Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Der Angreifer ist bereits im Gebäude

Der Angreifer ist bereits im Gebäude

von Tim Freestone updated März 20, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Hier ist ein Szenario, auf das niemand vorbereitet war. Ein Finanzdienstleister setzt einen KI-Agenten ein, um die vierteljährliche Berichterstattung für Mandanten zu automatisieren. Der Agent zieht Marktdaten, SEC-Meldungen, Portfolio-Performance. Dann greift er auf etwas zu, das er nicht hätte berühren dürfen – eine eingeschränkte Mandantendatei in einem Ordner, der zwei Ebenen über seinem vorgesehenen Zugriff liegt. Er liest die Datei, kopiert den Inhalt in den Berichtsentwurf und sendet diesen an die Compliance-Queue. Drei Tage lang bemerkt niemand etwas.

Wichtige Erkenntnisse

  1. Jedes im Kiteworks 2026 Data Security and Compliance Risk Forecast Report befragte Unternehmen hat agentische KI auf seiner Roadmap, und 51% haben bereits Agenten im Einsatz. Dennoch können 63% keine Zweckbindung für die Befugnisse ihrer Agenten durchsetzen, und 60% können einen fehlverhaltenden Agenten nicht beenden. Unternehmen implementieren KI-Agenten schneller, als sie diese steuern können.
  2. Eine Red-Team-Studie im Februar 2026, durchgeführt von 20 Forschern aus Harvard, MIT, Stanford, Carnegie Mellon und anderen Institutionen, dokumentierte, wie KI-Agenten eigenständig E-Mails löschten, sensible Daten wie Sozialversicherungsnummern exfiltrierten und unautorisierte Aktionen in einer Live-Umgebung auslösten – ohne dass Anwender einen wirksamen Not-Aus-Schalter melden konnten. Die Studie ordnete diese Vorfälle direkt fünf der OWASP Top 10 für LLM-Anwendungen zu.
  3. Modellbasierte Schutzmechanismen – Systemprompts, Fine-Tuning, Sicherheitsfilter – sind keine Compliance-Kontrollen. Sie lassen sich durch Prompt Injection, Modell-Updates oder indirekte Manipulation umgehen. Der Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums warnt: Ohne starke Governance können Agenten zu viele Privilegien ansammeln und Fehler in großem Umfang verbreiten. Nur die Durchsetzung auf Datenebene, unabhängig vom Modell, stellt eine revisionssichere Kontrolle dar.
  4. Unternehmen ohne prüfbare Audit-Trails liegen laut Kiteworks 2026 Forecast Report bei jedem KI-Reifegrad-Metrik 20 bis 32 Punkte zurück. Dennoch fehlen bei 33% Audit-Trails komplett, und 61% betreiben fragmentierte Datenbewegungs-Infrastrukturen, die keine sinnvollen Nachweise liefern können. Die Audit-Trail-Lücke ist der stärkste Indikator für mangelnde KI-Governance – stärker als Branche, Region oder Unternehmensgröße.
  5. Kiteworks Compliant AI ist die erste Governance-Lösung auf Datenebene, die attributbasierte Zugriffskontrolle (ABAC), FIPS 140-3-validierte Verschlüsselung und manipulationssichere Audit-Protokollierung für jede KI-Agenten-Interaktion mit regulierten Daten durchsetzt – unabhängig vom Modell, Prompt oder Agenten-Framework. Drei speziell entwickelte Governed Agent Assists stehen als compliance-fähige Workflows für Ordneroperationen, Dateimanagement und Formularerstellung in HIPAA-, CMMC-, PCI-, SEC- und SOX-Umgebungen bereit. Die Lösung basiert auf dem MCP-Standard und funktioniert mit jeder MCP-kompatiblen KI-Plattform, einschließlich Claude und Copilot.

Dies ist kein hypothetischer Fall. Es ist das Muster, das in einer Red-Team-Studie vom Februar 2026 dokumentiert wurde, durchgeführt von 20 Forschern aus Harvard, MIT, Stanford, Carnegie Mellon und weiteren Institutionen. Über zwei Wochen testeten die Forscher KI-Agenten in einer Live-Umgebung – nicht in einer Sandbox – und stellten fest, dass Agenten regelmäßig ihre Autorisierungsgrenzen überschritten, sensible Informationen über Umwege preisgaben und irreversible Aktionen auslösten, ohne zu erkennen, dass sie Schaden anrichteten. Ein Agent löschte die gesamte E-Mail-Infrastruktur seines Besitzers, um ein kleines Geheimnis zu vertuschen. Ein anderer gab Sozialversicherungsnummern, Bankdaten und medizinische Unterlagen preis, als er gebeten wurde, eine E-Mail weiterzuleiten, anstatt deren Inhalt zu extrahieren.

Das Fazit der Studie war eindeutig: Die heutigen agentischen Systeme fehlen die Grundlagen – verlässliche Identitätsprüfung, klare Autorisierungsgrenzen und Verantwortlichkeitsstrukturen –, auf denen sinnvolle Governance aufbaut.

Die Governance-Lücke in Zahlen

Der Kiteworks 2026 Data Security and Compliance Risk Forecast Report befragte 225 Sicherheits-, IT- und Risikoverantwortliche aus 10 Branchen und 8 Regionen. Die Ergebnisse zeigen eine strukturelle Diskrepanz zwischen der Geschwindigkeit der KI-Einführung und der Governance-Bereitschaft.

Jedes befragte Unternehmen – 100% – hat agentische KI auf seiner Roadmap. Über die Hälfte hat bereits Agenten im Produktivbetrieb. Ein Drittel plant autonome Workflow-Agenten – Systeme, die ohne menschliche Freigabe für jeden Schritt agieren. Ein Viertel plant entscheidungsfähige Agenten. Das sind keine Chatbots. Es sind Systeme, die auf sensible Daten zugreifen, mit kritischer Infrastruktur integriert sind und Geschäftslogik eigenständig ausführen.

Doch die Kontrollmechanismen, die diese Agenten steuern sollten, hinken deutlich hinterher. Zweckbindung – die Fähigkeit, die Befugnisse von Agenten zu begrenzen – liegt nur bei 37%. Not-Aus-Funktion – die Möglichkeit, einen fehlverhaltenden Agenten schnell zu stoppen – liegt bei 40%. Netzwerktrennung – die Fähigkeit, laterale Bewegungen zu verhindern – liegt bei 45%. Das ist eine Lücke von 15 bis 20 Punkten zwischen den Governance-Kontrollen, in die Unternehmen investiert haben (Monitoring, menschliche Überwachung), und den Containment-Kontrollen, die sie tatsächlich benötigen.

Im öffentlichen Sektor sieht es noch schlechter aus. Laut Kiteworks Forecast Report fehlt bei 90% der Behörden die Zweckbindung, 76% haben keine Not-Aus-Funktion, und 33% verfügen über keinerlei dedizierte KI-Kontrollen – obwohl sie Bürgerdaten und kritische Infrastruktur verwalten.

Der Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums unterstreicht die Dringlichkeit aus einer anderen Perspektive: 87% der Unternehmen sehen KI-bezogene Schwachstellen inzwischen als das am schnellsten wachsende Cyberrisiko. Datenabflüsse durch generative KI haben 2026 die Weiterentwicklung gegnerischer Fähigkeiten als Hauptsorge abgelöst – eine Umkehr zum Vorjahr. Das Risikoprofil hat sich verschoben: Nicht mehr, was Angreifer mit KI tun können, sondern was die eigene KI anrichten kann. Unternehmen setzen Agenten ein, die sie weder einschränken, noch prüfen oder stoppen können.

Warum modellbasierte Schutzmechanismen keine Compliance-Kontrollen sind

Die erste Reaktion auf unregulierte KI-Agenten ist oft, Schutzmechanismen auf Modellebene hinzuzufügen. Einen restriktiveren Systemprompt schreiben. Das Modell so feinabstimmen, dass es bestimmte Anfragen ablehnt. Sicherheitsfilter auf die Ausgaben legen.

Die Agents of Chaos-Studie hat all diese Schutzmechanismen getestet und dokumentiert, wie sie versagen. Agenten, die eine direkte Anfrage nach sensiblen Daten ablehnten, erfüllten die Aufgabe, wenn sie gebeten wurden, den Container mit diesen Daten weiterzuleiten. Agenten, die Identitätsfälschungen in einem Kanal erkannten, akzeptierten dieselbe gefälschte Identität in einem neuen Kanal. Ein Angreifer platzierte eine externe Verhaltens-„Verfassung“ im Speicher eines Agenten, und dieser teilte sie freiwillig mit einem zweiten Agenten – wodurch die Angriffsfläche ohne weiteres Zutun des Angreifers erweitert wurde.

Die Forscher ordneten diese Schwachstellen direkt fünf der OWASP Top 10 für LLM-Anwendungen zu: Prompt Injection, Offenlegung sensibler Informationen, übermäßige Handlungsfreiheit, Systemprompt-Leakage und unbegrenzte Ressourcennutzung. Das sind keine Randfälle, sondern strukturelle Merkmale der Arbeitsweise von Agenten auf Basis großer Sprachmodelle.

Ein Regulator akzeptiert nicht „unser Modell wurde angewiesen, dies nicht zu tun“ als Nachweis für Zugriffskontrolle. Systemprompts sind nicht revisionssicher. Fine-Tuning ist nicht durch Dritte überprüfbar. Sicherheitsfilter greifen auf Ausgabeschicht, nicht auf Datenzugriffsebene. Keine dieser Mechanismen liefert die Nachweise – Zugriffsprotokolle, Richtliniendokumentation, Verschlüsselungsnachweise, Delegationsaufzeichnungen –, die HIPAA, CMMC, PCI oder SOX verlangen.

Die Audit-Trail-Lücke: Der stärkste Indikator für Governance-Versagen bei KI

Wenn es eine Erkenntnis aus dem Kiteworks 2026 Forecast Report gibt, die die Priorisierung von KI-Governance in Unternehmen verändern sollte, dann diese: Die Qualität des Audit-Trails ist der entscheidende Faktor.

Unternehmen ohne prüfbare Audit-Trails liegen bei jeder KI-Reifegrad-Metrik 20 bis 32 Punkte zurück. Sie verfügen nur halb so häufig über die Fähigkeit zur Wiederherstellung von KI-Trainingsdaten (26% vs. 58%). Sie liegen 20 Punkte bei der Zweckbindung und 26 Punkte bei menschlicher Überwachung zurück. Das sind keine marginalen Unterschiede – sie stehen für grundlegend unterschiedliche Reifegrade.

Dennoch fehlen bei 33% der Unternehmen prüfbare Audit-Trails vollständig. Und das Problem sind nicht nur fehlende Protokolle, sondern fragmentierte. Nur 39% der Unternehmen verfügen über eine einheitliche Datenbewegung mit Durchsetzung. Die übrigen 61% betreiben partielle, kanalbezogene oder minimale Ansätze – getrennte Systeme für E-Mail, Filesharing, Managed File Transfer, Cloud-Speicher und KI-Tools, die jeweils Protokolle in eigenem Format und mit eigener Aufbewahrungsrichtlinie erzeugen. Im Vorfall oder bei einer Prüfung verbringen Sicherheitsteams Stunden oder Tage damit, Protokolle manuell über Systeme hinweg zu korrelieren.

Der Zusammenhang zwischen Audit-Trail-Qualität und KI-Governance-Reife ist stärker als Branche, Region oder Unternehmensgröße. Unternehmen, die Governance ernst nehmen, beginnen mit der Fähigkeit, nachzuweisen, was passiert ist. Unternehmen, die das nicht können, liegen in allen anderen Bereichen zurück.

Governance auf Datenebene: Die einzige Ebene, die KI-Agenten nicht umgehen können

Das Muster dieser Datenpunkte läuft auf eine einzige architektonische Anforderung hinaus: Governance muss auf der Datenebene durchgesetzt werden – unabhängig vom KI-Modell, Prompt und Agenten-Framework.

Das ist das Prinzip hinter Kiteworks Compliant AI, das im März 2026 als erste speziell für KI-Agenten-Governance entwickelte Governance-Lösung auf Datenebene vorgestellt wurde. Kiteworks erzwingt vier unverhandelbare Kontrollpunkte, bevor ein KI-Agent auf regulierte Daten zugreifen, sie bewegen oder bearbeiten darf.

Erstens wird jeder Agent authentifiziert und mit dem menschlichen Autorisierer verknüpft, der den Workflow delegiert hat. Die Delegationskette wird im Audit-Protokoll dokumentiert und erfüllt die Anforderungen an „autorisierte Personen“ gemäß HIPAA, CMMC und SOX. Zweitens prüft die Kiteworks Data Policy Engine (DPE) jede Datenanfrage anhand der Agentenidentität, Datenklassifizierung, des Kontexts und der angeforderten Operation – und erzwingt minimal nötigen Zugriff auf Operationsebene durch attributbasierte Zugriffskontrolle. Ein Agent, der zum Lesen eines Ordners berechtigt ist, darf nicht automatisch dessen Inhalte herunterladen.

Drittens werden alle vom Agenten genutzten Daten während der Übertragung und im ruhenden Zustand mit FIPS 140-3-validierten kryptografischen Modulen verschlüsselt – nicht nur TLS, sondern Verschlüsselung, die den Anforderungen von Bundesprüfungen genügt. Viertens wird jede Agenten-Interaktion in einem manipulationssicheren Protokoll erfasst, das direkt ins SIEM des Unternehmens eingespeist wird – inklusive Autorisierer, abgerufener Daten, Richtlinie und Zeitpunkt.

Wird das Modell kompromittiert, aktualisiert oder manipuliert, setzt Kiteworks weiterhin die Richtlinien durch. Das ist der Unterschied zwischen Compliance-Theater und echter Compliance.

Drei Governed Agent Assists: Compliance-fähige KI-Workflows

Kiteworks Compliant AI liefert drei speziell entwickelte Governed Agent Assists – eigenständige, compliance-fähige Workflows auf Basis des Model Context Protocol (MCP), die Ende-zu-Ende von der Kiteworks Data Policy Engine (DPE) gesteuert werden.

Der Governed Folder Operations Assist ermöglicht KI-Agenten, Ordnerhierarchien per natürlicher Sprache zu navigieren, anzulegen, zu verschieben und zu löschen – jede Aktion wird durch Richtlinien gesteuert. Ordnerstrukturen übernehmen automatisch RBAC- und ABAC-Kontrollen und erfüllen so CUI-Trennungsanforderungen nach CMMC, Akten-Trennung nach HIPAA und Audit-Workspace-Provisionierung in regulierten Branchen.

Der Governed File Management Assist gibt Agenten Kontrolle über den gesamten Datenlebenszyklus – Hochladen, Herunterladen, Lesen, Erstellen, Verschieben und Löschen von Dateien – wobei jede Aktion durch die DPE durchgesetzt wird. Dies erfüllt Aufbewahrungsfristen nach NARA und SOX, Mindestzugriffsstandards nach HIPAA und Löschanforderungen nach PCI.

Der Governed Forms Creation Assist ermöglicht Agenten, gesteuerte Datenerfassungsformulare aus natürlichen Sprachbeschreibungen zu generieren, wobei alle Einreichungen in richtliniengesteuertem Speicher landen. Dies adressiert KYC- und CDD-Prozesse im Bankwesen, HIPAA-Einwilligungsformulare im Gesundheitswesen und FISMA-Vorfallberichte im öffentlichen Sektor.

Die Entscheidung ist binär

Der CrowdStrike 2026 Global Threat Report dokumentiert einen Anstieg KI-gestützter Angriffe um 89% im Jahresvergleich. Die Anthropic-Offenlegung Ende 2025 bestätigte den ersten bekannten Fall einer chinesischen, staatlich unterstützten Gruppe, die KI-Agenten-Schwärme für Cyber-Spionage einsetzte – wobei KI 80 bis 90% der taktischen Arbeit bei rund 30 Zielen übernahm. Die Bedrohung kommt von beiden Seiten: Angreifer setzen KI-Agenten gegen Ihr Unternehmen ein, und Ihre eigenen Agenten greifen ohne ausreichende Kontrollen auf regulierte Daten zu.

Unternehmen, die den Datenzugriff von KI-Agenten auf der Datenebene steuern, können bei Audits Compliance nachweisen. Sie liefern vollständige Nachweispakete – Delegationsketten, ABAC-Richtlinien, Verschlüsselungszertifikate, manipulationssichere Audit-Exporte – in Stunden, nicht Wochen. Sie setzen KI mit Geschwindigkeit ein, weil Compliance in die Architektur integriert ist und nicht als manuelle Prüfung nachträglich hinzugefügt wird. Kiteworks Compliant AI ist ab sofort für Unternehmen und Behörden weltweit verfügbar, basiert auf dem MCP-Standard und ist mit jeder MCP-kompatiblen KI-Plattform nutzbar, einschließlich Claude und Copilot.

Unternehmen, die das nicht tun, werden die gleiche Lektion auf die harte Tour lernen – meist durch Vorfall, Untersuchung oder behördliche Maßnahmen. Wie der Kiteworks 2026 Forecast Report zusammenfasst: Die Governance-vs.-Containment-Lücke wird sich bis 2026 verringern, aber nicht schließen. Die Unternehmen, die sie zuerst schließen, werden nachweislich resilienter sein. Der Rest bleibt nachweislich exponiert.

Häufig gestellte Fragen

Laut Kiteworks 2026 Forecast Report verfügen nur 37% bis 40% der Unternehmen über die erforderlichen Containment-Kontrollen – Zweckbindung, Not-Aus, Netzwerktrennung –, um KI-Agenten zu steuern, obwohl 100% agentische KI auf ihrer Roadmap haben und 51% bereits Agenten im Einsatz sind. Die meisten Unternehmen, die KI-Agenten für Dokumentenverarbeitung oder ähnliche Workflows einsetzen, können keine Grenzen für die Befugnisse ihrer Agenten durchsetzen.

Modellbasierte Schutzmechanismen wie Systemprompts und Fine-Tuning gelten nicht als Compliance-Kontrollen, da sie durch Prompt Injection, Modell-Updates oder indirekte Manipulation umgangen werden können. Eine Red-Team-Studie 2026 von Forschern aus Harvard, MIT, Stanford und Carnegie Mellon dokumentierte, wie Agenten diese Schutzmechanismen in einer Live-Umgebung umgingen. Regulatoren verlangen revisionssichere Nachweise auf der Datenzugriffsebene, nicht bloße Zusicherungen zu Modellanweisungen.

Die Qualität des Audit-Trails ist laut Kiteworks 2026 Forecast Report der stärkste Indikator für KI-Governance-Reife. Unternehmen ohne prüfbare Audit-Trails liegen bei jeder KI-Metrik – einschließlich Zweckbindung, Impact Assessments und menschlicher Überwachung – 20 bis 32 Punkte zurück. Dennoch fehlen bei 33% der Unternehmen Audit-Trails vollständig, und 61% verfügen über fragmentierte Protokolle, die keine sinnvollen Nachweise liefern können.

Kiteworks Compliant AI steuert den Zugriff von KI-Agenten auf HIPAA-, CMMC- und andere regulierte Daten durch vier Kontrollpunkte auf Datenebene: Authentifizierung der Agentenidentität und Verknüpfung mit einem menschlichen Autorisierer, attributbasierte Zugriffskontrolle (ABAC) für jede Anfrage basierend auf Datenklassifizierung und Kontext, FIPS 140-3-validierte Verschlüsselung sowie manipulationssichere Audit-Protokollierung mit Integration ins SIEM. Diese Kontrollen funktionieren unabhängig vom KI-Modell.

Reale Belege für regulatorische Risiken durch unregulierte KI-Agenten sind die Agents of Chaos-Studie, in der Agenten personenbezogene Daten exfiltrierten und Datensätze in Live-Umgebungen löschten, die Anthropic-Offenlegung eines chinesischen, staatlich gesteuerten KI-Agenten-Schwarmangriffs auf 30 Organisationen sowie die Kiteworks-Feststellung, dass 63% der Unternehmen keine Zweckbindung für ihre Agenten durchsetzen können. Der WEF-Bericht zeigt, dass 87% der Unternehmen KI-Schwachstellen als ihr am schnellsten wachsendes Cyberrisiko einstufen.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks