KI-Agenten im Unternehmen: die neue Angriffsfläche, die niemand überwacht
18 July 2026 · 7 Min. Lesezeit · INTO MSP Team
Was Mitarbeiter mit ChatGPT tun, wenn niemand hinsieht, haben wir bereits im Beitrag über Shadow AI beschrieben. Dieser Text handelt vom nächsten Schritt, der leise in den Unternehmen angekommen ist: KI-Werkzeuge beantworten nicht mehr nur Fragen. Die neue Generation, sogenannte KI-Agenten, hat Zugriff auf Ihre Systeme und handelt selbstständig. Sie liest und beantwortet E-Mails, öffnet Dokumente, durchsucht interne Daten, plant Termine, startet Skripte.
Das spart enorm viel Zeit, und genau deshalb führen Unternehmen sie ein. Es entsteht dabei aber auch etwas Neues: Software, die wie ein Mitarbeiter über Konten, Berechtigungen und Datenzugriff verfügt, ohne den gesunden Menschenverstand und die Verantwortung eines Mitarbeiters. Für Angreifer ist das eine neue Art von Ziel.
Der Unterschied zwischen Chatbot und Agent
Ein einfacher Chatbot ist ungefähr so gefährlich wie der Text, den man ihm gibt: Das Schlimmste, was passieren kann, ist eine schlechte Antwort. Ein Agent ist etwas anderes. Um seine Arbeit zu tun, erhält er:
- Zugriff: ein Postfach, freigegebene Ordner, den Kalender, manchmal Geschäftsanwendungen
- Berechtigungen: das Recht zu senden, zu ändern, zu löschen, auszuführen
- Vertrauen: er arbeitet unbeaufsichtigt, denn genau das ist der Sinn der Sache
Wenn etwas mit dieser Kombination aus Zugriff und Vertrauen einen Fehler macht oder getäuscht wird, ist die Folge keine schlechte Antwort, sondern eine echte Aktion in einem echten System.
Wie man Software angreift, die Anweisungen befolgt
Ein klassischer Angriff zielt auf eine Schwachstelle im Code. Bei KI-Agenten gibt es einen zweiten, ungewöhnlicheren Weg: den Angriff über die Inhalte, die der Agent liest. Ein Agent kann Ihre Anweisungen nicht zuverlässig von Anweisungen unterscheiden, die in einer E-Mail, einem Dokument oder einer Nachricht versteckt sind, die er gerade verarbeitet. Erreicht ihn eine Nachricht mit versteckten Instruktionen, befolgt er sie unter Umständen, als kämen sie von Ihnen. Die Fachwelt nennt das Prompt Injection, und es ist derzeit das ernsteste ungelöste Problem dieser Technologie.
Das ist keine Theorie. Sicherheitsforscher haben in diesem Jahr Schwachstellen in einem verbreiteten persönlichen KI-Assistenten dokumentiert, bei denen eine sorgfältig präparierte WhatsApp-Nachricht zum Diebstahl von Zugangsdaten und zur Ausführung von Code auf dem Rechner des Besitzers führen konnte. Der Hersteller hat die Lücken inzwischen geschlossen, aber das Prinzip bleibt: Ein Agent mit Systemzugriff ist ein Ziel, und der Angriffskanal ist gewöhnlicher Inhalt, den ihm jemand schickt.
Die andere Seite derselben Geschichte: Forscher, die die neuesten großen Modelle testen, zeigen regelmäßig, dass diese auch als Werkzeug in der Hand von Angreifern immer leistungsfähiger werden, vom Verfassen überzeugender Phishing-Nachrichten bis zur Hilfe bei der Suche nach Schwachstellen. Auch die Angreiferseite automatisiert.
Wo Unternehmen bei der Einführung Fehler machen
Das Muster ist immer dasselbe, und es ist Tempo, nicht böser Wille:
- Der Agent bekommt mehr Berechtigungen als nötig, weil es so "einfach funktioniert"
- Die Zugangsdaten des Agenten bleiben dauerhaft unverändert, niemand rotiert sie und niemand weiß, wo überall sie hinterlegt sind
- Der Agent wird mit den Mails und Dateien der ganzen Firma verbunden statt mit einem eingeschränkten Konto
- Niemand protokolliert, was der Agent getan hat, sodass sich Fehler oder Missbrauch weder bemerken noch rekonstruieren lassen
- Verlässt der Mitarbeiter, der den Agenten eingerichtet hat, das Unternehmen, läuft der Agent weiter, mit dessen Zugriffen
Jeder dieser Punkte wäre bei einem neuen Mitarbeiter inakzeptabel. Beim Software-"Mitarbeiter" geht er ohne Nachfrage durch.
DSGVO: Der Agent verarbeitet personenbezogene Daten
Für Unternehmen im DACH-Raum kommt eine rechtliche Ebene hinzu. Ein Agent, der Postfächer, Kundendaten oder Personalunterlagen liest, verarbeitet personenbezogene Daten. Damit stellen sich die bekannten DSGVO-Fragen: auf welcher Grundlage, mit welchem Anbieter, mit welchem Auftragsverarbeitungsvertrag, und wer kann Auskunft geben, was der Agent mit welchen Daten getan hat. Ein Agent ohne Protokoll macht die letzte Frage unbeantwortbar. Die konkreten Pflichten klären Sie mit Ihrer Datenschutzberatung; die technische Voraussetzung dafür ist in jedem Fall dieselbe wie im nächsten Abschnitt.
Die Regel, die alles vereinfacht: Ein Agent ist ein Konto
Am nützlichsten ist es, jeden Agenten wie ein neues Teammitglied zu behandeln, mit allen Verfahren, die dazugehören:
- Eigene Identität: Der Agent hat ein eigenes Konto und nutzt nie das einer Person. Es ist jederzeit klar, was der Agent getan hat und was ein Mensch.
- Minimale Berechtigungen: Zugriff nur auf das, was die konkrete Aufgabe erfordert. Ein Terminplanungs-Agent muss keine Verträge lesen.
- Menschliche Freigabe für Sensibles: Geld überweisen, Daten löschen, Konten und Zugriffe ändern passiert nicht ohne Freigabe eines Menschen, egal wie "sicher" sich der Agent ist.
- Aktivitätsprotokoll: Alles, was der Agent tut, wird aufgezeichnet und ist nachvollziehbar. Ohne das haben Sie keinen Agenten, sondern eine Blackbox mit Berechtigungen.
- Offboarding: Wird ein Agent abgeschaltet oder ersetzt, werden seine Zugriffe noch am selben Tag entzogen, wie bei einem ausscheidenden Mitarbeiter. Warum zurückgelassene Konten Schaden anrichten, haben wir bereits in unserem Text zum Offboarding behandelt.
Was ein kleines Unternehmen konkret tun sollte
Sie müssen die Architektur großer Sprachmodelle nicht verstehen, um das unter Kontrolle zu halten. Drei Schritte genügen. Erstens eine Bestandsaufnahme: Welche KI-Werkzeuge und Agenten gibt es im Unternehmen, wer hat sie eingeführt und worauf haben sie Zugriff. Die Erfahrung mit Shadow AI zeigt, dass die Liste länger sein wird als gedacht. Zweitens Regeln: Welche Daten dürfen in welche Werkzeuge, und welche Aktionen darf ein Agent allein, welche nur mit Freigabe. Drittens technische Leitplanken: Konten, Berechtigungen und Protokollierung so eingerichtet, dass die Regeln nicht vom guten Willen abhängen.
Genau das leisten wir mit unserem Service für KI und Automatisierung: Automatisierung bringt erst dann Wert, wenn sie Leitplanken, Protokolle und klare Verantwortung hat. Ein Agent, der zehn Stunden pro Woche spart, dabei aber unbegrenzten Zugriff hält und keine Spur hinterlässt, ist keine Ersparnis, sondern aufgeschobener Schaden. Der Unterschied zwischen beidem liegt nicht in der Technologie, sondern darin, ob jemand das System darum herum gebaut hat.
Soll das jemand für Sie regeln, ohne Drama?
INTO MSP betreut Security, Backup und IT für kleine und mittlere Unternehmen. Schritt eins: ein kurzer, unverbindlicher Check.
IT-Security → Kontakt