Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wenn Bots Menschen übertreffen: Governance der dritten Verkehrskategorie

Wenn Bots Menschen übertreffen: Governance der dritten Verkehrskategorie

von Patrick Spencer updated Mai 28, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Der Thales 2026 Bad Bot Report, nun in seiner 13. Ausgabe in Folge, führt eine dritte Kategorie automatisierten Traffics neben Good Bots und Bad Bots ein: KI-Agenten. Sie durchsuchen Websites, sammeln Daten und erledigen Aufgaben für Anwender. Sie sind in Browser, Suchplattformen und Unternehmens-Tools integriert. Und sie interagieren direkt mit Anwendungen und APIs.

Thales blockierte im Jahr 2025 17,2 Billionen Bad-Bot-Anfragen. KI-gesteuerte Bot-Aktivitäten stiegen im Jahresvergleich um das 12,5-Fache, wobei die täglich blockierten Anfragen von 2 Millionen auf 25 Millionen anstiegen. Das ist kein inkrementeller Anstieg des Erkennungsvolumens — es ist eine strukturelle Veränderung, wie Traffic auf der Anwendungsebene aussieht. Das Problem der Verteidiger ist nicht mehr „Bot oder Mensch“ — sondern „Bot, Mensch oder Agent, der im Auftrag eines Menschen handelt“. Die meisten Enterprise-Security-Stacks wurden für die erste Version dieser Frage entwickelt. Die dritte Kategorie bricht die Annahmen der zweiten auf.

5 Wichtige Erkenntnisse

1. Das Internet besteht jetzt überwiegend aus Maschinen.

Der Thales 2026 Bad Bot Report zeigt, dass automatisierter Traffic 53% des gesamten beobachteten Internet-Traffics ausmacht — Bad Bots bei 40%, gutartige Automatisierung bei 13%. Menschliche Aktivität ist auf 47% gesunken. Das Internet ist kein Ort mehr, den Menschen nutzen; es ist ein Ort, den Maschinen nutzen und den Menschen besuchen. Security-Stacks, die auf „Ist das ein Mensch?“ ausgelegt sind, lösen die falsche Frage.

2. KI-Agenten sind eine neue Verkehrskategorie — keine Bot-Untergruppe.

Thales hat Agenten neben Good und Bad Bots eingeführt, weil sie sich anders verhalten: legitimer Zweck, von Agenten initiierte Anfragen, maschinelles Tempo, nicht von normalen API-Aufrufen zu unterscheiden. Sie nutzen echte Browser, gültige Fingerprints und menschliche Timing-Muster, weil sie tatsächlich autorisierte Workflows ausführen. Datenverlust durch Fehlverhalten von Agenten sieht nicht wie ein Bot-Angriff aus — sondern wie normale Vorgänge.

3. Der 12,5-fache Anstieg von KI-Bot-Angriffen ist der wichtigste Indikator.

Täglich blockierte KI-gesteuerte Anfragen stiegen innerhalb eines Jahres von 2 Millionen auf 25 Millionen. Thales blockierte 2025 insgesamt 17,2 Billionen Bad-Bot-Anfragen. Verteidiger-Tools, die auf „Bot vs. Mensch“ ausgerichtet sind, lösen das Problem des Vorjahres. Die dadurch entstehende Angriffsfläche in der Lieferkette ist strukturell — in Unternehmens-Tools eingebettete KI-Agenten sind potenzielle Angriffsvektoren, nicht nur Produktivitätsfunktionen.

4. Die Governance-Lücke ist strukturell, nicht taktisch.

Der Kiteworks 2026 Prognosebericht ergab, dass 100% der Unternehmen agentische KI auf ihrer Roadmap haben, aber 63% keine Zweckbindung durchsetzen und 60% keine fehlverhaltenden Agenten beenden können. Die Einführung überholt die Eindämmung in jeder gemessenen Kategorie um 15 bis 20 Prozentpunkte. Investitionen in KI-Governance flossen ins Beobachten von Agenten, nicht ins Stoppen.

5. Die Lösung ist Governance auf Datenebene, nicht Bot-Erkennung.

Wenn Agenten für Traffic-Mitigation-Tools legitim erscheinen, ist der einzige dauerhafte Durchsetzungspunkt die Daten, auf die sie zugreifen wollen — mit attributbasierten Zugriffskontrollen, Least-Privilege-Prinzip auf Inhaltsebene und manipulationssicheren Audit-Logs. Die Agents-of-Chaos-Studie zeigte, dass Guardrails auf Modellebene unter adversen Bedingungen versagen; Governance auf Datenebene hält, wenn der Agent kompromittiert ist.

Sie Vertrauen Darauf, Dass Ihr Unternehmen Sicher Ist. Aber Können Sie Es Nachweisen?

