Die meisten Unternehmen, die AI entwickeln, konzentrieren sich auf die richtigen Aspekte –
Prompt-Injection, Modellsicherheit, Datenschutz. Das sind echte Risiken, die
Beachtung verdienen. Doch in agentenbasierten Umgebungen zeichnet sich still und leise ein noch gefährlicheres Problem
ab: die unkontrollierte Übertragung von Zugriffsrechten zwischen Agenten.
Was ist los?
In modernen AI sind Systeme nicht mehr isoliert. Sie sind miteinander vernetzt:
Agenten rufen andere Agenten auf (A2A)
Orchestrierende Agenten rufen dynamisch Unteragenten auf, um parallelisierte Arbeitsabläufe zu bewältigen – jeder mit eigenen Zugriffsrechten und Fähigkeiten.
Orchestrierungsschichten (im MCP-Stil) leiten Aufgaben dynamisch weiter
Aufgaben werden zur Laufzeit basierend auf Kontext und Verfügbarkeit weitergeleitet – nicht anhand vorab genehmigter statischer Konfigurationen.
Tools, APIs und Datenquellen sind miteinander verkettet
Eine einzelne Benutzeranfrage kann eine Kette von Agenteninteraktionen, Tool-Aufrufen und Datenabrufen auslösen, die der Benutzer nie einzeln ausdrücklich autorisiert hat.
Dadurch entstehen implizite Vertrauenspfade – und die meisten Organisationen verfügen über keine Kontrollmechanismen, um diese zu erkennen, geschweige denn zu steuern.
Ein konkretes Beispiel
Delegationsszenario – kein Verstoß ausgelöst
Agent A
Hat Zugriff auf sensible Daten
Autorisiert. Eingeschränkt. Bei der Bereitstellung protokolliert.
↓ delegiert die Aufgabe an
Agent B
Hat KEINEN Zugriff auf sensible Daten
Nicht autorisiert – bittet jedoch Agent A, die Daten in seinem Auftrag abzurufen.
↓ Ergebnis
System
Entspricht den Vorgaben. Keine Warnung. Kein Verstoß. Einfach „normales“ Verhalten.
Der Zugriff hat stattgefunden. Die Daten wurden übertragen. In den Protokollen ist nichts Auffälliges zu erkennen.
Das Problem ist nicht der Zugang. Es geht um die Delegation.
Es geht nicht mehr um die herkömmliche Sicherheitsfrage:
„Wer hat Zugriff?“
Wir haben es hier mit einer grundlegend anderen Frage zu tun:
„Wer kann dafür sorgen, dass der Zugang ermöglicht wird?“
In agentischen Systemen wird Vertrauen transitiv. Berechtigungen lassen sich kombinieren. Grenzen verschwimmen. Dies führt zu:
Indirekte Rechteausweitung
Ein Agent, der über eine bestimmte Berechtigung nicht verfügt, erlangt diese, indem er routing über einen Agenten routing , der über diese Berechtigung verfügt.
Unbefugte Ausführung von Tools
Agenten rufen Tools und APIs auf, für deren Nutzung sie nie direkt autorisiert waren – über Delegationsketten.
Zusammenbruch der Datengrenzen
Sensible Daten überschreiten Klassifizierungsgrenzen, da der delegierende Akteur über legitimen Zugriff verfügte – auch wenn dies beim empfangenden Akteur nicht der Fall war.
Befehlsgesteuerte laterale Ausbreitung
Ein manipulierter Agent verbreitet bösartige Befehle lateral durch das Agentennetzwerk – in Echtzeit und ohne dass dies von Menschen bemerkt wird.
Und das Besorgniserregendste daran: Es sieht oft wie ein völlig normales Systemverhalten aus.
Das ist ein klassisches Problem – neu interpretiert
Sicherheitsexperten werden das sofort erkennen: Es handelt sich um das „Confused Deputy Problem“.
Ein System mit legitimer Autorität wird dazu manipuliert, diese Autorität zugunsten von etwas einzusetzen, das sie eigentlich nicht haben sollte. Stellen Sie sich dieses Problem nun folgendermaßen vor:
VerteiltVerteilt auf Dutzende von Agenten, Tools und APIs – ohne eine einzige Systemgrenze.
AutonomFunktioniert ohne menschliche Anweisungen bei jedem einzelnen Schritt – denkt und handelt eigenständig.
In Maschinen-GeschwindigkeitIn Millisekunden erledigt, wofür ein menschlicher Angreifer stundenlang manuell arbeiten müsste.
Wo die meisten Organisationen noch Nachholbedarf haben
✓ Gesichert sein
- Modelle und Inferenzendpunkte
- APIs und Integrationsschichten
- Infrastruktur
✗ Nicht gesichert
- Vertrauen zwischen Agenten
- Grenzen der Delegation
- Identitätsweitergabe
- Datenflusssteuerung
Was muss sich ändern?
Wenn Sie agentische AI einsetzen möchten, sollten Sie zunächst folgende Fragen beantworten:
Kann Agent A seine Befugnisse an Agent B delegieren?Ist diese Übertragung explizit, begrenzt und protokolliert – oder implizit und unbegrenzt?
Wird die Delegierung bei jedem Schritt protokolliert?Nicht nur auf der Orchestrierungsebene – sondern bei jeder Interaktion zwischen Agenten in der Kette.
Können Agenten Tools indirekt über andere Agenten aufrufen?Und wenn ja, findet am Ort des indirekten Aufrufs policy statt?
Haben Sie die Kontrolle darüber, wie Daten zwischen den Agenten übertragen werden?Wird die Datenherkunft über den gesamten Interaktionsgraphen der Agenten hinweg nachverfolgt?
Was dafür erforderlich ist
Eindeutige Agentenidentität – keine gemeinsam genutzten Anmeldedaten. Jeder Agent benötigt eine eindeutige, nicht übertragbare Identität mit explizit festgelegten, bereichsbezogenen Berechtigungen.
Begrenzte, zeitlich befristete Befugnisübertragung – jede Befugnis, die ein Akteur an einen anderen überträgt, muss ausdrücklich begrenzt sein und eine Gültigkeitsdauer haben. Keine unbefristete Befugnisübertragung.
Fähigkeitsbasierte Kontrollen – nicht nur rollenbasierter Zugriff. Was ein Agent tun kann, muss ebenso streng kontrolliert werden wie das, was er sehen kann.
Policy auf der Orchestrierungsebene – Kontrollmechanismen müssen dort vorhanden sein, wo Delegierungsentscheidungen getroffen werden, und nicht nur an den Systemgrenzen.
Vollständige Rückverfolgbarkeit der Interaktionen zwischen Agenten – die gesamte Delegationskette, nicht nur die ursprüngliche Anfrage und die abschließende Aktion.
Datenherkunft als Sicherheitsmaßnahme – Nachverfolgung, welche Akteure Daten bearbeitet, umgewandelt oder weitergegeben haben – und mit welcher Berechtigung.
Abschließender Gedanke
In herkömmlichen Systemen: Der Zugriff wird gewährt.
In agentischen Systemen: Der Zugriff wird weitergegeben.
Wenn man die Delegation nicht im Griff hat, hat man auch das System nicht im Griff.
#Cybersicherheit
#KI
#GenAI
#AgentischeKI
#KI-Sicherheit
CISO
#ZeroTrust
OneCompliant
Bewerten Sie Ihr AI im Zusammenhang mit agentischer AI
OASAT OneCompliant analysiert Ihre KI-Systeme im Hinblick auf Governance, Sicherheit
und risk erstellt innerhalb von 4 bis 6 Wochen einen nach Prioritäten geordneten Maßnahmenplan.