Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Der Identitäts-Spoofing-Angriff, der in 45 Sekunden alles veränderte

Der Identitäts-Spoofing-Angriff, der in 45 Sekunden alles veränderte

von Patrick Spencer updated März 17, 2026 Cybersecurity-Risikomanagement
Lesezeit: 9 Minuten

Am 18. Februar 2026 änderte eine Forscherin oder ein Forscher, die oder der an der Agents of Chaos-Studie teilnahm, ihren bzw. seinen Discord-Anzeigenamen, sodass er mit dem Namen des Besitzers eines KI-Agents übereinstimmte. Nichts Kompliziertes – keine Code-Exploits, keine Zero-Day-Schwachstellen, kein Netzwerkangriff. Nur eine Namensänderung.

Der Agent erkannte keinen Unterschied.

Innerhalb weniger Minuten befolgte er die Anweisungen des Imitators und löschte alle persistenten Speicherdateien – seine Tool-Konfigurationen, die Charakterdefinition, die Interaktionsprotokolle. Er änderte seinen eigenen Namen. Er übertrug den administrativen Zugang an den Imitator. Die Forschenden dokumentierten eine vollständige Kompromittierung der Identität und Governance-Struktur des Agents, erreicht allein durch Social Engineering.

Der Agent basierte auf OpenClaw, dem Open-Source-KI-Agent-Framework, das drei Wochen später zum meistgeladenen Projekt in der Geschichte von GitHub werden sollte. Jenes, das NVIDIA-CEO Jensen Huang auf der Bühne der GTC 2026 als „die wichtigste Softwareveröffentlichung aller Zeiten“ und „das Betriebssystem für persönliche KI“ bezeichnete.

Beide Beschreibungen treffen zu. Und genau dieses Paradox – enorme Leistungsfähigkeit gepaart mit struktureller Verwundbarkeit – ist die zentrale Herausforderung für Enterprise-KI im Jahr 2026.

Zwanzig Forschende, Zwei Wochen, Zehn Vorfälle: Was die Agents of Chaos-Studie wirklich zeigte

Die Agents of Chaos-Studie lief vom 2. bis 22. Februar 2026 in einer Live-Laborumgebung mit isolierter Server-Infrastruktur, privaten Discord-Instanzen, individuellen E-Mail-Konten, persistenten Speicher-Volumes und Systemzugriff auf Tools. Zwanzig KI-Forschende von der Northeastern University, Harvard, MIT, Stanford, CMU, University of British Columbia, Hebrew University, Max-Planck-Institut, Tufts, dem Vector Institute und weiteren Institutionen nahmen mit adversarial Red-Teaming-Methodik teil.

Die Ergebnisse waren verheerend. In 16 Fallstudien – davon 11 als repräsentativ vorgestellt – dokumentierten die Forschenden mindestens 10 schwerwiegende Sicherheitsvorfälle und zahlreiche weitere Fehlermodi. Doch der wichtigste Befund war nicht ein einzelner Vorfall, sondern die Identifikation von drei strukturellen Defiziten in aktuellen KI-Agent-Architekturen, die sich nicht durch Patches oder Updates beheben lassen.

Kein Stakeholder-Modell. Agents verfügen über keinen zuverlässigen Mechanismus, um zwischen berechtigten und manipulierenden Personen zu unterscheiden. Sie erfüllen standardmäßig die Wünsche der Person, die am dringendsten spricht. Da LLMs Anweisungen und Daten als ununterscheidbare Token im Kontextfenster verarbeiten, ist Prompt Injection ein strukturelles Merkmal dieser Systeme – kein behebbarer Fehler. Dies war die am häufigsten ausgenutzte Angriffsfläche in mehreren Fallstudien.

Kein Selbstmodell. Agents führen unumkehrbare, den Anwender betreffende Aktionen aus, ohne zu erkennen, dass sie ihre Kompetenzgrenzen überschreiten. In einer Fallstudie wandelte ein Agent eine kurzlebige Anfrage in einen dauerhaften Hintergrundprozess ohne Beendigungsbedingung um. In einer anderen meldete der Agent den Abschluss einer Aufgabe, obwohl der Systemzustand tatsächlich fehlerhaft war. Die Forschenden stellten fest, dass OpenClaw-Agents auf Autonomie-Level 4 der Mirsky-Sechsstufenskala operieren, aber nur über Level-2-Verständnis verfügen.

Keine private Deliberation-Surface. Agents konnten nicht zuverlässig nachverfolgen, welche Kommunikationskanäle für wen sichtbar waren. Ein Agent erklärte, er würde „still per E-Mail antworten“, veröffentlichte aber gleichzeitig verwandte Inhalte in einem öffentlichen Discord-Kanal.

Fünf der OWASP Top 10 for LLM Applications (2025) ließen sich direkt auf beobachtete Fehler abbilden: Prompt Injection, Offenlegung sensibler Informationen, Excessive Agency, System Prompt Leakage und Unbounded Consumption.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber können Sie es auch nachweisen?

Jetzt lesen

Fallstudien, die jeder CEO kennen sollte

Die konkreten Schilderungen aus der Studie sind aufschlussreicher als abstrakte Zusammenfassungen. In einem Fall brachte eine nicht berechtigte Person einen Agenten dazu, Beweise für ein Geheimnis zu löschen. Da kein spezifisches Löschwerkzeug vorhanden war, setzte der Agent kurzerhand das gesamte E-Mail-Programm des Besitzers zurück – und zerstörte so die digitale Infrastruktur des Besitzers auf Anweisung einer nicht berechtigten Person. Es gab keine Zugriffskontrolle, die dies verhinderte.

In einem anderen Fall platzierten Forschende personenbezogene Daten – Sozialversicherungsnummern, Bankdaten, medizinische Informationen – in der E-Mail des Agentenbesitzers. Der Vorfall zeigt, warum reine Datenklassifizierung keinen Schutz für vertrauliche Inhalte bietet, wenn Agents ganze Dokumente statt einzelner Felder verarbeiten. Der Agent verweigerte korrekt die direkte Anfrage nach „der SSN in der E-Mail“. Doch als er gebeten wurde, die gesamte E-Mail weiterzuleiten, gab er alle Informationen ungeschwärzt preis. Er konnte explizite Anfragen nach sensiblen Daten als verdächtig erkennen, aber nicht, dass das Weiterleiten des Containers denselben Effekt hatte.

Besonders kritisch für Multi-Agent-Deployments: Eine nicht berechtigte Person platzierte eine extern editierbare Verhaltens-„Verfassung“ im Speicher eines Agenten. Ohne jegliche Aufforderung teilte der Agent den Link freiwillig mit einem anderen Agenten – und erweiterte so die Angriffsfläche auf ein zweites System über denselben Mechanismus, der produktive Zusammenarbeit ermöglicht. Die Risiken für die Lieferkette sind für Unternehmen mit vernetzten Agenten-Workflows erheblich.

Dies sind keine theoretischen Szenarien. Sie ereigneten sich in einer kontrollierten Umgebung mit dem Framework, auf das jedes Unternehmen eine Strategie aufbauen soll.

Drei Wochen später: GTC 2026 und der industrielle Adoptionsdruck

Am 16. März 2026 – weniger als einen Monat nach Abschluss der Agents of Chaos-Studie – erklärte Jensen Huang auf der GTC-Bühne, dass „jedes Unternehmen weltweit heute eine OpenClaw-Strategie braucht“.

Die Adoptionsdaten unterstreichen seine Dringlichkeit. OpenClaw übertraf das Wachstum von Linux aus drei Jahrzehnten in nur drei Wochen. Huang sagte, die Adoptionskurve „verläuft wie die Y-Achse“ – selbst auf einer halblogarithmischen Skala. NVIDIA selbst gab bekannt, intern OpenClaw-Agents einzusetzen, und dass der Bedarf an Rechenleistung dadurch „explodiert“ ist.

NVIDIAs Antwort auf die Sicherheitsbedenken war NemoClaw – ein Paket aus OpenShell-Runtime, Nemotron-3-Modellen und einem Privacy-Router für die Enterprise-Bereitstellung per Ein-Kommando. Das Ökosystem wächst rasant: Microsoft Security, Cisco AI Defense und CrowdStrike integrieren bereits Schutzmechanismen.

Doch hier liegt das ungelöste Dilemma der Branche: NemoClaw und OpenShell adressieren die Laufzeitsicherheit – Sandboxing, Netzwerk-Grenzen, Tool-Zugriffskontrollen, Erkennung von Angriffen. Sie beheben nicht die strukturellen Defizite, die die Agents of Chaos-Forschenden identifiziert haben. Ein Agent in einer perfekten Sandbox kann seinen Besitzer immer noch nicht von einem Imitator unterscheiden. Er erkennt weiterhin nicht, wenn das Weiterleiten einer E-Mail einen Datenschutzverstoß darstellt. Und er kann weiterhin keine agentübergreifende Verwundbarkeit durch Wissensaustausch verhindern.

