Auf den Punkt: KI-Agenten müssen wie weitere Identitäten in Identity-Governance-Systemen behandelt werden, da sie mit wenig Aufsicht auf kritische Systeme und Daten zugreifen können.
KI-Agenten können auf Unternehmensdata zugreifen, Workflows auslösen und Code deployieren – doch die meisten Organisationen behandeln sie nicht als eigenständige Identitäten mit entsprechender Kontrolle und Aufsicht.
KI-Agenten verfügen über Fähigkeiten, die traditionell als Domäne von Servicekonten oder privilegierten Benutzerkonten verstanden wurden: Sie können auf sensible Datenbestände zugreifen, automatisierte Geschäftsprozesse in Gang setzen, Code in Produktionsumgebungen deployen und mit unternehmenskritischen Systemen interagieren. Im Gegensatz zu explizit provisionierten Servicekonten entstehen KI-Agenten oft ad hoc oder mit minimaler Dokumentation ihrer Zugriffspfade.
Für CISOs entsteht daraus ein grundsätzliches Governance-Problem: Wer oder was ist dieser Agent, welche Zugriffe hat er tatsächlich, und wer ist für Missbrauch oder Fehlfunktionen verantwortlich? Viele Sicherheitsteams haben bislang keine etablierten Prozesse, um KI-Agenten als Subjekte der Identitäts- und Zugriffsverwaltung zu erfassen. Sie werden nicht wie technische Identitäten inventarisiert, ihre Berechtigungen nicht regelmäßig überprüft, und ihre Aktionen oft nicht ausreichend protokolliert.
Das Risiko liegt in der typischen Asymmetrie zwischen rasanter Einführung und fehlender Sicherheitsarchitektur. Ein Agent mit Zugriff auf Datenbankschemas, Produktionscluster oder API-Schlüsselverwaltung kann bei Fehlkonfiguration, Prompt-Injection oder kompromittierten Trainingsdaten erhebliche Schäden anrichten. Security-Analysten müssen daher die gleiche rigorose Herangehensweise anwenden wie bei der Verwaltung anderer privilegierter Identitäten: Minimale erforderliche Berechtigungen (Least Privilege), kontinuierliche Überwachung, regelmäßige Zugriffsreviews und Audit-Trail-Anforderungen.
Quelle: www.bleepingcomputer.com · Erschienen 19. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.