Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Agentic AIs Identitätskrise: Warum Maschinenanmeldeinformationen Ihr nächster Angriffsvektor sind

Agentic AIs Identitätskrise: Warum Maschinenanmeldeinformationen Ihr nächster Angriffsvektor sind

von Patrick Spencer updated Mai 20, 2026 Cybersecurity-Risikomanagement
Lesezeit: 10 Minuten

Wichtige Erkenntnisse

  1. KI-Agents erhalten überprivilegierte Zugangsdaten. Unternehmen gewähren Maschinenidentitäten weitreichende Zugriffsrechte, ohne für sie die gleichen Sicherheitsmaßnahmen wie für Menschen anzuwenden, etwa Rotation oder Least-Privilege-Prinzip.
  2. Forrester prognostiziert bis Ende 2026 einen größeren Vorfall. Die Einführung agentischer KI überholt die Governance, sodass ein öffentlich gemeldeter Vorfall in naher Zukunft zu erwarten ist.
  3. Adoption erreicht 100 %, Governance hinkt hinterher. Nur 37 % der Unternehmen setzen Purpose Binding durch und 40 % verfügen über Kill Switches, obwohl KI-Agents bereits weit verbreitet sind.
  4. Agents scheitern allein durch Konversation. Studien zeigen, dass Identitätsspoofing und Social Engineering Agents vollständig kompromittieren können – ganz ohne Code oder technische Exploits.

Ein Forscher änderte seinen Discord-Anzeigenamen, um mit dem Besitzer eines KI-Agents übereinzustimmen. Als er einen neuen Channel eröffnete – einen, in dem der Agent keine vorherige Interaktionshistorie hatte – akzeptierte der Agent die gefälschte Identität allein auf Basis des Anzeigenamens. Anschließend führte er jede Anweisung aus: Löschung aller persistenten Speicherdateien, Änderung des eigenen Namens und Neuzuweisung administrativer Rechte. Vollständige Kompromittierung. Kein Exploit-Code. Keine Schwachstelle. Nur ein Gespräch.

Der Agent, der seine eigene Identität löschte

Dies war Fallstudie #8 aus der Agents of Chaos-Studie, einem Forschungsprojekt von Februar 2026 mit 20 Forschern von MIT, Harvard, Stanford, CMU und weiteren Institutionen. Die Studie setzte KI-Agents in Live-Umgebungen ein und dokumentierte systematisch deren Fehlverhalten. Das Ergebnis war eindeutig: Jedes Agent-System, das sich auf präsentierte Identität statt kryptografisch gesicherte Authentifizierung verlässt, bleibt anfällig für Session-Boundary-Angriffe, bei denen der Vertrauenskontekt nicht übertragen wird.

Skalieren Sie diese Schwachstelle auf das Unternehmen: Die SANS-Institute-Umfrage vom April 2026 zeigte schlechte Credential Hygiene bei rasanter Einführung agentischer KI und warnte, dass der Automatisierungsdrang grundlegende Identitätsschutzmaßnahmen überholt. Forrester hatte bereits gewarnt – mindestens ein öffentlich gemeldeter Datenschutzverstoß durch agentische KI bis Ende 2026 ist zu erwarten – und macht daraus ein aktuelles, nicht nur theoretisches Risiko.

5 Wichtige Erkenntnisse

1. KI-Agents erhalten Zugangsdaten, die Menschen nie bekommen würden.

Die Ergebnisse des SANS Institute zeigen, dass schlechte Credential Hygiene mit der schnellen Einführung agentischer KI zunimmt. Maschinenidentitäten erhalten weitreichende Zugriffsrechte bei minimaler Kontrolle. Nur 19 % der Unternehmen stufen KI-Agents als gleichwertig mit menschlichen Insidern ein – obwohl 44 % davon ausgehen, dass böswillige Nutzung von KI-Agents das Risiko von Datendiebstahl erhöht. Diese Klassifizierungslücke bedeutet, dass Agents außerhalb der Identity-Governance-Rahmen agieren, die menschliche Anwender einschränken.

2. Forrester prognostiziert mindestens einen größeren Datenschutzverstoß durch agentische KI bis Ende 2026.

Dies ist kein theoretisches Risiko mehr – es ist ein erwartetes Ereignis mit klarer Zeitangabe. Die Governance-Lücke ist messbar: 100 % der befragten Unternehmen haben agentische KI auf ihrer Roadmap, aber nur 37 % setzen Purpose Binding durch und nur 40 % haben Kill Switches implementiert, um fehlverhaltende Agents zu stoppen.

3. 100 % der befragten Unternehmen haben agentische KI auf ihrer Roadmap – aber nur 37 % setzen Purpose Binding durch.

Der Kiteworks 2026 Forecast dokumentiert die größte Lücke zwischen Einführung und Governance aller erfassten Technologiekategorien. 63 % können keine Zweckbindung durchsetzen, 60 % können einen fehlverhaltenden Agent nicht beenden und 55 % können KI-Systeme nicht vom restlichen Netzwerk isolieren. Behörden sind am schlechtesten aufgestellt: 90 % fehlt Purpose Binding und 33 % haben keinerlei dedizierte KI-Datenkontrollen.

4. KI-Agents können allein durch Konversation kompromittiert werden.

Die Agents of Chaos-Studie (Februar 2026, 20 Forscher von MIT, Harvard, Stanford, CMU u.a.) dokumentierte Identitätsspoofing, Cross-Agent-Propagation und vollständige Übernahme der Governance – alles ohne eine einzige Zeile Exploit-Code. Modellbasierte Schutzmechanismen versagten unter adversen Bedingungen durchgängig. Nur Governance auf Datenebene übersteht eine Agent-Kompromittierung.

5. Maschinenidentitäts-Governance ist jetzt regulatorische Pflicht, kein DevOps-Hygiene-Thema.

Die Deadline des EU AI Act im August 2026, 19 US-Bundesstaaten mit umfassenden Datenschutzgesetzen und Compliance-Rahmen wie NIST 800-171 und CMMC betreffen Identität, Purpose Binding und Audit-Trails von KI-Agents. Ungeregelte KI-Agents schaffen Compliance-Risiken auf allen Ebenen – nicht nur Sicherheitsrisiken.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber können Sie es nachweisen?

Jetzt lesen

Die Credential-Lücke, über die die Branche nicht spricht

Die SANS-Ergebnisse sind eindeutig: Unternehmen, die KI-Agents für API-, Data-Warehouse- und Kollaborationssysteme einsetzen, vergeben Zugangsdaten an diese Agents, ohne die Identitätshygiene anzuwenden, die sie von menschlichen Mitarbeitern verlangen würden. Secrets Vaults werden kaum genutzt. Automatisierte Credential-Rotation ist selten. Least-Privilege-Prinzip ist die Ausnahme, nicht die Regel.

Der DTEX/Ponemon Insider Threat Report 2026 quantifiziert diesen blinden Fleck: Nur 19 % der Unternehmen stufen KI-Agents als gleichwertig mit menschlichen Insidern ein, obwohl 44 % erwarten, dass böswillige Nutzung von KI-Agents das Risiko von Datendiebstahl erhöht. Diese Lücke bedeutet, dass KI-Agents außerhalb der Identity-Governance-Rahmen agieren, die menschliche Anwender einschränken – mit Zugriffsrechten, die systemübergreifend sind und kein Mensch erhalten würde.

Der SpyCloud Identity Exposure Report 2026 ergänzt die kriminelle Dimension: 18,1 Millionen kompromittierte API-Keys und Tokens sowie 6,2 Millionen KI-Tool-Zugangsdaten und Authentifizierungs-Cookies wurden in kriminellen Untergrundquellen gefunden. Werden KI-Agent-Zugangsdaten kompromittiert, reicht der Schaden weit über ein einzelnes Konto hinaus – da Agents oft systemübergreifende Rechte besitzen, die kein Mensch je hätte. Dies ist genau das Data-Loss-Szenario, das Credential Governance verhindern soll – angewandt auf eine Identitätskategorie, die viele Programme noch gar nicht klassifizieren.

