Zurück zum Blog

KI-Agenten werden zu Mitarbeitern. Wir müssen sie wie Mitarbeiter absichern.

Prompt Injection ist nicht mehr die ganze Geschichte. Wenn KI-Agenten Tools, Gedächtnis und Autonomie erhalten, muss Sicherheit das gesamte System steuern—nicht nur das Modell.

Die KI-Branche hat die letzten Jahre Prompt Injection fixiert—mit der Sorge, ein bösartiger Prompt könnte einen Chatbot zu einer unbeabsichtigten Antwort verleiten.

Aber Prompt Injection ist nicht mehr die ganze Geschichte.

Heutige KI-Systeme entwickeln sich schnell von passiven Assistenten zu autonomen Agenten. Sie beantworten nicht mehr nur Fragen. Sie greifen auf Dateien zu, parsen E-Mails, rufen APIs auf, führen mehrstufige Workflows aus und treffen operative Entscheidungen im Namen der Nutzer.

Sobald ein KI-System handeln kann, ändert sich das Sicherheitsregelwerk vollständig.

Ein aktuelles USENIX-Security-2026-Paper, SoK: Attack and Defense Landscape of Agentic AI Systems von Kim et al., liefert eine der umfassendsten Analysen der Agentensicherheit bis heute. Die Forscher werteten 128 wissenschaftliche Arbeiten aus, identifizierten 51 Angriffstechniken und 60 Verteidigungsstrategien und schlugen einen Rahmen vor, um die aufkommenden Sicherheitsherausforderungen autonomer KI-Systeme zu verstehen.

Ihre zentrale Schlussfolgerung ist einfach:

Für Organisationen, die KI-Produkte entwickeln, einsetzen oder darauf vertrauen, sollte das ein Weckruf sein.

Je mehr Autonomie ein KI-Agent erhält, desto größer wird seine Angriffsfläche.

Warum Agentensicherheit anders ist

Traditionelle Software folgt vordefinierter Logik. Traditionelle LLM-Anwendungen erzeugen vor allem Text. Agentische Systeme funktionieren anders.

Sie verbinden Sprachmodelle mit externen Tools, Gedächtnissystemen, Datenbanken, APIs und autonomen Entscheidungsfähigkeiten. Ein Unternehmensagent kann eine eingehende E-Mail lesen, Informationen aus interner Dokumentation abrufen, ein CRM abfragen, eine Datenbank aktualisieren und eine Antwort senden—alles in einem einzigen Workflow.

Diese Flexibilität macht Agenten so leistungsfähig. Sie macht sie auch schwer zu sichern.

Das USENIX-Paper argumentiert, dass alleinige Modellsicherheit nicht ausreicht. Sicherheit muss im gesamten Agenten-Ökosystem bewertet werden: Modell, Gedächtnis, Tools, Datenquellen und ausführbare Aktionen.

Die sieben Dimensionen des Agentenrisikos

Die Forscher identifizieren sieben zentrale Dimensionen, die die Sicherheitslage eines Agenten beeinflussen:

  • Input Trust — Woher stammen Informationen?
  • Data Access Sensitivity — Auf welche Informationen kann der Agent zugreifen?
  • Workflow Autonomy — Kann er selbstständig entscheiden, was als Nächstes zu tun ist?
  • Action Capability — Kann er Daten ändern, löschen oder übertragen?
  • Memory Persistence — Bleiben Informationen über Sitzungen hinweg erhalten?
  • Tool Availability — Welche externen Systeme kann er aufrufen?
  • User Interface Power — Wie viel Einfluss hat er auf Entscheidungen der Nutzer?

Vergleichen Sie einen Kundensupport-Chatbot mit einem autonomen Executive Assistant.

Jede zusätzliche Fähigkeit steigert den Nutzen. Sie vergrößert aber auch die Angriffsfläche und schafft neue Möglichkeiten für Missbrauch, Manipulation oder unbeabsichtigtes Verhalten.

Sicherheit wird weniger eine Frage des Modellschutzes und mehr eine Frage der Steuerung eines komplexen Systems.

Kontext ist die neue Sicherheitsgrenze

Jahrzehntelang konzentrierte sich Cybersicherheit auf drei Prinzipien: Vertraulichkeit, Integrität und Verfügbarkeit. Diese Prinzipien bleiben unverzichtbar.

Agentische KI führt jedoch eine neue Herausforderung ein: kontextuelle Sicherheit.

Ein Agent kann starke Authentifizierung, verschlüsselte Kommunikation und strenge Zugriffskontrollen haben und dennoch katastrophal scheitern, weil er auf bösartige oder manipulierte Informationen reagiert.

Stellen Sie sich vor, ein Agent verarbeitet ein scheinbar harmloses PDF, das eine externe Partei hochgeladen hat. Versteckte Anweisungen im Dokument sagen dem Agenten, frühere Vorgaben zu ignorieren, sensible Informationen abzurufen und woanders zu übermitteln.

Diese Unterscheidung ist wichtig, weil viele neue KI-Angriffe Informationsfluss statt Software-Schwachstellen ausnutzen.

Das System wurde nicht durch gestohlene Zugangsdaten kompromittiert.

Die Infrastruktur wurde nicht durchbrochen.

Der Agent folgte einfach dem falschen Kontext.

Bei agentischen Systemen wird Kontext zu einer Sicherheitsgrenze, die genauso wichtig ist wie Authentifizierung, Verschlüsselung oder Netzwerksegmentierung.

Warum Gedächtnis neue Risiken schafft

KI-Gedächtnis wird oft als UX-Feature präsentiert. Das Argument ist einfach: besseres Gedächtnis ermöglicht bessere Personalisierung.

Aber Gedächtnis schafft auch Persistenz. Und Persistenz schafft Risiko.

Das USENIX-Paper zeigt, wie Angreifer langfristige Gedächtnisspeicher mit bösartigen Anweisungen oder irreführenden Informationen vergiften können. Einmal im Gedächtnis gespeichert, kann dieser Inhalt künftige Entscheidungen beeinflussen—lange nach dem ursprünglichen Kontakt.

Anders als ein temporärer Prompt-Injection-Angriff kann Memory Poisoning über Workflows, Nutzer und Zeit hinweg bestehen bleiben. Das Ergebnis ist eine grundlegend andere Sicherheitsherausforderung.

Gedächtnis ist nicht mehr nur ein Komfortfeature.

Gedächtnis ist Infrastruktur.

Und Infrastruktur braucht Governance.

Die gefährlichsten Agenten sind die mit Berechtigungen

Die größten Risiken agentischer KI kommen nicht unbedingt von der Intelligenz des Modells. Sie kommen von der ihm gewährten Autorität.

Ein Modell, das einen falschen Absatz erzeugt, ist unbequem. Ein Agent mit Zugriff auf Kundendaten, interne Dokumente, Finanzsysteme, Kommunikationsplattformen und Automatisierungstools kann reale Folgen haben.

Wenn Organisationen Agenten an immer mächtigere Systeme anbinden, muss der Fokus von Modellfähigkeit zu operativer Kontrolle wechseln.

Die entscheidende Frage lautet nicht mehr: „Wie intelligent ist das Modell?“ Sondern: „Was darf das Modell tun?“

Vertrauenswürdige Agentensysteme aufbauen

Die übergeordnete Lehre des Papers: Agentensicherheit braucht Defense-in-Depth.

Organisationen, die KI-Agenten einsetzen, sollten priorisieren:

  • Vertrauenswürdige vs. nicht vertrauenswürdige Daten — Starke Trennung zwischen Datenquellen
  • Berechtigungsgrenzen — Explizite Limits für Agentenaktionen
  • Gedächtnis-Governance — Kontrollen für Langzeitgedächtnis
  • Menschliche Freigabe — Sign-off für risikoreiche Operationen
  • Audit und Beobachtbarkeit — Umfassende Protokollierung und Überwachung
  • Tool-Zugriffsrichtlinien — Klare Regeln für externe Integrationen

Diese Prinzipien spiegeln etablierte Cybersicherheitspraxis wider, weil KI-Agenten zunehmend eher Mitarbeitern als Softwarefeatures gleichen.

Die größere Lehre

Die Branche beschreibt KI-Agenten oft als digitale Mitarbeiter. Diese Analogie wird immer zutreffender.

Mitarbeiter erhalten Schulungen. Mitarbeiter arbeiten nach Richtlinien. Mitarbeiter haben definierte Berechtigungen. Mitarbeiter werden überwacht. Mitarbeiter können Fehler machen.

KI-Agenten sind nicht anders. Der einzige Unterschied: Sie machen Fehler mit Maschinengeschwindigkeit.

Die erfolgreichsten KI-Produkte des nächsten Jahrzehnts werden nicht einfach die fähigsten Modelle haben. Sie werden die stärkste Vertrauensarchitektur haben.

Intelligenz zieht Nutzer an.

Vertrauen hält sie.

Kontext schützen, nicht nur Daten

Bei PrivateNote.ai glauben wir, dass der Schutz von Kontext genauso wichtig wird wie der Schutz von Daten selbst. Wenn KI-Systeme Zugang zu persönlichen Notizen, Unternehmenswissen und operativen Workflows erhalten, muss Sicherheit über Speicherung und Verschlüsselung hinausgehen—einschließlich der Informationen, die Agenten konsumieren, speichern und auf die sie reagieren.