Kontaktieren Sie uns
DienstleistungenUnternehmen
Kontaktieren Sie uns
Keine Ergebnisse gefunden.
KI-Agent

Sicherheit von KI-Agenten: Die 8 wichtigsten Tools und Bedrohungen für 2026

Sena Sezer
Sena Sezer
aktualisiert am Mai 1, 2026
Siehe unsere ethischen Normen

Die Sicherheit von KI-Agenten bedeutet in der Praxis zwei verschiedene Dinge: die Absicherung der von Ihrem Unternehmen eingesetzten autonomen Agenten und die Nutzung von KI-Agenten zur Durchführung von Sicherheitsoperationen, die schneller sind als dies von menschlichen Analysten möglich ist.

Wir haben acht Plattformen aus beiden Kategorien analysiert, wobei die Angriffsvektoren sie notwendig machten und die Compliance-Fristen nun die Diskussion erzwingen.

Sicherheitstools und Plattformen für KI-Agenten

Der Markt ist in zwei Kategorien unterteilt.

*Azure Nur ML-Registries, Modelle von Drittanbietern oder selbstgehostete Modelle sind nicht abgedeckt.

  • Agent Identity Governance: Überwachung von OAuth-Token, Verwaltung nicht-menschlicher Identitäten (NHI) und Durchsetzung des Least-Privilege-Prinzips für eingesetzte Agenten.
  • MCP-Sicherheit : Native Überwachung von Model Context Protocol-Serververbindungen.
  • Agentic Red Teaming: Mehrrunden-Angriffssimulation mit mehreren Agenten, die sich vom Standard-LLM-Red-Teaming unterscheidet.

1. KI-gestützte Sicherheitsstatusverwaltung (KI-SPM)-Tools

Palo Alto Networks Prisma AIRS

Prisma AIRS (AI Runtime Security) ist die einzige Plattform in diesem Vergleich, die behauptet, den gesamten Lebenszyklus agentenbasierter KI von der Modellprüfung vor der Bereitstellung bis zur Live-Laufzeitdurchsetzung als eigenständiges Produkt abzudecken, das sich von Prisma Cloud, dem CNAPP-Angebot des Unternehmens, unterscheidet. 1

Das AI Agent Gateway (eine zentrale Steuerungsebene, die identitätsbasierte Zugriffskontrollen für autonome Agenten während der Live-Ausführung durchsetzt), Agent Artifact Security (Architektur-Scanning vor der Bereitstellung) und integriertes AI Red Teaming für Multi-Agenten-Systeme. 2 Die Plattform integrierte die Serialisierungs-Schwachstellenerkennungslösung ModelScan von Protect AI nach der Übernahme durch Palo Alto Networks im Juli 2025. Die agentenbasierte Endpunktsicherheit von Koi befindet sich noch in der Phase der vollständigen Integration und wird voraussichtlich im zweiten Quartal 2026 separat bereitgestellt. 3

Vorteile:

  • Die KI-Modellprüfung vor der Bereitstellung erkennt Modellmanipulationen, bösartige Skripte und Deserialisierungsangriffe.
  • Die integrierte KI-gestützte Red-Teaming-Funktion unterstützt die Simulation von Angriffen über mehrere Runden hinweg sowie das Testen von Systemen mit mehreren Agenten.
  • Laufzeitsicherheitsmechanismen verhindern die Manipulation von Eingabeaufforderungen und die Offenlegung von Daten während der Interaktion mit Live-Agenten. 4

Nachteile:

  • Die Preise werden nicht öffentlich bekannt gegeben; es sind Unternehmensverträge erforderlich.
  • Die Koi-Endpunktintegration ist noch im Gange; lokal laufende Agenten außerhalb der Cloud- und SaaS-Perimeter erfordern bis zum Abschluss dieser Integration eine separate Bereitstellung.

Wiz AI-SPM

Das zentrale Unterscheidungsmerkmal von Wiz AI-SPM ist der Wiz Security Graph, der KI-Risiken mit dem zugrunde liegenden Cloud-Infrastrukturkontext korreliert. 5 Während die meisten AI-SPM-Tools KI-Risiken isoliert betrachten, zeigt der Security Graph, dass ein anfälliges Modell in einer Produktions-VPC mit einem Internet-Ausgangskontext läuft, der die Priorität der Abhilfemaßnahmen verändert.

Die Plattform umfasst Mika AI für Risikoabfragen in natürlicher Sprache („Welche LLMs greifen auf Produktionsdatenbanken zu?“), Wiz Blue Agent für die automatisierte Bedrohungsanalyse und Wiz Defend für den Laufzeitschutz gegen Prompt Injection und das Verhalten von Rogue Agents. 6 Die Shadow AI-Erkennung arbeitet agentenlos und durchsucht Hugging Face Modell-Repositories nach bösartigem Code und Trainingsdaten nach der Offenlegung personenbezogener Daten.

Vorteile:

  • Erzeugt eine KI-Stückliste (AI-BOM), die die Modelle, Frameworks und Abhängigkeiten jedes KI-Systems umfasst. 7
  • Erkennt im Verborgenen laufende KI-Workloads und nicht verwaltete KI-Dienste ohne Agentenbereitstellung. 8
  • Die Code-zu-Cloud-Korrelation verknüpft KI-Risiken auf Anwendungsebene mit der Infrastrukturkonfiguration und ermöglicht sie dadurch.

Nachteile:

  • Native SaaS Security Posture Management (SSPM) ist nicht enthalten; für die SaaS-Abdeckung ist ein zusätzliches Tool erforderlich.
  • Die noch ausstehende Übernahme von Salesforce führt zu Unsicherheiten hinsichtlich der Roadmap für Umgebungen, die nicht unter Salesforce fallen.

Obsidian Security

KI-Agenten für Unternehmen sind in SaaS-Plattformen wie 365, Workspace und Dutzenden weiteren integriert und sammeln OAuth-Tokens sowie Datenmengen, die kein menschlicher Benutzer bewältigen könnte. Obsidian Security wurde speziell für diese Umgebung entwickelt.

Laut Obsidians eigenen Forschungsdaten verfügen 90 % der Unternehmensagenten über zu viele Berechtigungen, Agenten bewegen 16-mal mehr Daten als menschliche Benutzer, und 53 % der KI-Agenten greifen auf sensible Informationen zu. 9 Die Plattform erkennt Agenten mit übermäßigen Berechtigungen, identifiziert Token-Kompromittierungen, verfolgt Datenbewegungen zwischen Anwendungen und deckt Schatten-KI-Implementierungen auf, die mit SaaS-Konten von Unternehmen verbunden sind, ohne dass die IT-Abteilung davon Kenntnis hat.

Vorteile:

  • SaaS Security Posture Management (SSPM) bietet kontinuierlich aktualisierte Ansichten über Fehlkonfigurationen und Compliance-Lücken in SaaS-Anwendungen.
  • Erkennt KI-Prompt-Injection und Datenlecks in GenAI-SaaS-Anwendungen, einschließlich Copilot und Agentforce.
  • Die Verwaltung nicht-menschlicher Identitäten umfasst verbundene Apps, OAuth-Token und Dienstkonten mit Verhaltensbaselines. 10

Nachteile:

  • Der Fokus liegt auf SaaS; Organisationen, die KI-Agenten in selbstgehosteter oder Cloud-nativer Infrastruktur betreiben, benötigen ein separates Tool für die Transparenz der Infrastrukturebene.
  • Die Preise werden nicht öffentlich bekannt gegeben.

Microsoft Defender für Cloud

Microsoft Das KI-Sicherheitsmodul von Defender for Cloud erweitert die bestehende CSPM-Plattform um eine KI-spezifische Bedrohungserkennung. Für Organisationen, die Defender for Cloud bereits einsetzen, ist keine zusätzliche Bereitstellung erforderlich. 11 Teams, die Azure AI Foundry, Copilot Studio-Agenten oder Azure OpenAI Bereitstellungen verwalten, erhalten Bedrohungserkennung und Statusmanagement in derselben Konsole.

Die Preisgestaltung ist eine der wenigen öffentlich aufgeführten Zahlen in dieser Kategorie: 0,0008 US-Dollar pro 1.000 gescannte Token pro Monat, Foundry-Agenten sind ohne zusätzliche Kosten inbegriffen und es gibt eine 30-tägige Testphase mit einer Obergrenze von 75 Milliarden Token. 12

Das Modul integriert sich mit Azure AI Content Safety Prompt Shields zur Erkennung von Jailbreaks und leitet Warnmeldungen über Datenlecks, Anmeldeinformationsdiebstahl und anomales Agentenverhalten an Microsoft Sentinel weiter. 13 Im März 2026 brachte Microsoft Agent 365 auf den Markt, eine einheitliche Steuerungsebene zur Verwaltung und Sicherung von Agenten in der Microsoft-Umgebung zu einem Preis von 15 US-Dollar pro Benutzer und Monat. 14

Vorteile:

  • Für Azure-native Organisationen, die bereits Defender for Cloud CSPM verwenden, ist keine zusätzliche Infrastruktur erforderlich.
  • Transparente tokenbasierte Preisgestaltung ermöglicht eine Kostenabschätzung vor der Bereitstellung.
  • Die Prompt Shields-Integration übernimmt die Erkennung von Jailbreaks und Prompt-Injection nativ. 15

Nachteile:

  • Sicherheitsüberprüfungen von KI-Modellen erfolgen ausschließlich innerhalb von Azure Machine Learning-Registries und -Arbeitsbereichen, nicht jedoch in Modellregistries von Drittanbietern oder selbst gehosteten Modellen. 16
  • Begrenzter Nutzen für Organisationen, die KI-Agenten hauptsächlich außerhalb von Azure einsetzen.

HiddenLayer MLDR

KI-Sicherheitstools konzentrieren sich auf das Verhalten von Agenten, den Datenzugriff und die schnelle Einschleusung von Daten. HiddenLayer Machine Learning Detection and Response (MLDR) arbeitet eine Ebene tiefer: im Modell.

MLDR überwacht Modelle im Produktivbetrieb auf Angriffe zur Umgehung von Adversarial Attacks, die Eingaben manipulieren, um Fehlklassifizierungen zu verursachen, Modellinversionsangriffe, die Trainingsdaten aus Modellausgaben rekonstruieren, und Membership-Inferenzangriffe, die bestimmen, ob bestimmte Daten im Training vorkamen. 17 Es läuft agentenlos und benötigt weder Zugriff auf Trainingsdaten noch auf Modellgewichte, wodurch es mit proprietären Modellen oder Modellen von Drittanbietern kompatibel ist.

Die Überprüfung der Lieferkette umfasst Modellrepositorys vor der Bereitstellung und erkennt in serialisierten Modelldateien eingebettete Hintertüren. Die Angriffsklasse wird von MITRE ATLAS als AML.T0010 (ML Supply Chain Compromise) katalogisiert. 18 Das KI-Angriffssimulationsmodul simuliert kontinuierlich die von Red Teams eingesetzten Modelle, während sich Versionen und Umgebungen ändern. 19

Vorteile:

  • Erkennt Ausweich-, Modellinversions- und Mitgliedschaftsinferenzangriffe in Echtzeit, ohne dass ein Zugriff auf Trainingsdaten erforderlich ist.
  • Durch die Überprüfung der Lieferkette vor der Auslieferung werden Serialisierungsschwachstellen und Hintertüren in Modelldateien identifiziert.
  • KI-Schutzmechanismen gewährleisten die Einhaltung von Laufzeitrichtlinien, einschließlich der sofortigen Dateneingabe und der Verhinderung von Datenlecks. 20

Nachteile:

  • Bietet kein SaaS-Sicherheitsstatusmanagement oder keine Identitätsverwaltung für nicht-menschliche Personen.
  • Die Preise werden nicht öffentlich bekannt gegeben.

Lakera Guard

Lakera Guard befindet sich zwischen Ihrer GenAI-Anwendung und dem LLM und fängt jede Eingabeaufforderung ab, bevor sie das Modell erreicht, sowie jede Antwort, bevor sie an den Benutzer zurückgegeben wird. 21 Die Datenbank für Bedrohungsanalysen greift auf über 80 Millionen Eingabeaufforderungen zurück, die im Rahmen der öffentlichen Red-Teaming-Challenge Gandalf gesammelt wurden. Dadurch erhält die Erkennungs-Engine Einblick in Angriffsmuster, denen unternehmensinterne Red Teams nur selten begegnen. 22

Die Plattform deckt die OWASP LLM Top 10 Risiken ab und arbeitet mit einer Latenz im Submillisekundenbereich dank eines API-First-Designs, was für kundenorientierte Anwendungen wichtig ist, bei denen die Erkennungslatenz die Reaktionszeit des Benutzers direkt erhöht. 23 Auf platform.lakera.ai ist ein kostenloses Kontingent verfügbar, das die erste Integration und das Testen ohne Vertriebsprozess ermöglicht.

Kontext aus einer Studie vom April 2026: Google und Forcepoint bestätigten unabhängig voneinander, dass indirekte Prompt-Injection-Payloads jetzt aktiv in großem Umfang in öffentliche Webinhalte eingebettet sind und darauf warten, von KI-Agenten verarbeitet zu werden. 24 Die indirekte Injection-Erkennung von Lakera deckt diese Angriffsklasse ab, einschließlich Nutzdaten, die von externen URLs abgerufen werden, die der Agent während der Aufgabenausführung durchsucht.

Vorteile:

  • Kostenloses Kontingent für Entwicklung und erste Tests ohne Einbindung eines Anbieters verfügbar.
  • Die Erkennung indirekter Prompt-Injection umfasst in Dokumente eingebettete und aus dem Web abgerufene schädliche Anweisungen.
  • KI-gestütztes Red Teaming mit risikobasiertem Schwachstellenmanagement und Simulationen direkter/indirekter Angriffe. 25

Nachteile:

  • Führt keine Dateiprüfung des KI-Modells vor der Bereitstellung oder eine Erkennung von Hintertüren durch.
  • Der Fokus auf die Laufzeitumgebung bedeutet, dass Infrastruktur- oder SaaS-Sicherheitsrisiken nicht bewertet werden können.

2. Agentische SOC-Plattformen

CrowdStrike Falcon

Charlotte AI fungiert als autonome Untersuchungs- und Reaktionsschicht innerhalb der CrowdStrike Falcon-Plattform und kombiniert EDR, XDR , SIEM und SOAR unter einer dialogorientierten Schnittstelle in natürlicher Sprache. 26 Wenn ein Alarm ausgelöst wird, sammelt Charlotte AI Beweise, korreliert Telemetriedaten über Endpunkte und Identitäten hinweg und präsentiert ein Urteil mit Begründung. Anschließend wartet sie auf die Genehmigung durch den Analysten, bevor sie Eindämmungsmaßnahmen durchführt.

Diese Genehmigungsprüfung ist eine bewusste architektonische Entscheidung. CrowdStrikes Agentic SOAR kombiniert skriptbasierte Automatisierung mit KI-gestützter Argumentation und bietet konfigurierbare Autonomiestufen: überwachte Ausführung für Aktionen mit hoher Wirkung, autonome Ausführung für die Eindämmung von Problemen mit geringem Risiko. 27 Die Plattform nutzt Reinforcement Learning auf Basis von Analystenfeedback und verbessert so die Genauigkeit der Entscheidungen, indem sie institutionelles Wissen sammelt, das spezifisch für die jeweilige Kundenumgebung ist.

CrowdStrike ist nach ISO 42001 AI Governance zertifiziert und damit das einzige Produkt in diesem Vergleich, dessen AI Governance-Kontrollen von einer unabhängigen dritten Partei validiert wurden. 28 Auf der RSAC 2026 kündigte das Unternehmen Shadow AI Discovery an, das sich über Endpunkte, SaaS- und Cloud-Umgebungen erstreckt und mehr als 1.800 KI-Anwendungen identifiziert, die auf Unternehmensgeräten im gesamten Kundenstamm laufen. 29

Vorteile:

  • Die ISO 42001 AI Governance-Zertifizierung bietet eine unabhängige Bestätigung der KI-Managementkontrollen. 30
  • Die Bedrohungsanalyse in natürlicher Sprache wandelt Analystenfragen in strukturierte Abfragen über den gesamten Falcon-Data-Lake hinweg um.
  • Konfigurierbare Autonomiestufen ermöglichen es Organisationen, zu steuern, welche Aktionen eine menschliche Genehmigung erfordern. 31

Nachteile:

  • Charlotte AI fungiert nicht als Schutzwall oder Firewall für GenAI-Anwendungen von Drittanbietern; ihr Schwerpunkt liegt auf der Erkennung von Infrastrukturbedrohungen, nicht auf der Sicherheit von KI-Modellen.
  • Die Preise beginnen bei 8,99 US-Dollar pro Endpunkt und Monat, was sich bei großen Geräteflotten deutlich erhöht. 32

SentinelOne Purple AI

Purple AI ist in Singularity XDR integriert und wird nicht als eigenständiges Produkt verkauft. Das bedeutet, dass die Analysten mit Purple AI über dieselbe Benutzeroberfläche interagieren, die sie auch für alle anderen Untersuchungen verwenden. 33 Ein Analyst fragt in natürlicher Sprache: „Was ist die Ursache dieser Warnung?“ Purple AI fragt die zugrunde liegenden Daten ab, korreliert Telemetriedaten über Endpunkte, Cloud- und Identitätssysteme hinweg und gibt eine Antwort mit beigefügten Quellennachweisen zurück.

Dieses Integrationsmodell unterscheidet sich von KI-gestützten Untersuchungstools, die den Export von Daten in ein separates System erfordern. Purple AI hat Zugriff auf den gesamten Singularity-Datenspeicher und nutzt Selbstlernprozesse anhand von Daten aus früheren Vorfällen, um die Korrelationsgenauigkeit im Laufe der Zeit zu verbessern. 34 Die Plattform beinhaltet ein natives AI-SIEM-Backend für die Erfassung großer Datenmengen, und Singularity Hyperautomation übernimmt die Workflow-Automatisierung entlang der gesamten Reaktionskette. 35 36

Vorteile:

  • Die Bedrohungsanalyse in natürlicher Sprache übersetzt einfach englischsprachige Fragen in optimierte Abfragen im gesamten unternehmensweiten Data Lake.
  • Die domänenübergreifende Korrelation umfasst Endpunkte, Cloud-Ressourcen und Identitäten in einem einzigen Untersuchungsworkflow.
  • Das native KI-SIEM-Backend vermeidet Preisnachlässe pro Datenerfassung auch bei großem Umfang. 37

Nachteile:

  • Prüft oder blockiert keine Eingabeaufforderungen in vom Kunden bereitgestellten GenAI-Anwendungen; der Fokus liegt auf Infrastruktur und Endpunkttelemetrie.
  • Ausschließlich individuelle Unternehmenspreise; keine öffentliche Preisliste verfügbar.

Gemeinsame Merkmale von Sicherheitsplattformen für KI-Agenten

Obwohl sie unterschiedliche Ebenen des Technologie-Stacks abdecken, bieten alle acht Plattformen in diesem Vergleich fünf grundlegende Funktionen, die Unternehmen von jedem Enterprise-Anbieter in dieser Kategorie erwarten können.

  • Die Erkennung von KI- und ML-basierten Assets , einschließlich der Erfassung von eingesetzten Modellen, Agenten, verbundenen Tools und Datenquellen, ist die Grundvoraussetzung für jedes Sicherheitsprogramm. Ohne ein aktuelles Inventar können Teams weder Sicherheitslücken bewerten noch Richtlinien durchsetzen.
  • Die Erkennung von Verhaltensanomalien überwacht KI-Workloads auf Abweichungen von festgelegten Referenzwerten. Der Mechanismus variiert (unüberwachtes maschinelles Lernen bei Darktrace, statistische Schwellenwerte anderswo), aber das Ergebnis ist dasselbe: Warnungen werden ausgegeben, wenn ein Agent unerwartete Aktionen ausführt, z. B. Datenbanken abfragt, auf die er zuvor noch nicht zugegriffen hat, ungewöhnliche API-Aufrufe tätigt oder Datenmengen außerhalb des normalen Bereichs verarbeitet.
  • Die Integration mit SIEM- und SOAR-Plattformen ermöglicht es, Erkenntnisse über dokumentierte APIs in bestehende Sicherheitsworkflows einzubinden. Unternehmen sollten prüfen, ob Anbieter eine bidirektionale Integration (Senden von Warnmeldungen an das SIEM-System und Empfang angereicherter Daten) oder lediglich eine schreibgeschützte Protokollweiterleitung unterstützen.
  • Die Protokollierung von Audits zur Einhaltung von Vorschriften erfasst Sicherheitsereignisse, Agentenaktionen und Zugriffsentscheidungen in abfragefähigen Formaten. Sowohl Artikel 9 des EU-KI-Gesetzes für KI-Systeme mit hohem Risiko als auch die SOC-2-Kriterien für Vertrauensdienste schreiben diese Funktionalität für betroffene Organisationen bis August 2026 vor. 38
  • Alarmierungs- und Benachrichtigungsworkflows machen erkannte Bedrohungen über Dashboards, E-Mail, Slack oder Ticketsystemintegration sichtbar, sodass Sicherheitsteams umsetzbare Informationen anstelle von rohen Protokollausgaben erhalten.

Sicherheitsbedrohungen durch KI-Agenten

KI-Agenten schaffen Angriffsflächen, die herkömmliche Sicherheitsmaßnahmen nicht abdecken. Ein signaturbasiertes EDR-System erkennt Schadsoftware. Es kann jedoch keinen Agenten erkennen, der legitime Anweisungen aus einem schädlichen Dokument erhält, das er zusammenfassen soll, und anschließend seine eigenen legitimen Zugangsdaten verwendet, um Daten zu exfiltrieren. Die folgenden Bedrohungen verdeutlichen, warum spezialisierte Tools erforderlich sind.

1. Sofortige Injektion und Jailbreaking

Prompt Injection bettet schädliche Anweisungen in Inhalte ein, die von Agenten verarbeitet werden (Webseiten, E-Mails, PDF-Anhänge, Tool-Ausgaben). Dadurch führt der Agent Befehle aus, die der Benutzer nie autorisiert hat. OWASP stuft Prompt Injection als die größte Schwachstelle in seinen LLM Top 10 ein; sie tritt in über 73 % der im Rahmen von Sicherheitsaudits untersuchten produktiven KI-Implementierungen auf. 39

Die Bedrohung ist nicht länger theoretischer Natur. Im April 2026 veröffentlichten Google und Forcepoint unabhängig voneinander Beweise für indirekte Prompt-Injection-Payloads, die in großem Umfang in statische Webseiten, Blogs und Kommentarbereiche öffentlicher Webseiten eingebettet sind und darauf warten, von KI-Agenten abgerufen und verarbeitet zu werden. 40 Zehn bestätigte aktive Schadsoftware-Anwendungen, die auf KI-Agenten abzielten und unter anderem Finanzbetrug, Datenzerstörung und den Diebstahl von API-Schlüsseln zum Ziel hatten, wurden im gleichen Forschungszeitraum katalogisiert. 41

Unit 42 stellte fest, dass bei 85,2 % der realen Einschleusungsversuche Social-Engineering-Techniken anstelle einfacher Befehlsüberschreibungen zum Einsatz kommen, darunter Verschleierungsmethoden wie Unicode-Zeichen mit der Breite Null und Base64-kodierte Nutzdaten. 42 Eine Metaanalyse von 78 Studien, die im Januar 2026 veröffentlicht wurde, ergab, dass die Erfolgsraten adaptiver Angriffe gegen modernste Verteidigungssysteme 85 % übersteigen. 43

Im Jahr 2025 wurde festgestellt, dass Copilot anfällig für CVE-2025-32711 (EchoLeak) ist, eine Zero-Click-Prompt-Injection-Schwachstelle, die die Exfiltration von Daten aus der Ferne durch speziell präparierte E-Mails ohne Benutzerinteraktion ermöglicht. 44 Das Model Context Protocol (MCP) ermöglicht eine verwandte Angriffsklasse: Tool Poisoning. Dabei werden in den Metadaten eines Tools bösartige Anweisungen eingebettet, die Agenten anweisen, sensible Daten an vom Angreifer kontrollierte Endpunkte weiterzuleiten. 45

2. Kompromittierung von Tokens und Diebstahl von Zugangsdaten

KI-Agenten authentifizieren sich gegenüber externen Diensten mithilfe von OAuth-Tokens und API-Schlüsseln. Diese Anmeldeinformationen gewähren dem Agenten dieselben Berechtigungen wie der Identität, die er repräsentiert. Ein Angreifer, der diese Anmeldeinformationen erlangt, erbt diese Berechtigungen ohne Auslösung einer Multi-Faktor-Authentifizierung (MFA), da das Token selbst das Authentifizierungsartefakt darstellt.

Der Salesloft/Drift-Sicherheitsvorfall vom August 2025 verdeutlicht das Kaskadenrisiko. Angreifer kompromittierten eine Drittanbieter-Chatagenten-Integration, extrahierten OAuth-Aktualisierungstoken und nutzten diese, um sich zehn Tage lang gegenüber über 700 nachgelagerten Kundenumgebungen als Drift-Anwendung auszugeben. Dabei griffen sie auf Daten (Salesforce), Workspace-Konten (Google) und Cloud-Anmeldeinformationen zu, ohne Authentifizierungswarnungen auszulösen. 46 Die Erkennung schlug fehl, da die OAuth-Anfragen von einer vorab genehmigten Anwendungsidentität stammten, die mit dem legitimen Datenverkehr in Standard-Authentifizierungsprotokollen identisch ist. 47

Eine Anfang 2026 von der UC Santa Barbara und Fuzzland veröffentlichte Studie bestätigt dies auf Infrastrukturebene. Die Forscher erwarben 28 kostenpflichtige LLM-API-Router und sammelten 400 kostenlose; neun davon schleusten aktiv Schadcode in Modellantworten ein. Ein mit dem geleakten Schlüssel OpenAI konfigurierter Honeypot führte zum Verbrennen von 100 Millionen GPT-Token und zur Übernahme von 401 Sitzungen, von denen 401 bereits im „YOLO-Modus“ ohne menschliche Sicherheitsvorkehrungen liefen. 48 Kein LLM-API-Anbieter erzwingt kryptografische Integrität auf dem Antwortpfad, was bedeutet, dass ein bösartiger Router Anweisungen in Modellantworten einfügen kann und der Agent diese als legitime Tool-Aufrufe ausführt.

3. Übermäßige Berechtigungsvergabe und Rechteausweitung

Neunzig Prozent der Agenten in Unternehmen verfügen über zu viele Berechtigungen. 49 Dies geschieht aus strukturellen Gründen: SaaS-Plattformen verwenden standardmäßig breite OAuth-Bereiche bei der Agentenautorisierung, Agenten erben Berechtigungen von ausgeschiedenen Mitarbeitern, deren Konten nie bereinigt wurden, und Berechtigungen häufen sich ungeprüft an, wenn Agenten zur Bearbeitung neuer Aufgaben hinzugefügt werden.

OWASP zählt übermäßige Handlungsfähigkeit zu den drei größten Sicherheitsrisiken für agentenbasierte KI im Jahr 2026 und definiert sie als die Fähigkeit von Agenten, über die für ihre Aufgaben erforderlichen Fähigkeiten hinauszugehen. 50 Die Folge des Angriffs ist die semantische Privilegieneskalation: Ein Agent, der angewiesen wurde, eine legitime Aufgabe auszuführen, erlangt autonom Zugriff außerhalb des beabsichtigten Bereichs durch Ketten autonomer Entscheidungen, ohne dass ein einzelner Schritt einen Sicherheitsalarm auslöst.

Die Okta-Analyse bestätigt, dass KI-Agenten als privilegierte Benutzer behandelt werden müssen und denselben Zugriffskontrollen, Rotationsrichtlinien und Prüfprotokollen unterliegen wie menschliche Administratoren. Dabei wird darauf hingewiesen, dass die meisten Organisationen derzeit keine solchen Kontrollen für nicht-menschliche Identitäten haben. 51 Unternehmen verwalten mittlerweile ein durchschnittliches Verhältnis von maschineller zu menschlicher Identität von 82:1, wobei die Zunahme der Agenten die Governance-Infrastruktur überholt. 52

4. Schatten-KI und unautorisierte Agenteneinsätze

Wenn eine Geschäftseinheit Agentforce ohne IT-Unterstützung mit dem Workspace des Unternehmens verbindet, erhält sie einen Agenten mit Zugriff auf produktive SaaS-Daten – ohne Sicherheitsprüfung, ohne Zugriffsprotokollierung und ohne Möglichkeit, Anmeldeinformationen bei unerwartetem Verhalten schnell zu widerrufen. 87 Prozent der Unternehmen haben Copilot aktiviert, wodurch die Erkennung von Schattenagenten zu einer nahezu universellen Notwendigkeit und nicht mehr zu einem Sonderfall geworden ist. 53

Sicherheitslücken im Zusammenhang mit Schatten-KI verursachen durchschnittlich 670.000 US-Dollar höhere Kosten als herkömmliche Sicherheitslücken (4,63 Millionen US-Dollar gegenüber 3,96 Millionen US-Dollar). Dies ist auf die verzögerte Erkennung zurückzuführen, die durch Agenten entsteht, die außerhalb der überwachten Umgebungen operieren. 54 Dreiundsechzig Prozent der Mitarbeiter, die KI-Tools verwenden, fügen sensible Unternehmensdaten in persönliche Chatbot-Konten ein, wodurch Verstöße gegen die Datenschutzbestimmungen entstehen, die den Compliance-Teams oft erst bewusst werden, wenn ein Datenleck sie aufdeckt. 55

IDC geht davon aus, dass 60 % der KI-Fehler im Jahr 2026 auf Governance-Lücken und nicht auf Probleme mit der Modellleistung zurückzuführen sein werden – eine Sichtweise, die die Verantwortung von den KI-Anbietern auf die Organisationen verlagert, die Agenten ohne angemessene Kontrollen einsetzen. 56

5. KI-gestützte Lieferkettenangriffe und Modellmanipulation

Unternehmen, die Modelle von Hugging Face beziehen, PyPI-Pakete für ML-Frameworks verwenden oder Agenten mit MCP-Servern von Drittanbietern verbinden, übernehmen die vorhandenen Schwachstellen. MITRE ATLAS katalogisiert diese Techniken unter AML.T0010 (ML Supply Chain Compromise) und dokumentiert Hintertüren in serialisierten Modelldateien, manipulierte Trainingsdaten in öffentlichen Datensätzen sowie schädliche Abhängigkeiten in ML-Framework-Paketen.

Im Februar 2026 manipulierte die ClawHavoc-Kampagne systematisch den Skill-Marktplatz von OpenClaw – den ersten KI-Agenten-Registry-Angriff dieser Größenordnung. Über 1.100 schädliche Skills wurden als Produktivitäts- und Entwicklertools getarnt hochgeladen, wobei einige vor ihrer Entdeckung zu den meist heruntergeladenen Paketen der Plattform zählten. X-Force bestätigte über 21.000 betroffene Instanzen. 57 Eine gleichzeitig durchgeführte Prüfung ergab, dass 43 % der öffentlich verfügbaren MCP-Server Schwachstellen zur Befehlsausführung aufweisen und 36,7 % Server-Side Request Forgery-Angriffen ausgesetzt sind. 58

Memory-Poisoning-Angriffe schleusen schädliche Anweisungen in den Speicher von Agenten ein und erzeugen so dauerhafte Sicherheitslücken, die erst Tage oder Wochen nach der Erstinfektion aktiv werden. Untersuchungen haben gezeigt, dass solche Angriffe bei produktionsnahen Agenten durch reine Abfrageinteraktionen in über 95 % der Fälle erfolgreich sind. 59 In Multiagentensystemen führte ein einziger kompromittierter Agent innerhalb von vier Stunden zu einer Beeinträchtigung von 87 % der nachfolgenden Entscheidungsprozesse. 60

Compliance- und Governance-Rahmenwerke für die Sicherheit von KI-Agenten

Der Einsatz von KI-Agenten in Unternehmen sieht sich mit sich überschneidenden Compliance-Anforderungen aus internationalen Standards, branchenspezifischen Vorschriften und regionalen Gesetzen konfrontiert, die sich nun von freiwilligen Empfehlungen zu verbindlichen Vorgaben entwickeln.

  1. ISO/IEC 42001 , veröffentlicht im Dezember 2023, spezifiziert Anforderungen an Managementsysteme für künstliche Intelligenz (AIMS) mit 38 verschiedenen Kontrollen, die Risikobewertung, Transparenz und kontinuierliche Verbesserung abdecken. 61 Die Zertifizierung ist freiwillig, erfüllt aber mehrere Qualitätsmanagementanforderungen des EU-AI-Gesetzes. 62 Unter den in diesem Vergleich berücksichtigten Plattformen verfügt CrowdStrike Charlotte AI als einziges Produkt über die ISO 42001-Zertifizierung mit dieser spezifischen unabhängigen Auditvalidierung. 63
  2. Das NIST AI Risk Management Framework (AI RMF 1.0) gliedert die KI-Governance in die Funktionen GOVERN, MAP, MEASURE und MANAGE. 64 Im Februar 2026 startete das Center for AI Standards and Innovation (CAISI) des NIST offiziell die AI Agent Standards Initiative, das erste US-Regierungsprogramm, das sich der Entwicklung freiwilliger Standards speziell für die Sicherheit agentenbasierter KI widmet. 65 Ein KI-Agenten-Interoperabilitätsprofil mit spezifischen Kontrollen für die Agentenidentitätsauthentifizierung, das Prinzip der minimalen Berechtigungen und die Verhinderung von Prompt-Injection ist für das vierte Quartal 2026 geplant. 66 Am 7. April 2026 veröffentlichte das NIST außerdem ein Konzeptpapier für ein KI-RMF-Profil zum Thema vertrauenswürdige KI in kritischen Infrastrukturen, was signalisiert, dass agentenbasierte KI in regulierten Sektoren eine Priorität ist. 67
  3. Die Durchsetzung der Anforderungen an risikoreiche KI-Systeme gemäß dem EU-KI-Gesetz beginnt am 2. August 2026. 68 Organisationen, die KI-Agenten in den Bereichen Finanzen, Personalwesen, Gesundheitswesen oder kritische Infrastrukturen einsetzen, müssen die Anforderungen an die Konformitätsbewertung erfüllen. Bei Verstößen drohen Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. 69 Das Gesetz verlangt von KI-Systemen mit hohem Risiko, dass sie eine technische Dokumentation führen, eine externe Überwachung ermöglichen, eine strukturierte menschliche Aufsicht mit Interventionspunkten implementieren und Widerrufsmechanismen beinhalten, die den Betrieb des Agenten schnell stoppen können. 70 Die Transparenzanforderungen gemäß Artikel 50, einschließlich der maschinenlesbaren Kennzeichnung von KI-generierten Inhalten, treten ebenfalls im August 2026 in Kraft. Das EU-KI-Büro hat noch keine detaillierten Leitlinien speziell für agentenbasierte Systeme herausgegeben, was zu Unsicherheiten hinsichtlich der Einhaltung führt, die Organisationen durch ihre eigene Auslegung der allgemeinen Grundsätze des Gesetzes beheben müssen. 71
  4. Die OWASP Top 10 für Agentenanwendungen 2026 , die im Dezember 2025 veröffentlicht wurde, bietet die erste weltweit von Experten begutachtete Sicherheitsrisiko-Taxonomie für autonome KI-Systeme, die unter Mitwirkung von über 100 Sicherheitsforschern entwickelt wurde. 72 Die zehn Risikokategorien (ASI01 bis ASI10) umfassen unter anderem Agent Goal Hijacking, Tool Misuse and Exploitation, Delegated Trust Abuse und Agentic Supply Chain Vulnerabilities. AWS, Microsoft, NVIDIA und GoDaddy haben jeweils Leitlinien aus dem Framework in der Produktion verwendet oder implementiert. Organisationen, die dem EU-AI-Gesetz unterliegen, werden zunehmend feststellen, dass die OWASP Agentic Top 10-Abdeckung in Sicherheitsbewertungen von Anbietern erforderlich ist.
  5. SOC 2 wendet KI-Agenten als Subdienstorganisationen gemäß den Trust Services Criteria an und erfordert eingeschränkte API-Schlüssel, Transaktionslimits und umfassende Prüfprotokolle der Agentenentscheidungen. Artikel 22 der DSGVO gewährt Einzelpersonen Rechte hinsichtlich ausschließlich automatisierter Entscheidungen mit rechtlicher Wirkung, die eine sinnvolle menschliche Beteiligung und Anfechtungsmechanismen für die Akteure erfordern 73 die solche folgenreichen Entscheidungen treffen. 74

FAQs

EDRs erkennen Malware und Endpunktanomalien. Sie untersuchen jedoch nicht, was ein KI-Agent mit einem kompromittierten OAuth-Token macht, ob ein Modell vor der Bereitstellung mit einer Hintertür versehen wurde oder ob eine in einem Dokument eingebettete Eingabeaufforderung das Verhalten des Agenten umgeleitet hat. Diese Lücke in der Tool-Auswahl ist real.

Das hängt davon ab, wofür Sie KI einsetzen. Wenn Sie Agenten verwenden, die sich mit SaaS-Plattformen verbinden, externe Inhalte verarbeiten oder Modelle von Drittanbietern nutzen, dann sichern Charlotte AI und Purple AI das SOC ab; sie regeln jedoch nicht die Agenten selbst. Wenn Sie KI nur intern innerhalb dieser Plattformen verwenden, ist der bestehende Schutz möglicherweise ausreichend.

Ab April 2026 stellt dies eine Bedrohung für den Produktiveinsatz dar. Google und Forcepoint veröffentlichten unabhängig voneinander Beweise für indirekte Prompt-Injection-Payloads, die in großem Umfang in öffentliche Webinhalte eingebettet sind – sowohl auf statischen Websites als auch in Blogs, die mit Anweisungen für KI-Agenten versehen wurden. Zehn bestätigte aktive Payloads wurden im selben Berichtszeitraum katalogisiert.

Referenzlinks

1.
Prisma AIRS - Palo Alto Networks
2.
Prisma AIRS - Palo Alto Networks
3.
Securing the Agentic Endpoint
Palo Alto Networks
4.
Prisma AIRS - Palo Alto Networks
5.
AI Security Posture Management (AI-SPM) | Wiz
6.
AI Security Posture Management (AI-SPM) | Wiz
7.
AI Security Posture Management (AI-SPM) | Wiz
8.
AI Security Posture Management (AI-SPM) | Wiz
9.
Obsidian | End-to-End AI and SaaS Security for Enterprises
10.
Obsidian | End-to-End AI and SaaS Security for Enterprises
11.
Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn
12.
What's new in Microsoft Defender for Cloud features - Microsoft Defender for Cloud | Microsoft Learn
13.
Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn
14.
https://www.microsoft.com/en-us/security/blog/2026/03/09/secure-agentic-ai-for-your-frontier-transformation/
15.
Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn
16.
Discover AI models - Microsoft Defender for Cloud | Microsoft Learn
17.
Platform | HiddenLayer
18.
AI Supply Chain Security | HiddenLayer
19.
https://www.hiddenlayer.com/platform/ai-attack-simulation
20.
AI Runtime Security | HiddenLayer
21.
Lakera: The AI-Native Security Platform to Accelerate GenAI
22.
Lakera: The AI-Native Security Platform to Accelerate GenAI
23.
Lakera: The AI-Native Security Platform to Accelerate GenAI
24.
Indirect prompt injection is taking hold in the wild - Help Net Security
25.
Lakera: The AI-Native Security Platform to Accelerate GenAI
26.
Charlotte AI: Agentic Analyst for Cybersecurity
CrowdStrike
27.
Charlotte Agentic SOAR | CrowdStrike
CrowdStrike
28.
CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity
CrowdStrike
29.
https://nand-research.com/rsac-2026-agentic-ai-security-takes-center-stage-at-industrys-marquee-event/
30.
CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity
CrowdStrike
31.
Charlotte Agentic SOAR | CrowdStrike
CrowdStrike
32.
Charlotte AI: Agentic Analyst for Cybersecurity
CrowdStrike
33.
Purple AI | AI Security Analyst for Autonomous SecOps | SentinelOne
SentinelOne
34.
Purple AI | AI Security Analyst for Autonomous SecOps | SentinelOne
SentinelOne
35.
Singularity™ AI SIEM for the Autonomous SOC
SentinelOne
36.
Singularity™ Hyperautomation | SentinelOne
SentinelOne
37.
Singularity™ AI SIEM for the Autonomous SOC
SentinelOne
38.
Frequently Asked Questions | AI Act Service Desk
39.
LLM01:2025 Prompt Injection - OWASP Gen AI Security Project
OWASP Top 10 for LLM & Generative AI Security
40.
Indirect prompt injection is taking hold in the wild - Help Net Security
41.
https://www.infosecurity-magazine.com/news/researchers-10-wild-indirect/
42.
https://unit42.paloaltonetworks.com/ai-agent-prompt-injection/
43.
https://arxiv.org/abs/2601.17548
44.
https://www.obsidiansecurity.com/blog/prompt-injection
45.
https://www.elastic.co/security-labs/mcp-tools-attack-defense-recommendations
46.
https://cloudsecurityalliance.org/blog/2025/09/25/the-salesloft-drift-oauth-supply-chain-attack-cross-industry-lessons-in-third-party-access-visibility
47.
https://www.finra.org/rules-guidance/guidance/salesloft-drift-AI-supply-chain-attack
48.
Reddit - The heart of the internet
49.
Obsidian | End-to-End AI and SaaS Security for Enterprises
50.
OWASP Top 10 for Agentic Applications for 2026 - OWASP Gen AI Security Project
OWASP Top 10 for LLM & Generative AI Security
51.
https://www.okta.com/newsroom/articles/why-ai-agents-must-be-treated-as-privileged-users/
52.
https://www.security.com/product-insights/agentic-ai-tsunami
53.
AI Agent Security Vulnerabilities 2026: 88% of Enterprises Already Breached | AI Automation Global
AI Automation Global
54.
https://www.vanta.com/resources/ai-security-posture-management
55.
https://www.humansecurity.com/learn/resources/2026-state-of-ai-traffic-cyberthreat-benchmarks/
56.
Managed AI against the proliferation of AI agents 🤖🌿 Why your unsupervised AI agents will soon become a legal risk ⚠️⚖️
Xpert.Digital - Konrad Wolfenstein
57.
https://www.ibm.com/think/x-force/agentic-ai-growing-fast-vulnerabilities
58.
Agentic AI Security: Shadow Agents, MCP Exploits, and the New Attack Surface | 1337skills
59.
https://unit42.paloaltonetworks.com/indirect-prompt-injection-poisons-ai-longterm-memory/
60.
https://www.lakera.ai/blog/agentic-ai-threats-p1
61.
https://www.iso.org/standard/42001
62.
https://elevateconsult.com/insights/eu-ai-code-of-practice-iso-42001/
63.
CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity
CrowdStrike
64.
https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf
65.
https://www.nist.gov/caisi/ai-agent-standards-initiative
66.
https://labs.cloudsecurityalliance.org/agentic/agentic-nist-ai-rmf-profile-v1/
67.
AI Risk Management Framework | NIST
68.
Frequently Asked Questions | AI Act Service Desk
69.
https://artificialintelligenceact.eu/article/5/
70.
https://www.artificialintelligence-news.com/news/agentic-ais-governance-challenges-under-the-eu-ai-act-in-2026/
71.
https://www.devdiscourse.com/article/law-order/3864660-europes-ai-act-expands-reach-to-autonomous-agents
72.
OWASP Top 10 for Agentic Applications for 2026 - OWASP Gen AI Security Project
OWASP Top 10 for LLM & Generative AI Security
73.
https://goteleport.com/blog/ai-agents-soc-2/
74.
https://gdpr-info.eu/art-22-gdpr/
Sena Sezer
Sena Sezer
Branchenanalyst
Folgen auf
Sena ist Branchenanalystin bei AIMultiple. Sie hat ihren Bachelor-Abschluss an der Bogazici-Universität erworben.
Vollständiges Profil anzeigen

Seien Sie der Erste, der kommentiert

Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich.

0/450

Als nächstes lesen

KI-AgentenMai 5

Benchmark für KI-Agentenplattformen: Claude Managed Agents vs. Vertex Agent Engine (Google)

Şevval Alper
Şevval Alper
KI-AgentenJan 28

Lokale KI-Agenten: Goose, Observer AI, AnythingLLM

Cem Dilmegani
Cem Dilmegani
CybersicherheitJan 29

15 Bedrohungen für die Sicherheit von KI-Agenten

Cem Dilmegani
Cem Dilmegani
KI-AgentenMär 30

Entwicklung persönlicher KI-Agenten + 18 Agentenplattformen und -tools

Cem Dilmegani
Cem Dilmegani
KI-AgentenFeb 6

KI-Agenten mit zusammensetzbaren Mustern erstellen

Cem Dilmegani
Cem Dilmegani
KI-AgentenApr 21

15 KI-Agenten in Marketing-Tools & Beispiele

Sıla Ermut
Sıla Ermut