100 % Einführung, 37 % Governance

Der Kiteworks 2026 Data Security, Compliance and Risk Forecast Report liefert die deutlichste Quantifizierung der Lücke zwischen Einführung und Governance. Jedes befragte Unternehmen – 100 % – hat agentische KI auf der Roadmap. Die Einsatzbereiche reichen von internen Copilots (39 % vorhanden oder geplant) über Datei- und Dokumentengenerierung (34 %), Datenextraktion und -anreicherung (34 %), E-Mail-Erstellung (33 %) bis zu autonomen Workflow-Agents (33 %).

Doch die Governance-Kontrollen hinken dramatisch hinterher. Nur 37 % setzen Purpose Binding für KI-Agents durch. Nur 40 % haben Kill Switches implementiert, um fehlverhaltende Agents zu stoppen. 63 % können keine Zweckbindung durchsetzen, 60 % können einen fehlverhaltenden Agent nicht beenden und 55 % können KI-Systeme nicht vom restlichen Netzwerk isolieren.

Behörden haben die größte Lücke: 90 % fehlt Purpose Binding für KI-Agents, 76 % fehlt ein Kill Switch, und 33 % haben keinerlei dedizierte KI-Kontrollen. Dabei verarbeiten diese Organisationen klassifizierte Informationen, CUI, Polizeidaten und kritische Infrastrukturdaten – und ihre KI-Agents arbeiten mit weniger Kontrollen als ein Besucher-Badge.

Der WEF Global Cybersecurity Outlook 2026 bestätigt dies auf Makroebene: Rund 33 % der Unternehmen haben keinen Prozess, um KI-Sicherheit vor dem Einsatz zu validieren. Ohne starke Governance können Agents übermäßige Rechte ansammeln, durch Designfehler oder Prompt Injections manipuliert werden oder Fehler im großen Stil verbreiten.

Wie KI-Agents tatsächlich scheitern: Die Forschung

Die Agents of Chaos-Studie dokumentierte Fehlermuster, die die meisten Unternehmenssicherheitsteams nie bedacht haben – weil sie nicht in klassische Schwachstellenkategorien passen. Es handelt sich nicht um Code-Exploits, sondern um Governance-Versagen in Systemen, die autonom agieren können.

Identitätsspoofing funktionierte über Channel-Grenzen hinweg. Als der Forscher die Identität des Besitzers in einem neuen Channel vortäuschte (Fallstudie #8), hatte der Agent keinen Zugriff auf vorherige Interaktionen oder Warnhinweise. Er akzeptierte die gefälschte Identität und führte Anweisungen zur Löschung aller persistenten Dateien und zur Neuzuweisung administrativer Rechte aus. Jeder KI-Agent, dessen Identitätsprüfung auf Kontext basiert, der nicht sitzungsübergreifend übertragen wird, ist grundsätzlich kompromittierbar.

Cross-Agent-Propagation verbreitete die Kontrolle des Angreifers. In Fallstudie #10 platzierte ein Nicht-Besitzer eine extern bearbeitbare „Verfassung“ – eine Reihe von Verhaltensregeln auf einem vom Angreifer kontrollierten Dokument – im Speicher eines Agents. Der Agent teilte den Link zur Verfassung freiwillig mit einem anderen Agent, ohne dazu aufgefordert zu werden. Wissenstransfer zwischen Agents kann Schwachstellen ebenso wie Fähigkeiten weitergeben.

Ressourcenerschöpfung erforderte keinerlei technische Fähigkeiten. In Fallstudie #6 bat ein Angreifer den Agent einfach, immer aufwendigere Operationen auszuführen, bis alle Ressourcen verbraucht waren. Der Agent hatte kein Gefühl für Verhältnismäßigkeit – keine Schwelle, ab der Selbstschutz Vorrang hat.

Social Engineering funktionierte allein durch Konversation. In mehreren Fallstudien erreichten Forscher Offenlegung sensibler Informationen, unautorisierte Aktionen und Governance-Übernahme allein durch natürliche Sprache. Kein Code Injection, keine Prompt Injection Payloads, keine technischen Exploits. Der CrowdStrike 2026 Global Threat Report dokumentierte einen Anstieg KI-gestützter Angriffe um 89 %. Wenn Agents selbst das Ziel sind, ist die Angriffsfläche das Gespräch.

Die regulatorischen Mauern schließen sich

Die Governance-Lücke wäre schon für sich genommen besorgniserregend. Der regulatorische Zeitplan macht sie dringend.

Die stufenweise Umsetzung des EU AI Act läuft auf Fristen im Jahr 2026 hinaus. Für Hochrisiko-KI-Systeme sind bis etwa August 2026 Konformitätsbewertungen und Governance-Rahmen verpflichtend. Systeme für Personalentscheidungen, Kreditvergabe, Strafverfolgung und kritische Infrastruktur unterliegen Dokumentations-, Transparenz- und menschlichen Kontrollpflichten. Ein KI-Agent, der seine Identität, Purpose Binding oder einen Audit-Trail seiner Datenzugriffe nicht nachweisen kann, ist per Definition nicht konform.

In den USA gelten in 19 Bundesstaaten umfassende Datenschutzgesetze, die sich in Anforderungen an Datenminimierung, Zweckbindung und automatisierte Entscheidungsfindung überschneiden – alles Aspekte, die KI-Agents direkt betreffen. Der Thales Data Threat Report 2026 zeigt: KI-Sicherheit ist inzwischen die zweithöchste Ausgabenpriorität, direkt nach Cloud-Sicherheit – und die Audit-Performance korreliert direkt mit der Datenschutzverstoß-Historie. Nur 6 % der Unternehmen, die einen Audit nicht bestanden, melden keine Datenschutzvorfälle, verglichen mit 30 % derer, die alle Audits bestanden haben.

Kiteworks: Governance für KI auf der Datenebene, nicht auf der Modellebene

Statt zu versuchen, den Agent selbst abzusichern – ein Ansatz, den die Agents of Chaos-Studie als unzuverlässig entlarvt hat – steuert Kiteworks die Daten, auf die der Agent zugreift.

Der Kiteworks Secure MCP Server ermöglicht KI-Assistenten den Zugriff auf Unternehmensdateien über gesteuerte Kanäle, wobei jede Anfrage authentifiziert, mit attributbasierten Zugriffskontrollen autorisiert, mit FIPS 140-3-validierter Kryptografie verschlüsselt und in einem manipulationssicheren Audit-Trail protokolliert wird. Das AI Data Gateway bietet dieselbe Governance für programmatische KI-Workflows – RAG-Pipelines, Datenextraktion und -anreicherung – über REST-APIs.

Das Architekturprinzip ist entscheidend: Selbst wenn ein KI-Agent durch Prompt Injection, Identitätsspoofing oder böswillige Skill-Installation kompromittiert wird, begrenzt Kiteworks den Schaden, weil die Datenebene die Richtlinien unabhängig vom Modell durchsetzt. Der Agent kann nur auf Daten zugreifen, die seine Richtlinie erlaubt – unabhängig davon, welche Anweisungen er erhält. Jede Interaktion erzeugt ein Beweispaket – wer hat was, unter welcher Richtlinie, mit welcher Verschlüsselung und welchem Audit-Trail abgerufen – das Auditoren zufriedenstellt, ohne dass eine Untersuchung nötig ist.

Für Unternehmen, die sensiblen Datenaustausch auch außerhalb von KI-Workflows steuern, konsolidiert das Kiteworks Private Data Network sichere E-Mail, Filesharing, SFTP, MFT und KI-Integrationen unter einer Policy Engine und einem zentralen Audit-Log – mit Single-Tenant-Architektur, sodass die KI-Governance eines Unternehmens nie durch die Konfiguration eines anderen Mandanten kompromittiert wird.

Was Unternehmen tun müssen, bevor die Forrester-Prognose eintritt

Erstens sollten Sie KI-Agent-Identitäten als vollwertige Identitäten im IAM-Programm behandeln. Jeder Agent benötigt eine eindeutige Identität, klar definierte Berechtigungen und einen Credential-Lebenszyklus mit automatisierter Rotation, Secrets Vaulting und Widerrufsverfahren. Das SANS Institute empfiehlt explizit Secrets Vaults, automatisierte Credential-Rotation und strikt begrenzte Least-Privilege-Zugriffe.

Zweitens erstellen Sie jetzt ein KI-Inventar. Katalogisieren Sie jeden KI-Agent, Copilot und automatisierten Workflow mit Zugriff auf Unternehmensdaten – einschließlich Schatten-Deployments. Der DTEX-Report zeigt, dass Shadow AI inzwischen Haupttreiber für fahrlässige Insider-Vorfälle ist, mit Kosten von 19,5 Millionen US-Dollar pro Jahr und Unternehmen. Sie können nur steuern, was Sie kennen.

Drittens implementieren Sie Kill Switches und Purpose Binding für jeden KI-Agent mit Zugriff auf regulierte Daten. Der Kiteworks 2026 Forecast zeigt: 60 % der Unternehmen können einen fehlverhaltenden Agent nicht beenden. Diese Zahl muss bis zur EU-AI-Act-Deadline im August 2026 auf null sinken.

Viertens etablieren Sie Governance auf Datenebene, die unabhängig vom KI-Modell funktioniert. Die Agents of Chaos-Studie hat gezeigt, dass Modellkontrollen unter adversen Bedingungen versagen. Authentifizierung, Autorisierung, Verschlüsselung und Audit-Logging am Datenzugriffspunkt sind die einzigen Kontrollen, die eine Agent-Kompromittierung überstehen.

Fünftens führen Sie adversarial Testing gegen Ihre KI-Agents durch. Die Agents of Chaos-Forscher kompromittierten Agents durch Konversation, Anzeigenamenänderungen und extern gehostete Dokumente. Wenn Ihr Red Team diese Angriffsvektoren nie getestet hat, besteht eine ungetestete Angriffsfläche zu Ihren sensibelsten Daten.

Die Forrester-Prognose ist keine Warnung vor der Zukunft. Sie beschreibt die Gegenwart, die noch nicht öffentlich wurde. Die Unternehmen, die jetzt den Datenzugriff ihrer KI-Agents steuern – mit kryptografischer Identität, zweckgebundenen Berechtigungen und manipulationssicheren Audit-Trails – werden die erste Welle agentischer KI-Vorfälle überstehen, ohne zur Schlagzeile zu werden.

Erfahren Sie mehr über die Sicherung und Governance von KI-Workflows – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

KI-Agents, die Finanzberichte automatisieren, verfügen typischerweise über weitreichenden Zugriff auf ERP-Systeme, Data Warehouses und Dateirepositorys – oft mit statischen Zugangsdaten, die selten rotiert werden. SANS warnt explizit, dass die Einführung agentischer KI den Identitätsschutz überholt. Finanzdaten-Agents benötigen Secrets Vaults, automatisierte Credential-Rotation, Least-Privilege-Prinzip und Audit-Logging – dieselben Kontrollen wie privilegierte menschliche Konten.

Die Agents of Chaos-Studie zeigt, dass KI-Agents, die sich auf präsentierte statt kryptografische Identität verlassen, anfällig für Cross-Channel-Spoofing sind. In juristischen Umgebungen, in denen Copilots privilegierte Kommunikation verarbeiten, kann eine gefälschte Identität geschützte Informationen extrahieren, ohne Audit-Kontrollen auszulösen. Juristische KI-Deployments erfordern kryptografisch gesicherte Identität, Purpose Binding und manipulationssichere Audit-Trails – alles auf Datenebene, nicht auf Modellebene durchgesetzt.

Beginnen Sie mit einem KI-Inventar, das jeden Agent mit den genutzten Daten, Risikokategorie und aktuellen Governance-Kontrollen abbildet. Der EU AI Act verlangt Konformitätsbewertungen, Dokumentation und menschliche Kontrollmechanismen für Hochrisiko-Systeme. Da laut Kiteworks 2026 Forecast 63 % der Unternehmen keine Zweckbindung für KI-Agents durchsetzen können, bestehen direkte Compliance-Lücken. AI Data Gateway und Secure MCP Server bieten die Audit- und Policy-Infrastruktur, die das Gesetz fordert.

KI-Agents mit Zugriff auf CUI müssen NIST 800-171-Kontrollen für Identifikation und Authentifizierung (IA), Zugriffskontrolle (AC) sowie Audit und Verantwortlichkeit (AU) erfüllen. Überprovisionierte Agent-Zugangsdaten oder fehlende Audit-Trails sind direkte Kontrollversäumnisse. Behörden haben die größte Governance-Lücke bei KI – 90 % fehlt Purpose Binding für Agents – und sollten dies vor der Zertifizierung priorisieren.

Governance auf Modellebene versucht, Agents durch Prompt-Beschränkungen und Verhaltensregeln zu steuern. Die Agents of Chaos-Studie zeigte, dass diese Kontrollen unter adversen Bedingungen versagen – Identitätsspoofing und Social Engineering umgehen sie regelmäßig. Datenebenen-Governance, wie von Kiteworks umgesetzt, erzwingt Authentifizierung, Autorisierung, Verschlüsselung und Audit-Logging direkt am Datenzugriffspunkt – so greifen Richtlinien auch bei kompromittiertem Agent.

Weitere Ressourcen

  • Blog Post
    Zero‑Trust-Strategien für erschwinglichen KI-Datenschutz
  • Blog Post
    Wie 77 % der Unternehmen bei KI-Datensicherheit scheitern
  • eBook
    AI Governance Gap: Warum 91 % kleiner Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blog Post
    Es gibt kein „–dangerously-skip-permissions“ für Ihre Daten
  • Blog Post
    Regulierungsbehörden fragen nicht mehr, ob Sie eine KI-Policy haben. Sie wollen den Nachweis, dass sie funktioniert.

Häufig gestellte Fragen

Die Studie zeigte, dass ein KI-Agent eine gefälschte Identität allein auf Basis eines geänderten Discord-Anzeigenamens in einem neuen Channel ohne vorherige Historie akzeptierte. Dadurch war eine vollständige Kompromittierung allein durch Konversation möglich – inklusive Löschung von Speicherdateien und Neuzuweisung administrativer Rechte. Das verdeutlicht Schwächen bei der sitzungsbasierten Identitätsprüfung.

SANS hebt schlechte Credential Hygiene bei rasanter Einführung agentischer KI hervor: Agents erhalten oft weitreichende Zugriffsrechte bei minimaler Kontrolle. Nur 19 % der Unternehmen stufen KI-Agents als gleichwertig mit menschlichen Insidern ein, sodass sie außerhalb etablierter Identity-Governance-Rahmen wie Secrets Vaults und automatisierter Rotation agieren.

Obwohl 100 % der befragten Unternehmen agentische KI auf ihrer Roadmap haben, setzen nur 37 % Purpose Binding durch und 40 % haben Kill Switches implementiert. Zudem können 63 % keine Zweckbindung durchsetzen, 60 % keine fehlverhaltenden Agents beenden und 55 % KI-Systeme nicht vom Netzwerk isolieren.

Rahmenwerke wie der EU AI Act (Deadline August 2026), NIST 800-171 und CMMC verlangen Nachweis von Identität, Purpose Binding und Audit-Trails für Hochrisiko-KI-Systeme. Ungeregelte Agents schaffen Compliance-Risiken, da ihnen oft die nötigen Kontrollen für Dokumentation des Datenzugriffs und menschliche Kontrolle fehlen.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks