Sicherheit · Agentic AI

Agentische AI ein verstecktes Problem:
Unkontrollierte Delegation

Die meisten Organisationen legen den Schwerpunkt auf schnelle Implementierung, Modellsicherheit und Datenschutz. All das ist wichtig. Doch in agentenbasierten Systemen zeichnet sich ein noch gefährlicheres Problem ab – die unkontrollierte Übertragung von Zugriffsrechten zwischen Agenten.

Zwei KI-Agentensysteme – agentische KI-Governance  risk

Die meisten Unternehmen, die AI entwickeln, konzentrieren sich auf die richtigen Aspekte – Prompt-Injection, Modellsicherheit, Datenschutz. Das sind echte Risiken, die Beachtung verdienen. Doch in agentenbasierten Umgebungen zeichnet sich still und leise ein noch gefährlicheres Problem ab: die unkontrollierte Übertragung von Zugriffsrechten zwischen Agenten.

Was ist los?

In modernen AI sind Systeme nicht mehr isoliert. Sie sind miteinander vernetzt:

Agenten rufen andere Agenten auf (A2A) Orchestrierende Agenten rufen dynamisch Unteragenten auf, um parallelisierte Arbeitsabläufe zu bewältigen – jeder mit eigenen Zugriffsrechten und Fähigkeiten.
Orchestrierungsschichten (im MCP-Stil) leiten Aufgaben dynamisch weiter Aufgaben werden zur Laufzeit basierend auf Kontext und Verfügbarkeit weitergeleitet – nicht anhand vorab genehmigter statischer Konfigurationen.
Tools, APIs und Datenquellen sind miteinander verkettet Eine einzelne Benutzeranfrage kann eine Kette von Agenteninteraktionen, Tool-Aufrufen und Datenabrufen auslösen, die der Benutzer nie einzeln ausdrücklich autorisiert hat.

Dadurch entstehen implizite Vertrauenspfade – und die meisten Organisationen verfügen über keine Kontrollmechanismen, um diese zu erkennen, geschweige denn zu steuern.

Ein konkretes Beispiel

Delegationsszenario – kein Verstoß ausgelöst
Agent A
Hat Zugriff auf sensible Daten Autorisiert. Eingeschränkt. Bei der Bereitstellung protokolliert.
↓ delegiert die Aufgabe an
Agent B
Hat KEINEN Zugriff auf sensible Daten Nicht autorisiert – bittet jedoch Agent A, die Daten in seinem Auftrag abzurufen.
↓ Ergebnis
System
Entspricht den Vorgaben. Keine Warnung. Kein Verstoß. Einfach „normales“ Verhalten. Der Zugriff hat stattgefunden. Die Daten wurden übertragen. In den Protokollen ist nichts Auffälliges zu erkennen.

Das Problem ist nicht der Zugang. Es geht um die Delegation.

Es geht nicht mehr um die herkömmliche Sicherheitsfrage:

„Wer hat Zugriff?“

Wir haben es hier mit einer grundlegend anderen Frage zu tun:

„Wer kann dafür sorgen, dass der Zugang ermöglicht wird?“

In agentischen Systemen wird Vertrauen transitiv. Berechtigungen lassen sich kombinieren. Grenzen verschwimmen. Dies führt zu:

Indirekte Rechteausweitung Ein Agent, der über eine bestimmte Berechtigung nicht verfügt, erlangt diese, indem er routing über einen Agenten routing , der über diese Berechtigung verfügt.
Unbefugte Ausführung von Tools Agenten rufen Tools und APIs auf, für deren Nutzung sie nie direkt autorisiert waren – über Delegationsketten.
Zusammenbruch der Datengrenzen Sensible Daten überschreiten Klassifizierungsgrenzen, da der delegierende Akteur über legitimen Zugriff verfügte – auch wenn dies beim empfangenden Akteur nicht der Fall war.
Befehlsgesteuerte laterale Ausbreitung Ein manipulierter Agent verbreitet bösartige Befehle lateral durch das Agentennetzwerk – in Echtzeit und ohne dass dies von Menschen bemerkt wird.

Und das Besorgniserregendste daran: Es sieht oft wie ein völlig normales Systemverhalten aus.

Das ist ein klassisches Problem – neu interpretiert

Sicherheitsexperten werden das sofort erkennen: Es handelt sich um das „Confused Deputy Problem“.

Ein System mit legitimer Autorität wird dazu manipuliert, diese Autorität zugunsten von etwas einzusetzen, das sie eigentlich nicht haben sollte. Stellen Sie sich dieses Problem nun folgendermaßen vor:

VerteiltVerteilt auf Dutzende von Agenten, Tools und APIs – ohne eine einzige Systemgrenze.
AutonomFunktioniert ohne menschliche Anweisungen bei jedem einzelnen Schritt – denkt und handelt eigenständig.
In Maschinen-GeschwindigkeitIn Millisekunden erledigt, wofür ein menschlicher Angreifer stundenlang manuell arbeiten müsste.

Wo die meisten Organisationen noch Nachholbedarf haben

✓ Gesichert sein

  • Modelle und Inferenzendpunkte
  • APIs und Integrationsschichten
  • Infrastruktur

✗ Nicht gesichert

  • Vertrauen zwischen Agenten
  • Grenzen der Delegation
  • Identitätsweitergabe
  • Datenflusssteuerung

Was muss sich ändern?

Wenn Sie agentische AI einsetzen möchten, sollten Sie zunächst folgende Fragen beantworten:

Kann Agent A seine Befugnisse an Agent B delegieren?Ist diese Übertragung explizit, begrenzt und protokolliert – oder implizit und unbegrenzt?
Wird die Delegierung bei jedem Schritt protokolliert?Nicht nur auf der Orchestrierungsebene – sondern bei jeder Interaktion zwischen Agenten in der Kette.
Können Agenten Tools indirekt über andere Agenten aufrufen?Und wenn ja, findet am Ort des indirekten Aufrufs policy statt?
Haben Sie die Kontrolle darüber, wie Daten zwischen den Agenten übertragen werden?Wird die Datenherkunft über den gesamten Interaktionsgraphen der Agenten hinweg nachverfolgt?

Was dafür erforderlich ist

Eindeutige Agentenidentität – keine gemeinsam genutzten Anmeldedaten. Jeder Agent benötigt eine eindeutige, nicht übertragbare Identität mit explizit festgelegten, bereichsbezogenen Berechtigungen.
Begrenzte, zeitlich befristete Befugnisübertragung – jede Befugnis, die ein Akteur an einen anderen überträgt, muss ausdrücklich begrenzt sein und eine Gültigkeitsdauer haben. Keine unbefristete Befugnisübertragung.
Fähigkeitsbasierte Kontrollen – nicht nur rollenbasierter Zugriff. Was ein Agent tun kann, muss ebenso streng kontrolliert werden wie das, was er sehen kann.
Policy auf der Orchestrierungsebene – Kontrollmechanismen müssen dort vorhanden sein, wo Delegierungsentscheidungen getroffen werden, und nicht nur an den Systemgrenzen.
Vollständige Rückverfolgbarkeit der Interaktionen zwischen Agenten – die gesamte Delegationskette, nicht nur die ursprüngliche Anfrage und die abschließende Aktion.
Datenherkunft als Sicherheitsmaßnahme – Nachverfolgung, welche Akteure Daten bearbeitet, umgewandelt oder weitergegeben haben – und mit welcher Berechtigung.

Abschließender Gedanke

In herkömmlichen Systemen: Der Zugriff wird gewährt.

In agentischen Systemen: Der Zugriff wird weitergegeben.

Wenn man die Delegation nicht im Griff hat, hat man auch das System nicht im Griff.

#Cybersicherheit #KI #GenAI #AgentischeKI #KI-Sicherheit CISO #ZeroTrust OneCompliant

Bewerten Sie Ihr AI im Zusammenhang mit agentischer AI

OASAT OneCompliant analysiert Ihre KI-Systeme im Hinblick auf Governance, Sicherheit und risk erstellt innerhalb von 4 bis 6 Wochen einen nach Prioritäten geordneten Maßnahmenplan.