Agentic AI: Wenn autonome KI-Systeme zum Sicherheitsrisiko werden
Baar, 06.05.2026 (PresseBox) - Künstliche Intelligenz hat sich bereits zum zentralen Bestandteil moderner Unternehmensprozesse etabliert. Doch mit Agentic AI treten wir in ein ganz neues Zeitalter ein: autonome, handlungsfähige KI-Systeme, die eigenständig Entscheidungen treffen und Prozesse steuern. So verschiebt sich nicht nur die Rolle des KI-Tools hin zum «digitalen Mitarbeiter», sondern auch die Verantwortlichkeiten: neue Autonomie bringt auch neue Cyberrisiken mit sich, wer kümmert sich darum?
Von Privilegieneskalation über unkontrollierte Datenexfiltration bis hin zu systemischen Sicherheitslücken – Agentic AI erweitert nicht nur Möglichkeiten, sondern auch die Angriffsfläche. Aktuelle Vorfälle zeigen: Agentic AI ist nicht nur ein Effizienztreiber, sondern kann auch zum Einfallstor für Angriffe und Missbrauch werden. Ein Beispiel ist der ServiceNow-Vorfall aus dem Januar 2026 (CVE-2025-12420). Ein hartcodierter, systemweiter Schlüssel ermöglichte es Angreifern, über die Virtual-Agent-API Administratorrechte zu erlangen.
Doch dieser Fall ist kein Einzelfall – sondern ein Hinweis auf ein strukturelles Problem: Wenn grundlegende Sicherheitsprinzipien nicht konsequent umgesetzt werden, wird Agentic AI selbst zum Risiko.
Reale Risiken mit Agentic AI: Aktuelle Vorfälle und Einordnung
Aktuelle Vorfälle zeigen, dass Agentic AI neue Angriffspfade eröffnet – insbesondere durch Privilegieneskalation, manipulierte Entscheidungslogik und kompromittierte Agenten:
1. Privilegieneskalation durch Agenten
- ServiceNow (Januar 2026, CVE-2025-12420): Ein hartcodierter Schlüssel in der Virtual-Agent-API ermöglichte Angreifern, Administratorrechte zu erlangen. Ein klassischer Agent-to-Agent-Angriff (A2A).
- Microsoft Copilot (EchoLeak, CVE-2025-32711): Durch manipulierte Prompts konnten Angreifer sensible Daten extrahieren und Berechtigungen erweitern.
- Langflow (CVE-2025-3248): Eine Code-Injection in AI-Agenten führte zur vollständigen Kompromittierung der AI-Infrastruktur und angebundener Systeme.
- Reconciliation Agent bei einem Finanzdienstleister (2024)
Eine scheinbar normale Business-Anfrage brachte einen «Reconciliation Agent» dazu, 45.000 Kundendatensätze zu exportieren. Die AI erkannte die Manipulation nicht, weil die Anfrage «geschäftsüblich» formuliert war. - Kompromittierte Open-Source-Frameworks
Veränderte Agenten-Frameworks installierten Backdoors, die erst nach Monaten entdeckt wurden – mit entsprechend langer unbemerkter Datenabflusssituation.
- Salt Typhoon (2024–2025)
Staatliche Akteure nutzten die AI-Supply-Chain, um Agenten-Frameworks zu kompromittieren und sich so persistenten Zugang zu Unternehmensnetzwerken zu verschaffen.
- Prompt Injection bei gängigen Plattformen
Schädliche Prompts manipulierten AI-Agenten und führten von Datenabflüssen bis zur Ausführung bösartiger Skripte. Betroffen waren u.a. GitHub Copilot, Salesforce Einstein und ChatGPT. - Missbrauch von Non-Human Identities (NHI)
Kompromittierte Agenten-Credentials gewährten Angreifern über Wochen unentdeckten Zugriff auf Systeme (NHI Compromise).
Agentic AI öffnet neue Angriffsvektoren, die von traditionellen Security-Controls nicht erfasst werden:
- Autonomie
Agenten handeln eigenständig, oft ohne laufende menschliche Kontrolle oder Freigabe. - Komplexität
Multi-Agenten-Systeme, Shared Service Accounts und dynamische Workflows erschweren die Zuordnung von Aktionen und Verantwortlichkeiten. - Dynamik
AI-Agenten lernen, kombinieren Tools und interagieren miteinander; Sicherheitslücken entstehen durch unvorhergesehene Interaktionen – nicht nur durch klassischen Code.
Verantwortungskultur und Agentic AI Security Awareness
Agentic AI verändert nicht nur Technologie, sondern auch Verantwortung. Wer AI-Agenten sicher einsetzen will, braucht eine klare Governance, neue Rollen und gezielte Sensibilisierung.
Die Rolle des «AI Steward»: Verantwortlich für sichere AI-Agenten
Der AI Steward ist zentrale Ansprechperson für Agentic AI Security und Governance, mit den Kernaufgaben:
- Risikobewertung vor dem Deployment von AI-Agenten
- Laufende Audits von Agenten-Aktivitäten und Logs
- Compliance-Checks (CH DSG, EU DSGVO, ISO 27001, NIST AI RMF)
- Analyse von Prompts und Policies zur Erkennung von Datenlecks und Prompt Injection
Automatisierte Security-Controls für AI-Agenten
Für Agentic AI braucht es automatisierte Sicherheitskontrollen, die:
- Agenten-Workflows und Tool-Nutzung in Echtzeit überwachen
- Compliance- und Policy-Verstösse erkennen
- Prompts und Antworten auf sensible Inhalte und Anomalien prüfen
Schulung, Kulturwandel und AI Security Awareness
Technische Kontrollen genügen nicht – Sicherheitskultur ist entscheidend:
- Mitarbeitende sensibilisieren: AI-Agenten sind keine «Black Boxes». Teams müssen verstehen, welche Daten in Prompts fliessen, welche Risiken Agenten-Tools haben und wie Agentic AI missbraucht werden kann.
- Gezielte AI Security Awareness: KI-Sicherheitsbewertungen, Schulungen zu Themen wie Prompt Injection, Datenexfiltration, Agenten-Berechtigungen, Non-Human Identities (NHI) und verantwortungsvollem Umgang mit AI-Tools.
- Regelmässige Penetrationstests für AI-Systeme: Spezialisierte AI-Pentests und Red-Teaming-Übungen, um Schwachstellen in Agenten-Workflows, Tool-Integrationen und Sicherheitskontrollen frühzeitig zu finden.
Best Practices: Was Unternehmen JETZT tun müssen
Wir empfehlen folgende technische Massnahmen für Unternehmen:
- Secrets Management: Keine hardcodierten Secrets, konsequenter Einsatz sicherer Vaults.
- MFA für alle AI-Interaktionen: Insbesondere bei Account-Linking, API-Zugriffen und Agent-Konfiguration.
- Automatisierte Code-Reviews: Sicherheitsprüfungen für Agenten-Code, Policies und Workflows.
- Deprovisioning inaktiver Agents: «Zombie-AI» konsequent abschalten, um versteckte Einfallstore zu vermeiden.
- Sandboxing: Isolierte Ausführungsumgebungen für AI-Agenten, um Privilegieneskalation und Seitwärtsbewegungen zu begrenzen.
- AI Stewardship-Rolle etablieren: Klare Verantwortlichkeit für Agentic AI Security und Governance.
- Transparenzprotokolle: Entscheidungen und Aktionen von AI-Agenten müssen lückenlos nachvollziehbar sein.
- Notfallpläne für AI-Vorfälle: Definierte Playbooks, wenn ein Agent kompromittiert oder missbraucht wird.
- Regelmässige Audits: Einsatz von Frameworks wie AI CSA und OWASP Agentic AI Top 10 als Leitlinien.
- AI wie «Wet Paint» behandeln: Grundprinzip «Nicht vertrauen, immer verifizieren» – auch bei eigenen Agenten.
- Regelmässige Awareness-Trainings: Agentic-AI-Risiken als fester Bestandteil der Security Culture.
- «Governance First»-Ansatz: Bevor AI skaliert wird, müssen Richtlinien, Rollen und Kontrollmechanismen stehen.
Die entscheidende Frage ist nicht, ob AI sicher ist, sondern ob wir sie sicher gestalten. Agentic AI bietet enorme Chancen – vorausgesetzt, Unternehmen nehmen die Risiken ernst und handeln jetzt.
Konkret heisst das:
- Sicherheitsstandards für AI-Agenten definieren
Orientierung an Frameworks wie OWASP, NIST AI RMF, CSA Mythos-Ready-Leitfaden und den OECD AI Principles. - Verantwortung klar zuweisen
Etablierung von AI Stewardship und Einbindung von Compliance- und Security-Teams. - Transparenz und Kontrolle verankern
Entscheidungen und Aktionen von AI-Agenten müssen nachvollziehbar, überprüfbar und steuerbar sein.
