Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Cyber-Resilienz

KI-Agenten werden zu digitalen Mitarbeitern. So schützt Zero Trust sie.

Raghu Nandakumara
Vizepräsident, Industriestrategie
Illumio Editorial
11März 2026
23 min. lesen
Josh Woodruff, Gründer und CEO von Massive Scale AI

Wann offenbart sich ein grundlegender Wandel in der Unternehmenssicherheit?

Josh Woodruff hatte damit gerechnet, dass dies im Rahmen einer Untersuchung einer Datenschutzverletzung oder einer Übung zur Reaktion auf einen Sicherheitsvorfall passieren würde. Stattdessen geschah es während einer Konferenzpräsentation.

Der Moderator zeigte ein Dashboard mit Aktivitäten in einer großen Unternehmensumgebung – Anmeldeereignisse, API-Aufrufe und Systemaktionen. Zunächst schien alles normal.  

Anschließend erklärte der Moderator, was das Publikum sah: Keine der Aktivitäten ging von Menschen aus. Alle Handlungen wurden von Maschinen ausgeführt.

Jahrzehntelang waren Sicherheitsprogramme für Unternehmen auf den menschlichen Benutzer ausgerichtet. Die Menschen meldeten sich an, griffen auf Systeme zu und trafen Entscheidungen. Die Sicherheitsteams konzentrierten sich auf die Überprüfung von Identitäten und die Überwachung des menschlichen Verhaltens.

Diese Annahme gerät jedoch zunehmend ins Wanken.

Josh, Gründer und CEO von Massive Scale AI, hat fast drei Jahrzehnte Erfahrung in der Leitung von Sicherheits-, Cloud- und IT-Transformationen. Während unseres Gesprächs im Podcast „The Segment “ erklärte er, dass Unternehmensumgebungen in eine neue Phase eintreten. Maschinelle Identitäten wie APIs, Dienste, Automatisierungstools und KI-Agenten übertreffen zunehmend die Zahl der menschlichen Benutzer in Unternehmensnetzwerken.

Dieser Wandel bringt eine neue Herausforderung mit sich. Organisationen schützen nicht mehr nur die Personen, die auf Systeme zugreifen. Sie steuern außerdem Software-Agenten, die innerhalb des Unternehmens Entscheidungen treffen und Maßnahmen ergreifen können.

In diesem Umfeld erhält Zero Trust eine neue Bedeutung. Sicherheitsteams überprüfen nicht mehr nur menschliche Identitäten, sondern verwalten ganze Flotten digitaler Mitarbeiter.

KI entwickelt sich zu einem operativen Akteur innerhalb des Unternehmens.

Viele Diskussionen über KI-Sicherheit konzentrieren sich auf Modelle und Trainingsdaten. Diese Themen sind wichtig, aber sie erfassen nicht die gesamte Transformation, die sich innerhalb von Organisationen vollzieht.

KI-Systeme bewegen sich von der Analyse zur Handlung.

Die ersten KI-Werkzeuge waren hauptsächlich informativer Natur. Sie generierten Erkenntnisse, fassten Daten zusammen oder beantworteten Fragen. Die Menschen blieben weiterhin dafür verantwortlich, diese Ergebnisse zu interpretieren und über das weitere Vorgehen zu entscheiden.

Agentische KI verändert dieses Modell.

KI-Agenten können Aufgaben planen, Aktionen auswählen und direkt mit Systemen interagieren. Sie können Arbeitsabläufe auslösen, APIs aufrufen, Datensätze aktualisieren und Prozesse verwalten, ohne auf die Genehmigung durch einen Menschen warten zu müssen.

Dadurch entsteht ein völlig anderes Sicherheitsumfeld.

Traditionelle Software arbeitet mit deterministischer Logik. Tritt ein bestimmtes Ereignis ein, führt das System eine vordefinierte Aktion aus. Sicherheitsteams können Richtlinien auf Basis dieser vorhersehbaren Abläufe entwickeln.

KI-Systeme verhalten sich anders.

„Sie sind stochastisch“, sagte Josh. „Es handelt sich nicht mehr um deterministisches Rechnen.“

In der Praxis bedeutet das, dass KI-Systeme auf der Grundlage von Wahrscheinlichkeiten und erlernten Mustern anstatt von strengen Regeln arbeiten. Dieselbe Anfrage kann je nach Kontext, Trainingsdaten oder Denkprozessen innerhalb des Modells zu leicht unterschiedlichen Ergebnissen führen.

Wenn die Ergebnisse lediglich informativer Natur sind, ist das Risiko begrenzt. Doch wenn KI-Systeme operative Maßnahmen ergreifen, wird die Unvorhersehbarkeit zu einem echten Sicherheitsrisiko.

Agentic AI führt eine neue Risikokategorie ein: autonome Entscheidungsfindung innerhalb von Unternehmenssystemen.

Aus diesem Grund ermutigt Josh Organisationen, ihre Auffassung von KI zu überdenken. Statt KI-Agenten als Werkzeuge zu betrachten, schlägt er vor, sie als Mitglieder der Belegschaft zu sehen.

Warum KI-Agenten wie digitale Mitarbeiter behandelt werden sollten

Josh fordert Unternehmen häufig auf, sich KI-Agenten als digitale Mitarbeiter vorzustellen, die innerhalb des Unternehmens tätig sind.  

KI-Agenten können Aufgaben ausführen, mit Systemen interagieren und auf Daten und Dienste zugreifen. In vielerlei Hinsicht ähnelt ihr Verhalten dem von menschlichen Angestellten.

Es gibt jedoch zwei wichtige Unterschiede.

Erstens arbeiten KI-Agenten mit Maschinengeschwindigkeit. Sie können Aufgaben kontinuierlich ausführen und gleichzeitig mit vielen Systemen interagieren.

Zweitens fehlt ihnen das Urteilsvermögen. Menschliche Mitarbeiter bringen Kontext und Intuition in ihre Arbeit ein. Selbst wenn ihnen Fehler unterlaufen, erkennen sie oft, wenn sich etwas falsch anfühlt oder außerhalb der erwarteten Grenzen liegt. KI-Agenten tun das nicht.

„Sie wissen nicht, was gut und was schlecht ist“, sagte Josh. „Sie verfügen einfach über sehr viele Informationen.“

Aufgrund dieser Einschränkung kann ein KI-System äußerst effektiv darin sein, das falsche Ziel zu erreichen.

Josh erzählte eine Geschichte, die dieses Risiko verdeutlicht. Eine Organisation setzte ein KI-System ein, um die Verwaltung von Lieferbestellungen zu unterstützen. Zunächst empfahl das System nur Käufe. Nachdem die Tests zuverlässige Ergebnisse lieferten, erlaubte das Unternehmen, dass kleine Bestellungen automatisch aufgegeben werden.

Alles funktionierte einwandfrei, bis die KI einen Mengenrabatt entdeckte. Das System kaufte Bodenreiniger für vierzig Jahre ein.

Insgesamt wurden 1,4 Millionen Dollar ausgegeben, um den besten Preis zu sichern.

Die KI funktionierte einwandfrei. Es optimierte einfach das ihm vorgegebene Ziel. Die Organisation hatte dem System die Anweisung gegeben, die Einsparungen zu maximieren. Das System befolgte diese Anweisungen genau.

Was fehlte, war der geschäftliche Kontext.

Dieses Beispiel verdeutlicht eine wichtige Lektion für Sicherheitsverantwortliche. KI-Agenten benötigen ähnliche Führungsstrukturen wie menschliche Mitarbeiter. Dies umfasst festgelegte Regeln, Zugriffsgrenzen und die Aufsicht.

