Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > CISA hat die roten Linien für Agentic AI gezogen – die meisten sind bereits überschritten

CISA hat die roten Linien für Agentic AI gezogen – die meisten sind bereits überschritten

von Uri Kedem updated Mai 28, 2026 Cybersecurity-Risikomanagement
Lesezeit: 7 Minuten

Am 30. April und 1. Mai 2026 veröffentlichten sechs nationale Cybersicherheitsbehörden gemeinsam das 28-seitige Leitliniendokument Careful Adoption of Agentic AI Services zur Absicherung autonomer KI-Agenten – erstmals haben diese Behörden gemeinsam eine einzelne KI-Angriffsfläche adressiert. Die Sprache ist ungewöhnlich klar: Agenten dürfen keinen breiten oder uneingeschränkten Zugriff erhalten, beginnen Sie ausschließlich mit risikoarmen und nicht sensiblen Use Cases, und integrieren Sie agentische KI in das bestehende Sicherheitsmodell, statt sie als Experiment zu behandeln.

Wie bei CSO Online berichtet, betonen die Behörden, dass die strikte Einhaltung des Least-Privilege-Prinzips für agentische KI entscheidend ist – das Risiko von Privilegien steht im Mittelpunkt. Das ist für die meisten Unternehmen problematisch. Die Kiteworks Prognose 2026 ergab, dass 63 % der Unternehmen keine Zweckbindung für KI-Agenten durchsetzen können, 60 % können einen fehlverhaltenden Agenten nicht schnell beenden und 55 % können KI-Systeme nicht vom breiteren Netzwerk isolieren. Genau diese Kontrollen fordert die neue Leitlinie – sie werden damit von einer forschungsbasierten Lücke zu einer Compliance-Lücke.

wichtige Erkenntnisse

1. Die Five Eyes-Gemeinschaftsempfehlung setzt neue Maßstäbe für agentische KI.

Sechs nationale Cybersicherheitsbehörden – CISA, NSA, Australiens ASD ACSC, das Canadian Centre for Cyber Security, das britische NCSC und das neuseeländische NCSC – veröffentlichten gemeinsam Careful Adoption of Agentic AI Services. Sechs Behörden stimmen Leitlinien nicht leichtfertig ab. Die praktische Folge: „Best Practice“ wird quasi sofort zur „erwarteten Praxis“. Interne Auditoren zitieren sie. Aufsichtsbehörden verweisen darauf. Klägeranwälte legen sie Discovery-Anfragen bei. Die dokumentierte Governance-Lücke ist jetzt eine Compliance-Lücke.

2. Privilegienausweitung ist das Hauptrisiko.

Die Leitlinie stellt Least-Privilege-Umsetzung, Capability-Inventare und eng gefassten Datenzugriff an die Spitze der Kontrollanforderungen für agentische KI. Für die meisten Unternehmen ist dies problematisch: Privilegienausweitung ist genau das, was agentische KI-Implementierungen häufig verursachen. Die Kiteworks Prognose 2026 ergab, dass 63 % der Unternehmen keine Zweckbindung für KI-Agenten durchsetzen können – genau diese Kontrolle wird jetzt gefordert. Aus einer forschungsbasierten Lücke wird ein Audit-Befund, der nur darauf wartet, dokumentiert zu werden.

3. Kontinuierliche Audits sind nicht mehr optional.

Betreiber müssen die Nachvollziehbarkeit jeder Entscheidung und Handlung eines Agenten sicherstellen. Die Kiteworks Prognose 2026 ergab, dass 33 % der Unternehmen keine auditfähigen Audit-Trails haben und 61 % fragmentierte Protokolle führen, die nicht sinnvoll auswertbar sind. Ein Regulator, der den Nachweis verlangt, dass ein bestimmter Agent an einem bestimmten Tag keinen Zugriff auf einen bestimmten Datensatz hatte, akzeptiert kein „Die System-Prompt hat es untersagt“. Im Bereich Accountability scheitern die meisten Programme.

4. Fünf Risikokategorien definieren jetzt die Sicherheit agentischer KI.

Privilegien-, Design- und Konfigurations-, Verhaltens-, Struktur- sowie Accountability-Risiken bilden das neue Rahmenwerk. Jede Kategorie entspricht einer Frage, die Auditoren stellen: Wer hat autorisiert? Worauf hatte der Agent Zugriff? Können Sie das Protokoll vorlegen? Können Sie die Entscheidung erklären? Ist die Antwort darauf „Wir wissen es nicht“, erfüllt das Programm nicht den neuen Standard. Die Accountability-Kategorie ist am schwersten nachträglich umzusetzen und am wichtigsten, sie richtig zu adressieren.

5. Die Datenebene ist entscheidend.

System-Prompts sind Anweisungen, keine Kontrollen. Laufzeit-Grenzen wirken auf dem Host, nicht auf den Daten. Beides kann umgangen werden. Nur die Durchsetzung auf der Datenebene – attributbasierte Zugriffskontrollen unabhängig vom Modell, manipulationssichere Audit-Trails und kryptografische Identität – liefern Beweise, die Regulatoren auch nach einem Modell-Update oder -Austausch akzeptieren.

Sie vertrauen auf die Sicherheit Ihres Unternehmens. Aber können Sie es auch nachweisen?

Jetzt lesen

Fünf Risikokategorien, die agentische KI-Programme definieren werden

Die gemeinsame Leitlinie gliedert die Risiken agentischer KI in fünf Kategorien, wie bei CyberScoop berichtet. Jede Kategorie entspricht direkt Fragen, die Auditoren, Aufsichtsbehörden oder Gutachter stellen werden.

Privilegienrisiken. Agenten mit zu weitreichendem Zugriff verwandeln einen einzelnen Kompromittierungsfall in einen umfassenden Datenschutzverstoß. Die Leitlinie fordert Capability-Inventare, klar abgegrenzte Berechtigungen und verifizierte kryptografische Identitäten für jeden Agenten.

Design- und Konfigurationsrisiken. Fehlerhafte Einrichtung schafft Sicherheitslücken noch vor dem Go-live. Bedrohungsmodellierung, Secure-by-Design-Architektur und Konfigurationsvalidierung müssen vor der Inbetriebnahme erfolgen.

Verhaltensrisiken. Agenten verfolgen Ziele auf unvorhersehbare Weise. Zielabweichungen und irreführendes Verhalten werden explizit genannt – die Leitlinie verschweigt nicht, dass Prompt Injection ungelöst ist.

Strukturelle Risiken. Netzwerke miteinander verbundener Agenten führen zu Kaskadeneffekten. Wird der Output eines kompromittierten Agenten zum Input eines anderen, potenziert sich das Risiko. Die 55 % der Unternehmen, die KI-Systeme nicht vom Netzwerk isolieren können, haben keine Möglichkeit, diese Risikokategorie zu begrenzen.

Accountability-Risiken. Entscheidungen über intransparente Prozesse, schwer auswertbare Protokolle und Handlungsabläufe, die nachträglich nicht rekonstruierbar sind. Hier scheitern die meisten Programme. Es ist auch die Kategorie, die sich am schwersten nachträglich implementieren lässt, wenn Agenten bereits produktiv sind.

Warum System-Prompts und Laufzeit-Grenzen kein Audit bestehen

Die gemeinsame Leitlinie verlangt, dass agentische KI in bestehende zero trust-, Defense-in-Depth- und Least-Privilege-Frameworks integriert wird. System-Prompts sind Anweisungen, keine Kontrollen. Laufzeit-Grenzen wirken auf dem Host, nicht auf den Daten. Beide lassen sich durch indirekte Prompt Injection, Modell-Updates oder einen Angreifer, der die Eingaben des Agenten kontrolliert, umgehen. Grundlegende Forschung zu indirekter Prompt Injection zeigte bereits vor Jahren, dass unsichtbare Anweisungen in abgerufenen Inhalten LLM-Integrationen kompromittieren können. Das Problem ist weiterhin ungelöst, und mehrere große KI-Unternehmen haben öffentlich eingeräumt, dass es möglicherweise nie vollständig gelöst werden kann.

Das Accountability-Problem verschärft dies zusätzlich. Wird ein Modell aktualisiert, ausgemustert oder ersetzt – was häufig geschieht – verschwindet der zugehörige Audit-Trail. Ein Regulator, der in drei Jahren einen Nachweis zu einer bestimmten Agentenaktion verlangt, akzeptiert kein „Die System-Prompt hat es untersagt“. Kontrollen auf Modellebene liefern keine auditfähigen Nachweise. Kontrollen auf Laufzeitebene können keine Datenzugriffsrichtlinien durchsetzen. Nur die Datenebene erfüllt sowohl die Leitlinie als auch die Anforderungen eines Auditors – dort wird jede Zugriffsentscheidung protokolliert, jede Autorisierung verifiziert und jede Aktion einer menschlich autorisierten Sitzung zugeordnet.

Wo die Containment-Lücke heute besteht

Die fünf Containment-Kontrollen, die die Leitlinie implizit verlangt, entsprechen direkt den in der Kiteworks Prognose 2026 gemessenen Lücken:

Zweckbindung. 63 % können keine Zweckbindung für KI-Agenten durchsetzen. Die Least-Privilege-Anforderung der Leitlinie setzt dies voraus.

Kill-Switch-Funktion. 60 % können einen fehlverhaltenden Agenten nicht schnell beenden. Die Human-in-the-Loop-Anforderung der Leitlinie setzt eine echte Eingriffsmöglichkeit voraus.

Netzwerkisolation. 55 % können KI-Systeme nicht vom Netzwerk isolieren. Ohne Isolation lässt sich das strukturelle Risiko – Kaskadeneffekte über verbundene Agenten – nicht begrenzen.

Eingabevalidierung. Die Mehrheit kann KI-Eingaben nicht validieren. Indirekte Prompt Injection übersteht jede andere Kontrolle, wenn Eingaben nicht geprüft werden.

Kontinuierliches Monitoring. Rund zwei von fünf Unternehmen überwachen KI-Aktivitäten nicht kontinuierlich. Die Traceability-Anforderung der Leitlinie ist ohne dies nicht erfüllbar.

Dies sind keine Produktfehler, sondern Versäumnisse in der Governance-Architektur – es fehlt ein zentraler Ort, an dem KI-Agenten-Zugriff, Identität, Richtlinien und Audit nachweisbar durchgesetzt werden können.

Architektur statt Wunschdenken: Wo agentische KI-Governance leben muss

Die architektonische Antwort auf die Gemeinschaftsempfehlung ist Governance auf Datenebene, unabhängig vom Modell und unabhängig von der Laufzeitumgebung. Das Modell kann aktualisiert, kompromittiert oder ersetzt werden. Die Laufzeit kann umgangen werden. Nur auf der Datenebene lassen sich Zugriffsentscheidungen, Identitätsprüfung, Richtliniendurchsetzung und manipulationssichere Protokollierung für jede Agenteninteraktion garantieren – unabhängig davon, welches Modell läuft, welcher Prompt verarbeitet wird oder welches Agenten-Framework genutzt wird.

Der Kiteworks Secure MCP Server und das AI Data Gateway setzen dieses Muster um: Jede Agentenanfrage wird per OAuth 2.0 authentifiziert, anhand von ABAC-Richtlinien in der Kiteworks Data Policy Engine bewertet, mit FIPS 140-3-validierter Kryptografie verschlüsselt und in einem manipulationssicheren Audit-Trail protokolliert, der bestehende SIEM– und Compliance-Infrastrukturen speist. Das Kiteworks Private Data Network erweitert diese Governance auf E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare und APIs – unter einer Policy Engine und einem zentralen Audit-Log.

Weniger als die Hälfte der Unternehmen verfügt heute über ein zentrales AI Data Gateway – das architektonische Fundament, das die Leitlinie nun faktisch verlangt. Die darüberliegenden Kontrollen lassen sich diskutieren. Die Datenebene nicht.

Was Unternehmen vor dem nächsten Audit tun müssen

Erstens inventarisieren Sie alle Agenten. Erstellen Sie eine vollständige Übersicht aller agentischen KI-Systeme im Einsatz – interne Copilots, eingebettete SaaS-Agenten, Abteilungspiloten, Drittanbieter-Tools. Die meisten Unternehmen entdecken dabei Schatten-KI, von der sie nichts wussten. Solange die Inventur nicht abgeschlossen ist, zählt keine andere Kontrolle.

Zweitens auditieren Sie die Lücke. Vergleichen Sie die aktuellen Fähigkeiten mit den fünf Risikokategorien und identifizieren Sie, welche Kontrollen heute ein Audit nicht bestehen würden. Die meisten Unternehmen stellen fest, dass sie keine Zweckbindung durchsetzen können und keinen klaren Beendigungsweg haben. Dieses Ergebnis wird zur Roadmap für agentische KI.

