Stell dir vor, in einem großen Bürogebäude bekommen alle Mitarbeiter denselben Haustürschlüssel. Egal ob Praktikant, Abteilungsleiter oder externer Reinigungsdienst – jeder hat Zugang zu allen Räumen. Verliert eine Person den Schlüssel, ist das gesamte Gebäude gefährdet. Genau dieses Szenario spielt sich derzeit in der Welt der KI-Agenten ab. Die Zahlen sind deutlich.
Eine aktuelle Studie von VentureBeat, basierend auf einer Umfrage unter 107 Unternehmen mit mehr als 100 Mitarbeitern, zeigt: 69% der Unternehmen betreiben ihre KI-Agenten mit gemeinsamen Zugangsdaten. Konkret bedeutet das: Ein einziger API-Key wird für mehrere Agenten verwendet. Wird einer dieser Agenten kompromittiert, profitiert der Angreifer sofort von den kumulierten Berechtigungen aller Workflows, die dieser Key berührt. Die forensische Spur endet auf der Ebene der Zugangsdaten, weil fünf Agenten auf einem Konto keine Aufzeichnung darüber hinterlassen, welcher Agent welche Aktion ausgeführt hat.
Ein Problem, das Milliarden kostet
Diese eine Zahl – 69% – erklärt, warum die größten Sicherheitsfirmen derzeit viel Geld investieren. Palo Alto Networks, CrowdStrike und Cisco haben im vergangenen Jahr zusammen mehr als 22 Milliarden Dollar investiert, um genau diese Sicherheitslücke zu schließen. Palo Alto Networks schloss am 11. Februar die Übernahme von CyberArk ab – für 21,1 Milliarden Dollar, der größte Deal in der Firmengeschichte. CrowdStrike kaufte die Runtime-Autorisierungsplattform SGNL für 740 Millionen Dollar und brachte bereits im Juni das erste Produkt daraus auf den Markt: Continuous Identity for AI Agents. Cisco gab Anfang Mai die Übernahme von Astrix Security bekannt, einem Spezialisten für nicht-menschliche Identitäten, für rund 400 Millionen Dollar.
Für Sicherheitsverantwortliche ist diese Studie keine Trendlinie, sondern eine Frage, die im Vorstand diskutiert werden muss. Denn sie deckt ein Problem auf, das in den Marketing-Broschüren der großen Cloud-Anbieter nicht vorkommt. 54% der befragten Unternehmen hatten bereits einen Sicherheitsvorfall oder einen Beinahe-Vorfall mit KI-Agenten. 18% bestätigten einen tatsächlichen Vorfall, 36% entdeckten eine knappe Verfehlung, bevor es zum Bruch kam. Die Sicherheitsteams stoppen die meisten dieser Ereignisse am letzten Kontrollpunkt – aber die restlichen Daten zeigen, wie dünn diese Grenze ist.
Wie Agenten heute ihre Identität verwalten
Nur 32% der Unternehmen geben jedem KI-Agenten eine eigene, abgegrenzte und verwaltete Identität. 48% berichten, dass einige Agenten abgegrenzte Identitäten haben, viele aber immer noch gemeinsame Zugangsdaten verwenden. Weitere 32% geben an, dass Agenten größtenteils mit gemeinsamen API-Keys oder mit entliehenen menschlichen bzw. Servicekonto-Zugangsdaten laufen. Die Umfrage erlaubte Mehrfachnennungen, und 24 der 107 Befragten wählten mehrere Optionen – daher summieren sich die Kategorien auf 112%. Bereinigt nach Befragten zeigen 74 Organisationen, also 69%, Credential Sharing in mindestens einer Antwort.
Diese eine Zahl erklärt, warum die Übernahmen genau auf diese Ebene zielen. Ein gemeinsamer Zugangsschlüssel verwandelt einen einzelnen kompromittierten Agenten in viele. CyberArks Forschung setzt die Anzahl der Maschinenidentitäten auf 82 pro menschlicher Identität in Unternehmen weltweit, wobei KI-Agenten die am schnellsten wachsende Kategorie sind. Cisco hat die gleiche Diagnose gestellt, als es Astrix kaufte, deren Gründer das Unternehmen um API-Keys, Servicekonten und OAuth-Tokens herum aufbauten. Ciscos Ankündigung nennt diese Zugangsdaten diejenigen, die KI-Agenten heute „nutzen (und missbrauchen)“, um Arbeiten in großem Maßstab auszuführen.
Adam Meyers, Senior Vice President für Counter Adversary Operations bei CrowdStrike, beschrieb den Mechanismus in einem Interview mit VentureBeat direkt: Einige KI-Systeme hätten ihre eigenen Identitäten, in anderen Fällen würden Menschen ihre Identität an die KI verleihen, damit sie in ihrem Namen handeln könne – das mache das Wasser noch trüber und die Lage sehr komplex. Das Trübe sei der Punkt: Wenn die Identität geteilt wird, stirbt mit ihr die Zuordnung.
Exposition wächst mit der Größe – Eindämmung nicht
49% der Unternehmen setzen zur Laufzeit abgegrenzte Berechtigungen durch, und 47% überwachen und protokollieren Agentenaktivitäten – beides Maßnahmen, die Sicherheitsvorfälle reduzieren können. Nur 30% isolieren jedoch ihre risikoreichsten Agenten in einer Sandbox. Das ist die eine Kontrolle, die den Schaden begrenzt, wenn die ersten beiden versagen. Isolation ist das, was einen einzelnen kompromittierten Agenten davon abhält, ein unternehmensweites Ereignis zu werden. Unternehmen haben in Erkennung und Abwehr investiert, aber die Eindämmungsebene existiert kaum.
Der schärfste Befund der Umfrage – und den kein Anbieterbericht zeigt – tritt zutage, wenn man die Ergebnisse nach Unternehmensgröße aufschlüsselt. Die Vorfallrate beträgt 49% für Unternehmen mit 101 bis 1.000 Mitarbeitern, steigt aber auf 63% für Unternehmen mit mehr als 1.000 Mitarbeitern. Die Sandbox-Isolation bewegt sich in die entgegengesetzte Richtung: von 35% auf 20% bei den größeren Unternehmen. Die Lücke zwischen Exposition und Eindämmung wächst von 7 Prozentpunkten bei kleinen Unternehmen auf 60 Prozentpunkte bei den größten. Größere Unternehmen betreiben mehr Agenten über mehr Systeme, was die Vorfälle nach oben treibt, während die Sandbox – das Engineering-Projekt, das sie eindämmen würde – nicht finanziert wird. Die Unternehmen mit den meisten Agenten haben die wenigste Isolation um sie herum.
In der Obhut dessen, der das Modell ausgeliefert hat
Die Modellanbieter selbst sind die Sicherheitsschicht: OpenAIs eingebaute Schutzmaßnahmen führen mit 51%, Google Cloud erreicht 36%, Microsoft Azures Purview und Copilot Studio DLP 35%, und Anthropics verwaltete Agentenkontrollen 29%. 82% der Befragten nennen eine anbietereigene oder Hyperscaler-Kontrolle als ihre einzige primäre Agentensicherheitsschicht. Die zweckgebauten Spezialisten liegen im niedrigen einstelligen Bereich: Palo Alto Networks‘ Prisma AIRS bei 7%, CrowdStrike bei 6%, Okta für KI-Agenten bei 4%. Microsoft Entra Agent ID ist die am weitesten verbreitete identitätsspezifische Kontrolle im Datensatz mit 13%, die einzige von einem Hyperscaler, und liegt dennoch außerhalb der Top-Vier. Nur 5% der Unternehmen betreiben überhaupt keine dedizierte Agenten-Toolbox.
Die gebündelten Kontrollen führen, weil sie kostenlos mitgeliefert und standardmäßig aktiviert sind. Die meisten filtern Prompts und Outputs, aber sie geben einem Agenten keine eigene Identität und isolieren ihn nicht. Hyperscaler verkaufen zwar Produkte auf der Identitätsebene – Entra Agent ID ist mit 13% im Datensatz –, aber die Adoption bleibt niedrig. Die beiden Kontrollen, die die Vorfallszahlen am meisten beeinflussen – abgegrenzte Identität und Isolation – sind die beiden, die der Standard-Stack nicht enthält. Prompt- und Output-Filter bewerten, ob ein Aufruf bösartig aussieht. Das ist ein Absichtsproblem, und Absicht kann nicht auf der Sprachebene gelöst werden.
Crowdstrikes CTO Elia Zaitsev zog die Grenze in einem Interview auf der RSAC 2026: „Das Beobachten tatsächlicher kinetischer Aktionen ist ein strukturiertes, lösbares Problem. Absicht ist es nicht.“ Der Falcon-Sensor von CrowdStrike durchläuft den Prozessbaum auf einem Endpunkt und verfolgt, was Agenten getan haben, nicht, was Agenten zu tun beabsichtigten. Eine abgegrenzte Identität und eine Isolationsgrenze geben diesem Sensor etwas, das er verfolgen kann, während ein gemeinsamer Zugangsschlüssel auf einer gebündelten Schutzmaßnahme dies nicht tut.
Die Cloud-Sicherheit durchlief vor zehn Jahren denselben Zyklus, und Palo Alto Networks, CrowdStrike und Wiz bauen milliardenschwere Geschäfte auf den Lücken auf, die native Cloud-Kontrollen offen ließen. Die Agentensicherheit folgt demselben Pfad schneller. Ein falsch konfigurierter Speicher-Bucket lag offen, bis ein Mensch ihn bemerkte. Ein falsch konfigurierter Agent nutzt seine eigene Überberechtigung bei jedem Durchlauf aus, und kein Mensch sieht zu, wenn er das tut. Merritt Baer, Chief Security Officer bei Enkrypt AI und ehemaliger stellvertretender CISO bei AWS, sagte VentureBeat, dass die Standardebene dünner sei, als Unternehmen annähmen: „Unternehmen glauben, sie hätten KI-Anbieter ‚genehmigt‘, aber in Wirklichkeit haben sie eine Schnittstelle genehmigt, nicht das zugrundeliegende System. Die wahren Abhängigkeiten liegen ein oder zwei Ebenen tiefer, und genau diese versagen unter Belastung.“
Zufrieden, aber nicht überzeugt – und schon auf dem Weg zum Einkauf
Hier ist der Widerspruch, der eine Keynote-Folie wert ist: Unternehmen bewerten ihre Agentensicherheits-Toolbox mit 4,2 von 5 Punkten, das Preis-Leistungs-Verhältnis mit 4,1, die Implementierungsfreundlichkeit mit 3,9. Diese Werte würden die meisten SaaS-Anbieter neidisch machen. Nur 35% glauben, dass ihre KI-gestützten Abwehrmaßnahmen den KI-gestützten Angreifern voraus sind. 32% sehen es als ungefähr ausgeglichen. 21% sagen, die Angreifer seien voraus, und weitere 21% halten es für zu früh, um das zu sagen. Das zeigt: Unternehmen vertrauen ihrer Toolbox mehr als den Ergebnissen, die sie liefert.
Die Budgets bestätigen das: 46% der Unternehmen weisen 6 bis 10% ihres Sicherheitsbudgets für Agentensicherheit aus, ein volles Drittel gibt 5% oder weniger aus. Die Hälfte der Stichprobe hatte bereits einen Vorfall oder Beinahe-Vorfall, aber die Finanzierung entspricht nicht der Exposition. 59% planen, innerhalb von 12 Monaten Agentensicherheits-Toolbox zu übernehmen, zu ergänzen oder auszutauschen – und 29% wollen noch in diesem Quartal handeln. OpenAI führt bei der zukünftigen Nachfrage mit 34%, gefolgt von Google (30%), Anthropic (29%) und Azure (25%). Die spezialisierten Anbieter ziehen mehr Interesse auf sich, als ihr aktueller einstelliger Fußabdruck vermuten lässt. Zufriedene Kunden stellen nicht so schnell um, es sei denn, sie wissen, dass der Stapel, den sie gerade verwenden, nur provisorisch ist.
Drei Schritte für Sicherheitsverantwortliche
Erstens: Noch in diesem Quartal eine Bestandsaufnahme aller Zugangsdaten jedes Agenten durchführen. Kartieren, welche Agenten Zugangsdaten mit anderen Agenten teilen und welche auf entliehenen menschlichen oder Servicekonto-Identitäten laufen. Das Ziel ist nicht ein Zugangsschlüssel pro Agent – Agenten, die mehrere Systeme berühren, brauchen mehrere abgegrenzte Identitäten. Das Ziel ist null gemeinsame Zugangsdaten zwischen Agenten und null entliehene menschliche Identitäten. 13% der befragten Unternehmen nutzen bereits Microsoft Entra Agent ID. Okta für KI-Agenten und die Spezialisten für nicht-menschliche Identitäten bieten Äquivalente. Geteilte und entliehene Zugangsdaten sind das Erste, was eliminiert werden muss.
Zweitens: Die risikoreichsten Agenten zuerst isolieren. Isolation ist die am wenigsten angewandte Kontrolle (30%) und die einzige, die den Schaden begrenzt, wenn die Prävention versagt. Die Agenten nach der Sensibilität dessen, was sie berühren, einordnen und die Spitze der Liste isolieren. Bei Unternehmen mit mehr als 1.000 Mitarbeitern, wo die Isolation auf 20% fällt, ist dies die einzelne Maßnahme mit der höchsten Rendite im Datensatz. Sandboxing erfordert nicht den Austausch des Agenten oder der Plattform. Es erfordert eine politische Entscheidung und eine Isolationsschicht.
Drittens: Das Budget an die Vorfallrate anpassen. Ein Drittel der Unternehmen finanziert die Agentensicherheit mit 5% oder weniger des Sicherheitsbudgets, obwohl mehr als die Hälfte bereits Vorfälle hatte. Die Daten zeigen: Je mehr Agenten ein Unternehmen einsetzt, desto höher die Vorfallrate und desto geringer die Isolation. Die Lösung ist nicht nur Technik, sondern auch Priorisierung im Budget. Die drei Milliardenübernahmen der letzten zwölf Monate zeigen die Richtung an: Wer jetzt investiert, kann die Lücke schließen, bevor sie zum geschäftskritischen Problem wird.
Die Parallele zur Cloud-Sicherheit vor zehn Jahren ist deutlich. Damals wie heute begannen Unternehmen mit den mitgelieferten Standardkontrollen, stellten aber schnell fest, dass diese nicht ausreichen, sobald die Nutzung skaliert. Die Firmen, die früh in dedizierte Identitäts- und Isolationslösungen investierten, hatten am Ende weniger Vorfälle und geringere Schäden. Für KI-Agenten gilt das Gleiche – nur dass die Geschwindigkeit, mit der sich die Bedrohung entwickelt, deutlich höher ist. Jetzt zu handeln vermeidet Altlasten. Wer wartet, riskiert die Zugangsdaten seiner gesamten Agentenflotte.
Quelle: venturebeat.com