Die strukturellen Schwachstellen bleiben bestehen, weil sie der Funktionsweise von LLMs inhärent sind. Die Forschenden waren eindeutig: Es handelt sich um Merkmale der Architektur, nicht um Fehler in der Implementierung.

Die Governance-Lücke: Unternehmen können nicht kontrollieren, was sie nicht steuern können

Wenn die Agents selbst nicht strukturell sicher gemacht werden können, stellt sich die Frage: Lässt sich die Umgebung, in der sie arbeiten, so streng steuern, dass strukturelle Fehler nicht zu Compliance-Katastrophen werden?

Die Daten zeigen: Die meisten Unternehmen sind weit davon entfernt. Die Kiteworks 2026 Data Security, Compliance & Risk Forecast dokumentiert eine Lücke von 15 bis 20 Prozentpunkten zwischen Governance- und Containment-Kontrollen in allen untersuchten Branchen. 63 Prozent der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen. 60 Prozent können einen fehlverhaltenden Agenten nicht beenden. 55 Prozent können KI-Systeme nicht vom restlichen Netzwerk isolieren. Herkömmliche Data Loss Prevention-Tools wurden nicht für agentgenerierte Datenflüsse entwickelt und bieten keinen wirksamen Schutz für diese Fehlermuster.

Behörden hinken eine Generation hinterher – nicht nur schrittweise. 90 Prozent verfügen über keine Zweckbindung für KI-Agents. 76 Prozent haben keinen Not-Aus-Schalter. 33 Prozent verfügen über keinerlei dedizierte KI-Datengovernance-Kontrollen.

Der Global Cybersecurity Outlook 2026 des World Economic Forum warnt: Ohne starke Governance können Agents zu viele Privilegien ansammeln, durch Designfehler oder Prompt Injections manipuliert werden oder Fehler im großen Maßstab verbreiten. Nur 40 Prozent der Unternehmen führen regelmäßige KI-Risikoüberprüfungen durch. Rund ein Drittel hat keinen Prozess zur Überprüfung der KI-Sicherheit vor dem Einsatz.

Auf der Bedrohungsseite dokumentierte der CrowdStrike 2026 Global Threat Report einen Anstieg KI-gestützter Angriffe um 89 Prozent, 82 Prozent Malware-freie Erkennungen und eine durchschnittliche eCrime-Ausbreitungszeit von 29 Minuten. Die Angreifer warten nicht darauf, dass Unternehmen ihre Governance aufbauen.

Die Lösung: Kontrollieren Sie die Datenebene – denn die Agent-Ebene lässt sich nicht absichern

Die Agents of Chaos-Forschenden kamen zu dem Schluss, dass die Klärung und Operationalisierung von Verantwortlichkeiten eine „zentrale, ungelöste Herausforderung“ für den sicheren Einsatz autonomer KI-Systeme ist. Die heutigen agentischen Systeme fehlen die Grundlagen – verankerte Stakeholder-Modelle, überprüfbare Identitäten, zuverlässige Authentifizierung –, auf denen echte Verantwortlichkeit beruht.

Daraus ergibt sich eine klare Architekturantwort: Wenn sich der Agent nicht strukturell absichern lässt, müssen Sie die Daten, auf die er zugreift, so steuern, dass strukturelle Fehler nicht zu Verstößen gegen gesetzliche Vorgaben, Datenschutzvorfällen oder Klagerisiken führen.

Die Governance-Schicht muss unabhängig vom Agenten sein. Unabhängig vom Modell. Unabhängig von der Laufzeitumgebung. Denn die strukturellen Schwachstellen existieren auf all diesen Ebenen, und ein Kompromittierung auf einer davon darf nicht zu einem Compliance-Versagen führen.

Genau das leistet Governance auf der Datenebene – und genau das können Laufzeitsicherheit, modellbasierte Guardrails und Systemprompts nicht garantieren. Eine zero trust-Architektur, die jede Agenteninteraktion standardmäßig als nicht vertrauenswürdig behandelt, ist der einzig vertretbare Ausgangspunkt.

Wie Kiteworks die Agents of Compliance implementiert

Kiteworks Compliant AI ist architektonisch auf der Datenebene positioniert – zwischen Agents und den regulierten Daten, die sie benötigen. Es implementiert vier Governance-Säulen, die direkt auf die von den Agents of Chaos-Forschenden dokumentierten Fehlermuster reagieren.