Drittens setzen Sie Least-Privilege auf der Datenebene durch. Autorisierungsentscheidungen für den Zugriff von KI-Agenten auf sensible Daten müssen auf der Datenebene erfolgen – mit attributbasierten Zugriffskontrollen, die Datenklassifizierung, Gerichtsbarkeit und den menschlichen Anwender berücksichtigen, in dessen Auftrag der Agent handelt. Ein zentrales AI Data Gateway ist das architektonische Fundament, das die Leitlinie nun faktisch verlangt.

Viertens bauen Sie manipulationssichere Audit-Trails für jede Agentenaktion auf. Jede Interaktion eines Agenten mit regulierten Daten muss so protokolliert werden, dass sich nachvollziehen lässt, wer was, wann und warum autorisiert hat – über den gesamten Lebenszyklus der Daten, nicht nur des Modells.

Fünftens betrachten Sie die Gemeinschaftsempfehlung als Mindeststandard, nicht als Maximum. Unternehmen, die dem EU AI Act unterliegen, sind bei allen wichtigen KI-Kontrollen deutlich weiter. Die Leitlinie wird den Standard weltweit anheben. Seien Sie dem Standard voraus, bevor er zur Vorschrift wird – wer auf regionsspezifische Umsetzung wartet, muss Governance unter Zeitdruck nachrüsten.

Erfahren Sie mehr über die Risikominderung bei agentischer KI – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Wenden Sie die fünf Risikokategorien an: Privilegien, Design und Konfiguration, Verhalten, Struktur und Accountability. Verlangen Sie ein Capability-Inventar, Least-Privilege-Scoping, kontinuierliches Monitoring, Human-in-the-Loop-Prüfpunkte für sensible Aktionen und manipulationssichere Audit-Logs, bevor Sie die Einführung genehmigen. Die meisten agentischen KI-Projekte im Kundenservice scheitern bei der Erstprüfung an einem oder mehreren dieser Punkte – diese Lücken vor der Einführung zu erkennen, ist der Wert des Leitlinienrahmens.

Auditierbarkeit für KI-Agenten-Zugriff auf PHI hat jetzt einen benannten Bundesstandard. 63 % der Unternehmen können keine Zweckbindung für KI-Agenten durchsetzen – eine Kontrolle, die der HIPAA-Standard für das „Minimum Notwendige“ faktisch verlangt. ABAC-Durchsetzung auf Datenebene und manipulationssichere Audit-Trails erfüllen sowohl HIPAA als auch die Gemeinschaftsempfehlung.

CMMC Level 2 AC-, AU- und IA-Familien verlangen durchgesetzte Autorisierung für KI-Agenten, die CUI verarbeiten. Nur 46 % der DIB-Unternehmen sehen sich laut Kiteworks CMMC Preparedness Report 2025 vorbereitet, und die Gemeinschaftsempfehlung ergänzt zusätzliche Kontrollen für agentische KI. Governance auf Datenebene mit ABAC-Durchsetzung erfüllt alle drei Kontrollfamilien gleichzeitig und liefert die erforderlichen Nachweise für Auditoren.

Ja. Die Leitlinie gilt für jede agentische KI, die eigenständig planen, entscheiden oder handeln kann – dazu zählt Copilot bei breiten Berechtigungen. Weniger als die Hälfte der Unternehmen verfügt über ein zentrales AI Data Gateway. Ohne dieses können Copilot-Implementierungen die von der Leitlinie geforderten Least-Privilege- und Traceability-Kontrollen nicht nachweisen.

Beginnen Sie mit einer vollständigen Inventarisierung aller agentischen KI-Systeme in Ihrer Umgebung und gleichen Sie die Kontrollen mit den fünf Risikokategorien der CISA-Leitlinie ab. Die beiden häufigsten Audit-Feststellungen sind: fehlende Durchsetzung der Zweckbindung und keine Kill-Switch-Funktion. Beides lässt sich nur durch Governance auf Datenebene schließen – ABAC-Durchsetzung, FIPS 140-3-Verschlüsselung und manipulationssichere Audit-Trails – nicht durch Model-Layer-Guardrails.

Weitere Ressourcen

  • Blog Post
    Zero‑Trust-Strategien für bezahlbaren KI-Datenschutz
  • Blog Post
    Wie 77 % der Unternehmen bei KI-Datensicherheit scheitern
  • eBook
    AI Governance Gap: Warum 91 % kleiner Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blog Post
    Es gibt kein „–dangerously-skip-permissions“ für Ihre Daten
  • Blog Post
    Regulierungsbehörden fragen nicht mehr, ob Sie eine KI-Policy haben. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks