Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > KI-Agenten-Sicherheit: Die tödliche Trifecta erklärt

KI-Agenten-Sicherheit: Die tödliche Trifecta erklärt

von Patrick Spencer updated Juni 1, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Anfang 2026 entdeckten Sicherheitsforscher über 900 KI-Agenten-Gateways, die ohne Authentifizierung im öffentlichen Internet zugänglich waren – API-Schlüssel, OAuth-Tokens und vollständige Konversationsverläufe lagen in Klartextdateien vor, für jeden auffindbar, der das Endpoint kannte. Die betroffenen Unternehmen hatten nicht fahrlässig gehandelt. Sie hatten Standard-Deployments durchgeführt. Das Problem war strukturell: Es fehlte eine Governance-Schicht unterhalb des Agenten.

Diese Vorfälle wurden als Fallbeispiele in einer von Experten begutachteten Studie dokumentiert, die am 29. April 2026 in Academia AI and Applications erschien. Die Arbeit – Towards Trustworthy Agentic AI (Qi et al.) – stammt von Forschern der Chinese University of Hong Kong, der Fudan University und der Shanghai Academy of AI for Science. 36 Seiten, keine Herstellerbindung, Peer-Review. Eine fundierte Analyse, wie KI-Agenten im Produktivbetrieb scheitern und was sie aufhalten kann.

Die Studie kartiert Risiken entlang eines fünfstufigen Agenten-Lebenszyklus – Perceive, Plan, Act, Reflect und Learn – und dokumentiert konkrete Fehlermuster mit belegtem Angriffserfolg gegen produktive Systeme. Ihr Maßnahmenrahmen ist nicht theoretisch, sondern beschreibt Kontrollen, die bestehende regulatorische Vorgaben bereits verlangen und die die meisten unternehmensweiten KI-Deployments nicht umsetzen.

5 Wichtige Erkenntnisse

1. Die meisten Enterprise-KI-Agenten sind strukturell angreifbar – von Anfang an.

Forscher dreier führender Institutionen veröffentlichten 2026 eine Peer-Review-Studie, die belegt: Jeder Agent, der gleichzeitig auf vertrauliche Daten zugreift, nicht vertrauenswürdige externe Inhalte verarbeitet und extern kommuniziert, ist anfällig für indirekte Prompt Injection – ein struktureller Fehler, kein Konfigurationsproblem. Genau die Kombination, die Agenten nützlich macht, macht sie auch ausnutzbar. KI-Governance, die bei Systemprompts endet, bietet keinen Schutz gegen diese Angriffsklasse.

2. Modell-Ebene schützt nicht vor Daten-Ebene-Angriffen.

Systemprompts und KI-Sicherheitstrainings wirken oberhalb der Datenebene und können nicht verhindern, dass ein Agent eingeschleuste Anweisungen in abgerufenen Inhalten ausführt. Die EchoLeak-Schwachstelle (CVE-2025-32711) in Microsoft 365 Copilot zeigte das im Unternehmensmaßstab: Speziell präparierte E-Mails führten ohne Nutzerinteraktion zur Datenexposition. Durchsetzung muss am Punkt des Datenzugriffs erfolgen – unabhängig vom Modell.

3. Die Governance-Lücke ist groß und belegt.

Nur 43% der Unternehmen verfügen heute über ein zentrales AI Data Gateway. Die übrigen 57% sind fragmentiert, unvollständig oder ohne wirksame KI-Governance unterwegs – 7% haben keinerlei dedizierte KI-Zugriffskontrollen. Unternehmen ohne revisionssichere Audit-Trails weisen laut Kiteworks 2026 Prognose in allen Governance-Dimensionen 20 bis 32 Punkte Reifeunterschied auf.

4. Bestehende Regularien gelten ohne Ausnahme auch für KI-Agenten.

HIPAA, CMMC, PCI DSS und SOX enthalten keine KI-Ausnahmen. Dieselben Anforderungen an Zugriffskontrolle, Verschlüsselung und Audit-Trail, die für menschlichen Datenzugriff gelten, gelten identisch für KI-Agenten – und zwar heute, ohne auf KI-spezifische Regulierungen zu warten. Die meisten Unternehmen können Compliance für Agenteninteraktionen aktuell nicht nachweisen.

5. Die OpenClaw- und Moltbook-Vorfälle belegen das im großen Maßstab.

Über 900 exponierte Agenten-Gateways mit Klartext-Zugangsdaten und ohne Authentifizierung. Ein begleitender Vorfall legte 32.000+ registrierte Agenten-API-Schlüssel durch eine falsch konfigurierte Datenbank offen. Bösartige Plugins in gängigen Agenten-Marktplätzen exfiltrierten Zugangsdaten nach außen. Das sind keine hypothetischen Szenarien – es sind dokumentierte Produktiv-Ausfälle aus 2026, die die Peer-Review-Studie als Fallbelege anführt.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber können Sie es auch nachweisen?

Jetzt lesen

Das tödliche Dreieck – warum die meisten Deployments bereits kompromittiert sind

Das betriebsrelevanteste Konzept der Studie ist das „tödliche Dreieck“: Jeder KI-Agent, der gleichzeitig (1) auf vertrauliche Daten zugreift, (2) nicht vertrauenswürdige externe Inhalte verarbeitet und (3) extern kommunizieren kann, ist strukturell angreifbar. Wenn diese drei Bedingungen zusammenkommen – was im Produktivbetrieb fast immer der Fall ist, da genau diese Kombination Agenten nützlich macht – kann ein Angreifer, der beeinflusst, was der Agent abruft, auch steuern, was der Agent tut.

Diese Angriffsklasse heißt indirekte Prompt Injection. Der Angreifer muss lediglich bösartige Anweisungen in Inhalte einbetten, die der Agent abruft – etwa eine Webseite, eine E-Mail, ein Dokument oder einen Datenbankeintrag. Der Agent verarbeitet den Inhalt, stößt auf die eingebetteten Anweisungen und führt sie mit seinen legitimen Berechtigungen aus. Der reale Fall, den die Studie anführt, ist EchoLeak (CVE-2025-32711) in Microsoft 365 Copilot: Speziell präparierte E-Mails lösten Datenexposition ohne Nutzerinteraktion im Unternehmensmaßstab aus – keine Nutzeraktion nötig.

Die Studie erklärt klar, warum Verteidigungen auf Modellebene diese Lücke nicht schließen können. Große Sprachmodelle können legitime Anweisungen nicht zuverlässig von eingeschleusten Anweisungen in Daten unterscheiden – das Modell sieht Tokens im Kontext und kann die Herkunft nicht prüfen. Durchsetzung muss auf der Datenebene erfolgen, unabhängig vom Modellverhalten, genau am Punkt des Zugriffs. Ein Regulator, der Nachweise für Zugriffskontrolle verlangt, akzeptiert keine Systemprompt-Antwort.

Wie sich der Angriff durch alle Phasen des Agenten-Lebenszyklus zieht

Die Lebenszyklusanalyse der Studie ist eindeutig: Bei den OpenClaw-Vorfällen versagte nicht eine einzelne Phase – alle Phasen versagten gleichzeitig. In der Perceive-Phase gelangten nicht authentifizierte Eingaben und Prompt Injections ohne Validierung ins System. In der Plan-Phase veränderten eingeschleuste Anweisungen den Plan des Agenten, sodass Exfiltrationsschritte ohne Kontrolle eingebaut wurden. In der Act-Phase ermöglichte uneingeschränkter Tool-Zugriff die Ausführung von Angreifer-Kommandos ohne Least-Privilege-Prinzip.

In der Reflect-Phase schlug keine Anomalieerkennung bei ungewöhnlichen Zugriffs- oder Übertragungsmustern an. In der Learn-Phase verbreiteten sich bösartige Skills über den Installationsmechanismus, ohne Herkunftsprüfung oder Regressionstests. Die Forscher sprechen von einem „systemischen“ Versagen – jede Schicht fehlte es an spezifischer Kontrolle für den KI-Agenten-Kontext.

Die Lieferketten-Dimension ist besonders kritisch. Eine empirische Studie, die in der Arbeit zitiert wird, analysierte 31.132 Agenten-Skills und fand in 26,1% mindestens eine Sicherheitslücke – von Datenexfiltration (13,3%) über Privilegieneskalation (11,8%) bis zu Prompt Injection, quer durch Skills in gängigen Marktplätzen, die Entwickler installierten, weil sie nützlich erschienen. Der Moltbook-Breach zeigte das direkt: Bösartige Plugins lasen vertrauliche Konfigurationsdateien aus und übermittelten API-Schlüssel an externe Server.

Die Compliance-Lücke, die KI-Agenten-Deployments jetzt schaffen

Die Compliance-Auswirkungen sind keine Zukunftsmusik. HIPAA verlangt Zugriffskontrollen auf geschützte Gesundheitsdaten – keine KI-Ausnahme. CMMC fordert dokumentierten, autorisierten Zugriff auf CUI, unabhängig vom Systemtyp. PCI DSS schränkt den Zugriff auf Karteninhaberdaten unabhängig vom Workflow ein. SOX ITGC verlangt dokumentierte Kontrolle über den Zugriff auf Finanzberichtssysteme. Die Compliance-Pflicht, die für menschliche Nutzer gilt, gilt identisch für KI-Agenten – heute.

Was ein Compliance-Auditor verlangt, sind Belege: Zugriffprotokolle, die zeigen, welcher Agent auf welche Daten zugegriffen hat, nach welcher Richtlinie, verbunden mit welchem menschlichen Autorisierer, zu welchem Zeitpunkt. Modell-Sicherheitstrainings liefern das nicht. Die Kiteworks 2026 Prognose ergab, dass 33% der Unternehmen aktuell keinen solchen Nachweis für irgendeine Dateninteraktion liefern können – erst recht nicht für KI-spezifische. Unternehmen ohne Audit-Trails weisen in allen Governance-Dimensionen 20 bis 32 Punkte Reifeunterschied auf – das ist kein kleiner Unterschied, sondern zeigt grundlegend verschiedene Vorbereitungsstufen. Die Lücke ist dort am größten, wo es am meisten zählt: 90% der Behörden haben kein zentrales AI Data Gateway, 77% der Gesundheitsorganisationen und 60% der Finanzdienstleister ebenfalls nicht.

Sechs Kontrollen, die laut Forschung unverzichtbar sind

Die Studie benennt sechs Kontrollen, die zusammen die Governance-Schicht bilden, die die dokumentierten Angriffsklassen verhindert. Jede ist direkt regulatorisch gefordert.

Agenten-Identitätsauthentifizierung. Jeder KI-Agent muss authentifiziert werden, bevor er auf Daten zugreift – mit Authentifizierung, die auf einen menschlichen Autorisierer zurückgeführt werden kann. Genau diese Anforderung stellen HIPAA Section 164.312 und CMMC AC.1.001 bereits an menschliche Nutzer.

Attributbasierte Zugriffskontrolle auf Operationsebene. Jede Datenanfrage muss anhand einer mehrdimensionalen Richtlinie geprüft werden – Profil des Agenten, Klassifizierung der Daten, angeforderte Operation – bevor Daten bereitgestellt werden. Pauschale Freigaben beim Verbindungsaufbau reichen nicht aus.

FIPS-validierte Verschlüsselung. Daten müssen während der Übertragung und im ruhenden Zustand mit validierten kryptografischen Modulen verschlüsselt werden. Bei den OpenClaw-Vorfällen wurden Zugangsdaten im Klartext gespeichert. Gefordert unter HIPAA Section 164.312(a)(2)(iv), CMMC SC.3.177 und PCI DSS Requirement 4.

Manipulationssichere Audit-Protokollierung mit SIEM-Integration. Jede Agenteninteraktion muss in einem unveränderbaren Protokoll erfasst werden – Agentenidentität, menschlicher Autorisierer, Operation, abgerufene Daten und Richtlinienkontext – in Echtzeit an die Security Operations gestreamt.

Anmeldedaten-Management mit kurzlebigen Tokens. Agenten dürfen API-Schlüssel oder OAuth-Tokens niemals im Klartext speichern. Geheimnisse müssen über sichere Vault-APIs abgerufen, auf einzelne Aufgaben beschränkt und kontinuierlich rotiert werden.

Zero-trust Intake. Alle externen Inhalte müssen als nicht vertrauenswürdig behandelt werden, bis sie validiert sind – mit strikter Trennung zwischen vertrauenswürdigen Systemprompts und extern abgerufenen Inhalten. Diese Architekturkontrolle verhindert, dass indirekte Prompt Injection gelingt, selbst wenn das Modell legitime und eingeschleuste Anweisungen nicht unterscheiden kann.

Wie Kiteworks die von der Forschung identifizierte Governance-Lücke schließt

Genau die sechs Kontrollen, die die Studie fordert, liefert Kiteworks Compliant AI – auf der Datenebene, unabhängig vom KI-Modell oder Agenten-Framework. Jeder Zugriff wird über OAuth 2.0 authentifiziert, in Echtzeit gegen ABAC-Richtlinien autorisiert, mit FIPS 140-3 validierten Modulen verschlüsselt und in einem manipulationssicheren Audit-Trail protokolliert, der direkt in SIEM-Systeme fließt. Selbst wenn das Modell kompromittiert, aktualisiert oder durch Prompt Injection manipuliert wird, setzt die Data-Governance-Schicht die Richtlinien weiter durch.

Der Kiteworks Secure MCP Server ermöglicht KI-Assistenten wie Claude und Microsoft Copilot den Zugriff auf Unternehmensdaten über das Model Context Protocol – jede Operation unterliegt denselben ABAC-Richtlinien und dem Audit-Trail wie der Zugriff durch menschliche Anwender. Das AI Data Gateway erweitert diese Governance auf programmatische RAG-Pipelines und automatisierte Workflows. Beide setzen die geforderten Kontrollen der Studie um. Das Kiteworks Private Data Network überträgt diese Architektur auf E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare und APIs – eine Policy Engine, ein konsolidiertes Audit-Log, Compliance-Nachweise automatisch für jede Agenteninteraktion.

Was Unternehmen tun sollten, bevor der nächste Agent live geht

Erstens sollten Sie das tödliche Dreieck für jeden eingesetzten Agenten prüfen: Greift er auf vertrauliche Daten zu? Verarbeitet er nicht vertrauenswürdige externe Inhalte? Kann er extern kommunizieren? Wenn alle drei zutreffen, ist der Agent strukturell verwundbar. 57% der Unternehmen fehlt laut Kiteworks 2026 Prognose die zentrale Transparenz, um diese Fragen zu beantworten.

Zweitens verifizieren Sie, dass Zugriffskontrollen auf Operationsebene greifen. Ein Agent, der Zugriff auf einen Ordner erhält, darf nicht automatisch dessen Inhalte herunterladen, E-Mails versenden oder Shell-Kommandos ausführen. 63% der Unternehmen können laut Kiteworks 2026 Prognose keine Zweckbindung für KI-Agenten durchsetzen.

Drittens inventarisieren Sie Agenten-Skills und Plugins auf bekannte Schwachstellenmuster. 26,1% der analysierten Skills enthielten mindestens eine Sicherheitslücke. Prüfen Sie, welche Skills installiert sind, welche Berechtigungen sie anfordern, welche Netzwerkverbindungen sie initiieren und ob sie kryptografisch von einem verifizierbaren Herausgeber signiert wurden.

Viertens stellen Sie sicher, dass Audit-Logging KI-Agenteninteraktionen abdeckt und manipulationssichere Protokolle erzeugt. Wenn das Logging nicht erfasst, welcher Agent auf welche Daten, unter welcher Richtlinie, mit welchem menschlichen Autorisierer, zu welchem Zeitpunkt zugegriffen hat, genügt es nicht für einen Compliance-Audit. 33% der Unternehmen fehlt diese Fähigkeit aktuell für jegliche Dateninteraktion.

Fünftens etablieren Sie ein spezifisches Credential-Management für KI-Agenten. API-Schlüssel und OAuth-Tokens dürfen nicht im Klartext gespeichert werden, müssen auf minimale Berechtigungen beschränkt und nach festem Zeitplan mit automatischer Sperrung rotiert werden.

Das Zeitfenster, um Governance-Infrastruktur vor regulatorischen oder behördlichen Vorgaben aufzubauen, schließt sich rasch. Die Agenten laufen bereits. Die Interaktionen finden statt. Die Frage ist, ob sie unter einer verteidigbaren Governance-Struktur stattfinden.

Erfahren Sie mehr über den Schutz sensibler Daten in KI-Workflows – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Systemprompts sind Anweisungen an das Modell, aber keine Zugriffskontrollen auf Daten. HIPAA verlangt Kontrollen, die unautorisierten Zugriff auf PHI verhindern – ein Standard, den ein Systemprompt nicht erfüllt, da er durch indirekte Prompt Injection umgangen werden kann. 33% der Unternehmen fehlt laut Kiteworks 2026 Prognose ein manipulationssicherer Audit-Trail – genau der Nachweis, den HIPAA-Auditoren verlangen.

CMMC AC.1.001 und AC.2.006 verlangen durchgesetzte, dokumentierte Autorisierung für jedes System mit CUI-Zugriff – auch für KI-Agenten. Die meisten Deployments nutzen Service-Accounts mit weitreichendem Zugriff statt ABAC-Prüfung auf Operationsebene. Die Agentenidentität muss auf einen menschlichen Autorisierer mit nachvollziehbarer Delegationskette zurückgeführt werden. CMMC-Assessoren werden fehlende Audit-Trails beanstanden.

Das tödliche Dreieck beschreibt jeden Agenten, der gleichzeitig auf vertrauliche Daten zugreift, nicht vertrauenswürdige externe Inhalte verarbeitet und extern kommunizieren kann. Prüfen Sie jeden eingesetzten Agenten auf alle drei Bedingungen. Wenn alle zutreffen, braucht der Agent Governance auf Datenebene – die strukturelle Schwachstelle bleibt unabhängig vom Modell-Training bestehen.

Traditionelle DLP-Lösungen wurden für Menschen entwickelt, die Dateien versenden – sie können keine KI-Agentenidentität authentifizieren, keine Zugriffskontrolle auf Operationsebene durchsetzen und keinen Delegationsketten-Audit-Trail liefern, wie ihn HIPAA und CMMC verlangen. Nur 43% der Unternehmen verfügen über ein zentrales AI Data Gateway, die übrigen 57% verlassen sich auf Kontrollen, die nicht für Agentenverhalten ausgelegt sind. Das AI Data Gateway ist der Durchsetzungspunkt, den DLP nicht bietet.

Regulatoren verlangen: Authentifizierung der Agentenidentität, verknüpft mit einem menschlichen Autorisierer, Zugriffprotokolle auf Operationsebene, Nachweis FIPS-validierter Verschlüsselung und einen manipulationssicheren Audit-Trail, der exportierbar ist. 33% der Unternehmen fehlt laut Kiteworks 2026 Prognose selbst für nicht-KI-Interaktionen diese Belegqualität. Governance-Plattformen mit ABAC auf Datenebene erzeugen diese Nachweise automatisch für jede Agenteninteraktion.

Weitere Ressourcen

  • Blog-Beitrag
    Zero‑Trust-Strategien für kosteneffizienten KI-Datenschutz
  • Blog-Beitrag
    Wie 77% der Unternehmen bei KI-Datensicherheit scheitern
  • eBook
    AI Governance Gap: Warum 91% kleiner Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blog-Beitrag
    Für Ihre Daten gibt es kein „–dangerously-skip-permissions“
  • Blog-Beitrag
    Regulatoren fragen nicht mehr nach einer KI-Policy. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks