Der Unternehmensperimeter umfasst jetzt jeden KI-Agenten
Sicherheitsteams in Unternehmen haben Jahre damit verbracht, die Kontrollen für menschliche Benutzer zu verschärfen: Phishing-resistente MFA, Endpunkt-Status, bedingter Zugriff und Identitäts-Governance. Diese Arbeit ist wichtig, hat aber auch einen gefährlichen blinden Fleck geschaffen. Die am schnellsten wachsende Angriffsfläche in vielen Organisationen ist nicht mehr das Mitarbeiterkonto. Es ist die ausufernde Population nicht-menschlicher Identitäten, einschließlich Service-Konten, Workloads, API-Integrationen, Bots, Automatisierungs-Pipelines und jetzt KI-Agenten, die mit delegierter Autorität über Geschäftssysteme hinweg agieren.
KI-Agenten verstärken diesen Wandel, weil sie sich nicht einfach bei einer Anwendung authentifizieren und auf Anweisungen warten. Sie verketten Werkzeuge, rufen Daten ab, rufen APIs auf, treffen Entscheidungen, lösen Arbeitsabläufe aus und agieren zunehmend mit weitreichenden Berechtigungen über Cloud-, SaaS- und interne Systeme hinweg. In der Praxis setzen viele Unternehmen agentenbasierte Fähigkeiten auf einer schwachen Maschinenidentitäts-Hygiene auf: geteilte Geheimnisse, hartcodierte Anmeldeinformationen, übermäßige Token-Scopes, schlechte Inventarisierung und wenig Lifecycle-Governance. Diese Kombination schafft eine Angriffsfläche, die schneller wächst, als die meisten IAM-, Sicherheits- und Risikoprogramme zur Kontrolle bereit sind.
Warum nicht-menschliche Identitäten zu einem Prioritätsrisiko geworden sind
Nicht-menschliche Identitäten gibt es seit Jahren, aber ihr Umfang und ihre Macht haben sich geändert. Cloud-native Architekturen schufen große Populationen von Service Principals, Workload Identities, ephemeren Rechenrollen, Automatisierungskonten und Integrationen von Drittanbietern. Die Einführung von KI treibt diese Wachstumskurve nun steiler an. Jeder neue Agent, jede Orchestrierungsplattform, jedes Plugin, jeder Retrieval-Connector und jeder Hintergrund-Workflow führt zusätzliche Anmeldeinformationen, Berechtigungen, Vertrauensbeziehungen und Ausführungspfade ein.
Im Gegensatz zu menschlichen Benutzern werden diese Identitäten oft schnell erstellt, ihre Eigentümerschaft ist unklar und sie werden inkonsistent überwacht. Sie können normale Joiner-Mover-Leaver-Prozesse umgehen. Sie sind häufig von der MFA ausgenommen, da sie keine interaktiven Herausforderungen bewältigen können. Ihre Geheimnisse werden oft in Code-Repositories, CI/CD-Variablen, Konfigurationsdateien, Notebooks, Browser-Erweiterungen oder Anbieterplattformen außerhalb des Kern-IAM-Stacks gespeichert. Viele sind überprivilegiert, weil die Einschränkung des Geltungsbereichs Zeit kostet, während ein breiter Zugriff Prototypen sofort funktionsfähig macht.
Angreifer verstehen das. Ein kompromittierter API-Schlüssel, ein durchgesickerter Token oder ein falsch konfiguriertes Service-Konto kann einen leisen, dauerhaften Zugriff ermöglichen, ohne dass ein Mitarbeiter per Phishing angegriffen werden muss. Wenn diese Identität zu einem KI-fähigen Workflow gehört, kann der Explosionsradius größer sein: Zugriff auf sensible Daten, die Fähigkeit, nachgelagerte Aktionen auszulösen, und das Erscheinungsbild eines legitimen automatisierten Verhaltens, das sich im Betriebsrauschen verliert.
Wie KI-Agenten das Problem verschlimmern
1. Sie vervielfachen Identitäten schneller, als die Governance aufholen kann
Agenten-Deployments kommen selten als eine zentral gesteuerte Plattform. Sie entstehen durch Pilotprojekte in den Bereichen Engineering, Support, Finanzen, Marketing und Betrieb. Teams verbinden Agenten mit Ticketsystemen, CRMs, Code-Repositories, Messaging-Tools, Dokumentenspeichern und internen Wissensdatenbanken. Jede Verbindung erfordert in der Regel Anmeldeinformationen, Tokens, Rollen oder delegierten Zugriff. Die Anzahl der Identitäten wächst schneller als die Kontrollumgebung.
2. Sie fördern aus Bequemlichkeit weitreichende Berechtigungen
Frühe Agenten-Implementierungen beginnen oft mit „Hauptsache, es funktioniert“-Privilegien. Lesezugriff wird zu Lese-Schreib-Zugriff. Ein begrenzter Repository-Umfang wird zu organisationsweitem Zugriff. Temporäre Test-Tokens werden zu Produktionsabhängigkeiten. Da Agenten auf der Verkettung von Aktionen über mehrere Systeme hinweg basieren, gewähren Teams üblicherweise die Vereinigung aller möglichen Berechtigungen anstelle des für eine bestimmte Aufgabe erforderlichen Minimums.
3. Sie schaffen indirekte Missbrauchspfade
Ein Angreifer muss nicht immer die Anmeldeinformationen des Agenten stehlen. Prompt-Injection, bösartige Werkzeugausgaben, vergiftete Wissensquellen oder kompromittierte Upstream-Integrationen können einen Agenten dazu verleiten, seine legitimen Berechtigungen auf schädliche Weise zu nutzen. Wenn die Identität hinter dem Agenten überprivilegiert ist, kann der Angreifer die Anwendungslogik in einen operativen Hebel verwandeln.
4. Sie schwächen die Rechenschaftspflicht
Wenn ein Agent eine Aktion durchführt, wer ist dann verantwortlich? Der Geschäftsinhaber, der Entwickler, das Plattformteam, der Modellanbieter oder das Identitätsteam? In vielen Unternehmen ist die Antwort unklar. Diese Unklarheit verlangsamt den Widerruf, schwächt die Protokollierungsstandards und lässt die Incident-Responder raten, ob eine Aktion eine autorisierte Automatisierung, ein Modellfehler oder eine böswillige Nutzung war.
Häufige Kontrolllücken, die Unternehmen erwarten sollten
Die meisten Organisationen, die diesen Bereich bewerten, entdecken dieselben Muster: unvollständiges Inventar von Maschinenidentitäten, kein autoritativer Eigentümer für Service-Konten erfasst, langlebige Geheimnisse ohne Rotationsrichtlinie, inkonsistente Nutzung von Vaults, übermäßige Berechtigungen, begrenzte Überwachung der Token-Nutzung, SaaS-Integrationen von Drittanbietern außerhalb der Beschaffungsprüfung und kein standardmäßiger Genehmigungsprozess für die Verbindung von KI-Agenten mit Unternehmensdaten oder Aktionssystemen.
Eine weitere große Lücke ist die Politik-Asymmetrie. Menschliche Identitäten haben in der Regel strenge Governance-Anforderungen, während Maschinenidentitäten als Implementierungsdetails behandelt werden. Das ist nicht länger vertretbar. Wenn eine nicht-menschliche Identität Kundendatensätze lesen, Änderungen genehmigen, Nachrichten senden, Code ausführen oder Zahlungen auslösen kann, sollte sie Kontrollen unterliegen, die diesem Risiko angemessen sind, und nicht schwächeren Kontrollen, weil sich kein Mensch interaktiv anmeldet.
Governance-Empfehlungen, die jetzt wichtig sind
Erstellen Sie ein Maschinenidentitäts-Inventar mit benannter Eigentümerschaft
Jede nicht-menschliche Identität sollte einen erfassten Eigentümer, Zweck, eine Umgebung, verbundene Systeme, einen Anmeldeinformationstyp, eine Berechtigungsstufe und ein Überprüfungsdatum haben. Keine verwaisten Service-Konten, keine unbekannten Agenten-Connectors, keine Produktionsgeheimnisse ohne einen Geschäftsinhaber.
Klassifizieren Sie Agentenberechtigungen nach der Sensibilität der Aktion
Trennen Sie Identitäten, die nur Informationen abrufen, von denen, die Datensätze ändern, Arbeitsabläufe auslösen, Gelder bewegen, die Infrastruktur ändern oder auf regulierte Daten zugreifen können. Wenden Sie höhere Genehmigungsschwellen, engere Geltungsbereiche und eine stärkere Protokollierung auf handlungsfähige Agenten an.
Standardmäßig auf ephemere Anmeldeinformationen und vermittelten Zugriff setzen
Ersetzen Sie statische API-Schlüssel und langlebige Geheimnisse wo immer möglich durch kurzlebige Tokens, Workload Identity Federation, Just-in-Time-Zugriff und zentral vermittelten Abruf von Geheimnissen. Wenn eine Agentenplattform keine moderne Handhabung von Anmeldeinformationen unterstützen kann, sollte diese Einschränkung gegen eine Produktionsgenehmigung sprechen.
Fordern Sie das Prinzip der geringsten Rechte pro Aufgabe, nicht pro Plattform
Geben Sie einem Agenten keinen weitreichenden Zugriff, weil er ihn irgendwann benötigen könnte. Gestalten Sie Berechtigungen um spezifische Arbeitsabläufe herum. Teilen Sie bei Bedarf einen agentenbasierten Prozess in mehrere Identitäten mit separaten Geltungsbereichen und Kontrollen auf.
Implementieren Sie Richtlinien-Gates für risikoreiche Aktionen
Fügen Sie für sensible Operationen menschliche Genehmigungen, Transaktionslimits, Umgebungseinschränkungen oder Vier-Augen-Prinzip-Kontrollpunkte hinzu. Das Ziel ist nicht, die Autonomie überall zu beseitigen, sondern sicherzustellen, dass die Autonomie dort begrenzt ist, wo die geschäftlichen Auswirkungen am größten sind.
Protokollieren Sie Agentenentscheidungen und Identitätsnutzung so, dass Ermittler sie nachvollziehen können
Sicherheitsteams benötigen Nachverfolgbarkeit über Prompt, abgerufenen Kontext, Werkzeugaufrufe, Nutzung von Anmeldeinformationen, nachgelagerte Aktionen und resultierende Änderungen. Standard-Authentifizierungsprotokolle allein sind unzureichend, wenn das Risiko die indirekte Manipulation des Verhaltens eines Agenten einschließt.
Schaffen Sie einen formellen Überprüfungspfad für Agenten-Deployments
Sicherheits-, IAM- und Risikoteams sollten eine schlanke, aber obligatorische Überprüfung für jeden Agenten definieren, der sich mit Unternehmenssystemen verbindet. Überprüfen Sie mindestens den Datenzugriff, die Aktionsberechtigungen, das Anmeldeinformationsmodell, die Überwachung, die Fehlerbehandlung und die Kill-Switch-Fähigkeit.
Der strategische Wandel, den Sicherheitsverantwortliche vollziehen müssen
Das eigentliche Problem ist nicht, dass KI-Agenten einzigartig gefährlich sind. Es ist, dass sie auf Identitätsbestände treffen, die auf der nicht-menschlichen Seite bereits unzureichend geregelt waren. Unternehmen, die ihre Identitätsstrategie weiterhin fast ausschließlich auf Mitarbeiter konzentrieren, werden übersehen, wohin sich die operative Autorität tatsächlich verlagert. Mehr Entscheidungen, mehr Datenzugriff und mehr Geschäftsaktionen werden an Software-Entitäten delegiert.
Die Organisationen, die dies gut handhaben, werden Maschinen- und Agentenidentitäten als erstklassige Sicherheitssubjekte behandeln, mit Governance-Erwartungen, die ihrer Macht entsprechen. Das bedeutet Inventarisierung vor Skalierung, geringste Rechte vor Bequemlichkeit, ephemerer Zugriff vor statischen Geheimnissen und rechenschaftspflichtige Eigentümerschaft, bevor sich Experimente ausbreiten. KI-Agenten können echten Unternehmenswert schaffen, aber nur, wenn die Identitäten dahinter mit der gleichen Ernsthaftigkeit verwaltet werden wie die Menschen, die diese Aufgaben einst ausführten.
Der Perimeter hat sich wieder verschoben. Diesmal nicht nur um Geräte oder Benutzer. Er verläuft um jede nicht-menschliche Identität, der Ihr Unternehmen erlaubt zu denken, zu entscheiden, sich zu verbinden und zu handeln.