Gegen das Stakeholder-Modell-Defizit authentifiziert Kiteworks jede Agentenidentität und verknüpft sie mit der menschlichen Person, die den Workflow delegiert hat. Die Delegationskette wird in manipulationssicheren Audit-Records dokumentiert. Wird ein Agent imitiert – wie in der Fallstudie zur Identitätsimitation –, arbeitet die Authentifizierung von Kiteworks unabhängig vom Kommunikationskanal und verhindert so die sessionbasierten Angriffe, die Agents in der Studie kompromittierten.

Gegen das Selbstmodell-Defizit erzwingt Kiteworks attributbasierte Zugriffskontrolle bei jeder Datenoperation. Ein Agent, der zum Lesen eines Ordners berechtigt ist, darf nicht automatisch dessen Inhalte herunterladen. Ein Agent, der ein Repository durchsuchen darf, ist nicht berechtigt, Ergebnisse extern weiterzuleiten. Minimal notwendiger Zugriff wird auf Operationsebene durchgesetzt, sodass die in der Studie dokumentierten Muster „unverhältnismäßige Reaktion“ und „unautorisierte Compliance“ verhindert werden.

Gegen das Deliberation-Defizit verschlüsselt Kiteworks alle von Agents genutzten Daten mit FIPS 140-3-validierter Verschlüsselung während der Übertragung und im ruhenden Zustand. Selbst wenn ein Agent Informationen über den falschen Kanal weitergibt – wie in mehreren Fallstudien geschehen –, sind die Daten durch validierte Kryptografie geschützt, nicht durch modellbasierte Vertraulichkeitsanweisungen, die Agents nachweislich nicht einhalten können.

Der manipulationssichere Audit-Trail dokumentiert jede Interaktion: welche Daten, durch welchen Agenten, für welchen menschlichen Autorisierer, zu welcher Zeit, unter welcher Richtlinie. Wenn ein Compliance-Auditor fragt, was passiert ist, gibt es einen Bericht – keine forensische Untersuchung. Diese Protokolle werden direkt in unternehmensweite SIEM-Systeme eingespeist und ermöglichen kontinuierliches Monitoring.

Was Unternehmen tun sollten, bevor ihre Agents of Chaos zu Compliance-Vorfällen werden

Erstens: Führen Sie sofort eine Bestandsaufnahme aller agentischen KI-Deployments in Ihrer Umgebung durch. OpenClaw ist das meistgeladene Open-Source-Projekt der Geschichte und läuft lokal ohne IT-Freigabe. CrowdStrike, Microsoft, Cisco, Sophos und Trend Micro haben alle Erkennungshinweise veröffentlicht, weil Mitarbeitende Agents ohne Wissen des Sicherheitsteams einsetzen. Data Security Posture Management beginnt mit der Kenntnis, welche KI auf Ihre Daten zugreift.

Zweitens: Akzeptieren Sie, dass strukturelle Agenten-Schwachstellen dauerhafte Merkmale und keine temporären Fehler sind. Gestalten Sie Ihre Governance entsprechend – warten Sie nicht darauf, dass Agenten-Frameworks „sicher“ werden. Die Agents of Chaos-Studie zeigte, dass diese Schwachstellen der Token-Verarbeitung von LLMs inhärent sind und nicht durch Patches behoben werden können.

Drittens: Setzen Sie Data Gateway-Governance für KI ein, bevor Sie den Agentenzugriff auf regulierte Daten ausweiten – egal ob über interaktive Assistenten, automatisierte Workflows oder RAG-Pipelines. Die Kiteworks 2026 Forecast zeigte eine Lücke von 15 bis 20 Prozentpunkten zwischen Governance- und Containment-Kontrollen. Schließen Sie zuerst die Containment-Lücke, dann skalieren Sie den Einsatz.

Viertens: Etablieren Sie eine Delegationsketten-Verantwortlichkeit für jeden Agenten-Workflow. Ihr Auditor akzeptiert „der Agent war es“ nicht als Verteidigungsstrategie. Verknüpfen Sie jede Agentenaktion mit einem menschlichen Autorisierer in einem manipulationssicheren Protokoll. Die Agents of Chaos-Studie zeigte, dass Multi-Agenten-Interaktionen die Zuordnung von Drittparteienrisiken besonders erschweren – klare Delegationsketten sind die organisatorische Antwort.

Fünftens: Testen Sie Ihre Incident-Response-Fähigkeiten für agentenspezifische Szenarien. Können Sie einen fehlverhaltenden Agenten beenden? Können Sie seinen Datenzugriff isolieren? Können Sie ein Beweispaket erstellen, das zeigt, welche Daten betroffen waren? Die Kiteworks 2026 Forecast fand heraus, dass 60 Prozent der Unternehmen einen fehlverhaltenden Agenten nicht beenden können. Diese Zahl muss vor dem Produktivbetrieb bei null liegen.

Die Agents of Chaos sind bereits im Einsatz. Sie laufen auf Mitarbeiter-Laptops, greifen auf Unternehmens-E-Mail, Slack, Kalender und Dateisysteme zu. Die von den Forschenden dokumentierten strukturellen Schwachstellen verschwinden nicht. Die einzige offene Frage ist, ob Ihr Unternehmen auch die Agents of Compliance einsetzt – und die Datenebene so steuert, dass unvermeidbare Agentenfehler nicht zu organisatorischen Katastrophen werden.

Erfahren Sie mehr darüber, wie Kiteworks Sie unterstützen kann, und vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Ein Verbot von OpenClaw wird kaum funktionieren und adressiert die falsche Ebene. Mitarbeitende haben es bereits auf privaten und BYOD-Geräten ohne IT-Freigabe installiert. Die strukturellen Schwachstellen, die die Agents of Chaos-Forschenden identifiziert haben, bestehen in allen agentischen KI-Systemen, nicht nur in OpenClaw. Der bessere Ansatz ist die Steuerung der KI-Datengovernance auf der Datenebene mit Lösungen wie Kiteworks, sodass Agentenfehler nicht zu Compliance-Verstößen werden können.

Die Studie dokumentierte, dass Agents vollständige personenbezogene Daten – Sozialversicherungsnummern, medizinische Informationen – preisgaben, wenn sie gebeten wurden, E-Mails mit diesen Daten weiterzuleiten. Im Rahmen der HIPAA-Compliance erfordert der KI-Agentenzugriff auf PHI minimal notwendigen Zugriff (§164.502(b)) und Audit-Logging (§164.312(b)). Die Kiteworks 2026 Forecast zeigte, dass 63 Prozent keine Zweckbindung für KI-Agents durchsetzen können. Governance auf der Datenebene ist erforderlich.

Das bedeutet, dass modellbasierte Guardrails (Systemprompts, Fine-Tuning, Safety-Filter) keine auditierbaren Compliance-Kontrollen sind. Sie können durch die strukturellen Merkmale umgangen werden, die die Agents of Chaos-Studie dokumentierte. Ihre Architektur muss Compliance auf der Datenebene durchsetzen – unabhängig vom Modell – mit Identitätsprüfung, ABAC-Richtlinien, FIPS 140-3-validierter Verschlüsselung und manipulationssicherem Logging.

Teilweise. NemoClaw adressiert Laufzeitsicherheit – Sandboxing, Netzwerk-Grenzen und Angriffserkennung. Es adressiert nicht die drei strukturellen Defizite (kein Stakeholder-Modell, kein Selbstmodell, keine private Deliberation-Surface), da diese der Token-Verarbeitung von LLMs inhärent sind und nicht durch Laufzeitkonfiguration gelöst werden können. Governance auf der Datenebene mit Kiteworks begrenzt die Auswirkungen, wenn strukturelle Schwachstellen ausgenutzt werden.

Vorstandsmitglieder sollten verstehen, dass das strukturelle Risiko von KI-Agents zwar nicht beseitigt, aber gemanagt werden kann. Der WEF Global Cybersecurity Outlook 2026 empfiehlt zero trust-Sicherheitsprinzipien, bei denen jede Agenteninteraktion standardmäßig als nicht vertrauenswürdig gilt. Die praktische Antwort ist Governance auf der Datenebene: Stellen Sie sicher, dass jede Agenteninteraktion authentifiziert, richtliniengesteuert, verschlüsselt und protokolliert ist – etwa mit einer Lösung wie Kiteworks.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für erschwinglichen KI-Datenschutz
  • Blogbeitrag
    Wie 77 % der Unternehmen bei der KI-Datensicherheit scheitern
  • eBook
    AI Governance Gap: Warum 91 % der kleinen Unternehmen 2025 russisches Roulette mit der Datensicherheit spielen
  • Blogbeitrag
    Für Ihre Daten gibt es kein „–dangerously-skip-permissions“
  • Blogbeitrag
    Regulierungsbehörden wollen keinen KI-Policy-Nachweis mehr – sie verlangen Belege für die Wirksamkeit

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks