Wissen Sie, was in Ihrer Software steckt?

Agentic AI an die Leine nehmen: Wieso Unternehmen autonom handelnder KI Grenzen aufzeigen sollten

May 5, 2026 in Blog

feature-image

Agentic AI an die Leine nehmen: Wieso Unternehmen autonom handelnder KI Grenzen aufzeigen sollten

Es klingt wie ein Widerspruch: Agentic AI bahnt sich gerade ihren Weg in den Arbeitsalltag, um Aufgaben automatisiert zu erledigen und Entscheidungen vorzubereiten, eigenständig zu treffen und sogar in die Tat umzusetzen. Doch autonome KI-Agenten brauchen dringend klare Leitplanken, um die Unternehmenssicherheit gewährleisten zu können. Je autonomer KI-Agenten agieren, desto wichtiger wird die Frage, wie sich ihre Zugriffe, Berechtigungen und Handlungen kontrollieren lassen. Und Hand aufs Herz: Können Sie das aktuell verlässlich beantworten?

Vom Large Language Model zum KI-Agenten

Den KI-Einsatz aus Identity-Security-Gesichtspunkten zu hinterfragen, ist seit der ersten Stunde essenziell. In Bezug auf Large Language Models, kurz LLMs, stellen sich hier oftmals klassische IAM-Fragen: Wer hat Benutzerzugänge? Welche Rollen sind vergeben? Welche APIs und Tools haben Zugriff? Wer also Sprachmodelle verwenden will, um Texte zu generieren, Inhalte zusammenzufassen, Sprachen zu übersetzen, Codes zu schreiben oder Fragen zu beantworten, sollte zuerst Antworten hierauf finden.

Das gilt gleichfalls für die Retrieval-Augmented Generation (RAG), die eine Kombination aus LLMs und externer Wissensquelle darstellt. Hier zieht das Modell für den wahrscheinlichsten Output zusätzliche Informationen mit ein. Wichtig dabei: Beide KIs arbeiten statisch. Ein „Verstehen“ im menschlichen Sinn ist nicht gegeben.

Der nächste Evolutionsschritt ist aber bereits gemacht – mit proaktiv arbeitenden KI-Agenten. Durch die Verbindung von LLMs, Planung, Memory und Schnittstellen zu weiteren Tools können sie vorgeschriebene Ziele verfolgen und Aktionen ausführen. Aufgaben zu priorisieren, Systeme zu steuern oder mehrschrittige Arbeitsprozesse zu automatisieren, ist mit ihnen ein Leichtes. Doch Sicherheitsbarrieren können durchbrochen werden, indem Fehler automatisiert und Entscheidungen autonom außerhalb des Systems ablaufen.

Für Multi-Agenten verhält es sich ähnlich mit einem feinen Unterschied: Die Komplexität steigt weiter, die Fehlentscheidungen können sich multiplizieren und Kontrolle, Nachvollziehbarkeit und Sicherheit sind die Leidtragenden.

Identitäten und Zugänge in Gefahr

Damit wird deutlich, wo der größte Gegensatz zu klassischen Anwendungen liegt – nämlich nicht im Modell selbst, sondern in der Handlungsebene. KI-Agenten greifen aktiv auf Systeme zu, führen Aktionen aus und treffen Entscheidungen im Kontext ihrer Aufgaben.

Das Identity and Access Management (IAM) ist also gefragt, zusätzliche Aspekte einzubeziehen. Denn sobald KI-Systeme nicht mehr nur Inhalte generieren, sondern eigenständig auf Tools, Schnittstellen und Daten zugreifen, rückt die Kontrolle von Identitäten, Berechtigungen und Delegationsketten ins Zentrum. „Wer nutzt KI?“ weicht folgenden Nachfragen:

  • Unter welcher Identität handelt ein Agent?
  • In wessen Namen handelt er?
  • Welche Aufgabe soll der Agent (voraussichtlich) erfüllen?
  • Welche Rechte wurden ihm übertragen?
  • Wo müssen die Rechte begrenzt werden?
  • Wie bleiben Entscheidungen und Aktionen von KI-Agenten nachvollziehbar?
  • Wer verantwortet also das Handeln der KI-Agenten?

Was sich mit KI-Agenten ändert

Nochmals auf den Punkt gebracht: Sicherheit verschiebt sich vom „Was darf der User?“ hin zum „Was darf der Agent (im Kontext des Users)?“.

Wo bislang Menschen die Entscheidungsgewalt innehatten, übernimmt vielerorts der KI-Agent – und führt im Anschluss direkt aus. Einzelne Prompts und einzelne KI-Antworten weichen mehrstufigen automatisch durchgeführten Aktionsketten (Loops). Ein eindeutiger Principal – also ein User oder ein Service – existiert nicht länger. An seine Stelle tritt ein hybrider Principal, der im Auftrag eines Users via LLM eine Aufgabe durchführt.

Die Konsequenzen daraus: Der Scope, der einst bekannt und statisch vorlag, wächst dynamisch durch Tool-Calls. Sichtbare, lokale Fehler reduzieren sich durch weniger menschliche Interaktion mit der KI. Stattdessen nehmen jedoch durch Aktionsketten propagierte Fehler zu. Wer, was getan hat, ist beim Einsatz von Agentic AI schwer nachzuvollziehen.

Falsch gedacht: Fehlannahmen im Umgang mit KI-Agenten

Aufgrund dieser möglichen Folgen ist dringend mit Missverständnissen im Unternehmen aufzuräumen. Denn viele Annahmen kursieren fälschlicherweise und führen dazu, dass IAM nicht sicher umgesetzt wird. Wer sich in den Aussagen wiedererkennt, hat Handlungsbedarf.

  • Wir haben doch schon bestehende Rollen und Tokens. IAM-Modelle kennen bisher User und Services und stellen diese auf ein sicheres Fundament. Autonome Agenten, die im Namen beider handeln, Kontext akkumulieren und Entscheidungen treffen, finden meist aber noch keine Berücksichtigung – müssten das aber für mehr Kontrolle.

  • Der Agent ist auch nur ein Prompt. Ein klares Nein! Ein Prompt besitzt keine Persistenz, kein Gedächtnis, keine Tools. Ein KI-Agent hingegen weist Session-State, ein Langzeitgedächtnis und echte OS- oder API-Zugriffe auf. Damit sind erweiterte Schutzmechanismen nötig.

  • Das aktuelle Monitoring reicht auf LLM-Ebene aus. LLMs sehen ausschließlich Token. Wie ein KI-Agent mit diesen arbeitet, welche APIs er aufruft, welche Daten er liest oder welche Entscheidungen er trifft, läuft außerhalb des LLM-Kontextes ab.

  • KI-Agenten sind eigenständige Akteure. Der EU AI Act stellt das klar dar: KI-Agenten gelten nicht als eigenständige Akteure. Viel eher braucht es eine Zurechenbarkeit zu einer Person (Traceability). Jede Agentenaktion muss somit auf menschliche Verantwortung (Legal Ownership) zurückzuführen sein. Governance-Prinzipien sind dadurch unerlässlich. Unterm Strich fehlt damit genau das, worauf es beim sicheren Betrieb von KI-Agenten ankommt: Transparenz über ihre Identität, Kontrolle über ihre Berechtigungen und Nachvollziehbarkeit ihrer Handlungen.

Weitergedacht: Leitplanken für Agentic AI

Was Unternehmen jetzt tun müssen? Kontrolle, Verantwortung und Sicherheit neu organisieren. Denn eines wird deutlich: Klassische Sicherheitsmodelle lassen sich nicht einfach auf KI-Agenten übertragen. Es braucht neue Leitplanken – technisch, organisatorisch und konzeptionell. Sieben Aspekte sind dabei Grundvoraussetzung.

1. KI-Agenten benötigen eine eigene Identität

KI-Agenten sind keine normalen Nutzerkonten oder technische Service-Accounts und sollten daher auch nicht so behandelt werden. Da sie eigenständig auf Systeme zugreifen, Kontext verarbeiten und Entscheidungen treffen, brauchen sie eine eigene Identitätslogik mit klaren Zuständigkeiten, eigenem Lifecycle und nachvollziehbaren Berechtigungen. Erst wenn eindeutig feststeht, unter welcher Identität ein Agent handelt, lässt sich sein Verhalten sinnvoll kontrollieren.

2. Rechte müssen enger und kontextbezogener vergeben werden

Der Grad der Autonomie ist hier entscheidend: Je autonomer ein Agent agiert, desto gefährlicher sind pauschale oder dauerhaft weit geöffnete Berechtigungen. Unternehmen sollten sich daher von breit angelegten Zugriffsrechten verabschieden und aufgabenspezifische, zeitlich begrenzte und klar eingegrenzte Rechte vergeben. Auch KI-Agenten dürfen nur das tun, was für einen festgelegten Zweck erforderlich ist. So lässt sich verhindern, dass aus Delegation schleichend eine unnötige Rechteausweitung wird.

3. Berechtigungsprüfungen müssen engmaschiger und dynamisch umgesetzt werden

Die Herausforderungen durch KI-Agenten im Identity-Bereich weiten sich auf das Access Management aus. Somit ist ebenso erforderlich, dass Zugriffe deutlich feingranularer und kontext-sensitiver überprüft und durchgesetzt werden.

Darf der Agent in diesem Kontext diesen API-Call durchführen oder jene Datei beschreiben oder diese nur lesen? Ist diese Aktion im Rahmen der aktuellen Aufgabe überhaupt vorgesehen? Hat der delegierende User selbst das Recht, das er an den Agenten weitergibt?

Diese Fragen müssen nicht einmalig bei der Einrichtung beantwortet werden, sondern kontinuierlich – zur Laufzeit. Denn KI-Agenten agieren dynamisch: Ihr Kontext verändert sich, ihre Tool-Calls sind nicht immer vorhersehbar, und ihre Aktionsketten können in Bereiche vordringen, die initial nicht vorgesehen waren.

Statische Regelwerke greifen hier zu kurz. Das Gebot der Stunde ist ein konsequentes Zero-Trust-Prinzip: Kein Agent erhält automatisch Vertrauen – weder aufgrund seiner Herkunft noch aufgrund einer einmalig erteilten Genehmigung. Jede Aktion muss neu bewertet werden. Technisch zieht das den Einsatz feingranularer, externer Autorisierungsmechanismen nach sich – also Authorization-Engines, die Zugriffsentscheidungen zentral, regelbasiert und kontextsensitiv treffen, anstatt diese Logik im Agenten selbst oder im jeweiligen System zu verankern. Das Prinzip der minimalen Rechtevergabe (Least Privilege) – muss dabei konsequent auf jeden einzelnen Schritt im Agenten-Workflow angewendet werden, nicht nur auf den Einstiegspunkt.

Doch Technik allein genügt nicht. Neben der Frage, was ein Agent darf, stellt sich unmittelbar die Frage, wer dafür geradestehen muss.

4. Verantwortung muss eindeutig zugeordnet sein

Autonomie darf nie dazu führen, dass diffuse Verantwortung im Unternehmen vorherrscht. Für jeden KI-Agenten sollte klar geregelt sein, wer seinen Zweck definiert, wer ihn technisch betreibt und wer seine Nutzung verantwortet. Diese organisatorische Zuordnung ist nicht nur für Governance-Fragen wichtig, sondern auch für Haftung, Compliance und den sicheren Betrieb. Fehlen klar benannte Owner, kommt es zu blinden Flecken – und Sicherheitslücken werden wahrscheinlicher.

5. Nachvollziehbarkeit muss über klassische Logs hinausgehen

Das Protokollieren eines Zugriffs reicht bei der Nutzung von KI-Agenten nicht aus. Organisationen müssen jederzeit nachvollziehen können, warum ein Agent wie gehandelt hat. Der EU AI Act macht genau das für viele Unternehmen zur regulatorischen Pflicht. Nachvollziehbarkeit ist damit kein Nice-to-have, sondern ein Compliance-Erfordernis. Erst diese erweiterte Form der Transparenz schafft die Grundlage für wirksame Kontrollen, belastbare Audits und eine saubere forensische Aufarbeitung im Ernstfall. Aus technischer Protokollierung muss also echte Entscheidungsnachvollziehbarkeit werden.

6. Kritische Aktionen brauchen harte Kontrollpunkte

Nicht jede Entscheidung eines KI-Agenten sollte vollständig automatisiert durchlaufen. Gerade bei sensiblen Datenzugriffen, weitreichenden Änderungen oder finanziell und regulatorisch relevanten Prozessen braucht es definierte Kontrollpunkte – mit einem klaren Human-in-the-Loop. Menschliche Freigaben sind dabei kein Rückschritt in der Automatisierung. Sie sind bewusstes Sicherheitsdesign. Dazu gehören zentrale Instanzen für Policy Enforcement, die Möglichkeit zum sofortigen Eingreifen sowie menschliche Freigaben bei besonders kritischen Schritten. Die Sicherheitsarchitektur gilt es also so zu gestalten, dass Agenten produktiv arbeiten können, sich aber niemals der Kontrolle entziehen.

7. KI-Agenten müssen in bestehende Incident-Response-Prozesse eingebettet werden

Ein KI-Agent, der sich außerhalb seines definierten Aufgabenrahmens bewegt, muss sofort erkannt und isoliert werden können. Ein reales (!) Beispiel, das harmlos klingt, sensibilisiert dafür: Ein Telesales-KI-Agent wird von einem Anrufer gebeten, spontan ein Cookie-Rezept vorzulesen. Der Aufforderung kommt er bereitwillig nach. Damit entsteht kein unmittelbarer Schaden, aber ein fundamentales Kontrollversagen. Wer garantiert, dass derselbe Agent nicht auch auf sensiblere Aufforderungen eingeht?

Solches Verhalten muss aufgedeckt und konsequent adressiert werden. Unternehmen brauchen die technische Fähigkeit, Anomalien im Agenten-Verhalten in Echtzeit zu erkennen. Klare Playbooks für den Ernstfall helfen hierbei: Wer greift wann ein? Wie werden Sessions beendet, Berechtigungen entzogen und Aktionsketten rekonstruiert? Incident Response für KI-Agenten ist keine Kür. Sie bildet die letzte Verteidigungslinie.

Autonomie braucht Kontrolle

Wer heute auf KI-Agenten setzt, kann sich zwar über Arbeitsentlastung freuen – doch Potenzial allein ist kein Sicherheitskonzept. Denn mit zunehmender Autonomie verschiebt sich die Sicherheitsfrage: Nicht mehr nur, wer Zugriff hat, zählt, sondern auch, wer handelt, in wessen Namen und mit welcher Reichweite. Identitäten, Berechtigungen und Verantwortung mit klaren Leitplanken zu verknüpfen, legen das Fundament für einen sicheren und kontrollierten Einsatz von Agentic AI. Erst dann gehen Potenzial und Sicherheit Hand in Hand.

Sie möchten KI-Agenten kontrolliert einsetzen? Dann freuen wir uns, Sie auf dem Weg zu einem Agentic-AI-konformen IAM zu begleiten!


Jetzt Termin vereinbaren

umbrella.associates

  • Mergenthalerallee 73-75
    65760 Eschborn/Frankfurt
  • +49 (0) 6196 204 8237

Navigation

We take your security to the next level

...und tun alles, um neuen Identitäten Schutz zu gewähren. Seien es Mitarbeiter oder Kunden, Partnerfirmen oder Admins - bis hin zu Geräten und Anlagen. Wir erstellen die Management Ebene, für ALLE Identity Anforderungen.

© 2026 umbrella.associates