Ein strategischer Leitfaden für Identity- und Security-Verantwortliche
Das Wichtigste in Kürze
- KI-Agenten verhalten sich wie privilegierte Nutzer – operieren jedoch ohne menschliches Urteilsvermögen, mit Maschinengeschwindigkeit und über mehrere Systeme gleichzeitig.
- Klassisches IAM wurde nicht für autonome Agenten entwickelt: Es fehlen die nötigen Frameworks für Identität, Autorisierung und Audit.
- Drei neue Risiken entstehen: Prompt-Injection-Angriffe, Missbrauch delegierter Autorität und stille Privilege Accumulation.
- Identity Guardrails sind kein Hemmnis für Innovation – sie sind die Kontrollschicht, die autonome KI nachhaltig und vertrauenswürdig macht.
- Jetzt handeln: Governance-Blueprints etablieren, zur transaktionalen Autorisierung wechseln, Agenten in NHI- und PAM-Frameworks einbinden.
Die meisten Unternehmen setzen bereits KI-Agenten ein. Die wenigsten wissen, was diese Agenten konkret tun.
KI-Agenten sind keine Zukunftstechnologie mehr. Sie werden heute in Service Desks, Entwicklerplattformen, Collaboration-Tools und zentrale Geschäftsprozesse integriert. Sie lesen Daten, interpretieren Anweisungen, treffen Entscheidungen und lösen Aktionen aus – autonom, kontinuierlich und in großem Maßstab. Zunehmend interagieren KI-Agenten auch untereinander und erhalten über Protokolle wie MCP Zugang zu weiteren Systemen und Tools.
Die Geschwindigkeit der Einführung ist bemerkenswert. Unternehmen bewegen sich schnell von Pilot- zu Produktivumgebungen – und mit wachsendem Funktionsumfang der Agenten steigen auch die Zugriffsrechte. In vielen Fällen hat das Governance-Denken mit dem Tempo der Einführung nicht Schritt gehalten.
Das ist folgenreich: KI-Agenten sind keine gewöhnliche neue Technologiekategorie. Sie stellen einen neuen Akteurtyp im Unternehmen dar – einen, der wie ein privilegierter Nutzer agiert, dabei jedoch ohne menschliches Urteilsvermögen, mit Maschinengeschwindigkeit und über mehrere vernetzte Systeme hinweg operiert.
Traditionelles Identity and Access Management (IAM) wurde nicht für dieses Szenario konzipiert. Die Folge ist eine wachsende Lücke zwischen dem, wozu KI-Agenten in der Lage sind, und dem, was bestehende Governance-Frameworks tatsächlich kontrollieren. Diese Lücke ist eine Angriffsfläche – eine, die sich weiter ausdehnt, häufig unterschätzt wird und sich bereits in realen Vorfällen zeigt.
Damit KI-Agenten sicher und in großem Maßstab eingesetzt werden können, müssen Identity-Verantwortliche sicherstellen, dass autonome Systeme innerhalb klar definierter, durchsetzbarer und nachvollziehbarer Grenzen operieren. Genau das leisten Identity Guardrails: kein Hemmnis für Innovation, sondern die Kontrollschicht, die autonome KI nachhaltig und vertrauenswürdig macht.
Was KI-Agenten grundlegend anders macht
Um zu verstehen, warum KI-Agenten einen anderen Governance-Ansatz erfordern, muss man verstehen, was sich tatsächlich verändert. Es geht nicht nur um mehr Automatisierung oder mehr Integrationen, sondern um eine qualitativ andere Art von Systemverhalten.
Von fester Logik zur autonomen Entscheidung
Klassische Automatisierung – Skripte, RPA-Bots, geplante Jobs – führt fest vorgegebene Logik aus. Bei gleichem Input liefert sie denselben Output. Wird sie kompromittiert, ist das Risiko durch ihre statischen Berechtigungen und ihr vorhersehbares Verhalten begrenzt. Die Governance ist vergleichsweise überschaubar: Man definiert, was die Automatisierung tut, schränkt den Zugriff entsprechend ein und überprüft das Ganze regelmäßig.
KI-Agenten funktionieren anders. Sie führen keine feste Abfolge von Schritten aus. Sie empfangen natürlichsprachliche Eingaben, schließen auf die Absicht dahinter und wählen dynamisch aus, welche Aktionen sie über die angebundenen Systeme ausführen. Derselbe Agent kann auf unterschiedliche Eingaben sehr unterschiedlich reagieren – und die Bandbreite möglicher Aktionen lässt sich im Voraus nicht vollständig erfassen. Das ist kein Fehler, sondern das Design. Es bedeutet jedoch, dass die klassischen Annahmen über Vorhersehbarkeit und Eindämmbarkeit nicht mehr gelten.
Von statischem Zugriff zu wachsender Handlungsfähigkeit
Ein typisches Service-Konto verfügt über einen definierten Satz von Berechtigungen, der sich nur langsam und durch bewusste Provisionierungsprozesse ändert. Die tatsächliche Handlungsfähigkeit eines KI-Agenten ist jedoch nicht nur eine Funktion seiner Ausgangskonfiguration – sie hängt von jedem Tool, jeder API und jeder Integration ab, die im Laufe der Zeit angebunden wird.
Wenn neue Schnittstellen hinzukommen – ein neues Ticketing-System, ein Code-Repository, eine Finanzplattform – erhält der Agent automatisch Zugang zu neuen Funktionen innerhalb der Systeme, auf die er bereits Zugriff hat, ohne dass zwangsläufig ein formaler Re-Scoping-Prozess durchlaufen wird. Was als eng fokussierte Automatisierung begann, wird still und leise zu einem hochprivilegierten digitalen Akteur. Diese „Privilege Accumulation“ verläuft oft graduell, verteilt über verschiedene Teams und bleibt für Governance-Prozesse, die nicht darauf ausgelegt sind, sie zu verfolgen, vollständig unsichtbar.
Von isolierten Prozessen zur delegierten Autorität
KI-Agenten handeln nicht isoliert, sondern im Auftrag von Nutzern und Unternehmen, kombinieren Daten aus mehreren Quellen, lösen Workflows in verschiedenen Systemen aus und treffen Entscheidungen mit realen geschäftlichen Konsequenzen. Wenn ein Mensch einem Agenten Autorität überträgt, ist diese Übertragung oft bewusst weit gefasst: Der Agent braucht genug Spielraum, um vielfältige Aufgaben ohne ständige menschliche Eingriffe zu erledigen.
Dadurch entsteht eine strukturelle Asymmetrie. Der Agent hält erhebliche delegierte Autorität, während die Grenzen des tatsächlich Erlaubten – im Unterschied zu dem, was technisch möglich ist – oft unscharf definiert, inkonsistent durchgesetzt und unzureichend auditiert werden. Im klassischen IAM-Modell wird der Zugriff auf der Ebene von Ressourcen und Aktionen definiert. Bei KI-Agenten kommt es nicht nur darauf an, ob ein Agent auf ein System zugreifen kann, sondern ob die konkrete Aktion, die er in einem bestimmten Kontext wählt, jemals tatsächlich autorisiert wurde.
Diese drei Verschiebungen zusammen – autonome Entscheidungsfindung, akkumulierende Handlungsfähigkeit und delegierte Autorität über Systemgrenzen hinweg – machen KI-Agenten zu einer Kategorie von Unternehmens-Akteuren, die ein eigenes Governance-Modell erfordern.
Neue Sicherheitsrisiken von KI-Agenten
Diese strukturellen Unterschiede sind nicht nur theoretisch. Sie erzeugen konkrete Sicherheitsrisiken, die über das hinausgehen, was klassische Bedrohungsmodelle abdecken.
