KI-Agenten sind bereits in euren Systemen – und eure Identitätsstrategie weiß es noch nicht
Bis Ende 2026 werden 40 % der Unternehmensanwendungen KI-Agenten mit spezifischen Aufgaben enthalten. Vor zwölf Monaten lag diese Zahl noch unter 5 %. Der Sprung ist nicht nur statistischer Natur: Er ist strukturell. Millionen von nicht-menschlichen Identitäten operieren gerade jetzt in Unternehmensnetzwerken mit Zugang zu Daten, Systemen und Entscheidungen – und die meisten Sicherheitsteams betrachten das Problem noch immer mit den falschen Instrumenten.
Das Management von Identitäten und Zugriffsrechten – was die Branche als IAM bezeichnet – wurde für eine Welt gebaut, in der die Akteure des Systems Menschen waren. Jemand tritt ein, bekommt eine Rolle zugewiesen, seine Zugänge werden regelmäßig überprüft und irgendwann wird er wieder aus dem System entfernt. Der Zyklus folgt einer menschlichen Logik, weil er für Menschen konzipiert wurde. KI-Agenten treten nicht über die Personalabteilung ein, haben keinen Vorgesetzten, der ihre Berechtigungen genehmigt, und haben auch kein geplantes Austrittsdatum. Aber sie haben Zugang. Und dieser Zugang wird in den meisten Organisationen nicht mit derselben Sorgfalt verwaltet wie der eines neuen Mitarbeiters.
Das ist kein geringfügiges technisches Problem. Es ist ein struktureller Riss in der Art und Weise, wie Unternehmen verstehen, wer – oder was – in ihren Systemen agiert.
Das Inventar, das niemand hat
Bevor man über Kontrollen spricht, gibt es eine grundlegendere Frage, die nur wenige Organisationen präzise beantworten können: Wie viele KI-Agenten laufen gerade in ihren Umgebungen, wer hat sie eingesetzt und was können sie tun?
Die unbequeme Antwort lautet: Die meisten wissen es nicht. Laut von Gravitee veröffentlichten Daten erhielt nur jeder siebte KI-Agent, der in produktiven Umgebungen operiert, vor seinem Einsatz eine formale Überprüfung durch das Sicherheitsteam. Die übrigen wurden von Geschäfts- oder Entwicklungsteams mit operativer Dringlichkeit gestartet, ohne dieselben Filter zu durchlaufen, die für jedes neue System gelten. Das Ergebnis ist ein Ökosystem nicht-menschlicher Identitäten, die ungeprüft Berechtigungen ansammeln, unter gemeinsam genutzten Anmeldedaten operieren und noch lange aktiv bleiben, nachdem der Arbeitsablauf, der sie ursprünglich hervorgebracht hat, sich verändert hat oder weggefallen ist.
Das Problem ist konzeptionell nicht neu. Nicht-menschliche Identitäten – Dienstkonten, API-Schlüssel, Automatisierungsskripte – übertrafen in der Anzahl die menschlichen Benutzer in den meisten großen Unternehmen bereits, bevor KI-Agenten ins Bild traten. Was sich verändert hat, ist die Geschwindigkeit und die Autonomie. Ein Kubernetes-Cluster kann in wenigen Minuten Tausende von Dienstkonten bereitstellen. Ein KI-Agent kann gleichzeitig mit mehreren Systemen interagieren, Entscheidungen in Echtzeit treffen und sein Verhalten je nach Kontext anpassen. Das ist kein passives Dienstkonto, das auf eine Anweisung wartet. Es ist ein Akteur mit eigenem Urteilsvermögen innerhalb eurer Systeme.
Ohne ein klares Inventar darüber, welche Agenten existieren, welchen Zugang sie haben und wer für sie verantwortlich ist, kommt jedes Gespräch über Kontrollen zu spät. Man kann nicht regieren, was man nicht katalogisiert hat.
Wie eine Sicherheitslücke aussieht, wenn der Akteur eine Maschine ist
Der Fall von Salesloft und Drift, der sich im vergangenen Jahr ereignete, veranschaulicht präzise die Art von Risiko, das entsteht, wenn Identitätskontrollen KI-Integrationen nicht erfassen. Angreifer kompromittierten OAuth-Tokens, die mit dem Chatbot von Drift verbunden waren – einer von Salesloft genutzten KI-Integration – und verschafften sich Zugang zu den Salesforce-Umgebungen von mehr als 700 Organisationen. Die Sicherheitslücke blieb tagelang unentdeckt.
Das entscheidende Detail ist nicht technischer, sondern operativer Natur: Das Sicherheitsteam konnte sehen, dass der Chatbot Zugang hatte. Was es nicht sehen konnte, war, was er in Echtzeit mit diesem Zugang anstellte. Von außen waren die böswilligen Anfragen vom legitimen Verhalten des Bots nicht zu unterscheiden. Es war eine vertrauenswürdige nicht-menschliche Identität, die genau das tat, was sie zu tun schien.
Dieses Muster – sichtbarer Zugang, unsichtbares Verhalten – ist der Kern des Problems. Traditionelle IAM-Frameworks wurden gebaut, um auf die Frage zu antworten, wer Zugang zu was hat. Gegenüber KI-Agenten lautet die entscheidende Frage: Was tut dieser Zugang in jedem Moment, unter welchem Kontext und zu welchem Zweck? Das sind unterschiedliche Fragen, und sie erfordern unterschiedliche Instrumente.
Das statische, rollenbasierte Kontrollmodell – du weist eine Rolle zu, die Rolle definiert die Berechtigungen, die Berechtigungen werden vierteljährlich überprüft – wurde nicht für Akteure konzipiert, die mit Maschinengeschwindigkeit operieren und ihr Verhalten je nach Kontext anpassen. Man braucht eine kontinuierliche Risikobewertung, keine regelmäßige Prüfung. Man braucht Zugänge, die automatisch ablaufen, wenn die Aufgabe beendet ist, nicht solche, die auf unbestimmte Zeit bestehen bleiben, weil niemand sie widerrufen hat.
Die Prinzipien existieren seit Langem. Minimale Rechtevergabe, Just-in-Time-Zugang, kurzlebige Token, die von selbst ablaufen, Integration mit Plattformen für privilegiertes Zugriffsmanagement. Keiner dieser Mechanismen ist neu. Was neu ist, ist die Dringlichkeit, sie auf eine Klasse von Identitäten auszuweiten, für die sie ursprünglich nicht gedacht waren – und zwar bevor der nächste Vorfall im Quartalsbericht auftaucht.
Was Organisationen aufschieben – und warum dieser Aufschub seinen Preis hat
Es gibt einen Grund, warum Sicherheitsteams ihre IAM-Frameworks nicht mit derselben Geschwindigkeit auf KI-Agenten ausgeweitet haben, mit der diese Agenten eingesetzt werden: Den Einsatz treiben die Geschäftsteams voran, und die Sicherheitsteams reagieren erst im Nachhinein.
Die Asymmetrie ist strukturell. Ein Produkt- oder Betriebsteam, das in einem KI-Agenten eine Möglichkeit findet, einen Arbeitsablauf zu automatisieren, hat keinen Anreiz, innezuhalten und eine Sicherheitsüberprüfung anzufordern, die Wochen dauern kann. Sein Anreiz ist das unmittelbare operative Ergebnis. Die Kosten des Unterlassens – eine Sicherheitslücke, ein unbefugter Zugang, ein kompromittierter Agent – zahlt ein anderes Team, später, aus einem anderen Budget.
Diese Anreizverteilung erzeugt genau das chaotische Inventar, das wir zuvor beschrieben haben: Dutzende oder Hunderte von Agenten laufen in der Produktionsumgebung, viele ohne formalen Eigentümer, mit Berechtigungen, die nie überprüft wurden, und mit Anmeldedaten, von denen niemand weiß, wann sie ablaufen.
Die Lösung besteht nicht darin, den Einsatz von Agenten zu verlangsamen. Die Produktivitätsgewinne sind real, und Organisationen, die zurückbleiben, werden diesen Preis auf andere Weise bezahlen. Die Lösung besteht darin, Identitäts-Governance in den Bereitstellungsprozess zu integrieren – nicht als nachgelagerten Schritt, sondern als Vorbedingung. Kein Agent sollte in die Produktion gehen, ohne dass jemand drei grundlegende Fragen beantwortet hat: Worauf hat er Zugang, wer ist für diesen Zugang verantwortlich und unter welchen Bedingungen läuft dieser Zugang ab.
Gartner hat den Mangel an Governance über KI-Agenten-Identitäten als einen der kritischsten Cybersicherheitstrends für 2026 identifiziert. Nicht weil es in seiner Logik ein neues Problem wäre, sondern weil die Adoptionsgeschwindigkeit die Geschwindigkeit der Kontrollen überholt. Die Lücke zwischen beiden ist der Ort, an dem Vorfälle entstehen.
Der fehlende Regler im Wettlauf zur operativen KI
Das dominierende Narrativ über KI in Unternehmen ist auf Fähigkeiten ausgerichtet: Was kann ein Agent tun, wie viel Zeit spart er, wie viele Prozesse automatisiert er? Es ist ein legitimes Narrativ. Die Produktivitätszahlen sind real.
Was dieses Narrativ außen vor lässt, ist die Frage danach, wer antwortet, wenn etwas schiefläuft. Und wenn der Akteur, der versagt, kein Mitarbeiter ist, sondern ein Agent mit Zugang zu mehreren Systemen, wird diese Frage schwerer zu beantworten.
Die Kosteneinsparungen bei Sicherheitslücken, die KI-Frameworks in IAM versprechen – bis zu 80 % laut einigen Branchenstudien – kommen nicht von allein. Sie kommen dann, wenn jemand entschieden hat, dass KI-Agenten Identitätsentscheidungen sind, bevor sie Ingenieurentscheidungen sind. Wenn das Sicherheitsteam Echtzeittransparenz über das Verhalten jedes Agenten hat, nicht nur über seine statischen Berechtigungen. Wenn Zugänge automatisch ablaufen und Attestierungsabläufe kontinuierlich sind, nicht jährlich.
Die Organisationen, die KI-Agenten ohne dieses Governance-Niveau einsetzen, handeln nicht aus Unwissenheit leichtsinnig. Sie handeln leichtsinnig, weil der Druck, sich schnell zu bewegen, real ist und die richtigen Kontrollen Investitionen, Koordination und bewusste Reibung in den Bereitstellungsprozessen erfordern.
Diese Reibung, gut gestaltet, bremst die Adoption nicht. Sie macht sie nachhaltig. Der Unterschied zwischen einem KI-Programm, das geordnet skaliert, und einem, das in achtzehn Monaten einen schwerwiegenden Vorfall produziert, liegt weder in der Qualität der Modelle noch in der Ambition der Anwendungsfälle. Er liegt darin, ob jemand das Gespräch über Identitäten geführt hat, bevor der erste Agent in die Produktion gelangte.
