Wet Paint» behandeln: Grundprinzip «Nicht vertrauen, immer verifizieren» – auch bei eigenen Agenten.
Regelmässige Awareness-Trainings: Agentic-AI-Risiken als fester Bestandteil der Security Culture.
«Governance First»-Ansatz: Bevor AI skaliert wird, müssen Richtlinien, Rollen und Kontrollmechanismen stehen.
Fazit: Agentic AI, Fluch oder Segen?
Die entscheidende Frage ist nicht, ob AI sicher ist, sondern ob wir sie sicher gestalten. Agentic AI bietet enorme Chancen– vorausgesetzt, Unternehmen nehmen die Risiken ernst und handeln jetzt.
Konkret heisst das:
Sicherheitsstandards für AI-Agenten definieren
Orientierung an Frameworks wie OWASP, NIST AI RMF, CSA Mythos-Ready-Leitfaden und den OECD AI Principles.
Verantwortung klar zuweisen
Etablierung von AI Stewardship und Einbindung von Compliance- und Security-Teams.
Transparenz und Kontrolle verankern
Entscheidungen und Aktionen von AI-Agenten müssen nachvollziehbar, überprüfbar und steuerbar sein.
So wird Agentic AI nicht zum Risiko, sondern zu einem vertrauenswürdigen strategischen Vorteil.
Categories: Allgemein
No Responses Yet
You must be logged in to post a comment.