Prompt Injection
Da KI-Agenten natürlichsprachliche Eingaben verarbeiten, kann ihr Verhalten durch eben diese Eingaben beeinflusst werden. Ein Angreifer muss weder den Agenten noch die angebundenen Systeme kompromittieren. Es genügt, eine Nachricht zu formulieren – eine E-Mail, ein Support-Ticket, ein Kommentar in einem Dokument –, die den Agenten dazu bringt, eine bösartige Anweisung als legitim zu interpretieren. Dieses Vorgehen wird als Prompt Injection bezeichnet.
Das Risiko ist erheblich, weil es herkömmliche Sicherheitskontrollen vollständig umgeht. Es muss keine Schwachstelle ausgenutzt werden, keine Zugangsdaten müssen entwendet werden. Die eigentliche Stärke des Agenten – seine Fähigkeit, natürlichsprachliche Anweisungen zu befolgen – wird zum Angriffsvektor.
Delegierte Autorität als Verstärker
Erlangt ein Angreifer Einfluss über einen KI-Agenten, übernimmt er automatisch dessen delegierte Autorität. Eine klassische Privilege Escalation ist gar nicht nötig, denn der Agent besitzt die Berechtigungen bereits. Hat der Agent Zugriff auf Finanzsysteme, HR-Daten und Kundendaten, gilt das Gleiche für jeden, der gelernt hat, seine Entscheidungen zu lenken.
Das kehrt eine zentrale Annahme klassischen Sicherheitsdesigns um. Herkömmliche Kontrollen schützen den Zugriff auf Systeme. Bei KI-Agenten ist der Schutz der Entscheidungseingaben ebenso wichtig.
Stille Privilege Accumulation
Mit wachsendem Tool-Ökosystem eines Agenten wachsen auch seine Berechtigungen – oft ohne einen bewussten Zugriffserteilungsakt. Eine neue API-Integration kann dem Agenten ermöglichen, in eine Datenbank zu schreiben, auf die er bisher nur lesend zugreifen konnte, oder Transaktionen einzuleiten, die er zuvor nur abfragen durfte. Werden diese Erweiterungen nicht verfolgt und überprüft, weichen die tatsächlichen Fähigkeiten des Agenten schnell von seinem genehmigten Umfang ab.
Klassische Governance-Prozesse wurden nicht dafür ausgelegt, das zu erkennen. Access Reviews konzentrieren sich auf statische Berechtigungen und berücksichtigen in der Regel nicht die dynamische Art, in der KI-Agenten-Fähigkeiten wachsen.
Systemübergreifende Ausbreitung mit Maschinengeschwindigkeit
Wenn ein Mensch einen Fehler macht oder auf manipulierte Informationen reagiert, ist die Wirkung durch die menschliche Arbeitsgeschwindigkeit natürlich begrenzt. Ein autonom operierender KI-Agent kann innerhalb von Sekunden kaskadierende Aktionen über mehrere vernetzte Systeme hinweg auslösen. Bis eine Anomalie erkannt wird, kann der Schaden bereits erheblich und schwer einzugrenzen sein. Hohe Ausführungsgeschwindigkeit ohne angemessene Kontrollmechanismen verstärkt jedes andere Risiko.
Warum klassisches IAM nicht ausreicht
Um das zu verdeutlichen, betrachten wir, wie sich ein typisches Automatisierungsszenario verändert, wenn ein KI-Agent im Spiel ist.
Ein klassisches Skript liest Helpdesk-Tickets, prüft, ob SLAs eingehalten wurden, und schreibt einen Bericht in eine Datenbank. Die Logik ist fest definiert. Die Berechtigungen sind vordefiniert und eng auf diese Aufgabe zugeschnitten. Aus IAM-Perspektive ist das handhabbar: ein Service-Konto mit dokumentiertem Zugriff, regelmäßiger Überprüfung und einem klar benannten Verantwortlichen.
Nun ersetzen wir dieses Skript durch einen KI-Agenten. Der Agent liest weiterhin Tickets und schreibt in die Datenbank. Statt fester Logik interpretiert er jedoch natürlichsprachliche Anweisungen und wählt Aktionen dynamisch über verknüpfte Tool-Schnittstellen. Mit der Zeit kommen weitere Tools hinzu – eine Knowledge Base, eine Kommunikationsplattform, ein Genehmigungsworkflow. Der Agent erhält Zugang zu neuen Funktionen, ohne dass eine formale Neugestaltung stattfindet.
Ab diesem Punkt werden mehrere Governance-Fragen schwer zu beantworten:
- Stimmt der Zugriff des Agenten noch mit seinem ursprünglich genehmigten Zweck überein?
- Welche Aktionen sind explizit autorisiert – und welche sind nur implizit durch das verknüpfte Tool-Ökosystem möglich?
- Falls der Agent aufgrund manipulierter Eingaben eine folgenreiche Aktion ausführt: Wer ist verantwortlich, und wie sieht der Audit-Trail aus?
- Wie ließe sich ungewöhnliches Verhalten erkennen, wenn das normale Verhalten des Agenten nicht vollständig vorhersehbar ist?
Das sind Fragen, für die klassische IAM-Frameworks nicht gebaut wurden. Ein Service-Konto, das festen Code ausführt, ist eine bekannte Größe. Delegierte Autorität, die dynamisch über Systemgrenzen hinweg operiert, ist ein grundlegend anderes Problem – eines, das ein anderes Kontrollmodell erfordert.
Identity Guardrails: Was sie sind und warum wir sie brauchen
Identity Guardrails sind die Gesamtheit der Kontrollen, die die Grenzen definieren, durchsetzen und nachvollziehbar machen, innerhalb derer KI-Agenten operieren. Es handelt sich weder um ein einzelnes Produkt noch um eine einzelne Richtlinie. Es ist eine Governance-Architektur, die auf drei miteinander verbundenen Dimensionen aufbaut: Identität, Autorisierung und Governance-Struktur.
Entscheidend: Guardrails schränken nicht ein, was KI-Agenten leisten können. Sie stellen sicher, dass alles, was ein Agent tut, zurechenbar, autorisiert und nachvollziehbar ist. Autonomie bleibt erhalten – aber sie operiert innerhalb durchsetzbarer Grenzen, die transparent, überprüfbar und an der Risikostrategie des Unternehmens ausgerichtet sind.
Dimension 1: Identität – Agenten als digitale Akteure behandeln
Jeder KI-Agent, der im Auftrag des Unternehmens handeln kann, muss über eine formale Identität verfügen. Das klingt selbstverständlich, doch in der Praxis operieren viele Agenten heute über geteilte Service-Konten, fest einkodierte Zugangsdaten oder lose verwaltete API-Tokens – ohne benannten Verantwortlichen, ohne dokumentierten Zweck und ohne definierten Lebenszyklus.
Eine regulierte Agenten-Identität bedeutet, dass das Unternehmen für jeden aktiven Agenten antworten kann: Wer ist verantwortlich? Was darf er tun? Wann wurde er eingerichtet? Wie läuft die Dekommissionierung ab? Ohne diese Grundlage ist Verantwortlichkeit in dem Moment nicht mehr gegeben, in dem etwas schiefläuft. Formale Non-Human Identity (NHI)-Frameworks bieten die Struktur, um Agenten mit derselben Sorgfalt zu verwalten wie menschliche Identitäten.
Dimension 2: Autorisierung – Von Rollen zu Transaktionen
Klassische IAM-Modelle gewähren Zugriff auf Basis von Jobrollen, und diese Berechtigungen bleiben oft über lange Zeiträume bestehen. Dieses Modell funktioniert bei KI-Agenten nicht, deren Autorisierungsanforderungen kontextabhängig, kurzlebig und eng an einzelne Transaktionen geknüpft sind.
Der entscheidende Schritt ist der Wechsel von statischen, rollenbasierten Berechtigungen hin zu granularer, richtlinienbasierter, transaktionsgebundener Autorisierung. Statt einem Agenten dauerhaften Zugang zu einem System zu gewähren, sollte jede folgenreiche Aktion in Echtzeit anhand definierter Richtlinien bewertet werden – über zentrale Policy Decision Points in den Geschäftsprozessen. Wo das Risiko es rechtfertigt, können Step-up-Genehmigungsmechanismen eine menschliche Bestätigung vor der Ausführung einfordern. Just-in-Time-Zugriffsbereitstellung reduziert zusätzlich die dauerhafte Angriffsfläche.
Damit wird die Autorisierung zum zentralen Steuerungshebel in KI-gestützten Unternehmen. Zugriff ist keine feste Eigenschaft eines Agenten mehr, sondern eine Bewertung, die daran geknüpft ist, was der Agent im jeweiligen Kontext und für wen tun möchte.
Dimension 3: Governance-Architektur – Kontrolle im großen Maßstab
KI-Agenten operieren nicht isoliert, und Governance kann nicht so konzipiert werden, als ob sie es täten. Sie verbinden sich mit Tools, nutzen APIs und interagieren mit externen Plattformen. Ihre Fähigkeiten wachsen mit dem sie umgebenden Ökosystem. Eine zukunftsfähige Governance-Architektur muss das berücksichtigen.
In der Praxis bedeutet das: ein gepflegtes Agenten-Inventar mit definierten Verantwortlichen und dokumentiertem Umfang; klare Onboarding- und Dekommissionierungsprozesse, damit Agenten nicht unkontrolliert Berechtigungen ansammeln; und die Einbindung der Agenten-Governance in bestehende Non-Human Identity (NHI)- und Privileged Access Management (PAM)-Frameworks. Hochprivilegierte Agenten sollten denselben Kontrollen unterliegen wie menschliche Administratoren.
Die technische Grundlage dafür ist heute vorhanden. Weiterentwickelte OAuth-Frameworks, On-Behalf-of-Zugriffsmodelle, transaktionsgebundene Tokens und Machine-Identity-Standards wie SPIFFE liefern die nötigen Bausteine. In einer Zero-Trust-Architektur, die auf KI ausgeweitet wird, muss sich jeder Agent stark authentifizieren, je sensibler Transaktion eine Autorisierung anfragen und laufend anhand definierter Richtlinien und Risikosignale bewertet werden.
Identität ist in diesem Modell keine unterstützende Schicht mehr. Sie wird zur Control Plane, über die autonomes Verhalten gesteuert wird.
Wie Guardrails die Angriffsfläche konkret reduzieren
Jedes der beschriebenen Risikomuster hat eine entsprechende Guardrail-Antwort:
- Prompt-Manipulation wird durch eingegrenzte Delegation und richtliniengebundene Autorisierung eingedämmt. Selbst wenn ein Agent durch bösartige Eingaben beeinflusst wird, kann er keine Aktionen außerhalb klar definierter Grenzen ausführen.
- Missbrauch delegierter Autorität wird durch klare Identitätszuweisung, On-Behalf-of-Zugriffsmodelle und Audit-Trails eingedämmt, die jede Aktion einem bestimmten Agenten mit einer bestimmten Delegation zurechnen.
- Privilege Accumulation wird durch Zugriffsentscheidungen eingedämmt, die zum Zeitpunkt jeder Transaktion getroffen werden – nicht von einer statischen Berechtigung, die aus dem Onboarding übernommen wurde.
- Systemübergreifende Ausbreitung mit Maschinengeschwindigkeit wird durch zentrale Policy Decision Points, Echtzeit-Bewertung und Step-up-Genehmigungen für folgenreiche Transaktionen eingedämmt – mit gezielter Reibung, die legitime Automatisierung nicht blockiert.
Zusammen verschieben diese Kontrollen die Grundhaltung von „der Automatisierung vertrauen“ zu „jede folgenreiche Aktion überprüfen“. Genau das macht eine KI-Einführung im großen Maßstab sicher und vertretbar.
Fünf Prioritäten für Identity-Verantwortliche
Unternehmen, die KI-Agenten skalieren möchten, ohne unkontrollierte Risiken mitzuskalieren, sollten sich auf fünf Prioritäten konzentrieren:
- Governance-Blueprint etablieren. Definieren Sie einen unternehmensweiten Governance-Blueprint für KI-Agenten. Legen Sie Standards für Onboarding, Klassifizierung und Absicherung verschiedener Agenten-Typen nach Anwendungsfall und Risikoniveau fest. Ohne diese Grundlage bleibt Governance reaktiv und lückenhaft.
- Agenten-Lebenszyklusmodelle unterscheiden. Unterscheiden Sie klar zwischen temporären, aufgabenbezogenen Agenten und langlebigen Agenten mit breiterem Handlungsrahmen. Jede Kategorie braucht einen eigenen Ansatz – von der Einrichtung über den Review-Rhythmus bis zur Abschaltung.
- Zur transaktionalen Autorisierung wechseln. Ersetzen Sie weitreichende Dauerberechtigungen durch granulare, transaktionsbasierte Zugriffskontrolle über Policy Decision Points. Das ist die wirkungsvollste Einzelmaßnahme, die den meisten Unternehmen heute zur Verfügung steht.
- Agenten in NHI und PAM einbinden. Stellen Sie sicher, dass hochprivilegierte Agenten denselben Kontroll- und Zugriffsprozessen unterliegen wie menschliche Administratoren. Das Privileg-Niveau – nicht der Akteur-Typ – sollte den Governance-Grad bestimmen.
- Identitätsbasierte Erkennung stärken. Erweitern Sie Identity Threat Detection and Response (ITDR)-Fähigkeiten auf Non-Human Identities. Legen Sie eine Baseline für normales Agenten-Verhalten fest und bauen Sie Erkennungsmechanismen für Abweichungen auf – unerwartete Zugriffsmuster, ungewöhnliche Transaktionsvolumen oder Out-of-Scope-Tool-Nutzung sind Frühwarnsignale, die heutiges Monitoring oft übersieht.
Wie iC Consult unterstützt
AI Agent Security ist echtes Neuland. Standards entwickeln sich noch, Best Practices entstehen gerade, und die meisten Unternehmen setzen sie bereits ein, bevor ein klares Kontrollmodell vorliegt. Genau hier macht strukturierte Begleitung den Unterschied zwischen kontrollierter Einführung und unkontrolliertem Risiko.
Bei iC Consult stellen wir Identität in den Mittelpunkt der KI-getriebenen digitalen Transformation. Wir haben bereits dedizierte KI-Agenten-Workshops mit Kunden durchgeführt – mit konkreten Anwendungsfällen, die Agenten heute lösen können, und dem Aufzeigen, wie sich Guardrails von Anfang an einbetten lassen. Unser Ansatz verbindet technische IAM-Tiefe mit strategischem Roadmap-Design: Wir bewerten Risiken nicht nur abstrakt, sondern helfen Unternehmen dabei, Governance-Standards zu definieren, transaktionale Autorisierungsmodelle aufzubauen und sichere Architekturen für KI-gestützte Umgebungen zu gestalten.
Das Ziel ist klar: Unternehmen in die Lage versetzen, mit KI-Agenten schnell voranzukommen – ohne dabei Verantwortlichkeit, Resilienz oder Kontrolle aufzugeben.
Die Frage ist nicht mehr, ob Ihr Unternehmen KI-Agenten einsetzen wird – sondern ob Sie sie mit den richtigen Kontrollen einführen. Identity Guardrails sind keine Zukunftsaufgabe. Sie sind eine Gegenwartsanforderung.
Entdecken Sie unsere Angebote für AI Security – AI Security Workshops und ein Agentic AI Security Assessment, um mehr darüber zu erfahren, wie Sie KI-Agenten sicher einführen.