Jetzt Lesen

Wie Sich KI-Agenten Von Bots Unterscheiden

Bots haben immer versucht, menschlich zu wirken; KI-Agenten müssen das nicht. Sie agieren über echte Browser, gültige Fingerprints und menschliche Timing-Muster, weil das ihrem tatsächlichen Workflow entspricht — sie führen Aufgaben aus, die ein echter Anwender autorisiert hat. Der Thales-Report beschreibt dies direkt: KI-gesteuerte Aktivitäten, die früher Warnsignale auslösten, verschmelzen nun mit legitimer Nutzung und erschweren Erkennung und Monitoring erheblich.

Erkennbare KI-Traffic macht nur einen Bruchteil der gesamten KI-gestützten Aktivitäten aus. Angreifer können selbstgehostete LLMs einsetzen, die sich nicht zu erkennen geben, und böswillige Akteure können diese Modelle für unautorisierte Zwecke feinjustieren. Diese Lücke zeigte sich im November 2025 in großem Maßstab, als Anthropic GTG-1002 offenlegte, eine von China staatlich unterstützte Kampagne, die Claude Code und MCP-Orchestrierung nutzte, um etwa 30 Organisationen aus Technologie, Finanzdienstleistungen, Chemieindustrie und Regierung anzugreifen. KI führte 80–90% der taktischen Arbeit aus. Menschliche Operatoren griffen nur bei vier bis sechs kritischen Entscheidungspunkten pro Kampagne ein — mit Tausenden Anfragen pro Sekunde, ein Tempo, das kein menschliches Red Team erreichen kann.

Der CrowdStrike 2026 Global Threat Report beziffert den breiteren Wandel auf einen Anstieg von 89% bei Angriffen durch KI-gestützte Gegner im Jahresvergleich, mit einer durchschnittlichen eCrime-Breakout-Zeit von nur noch 29 Minuten. Die Thales-53/40/13-Aufteilung zeigt Verteidigern, was auf der Leitung ist. Die CrowdStrike- und Anthropic-Daten zeigen, was darauf läuft.

Warum Bot-Mitigation Die Agentenebene Nicht Erreicht

Bot-Management basiert auf drei Signalen: Identität (IP-Reputation, User-Agent-Strings), Verhalten (Rate-Limits, Fingerprinting) und aus Mustern abgeleiteter Absicht. KI-Agenten bestehen alle drei Prüfungen, weil sie nicht vortäuschen — sie nutzen tatsächlich einen Browser, senden Anfragen für eine eingeloggte Identität und folgen einem Workflow, der wie normale Nutzung aussieht.

Das ist kein Tooling-Fehler. Es ist ein Kategorienfehler. Wie der Global VP und GM Application Security von Thales im Report sagt: „Die Herausforderung ist nicht mehr, Bots zu identifizieren. Es geht darum zu verstehen, was der Bot, Agent oder die Automatisierung tut, ob es mit der geschäftlichen Absicht übereinstimmt und wie sie mit kritischen Systemen interagieren.“ Die Kontrolloberfläche hat sich verändert. Die Strategie muss sich mit ihr verändern.

Wo Die Meisten Unternehmen Bei Agenten-Governance Tatsächlich Stehen

Der Kiteworks 2026 Prognosebericht zeigt: 100% der Unternehmen haben agentische KI auf ihrer Roadmap — keine Ausnahmen. Das Problem ist die Lücke zwischen Einführung und den Kontrollen, die das Handeln von Agenten einschränken. Drei Containment-Kontrollen definieren die Lücke:

Zweckbindung — die Fähigkeit, zu begrenzen, was ein Agent tun darf. 63% können das nicht durchsetzen. Kill Switch — die Fähigkeit, einen fehlverhaltenden Agenten schnell zu beenden. 60% können das nicht. Netzwerkisolation — die Fähigkeit, einen Agenten vom Zugriff auf Systeme außerhalb seines Aufgabenbereichs abzuhalten. 55% können das nicht.

Die meisten Unternehmen haben in das Beobachten von KI investiert — 59% haben Human-in-the-Loop, 58% kontinuierliches Monitoring. Sie haben nicht ins Stoppen investiert. Die öffentliche Hand ist am stärksten gefährdet: 90% fehlt die Zweckbindung, 76% fehlt ein Kill Switch, 81% fehlt die Netzwerkisolation. Das sind Organisationen, die mit klassifizierten Informationen und kritischer Infrastruktur arbeiten — mit KI-Agenten, die sie nicht einschränken, beenden oder isolieren können.

Was Die Agents-of-Chaos-Studie Liefert, Was Telemetrie Nicht Kann

Die Februar 2026 Agents-of-Chaos-Studie, eine Zusammenarbeit von 38 Autoren aus Northeastern, Harvard, MIT, Stanford, CMU und weiteren Institutionen, setzte Agenten zwei Wochen lang in einem Live-Labor ein und dokumentierte mindestens 10 bedeutende Sicherheitsvorfälle in 11 Fallstudien. Drei strukturelle Defizite erklären, warum Guardrails auf Modellebene versagen:

Kein Stakeholder-Modell. Agenten haben keinen zuverlässigen Mechanismus, um zu unterscheiden, wem sie dienen sollen und wer sie manipuliert. Sie erfüllen standardmäßig die Wünsche dessen, der am dringendsten spricht — da LLMs Anweisungen und Daten als Tokens im selben Kontextfenster verarbeiten, ist Prompt Injection ein strukturelles Merkmal, kein behebbarer Fehler.

Kein Selbstmodell. Agenten führen irreversible Aktionen aus, ohne zu erkennen, wenn sie ihre Kompetenzen überschreiten. Sie wandeln kurzlebige Anfragen in dauerhafte Hintergrundprozesse ohne Beendigungsbedingung um.

Keine private Überlegungsfläche. Agenten können nicht zuverlässig nachverfolgen, welche Kommunikationskanäle für wen sichtbar sind. Sie geben vertrauliche Informationen über falsche Kanäle preis, selbst nach expliziten Vertraulichkeitsanweisungen.

Tooling, das darauf setzt, dass der Agent das Richtige tut, verlässt sich auf eine Eigenschaft, die der Agent nicht zuverlässig besitzt. Eindämmung muss von außerhalb des Agenten kommen.

Die Architektur, Die Die Dritte Kategorie Schließt

Wenn Bot-Regeln Agenten nicht erreichen und Agenten sich nicht selbst einschränken können, ist der dauerhafte Durchsetzungspunkt die Datenebene. Drei Eigenschaften definieren eine zweckmäßige Architektur:

Autorisierung reist mit den Daten, nicht mit der Identität. Ein Agent, der im Auftrag eines Anwenders handelt, erbt dessen Autorisierung, aber die Autorisierung folgt dem Inhalt — nicht der Sitzung. Attributbasierte Zugriffskontrollen bewerten jede Anfrage anhand der Datensensitivität, der Berechtigung des Anfragenden, des deklarierten Zwecks und der geltenden Richtlinie. Die meisten bestehenden Zugriffssysteme wurden für Rollen auf Ordnerebene entwickelt; sie bestehen nicht bei Retrieval-Augmented Generation, wo ein Agent in Millisekunden ein gesamtes Korpus durchsucht.

Richtliniendurchsetzung erfolgt, bevor der Agent auf die Daten zugreift. Entscheidungen werden an der Daten-Grenze getroffen, nicht im Agenten. Das ist, was der Kiteworks 2026 Prognosebericht als Zweckbindung bezeichnet — die Kontrolle, die 63% der Unternehmen heute nicht durchsetzen können.

Audit-Trails erfassen die vollständige Kette in Beweisqualität. Der Kiteworks 2026 Prognosebericht fand heraus, dass 33% der Unternehmen keine ausreichenden Audit-Trails haben und 61% fragmentierte Logs besitzen, die nicht sinnvoll nutzbar sind. Wenn eine Aufsichtsbehörde fragt, wer worauf, über welchen Agenten zugegriffen hat, muss die Antwort ein einziger abfragbarer Datensatz sein. Das Kiteworks AI Data Gateway und der Kiteworks Secure MCP Server setzen dieses Muster um — gesteuerter Zugriff auf Datenebene, Richtliniendurchsetzung auf Inhaltsebene und manipulationssichere Logs für E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare und KI-Traffic in einer zentralen Steuerungsebene.

Was CISOs Dieses Quartal Tun Sollten

Erstens inventarisieren Sie die Agenten, die bereits in Ihrer Umgebung aktiv sind. Browser-Plugins, eingebettete Copiloten, SaaS-Automatisierungen von Drittanbietern und Entwickler-Tools haben alle Agenten eingeführt, die im Auftrag von Anwendern handeln. Die operative Inventur hinkt der Roadmap meist um Quartale hinterher. Erstellen Sie die tatsächliche Liste, bevor Sie sie steuern.

Zweitens schließen Sie die Kill-Switch-Lücke. Wenn heute ein fehlverhaltender Agent gestoppt werden muss, kann Ihr Team das innerhalb einer Stunde tun? 60% können das nicht. Diese Kontrolle ist die Mindestanforderung jeder verantwortungsvollen Einführung und sollte vor einer Ausweitung des Einsatzbereichs vorhanden sein.

Drittens erzwingen Sie die Zweckbindung auf Datenebene. Vertrauen Sie nicht darauf, dass der Agent seinen Aufgabenbereich einhält — binden Sie ihn durch ABAC-Richtlinien, die jede Anfrage bewerten. Das ist die größte einzelne Lücke in der Kiteworks 2026 Prognose und die wirkungsvollste Kontrolle, die geschlossen werden sollte.

Viertens leiten Sie Agenten-Traffic durch eine Steuerungsebene mit Audit-Trails in Beweisqualität. Fragmentiertes Logging über neun Tools übersteht keine aufsichtsrechtliche Prüfung, keine Discovery-Anfrage eines Klägers und keine ernsthafte Incident-Analyse. 61% der Unternehmen arbeiten auf fragmentierter Infrastruktur, die keine Audit-Trails in Beweisqualität unterstützt — das ist die größte Infrastrukturlücke, die geschlossen werden muss, bevor das Agentenvolumen weiter steigt.

Fünftens behandeln Sie Agenten-Laufzeiten und Tool-Connectoren als privilegierte Infrastruktur. Die GTG-1002-Offenlegung ist das klarste verfügbare Fallbeispiel. Legen Sie fest, wer und was Tools ausführen darf, setzen Sie Allowlists durch, überwachen Sie hochfrequente Automatisierung und halten Sie einen Kill Switch für verdächtige Agentenaktivitäten bereit. Die gleichen Kontrollen, die für Servicekonten erforderlich sind, gelten jetzt für jede Agentenidentität, intern oder von Drittparteien.

Erfahren Sie mehr über die Governance von KI-Daten und vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

KI-Agenten bestehen traditionelle Bot-Erkennungssignale, da sie echte Browser und autorisierte Workflows nutzen — sie täuschen diese nicht vor. Bot-Mitigation-Regeln greifen bei ihnen nicht. 63% der Unternehmen können keine Zweckbindung für Agenten durchsetzen und 60% keine fehlverhaltenden Agenten beenden (Kiteworks 2026 Prognose). Behandeln Sie Agenten als eigene Kategorie und erzwingen Sie Zugriffskontrollen auf Datenebene, nicht am Netzwerk-Edge.

Die Mindestzugriffsanforderung von HIPAA gilt für jedes System, das PHI verarbeitet, einschließlich KI-Agenten, die im Auftrag eines Arztes handeln. Der Gesundheitssektor hinkt bei der Eindämmung hinterher — 68% fehlt die Zweckbindung, 59% fehlt ein Kill Switch (Kiteworks 2026 Prognose). Binden Sie Autorisierungen an spezifische PHI-Elemente durch ABAC-Richtlinien und protokollieren Sie jeden Agentenzugriff in Beweisqualität für Audit-Zwecke.

Sie erhöht die Anforderungen an die AC- und AU-Kontrollfamilien von CMMC. Der GTG-1002-Fall zeigt, dass Agenten einen vollständigen Angriffszyklus ausführen können, wenn Zugriffskontrollen fehlen. 61% der Unternehmen arbeiten auf fragmentierter Infrastruktur, die keine Audit-Trails in Beweisqualität unterstützt (Kiteworks 2026 Prognose). Leiten Sie Agenten-Traffic vor der Prüfung durch eine gesteuerte Steuerungsebene, die den Zugriff auf CUI abdeckt.

Governance-Kontrollen beobachten — Human-in-the-Loop, kontinuierliches Monitoring, Datenminimierung. Containment-Kontrollen stoppen — Zweckbindung, Kill Switches, Netzwerkisolation. Der Kiteworks 2026 Prognosebericht dokumentiert eine Lücke von 15 bis 20 Prozentpunkten zwischen beiden, mit über 60% der Unternehmen, die keinen fehlverhaltenden Agenten beenden können. Beobachten ohne Stoppen scheitert bei Audits, Incident Response und jeder sinnvollen Definition von Kontrolle.

Bot-Management deckt den Netzwerk-Edge ab; Agenten-Governance muss auf Datenebene erfolgen. 100% der Unternehmen haben agentische KI auf ihrer Roadmap, aber 55% können KI laut Kiteworks 2026 Prognose nicht vom breiteren Netzwerkzugriff isolieren. Ergänzen Sie ABAC-Richtliniendurchsetzung an der Daten-Grenze, Least-Privilege-Prinzip auf Inhaltsebene und manipulationssichere Audit-Trails — Kontrollen, die unabhängig davon greifen, ob der Agent wie ein Bot aussieht. Das Kiteworks Private Data Network liefert diese Architektur für alle Datenbewegungskanäle.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für kostengünstigen KI-Datenschutz
  • Blogbeitrag
    Wie 77% der Unternehmen bei KI-Datensicherheit scheitern
  • eBook
    KI-Governance-Lücke: Warum 91% der kleinen Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blogbeitrag
    Für Ihre Daten gibt es kein „–dangerously-skip-permissions“
  • Blogbeitrag
    Regulierungsbehörden fragen nicht mehr, ob Sie eine KI-Richtlinie haben. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks