Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Cybersecurity-Risikomanagement > AI-Agenten-Vorfälle: Unkontrollierte Risiken gefährden 65 % der Unternehmen

AI-Agenten-Vorfälle: Unkontrollierte Risiken gefährden 65 % der Unternehmen

von Patrick Spencer updated Mai 8, 2026 Cybersecurity-Risikomanagement
Lesezeit: 9 Minuten

Die Cloud Security Alliance und Token Security veröffentlichten am 21. April 2026 eine Studie mit dem Titel Autonomous but Not Controlled: AI Agent Incidents Now Common in Enterprises. Die zentrale Erkenntnis: 65% der Unternehmen haben im vergangenen Jahr mindestens einen Cybersecurity-Vorfall durch KI-Agenten auf Unternehmensnetzwerken erlebt.

Wichtige Erkenntnisse

  1. KI-Agenten-Vorfälle sind jetzt die Regel, nicht die Ausnahme. Neue Forschungsergebnisse zeigen, dass 65% der Unternehmen im vergangenen Jahr mindestens einen Cybersecurity-Vorfall im Zusammenhang mit einem KI-Agenten hatten. Das verändert die gesamte Risikobetrachtung rund um KI – von hypothetisch zu historisch.
  2. Datenexponierung ist der dominierende Fehlerfall. Bei KI-Agenten-bezogenen Vorfällen waren 61% mit sensibler Datenexponierung verbunden, 43% führten zu Betriebsunterbrechungen und 41% zu unbeabsichtigten Aktionen in Geschäftsprozessen. Der Agent „funktioniert“ nicht falsch – er nutzt exakt die Berechtigungen, die ihm zugewiesen wurden.
  3. Die meisten Unternehmen können einen Agenten nicht stoppen, wenn er sich fehlverhält. Kiteworks-Forschung zeigt, dass 63% der Unternehmen keine Zweckbindung für KI-Agenten durchsetzen können und 60% einen fehlverhaltenden Agenten nicht beenden können. Die Fähigkeit zur Eindämmung fehlt.
  4. Nur 19% der Unternehmen behandeln KI-Agenten wie menschliche Insider. Die Klassifizierungslücke ist die Governance-Lücke. Wenn ein Agent nicht auf dem Insider-Radar ist, wird er nicht vom Insider-Risikoprogramm erfasst.
  5. Die Lösung ist architektonisch, nicht administrativ. Governance auf Datenebene – also Zugriff mit minimalen Rechten, zweckgebunden und zeitlich limitiert, durchgesetzt an der Schnittstelle zwischen Agent und Daten – ist die einzige skalierbare Antwort auf ein Kontrollproblem, das inzwischen jedes Unternehmensnetzwerk betrifft.

Das ist keine Prognose. Das ist ein Rückblick. Die Vorfälle sind bereits eingetreten.

Die Details sind ebenso wichtig wie die Überschrift. Bei Unternehmen, die KI-Agenten-Vorfälle meldeten, waren 61% mit Datenexponierung verbunden. 43% führten zu Betriebsunterbrechungen. 41% verursachten unbeabsichtigte Aktionen in Geschäftsprozessen. 35% führten zu finanziellen Verlusten. 31% verursachten Serviceverzögerungen.

Lesen Sie das noch einmal: Das häufigste Ergebnis eines unregulierten KI-Agenten im Unternehmensnetzwerk ist Datenabfluss. Nicht, dass er ausfällt – sondern dass er Daten abzieht. Der Agent macht seinen Job. Das Problem ist, dass seine Aufgabenbeschreibung nie durch eine Daten-Governance-Policy begrenzt wurde.

Warum das kein neues Problem ist – sondern ein schnelleres

Unternehmen haben das schon erlebt. Als die SaaS-Nutzung vor zehn Jahren explodierte, wurde Schatten-IT zum wichtigsten Kanal für Datenabfluss. Als Remote-Arbeit zunahm, wurden unverwaltete Endgeräte zum Hauptvektor für Credential-Diebstahl. Das Muster ist klar: Technologischer Fortschritt überholt Governance, und Datenpannen erzwingen später eine Korrektur.

KI-Agenten beschleunigen diesen Zyklus massiv. Laut dem DTEX 2026 Insider Threat Report sagen 92% der Unternehmen, dass generative KI grundlegend verändert, wie Mitarbeiter auf Informationen zugreifen und sie teilen – aber nur 13% haben KI formell in ihre Geschäftsstrategie integriert. DTEX identifiziert Schatten-KI als Haupttreiber für nachlässige Insider-Vorfälle – noch vor unüberwachtem Filesharing und privater Webmail.

Im selben Bericht geben 73% der Unternehmen an, dass unautorisierte KI-Nutzung unsichtbare Datenabflusswege schafft. Nur 19% stufen KI-Agenten als gleichwertig mit menschlichen Insidern ein. Die Governance-Kategorie existiert – aber die Agenten sind nicht darin enthalten.

Die Lücke zeigt sich in den Datenpannen. Laut dem IBM Cost of a Data Breach Report 2025 fehlten bei 97% der Unternehmen mit KI-bezogener Datenpanne angemessene KI-Zugriffskontrollen. Schatten-KI erhöht die durchschnittlichen Kosten einer Datenpanne um rund 670.000 US-Dollar. Der US-Durchschnitt liegt inzwischen bei über 10 Millionen US-Dollar – vor allem wegen regulatorischer Strafen.

Das ist der Preis der Klassifizierungslücke – in Zahlen.

Wie „ungeprüfte KI-Agenten“ in der Praxis aussehen

So läuft es in einem typischen Unternehmen ab: Ein Entwicklungsteam setzt einen KI-Coding-Assistenten ein. Er benötigt Lesezugriff auf das Repository. Das funktioniert – also bleibt der Zugriff bestehen. Ein anderes Team gibt demselben Agenten Lesezugriff auf das Ticketsystem, weil der Agent bei der Ticketbearbeitung hilft. Dann erhält er Zugriff auf Designdokumente – für den Kontext. Dann auf das Kundensupport-Postfach – um Antworten zu verfassen.

Sechs Monate später hat der Agent Lesezugriff auf Quellcode, Kundentickets, Design-Roadmaps und Kundenkorrespondenz. Keine einzelne Zugriffserteilung war unvernünftig. Kein Team hatte den Gesamtüberblick. Und niemand hat überprüft, auf was der Agent insgesamt zugreifen kann.

Jetzt wird der Agent kompromittiert – durch Prompt Injection, einen Supply-Chain-Angriff auf den Upstream-Anbieter oder einen Credential-Leak. Der Angreifer übernimmt alles, worauf der Agent Zugriff hatte. Der offengelegte Vercel-Vorfall vom 21. April 2026 zeigte genau dieses Muster: Angreifer nutzten ein kompromittiertes Drittanbieter-KI-Tool (Context.ai), um über die vom Mitarbeiter gewährten Zugriffsrechte in Vercels interne Systeme zu gelangen.

Der Angreifer musste Vercel nicht direkt kompromittieren. Er kompromittierte das KI-Tool, dem der Mitarbeiter vertraute.

Die drei Governance-Fehler hinter der 65%-Zahl

Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report quantifiziert drei konkrete Kontrolllücken, die die CSA-Vorfallrate erklären. Das sind keine abstrakten Defizite – das sind die konkreten Gründe, warum KI-Agenten immer wieder zu Datenexponierung führen.

Zweckbindung fehlt. 63% der Unternehmen können keine Zweckbindung für KI-Agenten durchsetzen. Ein Agent, der Zugriff auf ein Kundenservice-System zum Verfassen von Antworten erhält, kann technisch gesehen auch Kundendaten aus demselben System lesen. Der Zweck ist meist nur auf dem Papier dokumentiert – aber nicht auf Datenebene durchgesetzt.

Eindämmung fehlt. 60% der Unternehmen können einen fehlverhaltenden KI-Agenten nicht beenden. Die Überwachung eines Agenten, der aktiv Daten abzieht, hilft nicht, wenn es keinen Mechanismus gibt, ihn zu stoppen. Der 2026 Forecast Report bezeichnet dies als die folgenreichste Lücke: Unternehmen investieren in die Überwachung von Agenten – aber nicht in deren Eindämmung.

Beweissicherheit fehlt. 67% verfügen theoretisch über Audit-Trails – laut 2026 Forecast Report haben jedoch nur wenige Beweisqualität über alle Kanäle hinweg, die ein KI-Agent nutzen könnte (E-Mail, Filesharing, APIs, MCP-Server, Datenbanken). Wenn die Aufsichtsbehörde fragt: „Was hat dieser Agent mit regulierten Daten gemacht?“, reichen fragmentierte Protokolle nicht aus.

Jede dieser Lücken ist ein konkreter Grund, warum ein Governance-Programm auf dem Papier in der Praxis scheitert.

Warum „Model Security“ das Problem nicht löst

Die KI-Sicherheitsbranche investiert viel in Modell-Guardrails – Prompt-Injection-Abwehr, Output-Filter, Alignment-Tests, „Constitutional AI“-Techniken. Das ist wichtig, löst aber nicht das Problem, das die CSA-Daten beschreiben.

Warum? Modell-Guardrails versuchen zu verhindern, dass die KI mit den ihr zugänglichen Daten Schaden anrichtet. Das ist wertvoll, setzt aber voraus, dass das Zugriffsmodell korrekt ist. Die 65% der Unternehmen mit KI-Agenten-Vorfällen leiden nicht primär unter fehlgeleiteten Modellen mit schädlichen Outputs. Sie leiden darunter, dass korrekt funktionierende Modelle Zugriff auf Daten erhalten, den sie nie hätten bekommen dürfen.

Laut dem 2026 Thales Data Threat Report ist Datenexponierung der am stärksten zunehmende KI/LLM-basierte Angriffstyp – und nur 33% der Unternehmen wissen genau, wo ihre sensiblen Daten liegen. KI-Zugriffe auf Daten, die nicht auffindbar sind, lassen sich nicht sinnvoll steuern.

Runtime Security und Datensicherheit sind komplementär, keine Alternativen. Runtime Security macht den Agenten als System sicherer. Datensicherheit schützt die Daten vor dem Agenten. Unternehmen brauchen beides. Die meisten investieren nur in eines – und die 65%-Vorfallrate ist das Ergebnis.

Der Kiteworks-Ansatz: Governance auf Datenebene für KI-Agenten

Kiteworks schließt die Governance-Lücke auf Datenebene – dort, wo laut CSA-Studie die tatsächlichen Fehler auftreten. Der Ansatz ist architektonisch, kein Add-on.

Zweckgebundener Zugriff. Jeder KI-Agent greift über das Kiteworks AI Data Gateway auf regulierte Daten zu. Dort erzwingt eine Attribut-basierte Zugriffskontrolle (ABAC) die Prüfung bei jedem Datenabruf: Identität des Agenten, Datenklassifizierung, Zweck und Kontext werden bewertet, bevor Daten fließen. Ein Agent kann nicht versehentlich auf Daten außerhalb seines Zwecks zugreifen – weil der Zweck in der Policy Engine kodiert ist, nicht im Prompt.

Gezielte MCP-Integration. Der Kiteworks Secure MCP Server gewährt KI-Agenten kontrollierten Zugriff auf Unternehmensdaten über das Model Context Protocol – unter Einhaltung des Least-Privilege-Prinzips. Der Agent erhält exakt den Kontext, den er für seine Aufgabe benötigt – nicht mehr – und jeder Abruf wird protokolliert.

Eindämmung und Notfallabschaltung. Die Policy Enforcement läuft auf Plattformebene, nicht auf Agentenebene. Weicht das Verhalten eines Agenten vom genehmigten Zweck ab, kann der Zugriff sofort über alle betroffenen Datenkanäle entzogen werden. Eindämmung erfordert kein Hinterherjagen durch verschiedene Systeme.

Beweissichere Audit-Trails. Jede Interaktion eines KI-Agenten mit regulierten Daten erzeugt manipulationssichere Audit-Logs – vereinheitlicht über E-Mail, Filesharing, SFTP, MFT, APIs, Web-Formulare und MCP. Diese Logs unterstützen SIEM-Integration, Audits und Litigation Holds. Wenn die Aufsichtsbehörde fragt, was der Agent getan hat, ist die Antwort nur eine Abfrage entfernt – kein Rekonstruktionsprojekt über fünf Systeme hinweg.

Dieses Architekturmodell braucht die Branche, um die Lücke zwischen KI-Einführung und KI-Datengovernance zu schließen. Es ist auch das einzige Modell, das auf Tausende von Agenten in Dutzenden Geschäftsprozessen skaliert – und genau dorthin steuern die meisten Unternehmen in den nächsten 24 Monaten.

Was Unternehmen jetzt tun müssen

Erstens: Alle KI-Agenten mit Zugriff auf regulierte Daten inventarisieren. Dazu zählen Coding-Assistenten, Kundenservice-Copiloten, Analyse-Agenten, Dokumentenprozessoren und alle Drittanbieter-KI-Tools mit OAuth- oder API-Zugriff auf interne Systeme. Berücksichtigen Sie die CSA-Erkenntnis, dass die meisten Unternehmen keine Decommissioning-Strategie haben – behandeln Sie jeden inventarisierten Agenten als Governance-Pflicht.

Zweitens: KI-Agenten im bestehenden Insider-Risikoprogramm als nicht-menschliche Insider klassifizieren. Der DTEX 2026 Report zeigt, dass dies aktuell nur 19% der Unternehmen tun. Die Lösung: Policy-Update plus technische Kontrolle – dieselben Zugriffsüberprüfungen, Monitoring-Baselines und Beendigungsprozesse wie für privilegierte menschliche Nutzer, angepasst auf die Geschwindigkeit und den Umfang von Agentenaktionen.

Drittens: Zweckbindung auf Datenebene durchsetzen, nicht auf Agentenebene. Der Zweck eines Agenten muss in einer Policy kodiert sein, die bei jedem Datenzugriff greift. Dem Agenten zu „vertrauen“, dass er sich an Vorgaben hält, ist keine Kontrolle. Der 2026 Forecast Report zeigt, dass 63% das heute nicht können – diese Lücke zu schließen ist die wirkungsvollste Kontrollmaßnahme.

Viertens: Eindämmungsfähigkeit vor dem Rollout weiterer Agenten schaffen. Gibt es keine Möglichkeit, einen KI-Agenten, der aktiv Daten abzieht, zu beenden, ist das Governance-Programm unvollständig. Notfallabschaltungen, Netzwerkisolation und Credential-Entzug müssen vorhanden und getestet sein – nicht nur geplant.

Fünftens: Beweissichere Audit-Trails aufbauen, die alle Kanäle abdecken, die ein Agent nutzen kann. Aufsichtsbehörden, Auditoren und Kläger werden fragen, was der Agent getan hat und mit wessen Genehmigung. Laut dem CrowdStrike 2026 Global Threat Report nutzen staatlich unterstützte Akteure zunehmend legitime Identitäten für langfristigen, unauffälligen Datenzugriff – die Qualität des Audit-Trails entscheidet, ob ein Vorfall in Tagen oder erst nach Monaten erkannt wird.

Sechstens: Governance für KI-Agenten an die bestehenden regulatorischen Rahmenwerke anpassen. HIPAA, CMMC, PCI DSS, SEC und SOX schreiben Anforderungen an Zugriffskontrollen, Audit-Trails und minimal notwendige Zugriffe vor – ohne Ausnahme für KI-Agenten. Der schnellste Weg zur Compliance für KI-Agenten ist die Erkenntnis, dass das Framework bereits existiert – nur die Kontrollen fehlen.

Die CSA-Studie ist keine Warnung vor möglichen Ereignissen. Sie dokumentiert, was bereits geschehen ist. Die Unternehmen, die 2026 und 2027 erfolgreich sein werden, reagieren auf die Daten mit Architekturänderungen – nicht mit Policy-Updates.

Die regulatorische Antwort 2026 kommt schneller als erwartet

Auch Regulierungsbehörden lesen dieselben Studien wie CISOs. Laut 2026 Forecast Report werden die Hochrisiko-Bestimmungen des EU AI Act ab August 2026 voll durchsetzbar – mit Bußgeldern bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes bei Nichteinhaltung. Der AI Act verlangt von Hochrisiko-KI-Systemen detaillierte Dokumentation, Konformitätsbewertungen und eine Registrierung in einer öffentlichen EU-Datenbank.

Das ist die europäische Entwicklung. In den USA entstehen Vorgaben durch Bundesstaaten, FTC und branchenspezifische Leitlinien. Der Colorado AI Act, Gesetzgebung in Texas und Änderungen in Kalifornien, Kentucky und Delaware erweitern die Definition sensibler Daten um KI-abgeleitete Kategorien. Die 2025 Cisco Data Privacy Benchmark Study zeigt, dass die Reife von Datenschutzprogrammen zunehmend an der KI-Datengovernance gemessen wird – nicht mehr als getrennte Disziplinen.

Das Muster ist überall gleich: Regulierungsbehörden verlangen, dass KI-Systeme mit personenbezogenen oder regulierten Daten kontrollierten Zugriff, revisionssicheres Verhalten und eindämmbares Fehlverhalten nachweisen. Unternehmen, die Beweisdokumentation liefern können, bestehen. Wer das nicht kann, muss mit Sanktionen rechnen.

Die CSA-Studie ist hier entscheidend, weil sie die Vorhersehbarkeit belegt. Wenn die Aufsicht fragt, ob ein Unternehmen „wusste oder hätte wissen müssen“, dass unregulierte KI-Agenten Datenexponierung verursachen, ist die Antwort nach April 2026 dokumentiert: Zwei Drittel der Unternehmen hatten solche Vorfälle bereits erlebt, als die Studie erschien. „Wir wussten es nicht“ ist keine Verteidigung mehr. Auch nicht „das ist Branchenstandard“ – denn der Branchenstandard verursacht laut Daten die Vorfälle.

Häufig gestellte Fragen

Die CSA- und Token-Security-Studie definiert KI-Agenten weit gefasst als autonome oder teilautonome Systeme, die im Unternehmensnetzwerk mit Zugriff auf Unternehmensdaten und -systeme agieren. Dazu zählen Coding-Assistenten, Kundenservice-Copiloten, Analyse-Agenten, Dokumentenverarbeitungs-Bots, RAG-fähige LLM-Anwendungen und Drittanbieter-KI-Tools mit OAuth- oder API-Zugriff. Der gemeinsame Nenner: Autonomes Handeln auf Daten, für deren Governance das Unternehmen verantwortlich ist.

Die meisten Datenexponierungs-Vorfälle durch KI-Agenten folgen drei Mustern: Der Agent greift auf Daten außerhalb seines eigentlichen Zwecks zu, weil die Zweckbindung auf Datenebene fehlt; die Zugangsdaten oder API-Tokens des Agenten werden kompromittiert und ein Angreifer erhält alle Berechtigungen des Agenten; oder der Agent wird durch Prompt Injection manipuliert, um Daten abzuziehen, die er lesen durfte. Der IBM Cost of a Data Breach Report 2025 zeigt, dass bei 97% der KI-bezogenen Datenpannen keine angemessenen KI-Zugriffskontrollen vorhanden waren.

Ja. Diese Regelungen schreiben Anforderungen an Zugriffskontrollen, Audit-Trails, Verschlüsselung und minimal notwendigen Zugriff vor – sie enthalten keine Ausnahmen für KI-Agenten. Greift ein KI-Agent auf geschützte Gesundheitsdaten, Kartendaten oder kontrollierte, nicht klassifizierte Informationen zu, gelten die vollen regulatorischen Pflichten. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report dokumentiert die Kontrolllücken, die die Einhaltung bestehender Vorgaben mit KI-Agenten erschweren.

Runtime-KI-Sicherheit fokussiert auf den Agenten als System – etwa durch Prompt-Injection-Abwehr, Output-Filterung, Alignment. KI-Governance auf Datenebene fokussiert auf die Daten, auf die der Agent zugreift – durch Zweckbindung, Protokollierung und Eindämmung direkt beim Datenzugriff. Der Thales 2026 Data Threat Report sieht beides als notwendig, aber klar getrennte Disziplinen. Die meisten Unternehmen investieren in Runtime Security und vernachlässigen die Governance auf Datenebene – daher kommt die hohe CSA-Vorfallrate.

Phase eins – Inventarisierung, Klassifizierung als nicht-menschliche Insider und erste Zugriffsüberprüfungen – ist meist in vier bis acht Wochen umsetzbar. Phase zwei – Einführung von zweckgebundenem Zugriff, Eindämmungsfähigkeit und einheitlichen Audit-Trails – erfordert eine Governance-Plattform auf Datenebene und dauert je nach Komplexität drei bis sechs Monate. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt, dass Unternehmen mit ausgereifter KI-Governance Datenpannen laut IBM-Daten rund 70 Tage schneller beheben – die Investition senkt also Risiko und Kosten im Vorfall.

Häufig gestellte Fragen

Laut der am 21. April 2026 veröffentlichten Studie der Cloud Security Alliance und Token Security haben 65% der Unternehmen im vergangenen Jahr mindestens einen Cybersecurity-Vorfall durch KI-Agenten im Unternehmensnetzwerk erlebt.

Das häufigste Ergebnis eines unregulierten KI-Agenten-Vorfalls ist Datenexponierung: 61% der gemeldeten Vorfälle beinhalten sensible Datenabflüsse. Das unterstreicht die Notwendigkeit von Data-Governance-Policies, um den Datenzugriff von KI-Agenten zu begrenzen.

Kiteworks-Forschung zeigt, dass 63% der Unternehmen keine Zweckbindung für KI-Agenten durchsetzen können und 60% einen fehlverhaltenden Agenten nicht beenden können. Diese fehlende Eindämmungsfähigkeit ist eine gravierende Lücke in aktuellen Governance-Frameworks.

Governance auf Datenebene erzwingt minimalen, zweckgebundenen und zeitlich limitierten Zugriff genau dort, wo KI-Agenten mit Daten interagieren. Dieser architektonische Ansatz, wie ihn Kiteworks empfiehlt, stellt sicher, dass Agenten nur auf die für ihre Aufgabe notwendigen Daten zugreifen – und reduziert so das Risiko unbefugter Exponierung oder Missbrauch.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks