IT-Security: Drei Leitplanken für die Ära der autonomen KI

Betrachtet man die aktuelle Entwicklung von KI in Unternehmen, wird schnell klar: Im Jahr 2026 geht es nicht mehr um die Einführung von Künstlicher Intelligenz, sondern um ihre Kontrolle. KI-Bedrohungen haben sich in den letzten 12 Monaten schneller weiterentwickelt, als die meisten Unternehmen verarbeiten können, und es bleibt kaum Zeit, aufzuholen. Das belegen aktuelle Zahlen. Laut einer Umfrage von Dark Reading betrachten 48 Prozent der Cybersicherheitsexperten agentische KI als den bedeutendsten Angriffsvektor für 2026.

Autonome KI-Agenten agieren und treffen bereits heute Entscheidungen innerhalb von Umgebungen und werden zu einem zentralen Bestandteil der Wertschöpfungskette – von der Softwareentwicklung über den Kundenservice bis hin zur Prozessautomatisierung und dem IT-Betrieb. Dadurch entstehen schnell neue Angriffsflächen. Laut dem Netskope AI Risk and Readiness Report 2026 berichten bereits 56 % der Unternehmen von einer tatsächlichen Gefährdung durch agentenbasierte KI. Warum versuchen wir also, diese neue Art von Bedrohung mit einem Leitfaden zu bewältigen, der für eine Zeit vor der agentenbasierten KI konzipiert wurde?

2026 muss das Jahr werden, in dem wir dieses Konzept durch etwas ersetzen, das widerspiegelt, wie sich Agenten (sowohl unsere eigenen als auch die der Angreifer) tatsächlich verhalten, wie sie Fehler begehen und auf welche Ressourcen sie Zugriff haben. Es ist an der Zeit, die richtigen Sicherheitsgrundlagen für das Handeln in einer von Akteuren geprägten Welt zu schaffen und daher sollten die folgenden Punkte ganz oben auf der Prioritätenliste von CISOs stehen:

1. Entwicklung eines integrierten, automatisierten Sicherheitsansatzes

Agenten sind bereits in Unternehmen im Einsatz, doch die meisten Teams wissen nach wie vor nicht, wo und wie agentenbasierte KI genutzt wird. Sicherheit beginnt mit einer zentralen Übersicht: Worauf können welche Systeme zugreifen, welche Entscheidungen dürfen sie treffen? Ohne diese Bestandsaufnahme kann nichts abgesichert werden.

In der Praxis fördert diese Bestandsaufnahme immer mehr zutage als Unternehmen erwarten. Entwicklungsteams richten Agenten für interne Projekte ein und wenden sich anderen Aufgaben zu. Automatisierungs-Workflows sammeln im Laufe der Zeit immer mehr Berechtigungen an. Integrationen werden eingerichtet und nie offiziell überprüft. Die meisten KI-Aktivitäten sind für die Sicherheit unsichtbar. Tatsächlich laufen in 82 % der Unternehmen unbekannte KI-Agenten in ihrer IT-Infrastruktur.

Doch sobald diese Transparenz besteht, taucht das nächste Problem auf: Geschwindigkeit. Agenten werden mit der Geschwindigkeit der Entwickler erstellt, geändert und bereitgestellt – meist innerhalb von Minuten, nicht Monaten. Das bedeutet, dass die Sicherheit nicht länger hinter dem Entwicklungsprozess zurückbleiben darf. Sicherheitsteams benötigen nun Kontrollen, die direkt in die Art und Weise integriert sind, wie Agenten erstellt, getestet und bereitgestellt werden. Mit einer automatisierten, eingebetteten und kontinuierlichen Governance, einschließlich der Durchsetzung von Richtlinien in Echtzeit und einer Überwachung, die Aktivitäten sofort nach ihrem Auftreten erkennt.

Diese Herausforderung verschärft sich in Umgebungen, die über das traditionelle Unternehmensnetzwerk hinausgehen. Dazu gehören industrielle und fertigungstechnische Umgebungen wie Fabrikhallen, OT-Netzwerke (Operational Technology) und vernetzte Produktionssysteme. Hier erhält KI zunehmend Zugriff auf Daten von Geräten, auf denen Sicherheitsagenten gar nicht ausgeführt werden können: Sensoren, speicherprogrammierbare Steuerungen, Kameras und industrielle Steuerungssysteme. Wir haben dies aus erster Hand erlebt. In Zusammenarbeit mit globalen Herstellern unterstützt Netskope Sicherheitsteams dabei, agentenlose Geräteintelligenz in den Fertigungshallen einzusetzen, um erstmals Einblick in vernetzte Geräte zu gewinnen. Dabei können Hunderte oder Tausende von Geräten aufgedeckt werden, von denen viele bereits Daten in cloudbasierte KI-Systeme einspeisen – ohne Klassifizierung, ohne Durchsetzung von Richtlinien und ohne Platz in einem bestehenden Sicherheitsinventar. In einer Just-in-Time-Produktionsumgebung kann ein KI-Agent, der auf nicht validierte Daten von einem OT-Gerät reagiert, mehr als nur ein Compliance-Problem verursachen, nämlich einen Produktionsstillstand.

2. Incident Response neu denken

Herkömmliche Incident-Response-Modelle gehen davon aus, dass Sicherheitsvorfälle durch menschliche Fehlentscheidungen zurückzuführen sind – etwa durch Phishing oder Fehlkonfigurationen. In einer agentenbasierten Umgebung greift dieses Verständnis jedoch zu kurz. Wenn ein KI-Agent eine kritische Aktion ausführt, weil er den Kontext falsch interpretiert oder manipulierten Anweisungen folgt, lässt sich der Vorfall mit herkömmlichen Methoden nicht rekonstruieren. Unternehmen müssen lernen, Agenten als eigenständige Akteure zu behandeln.

Die Arbeit beginnt damit, zu definieren, welche Beweise bei einer agentenbasierten Untersuchung von Bedeutung sind: die Befehlskette des Agenten, die empfangenen Modellausgaben, das Kontextfenster, auf das er reagierte, die von ihm genutzten Berechtigungen und die Entscheidungsgrenzen, die er überschritten hat. Ohne diese Informationen zu erfassen, können wir nicht erklären, warum sich ein Agent so verhalten hat, wie er es tat. Und auch Fehler sehen bei Agenten anders aus. Betrachten wir ein reales Szenario mit einem industriellen Steuerungssystem (ICS): Wenn ein autonomer Agent, der eine Fertigungslinie optimiert, auf unvollständige Sensordaten reagiert und einen Schritt „halluziniert“, der einen Sicherheitsschwellenwert verändert, werden herkömmliche IR-Modelle nicht erkennen, warum die Produktionslinie ausgefallen ist. Und das ist keine Theorie mehr; aktuelle Branchendaten zeigen, dass 37 % der Unternehmen bereits operative Probleme erlebt haben, die durch KI-Agenten verursacht wurden. Agenten können falsche Schritte vornehmen, auf unvollständige Informationen reagieren, den von einem Angreifer manipulierten Anweisungen folgen, ihren vorgesehenen Aufgabenbereich überschreiten oder Aktionen auf eine Weise miteinander verknüpfen, wie es kein Mensch tun würde. Diese Verhaltensweisen führen zu einer neuen Kategorie von Vorfällen, mit deren Analyse sich IR-Teams bisher noch nie befassen mussten. Die Incident Response muss daher in Zukunft nicht nur menschliche, sondern auch maschinengenerierte Absichten analysieren.

3. KI-Red Teaming als dauerhafte Kompetenz

Traditionelle  Sicherheitsteams sind darauf trainiert, Systeme zu schützen – nicht darauf, sie gezielt zu missbrauchen. Doch genau diese Perspektive ist erforderlich, um Schwachstellen in agentenbasierten Systemen zu identifizieren.

Während es verlockend ist, sich ausschließlich darauf zu konzentrieren, wie autonome Agenten in der Praxis agieren, besteht die bewährte Vorgehensweise darin, das Gehirn (das LLM) zu sichern, bevor wir die Hände (die Agenten) befähigen. AI Red-Teaming sollte sich in erster Linie darauf konzentrieren, die zugrunde liegenden privaten Modelle selbst proaktiv einem Stresstest zu unterziehen und Schwächen und Schwachstellen aufzudecken, bevor diese Modelle überhaupt mit Agenten in einer Live-Produktionsumgebung verbunden werden.

Manuelle Tests sind einfach zu langsam und lassen sich nicht skalieren, da Entwickler rasch neue Tools erstellen. Die beste Vorgehensweise erfordert einen automatisierten Ansatz – die Nutzung von APIs, um Stresstests direkt in CI/CD-Pipelines zu integrieren und so vor jeder Produktionsfreigabe kontinuierlich nach Schwachstellen zu suchen. Teams müssen automatisch Tausende von Angriffsszenarien simulieren, wie beispielsweise komplexe Skeleton-Key- und Crescendo-Angriffe, die LLMs dazu verleiten, Sicherheitsbarrieren zu umgehen. Dies ist der einzige Weg, Schwachstellen frühzeitig zu identifizieren – bevor sie in Produktionsumgebungen ausgenutzt werden.

Das KI-Red-Teaming der zugrunde liegenden Modelle geht Hand in Hand mit der Incident Response. Wenn Unternehmen Schwierigkeiten haben zu verstehen, warum ein Agent auf Abwege geraten ist, liegt die Antwort oft darin, zu verstehen, wie sein zugrunde liegendes Modell zu einem Fehler verleitet wurde – durch Prompt-Injektionen, schädliche Anweisungen, Missbrauch von Berechtigungen, Scope Drift oder die Umgehung von Sicherheitsprotokollen, um proprietäre Daten aus einer Edge-Bereitstellung preiszugeben. Sicherheitsteams sollten diese Modellschwachstellen regelmäßig proaktiv testen, denn auch wenn solche Vorfälle noch nicht in großem Maßstab erfolgen, wird das in Zukunft der Fall sein.

Vom Bewusstsein zum Handeln

Autonome KI-Agenten verändern bereits jetzt die Art und Weise, wie Systeme betrieben und Angriffe durchgeführt werden. Die widerstandsfähigsten Unternehmen werden diejenigen sein, die nicht auf vollständige Klarheit warten, sondern jetzt handeln: mit Transparenz in Bezug auf Agenten, einem angepassten IR-Modell und kontinuierlichem KI-Red-Teaming. Diese Fähigkeiten sind keine Zukunftsinvestition mehr – sie bilden die sicherheitstechnische Grundlage für den operativen Einsatz von KI im Unternehmen.