Hier kann eine Zero-Trust-Sicherheitsstrategie Abhilfe schaffen.

Wie Zero Trust Leitplanken für autonome Systeme bietet

Zero Trust basiert auf einem einfachen Prinzip: Vertrauen sollte in digitalen Systemen niemals vorausgesetzt werden.

Anstatt sich auf Netzwerkgrenzen oder implizite Vertrauenszonen zu verlassen, bewertet Zero Trust jede Anfrage anhand von Identität, Kontext und Verhalten.

In unserem Gespräch beschrieb Josh die Philosophie so: „Bei Zero Trust geht es im Grunde darum, Vertrauen – eine menschliche Emotion – aus digitalen Systemen zu entfernen.“

Dieses Modell eignet sich gut für moderne Unternehmensumgebungen, da Zugriffsentscheidungen von mehreren Signalen abhängen. Sicherheitssysteme werten Folgendes aus:

  • Wer stellt die Anfrage?
  • Welche Aktion sie versuchen
  • Woher die Anfrage kommt
  • Ob das Verhalten den erwarteten Mustern entspricht

Diese Prinzipien gelten selbstverständlich auch für KI-Systeme.

KI-Agenten interagieren mit vielen Unternehmensressourcen. Sie können auf interne Daten zugreifen, mit Diensten kommunizieren oder automatisierte Arbeitsabläufe auslösen. Jede Interaktion sollte den Zero-Trust-Regeln folgen.

Die 5 Fragen, die KI-Agenten steuern

Um Organisationen bei der Umsetzung dieses Ansatzes zu unterstützen, entwickelte Josh ein einfaches Rahmenwerk namens Agentic Trust Framework. Es strukturiert die KI-Sicherheit anhand von fünf Schlüsselfragen.

  • Wer bist du? Jeder KI-Agent benötigt eine eindeutige Identität, die durch starke Authentifizierung verifiziert werden kann.
  • Was machst du? Die Verhaltensüberwachung stellt sicher, dass das System innerhalb der erwarteten Muster arbeitet.
  • Welche Daten konsumieren und produzieren Sie? Die Daten-Governance legt fest, auf welche Informationen das System zugreifen und welche Ausgaben es generieren kann.
  • Wohin kann man gehen? Die Segmentierung steuert, welche Systeme oder Umgebungen der Agent erreichen kann.
  • Was passiert, wenn du abtrünnig wirst? Organisationen benötigen Mechanismen, um abnormales Verhalten zu erkennen und gegebenenfalls automatisierte Systeme schnell abzuschalten.

Diese Fragen klingen einfach, aber zusammen bilden sie eine umfassende Sicherheitsarchitektur. Sie umfassen Identität, Verhaltensüberwachung, Datenverwaltung, Segmentierung und Reaktion auf Sicherheitsvorfälle.

Anders ausgedrückt: Sie wenden die Kernprinzipien von Zero Trust auf die entstehende Welt der KI-gesteuerten Automatisierung an.

Die Sicherheit wird darüber entscheiden, wie schnell KI skalieren kann.

Ein Grund, warum viele Organisationen Schwierigkeiten haben, KI in großem Umfang einzusetzen, ist das fehlende Vertrauen.

Teams experimentieren häufig in Pilotumgebungen mit Modellen und Automatisierungswerkzeugen. Diese Experimente können zwar nützliche Ergebnisse liefern, doch Organisationen zögern, sie in die Produktion zu überführen.

Sicherheitsbedenken treten oft erst spät im Prozess auf.

Josh beobachtet dieses Muster häufig. „Sicherheit wird meist erst im Nachhinein bedacht“, sagte er.

Wenn die Sicherheitsmaßnahmen zu spät eingreifen, geraten die Organisationen in eine Art Pilot-Fegefeuer, wie er es nennt. KI-Projekte sind vielversprechend, aber die Führungsebene kann ihnen nicht vollständig vertrauen, dass sie innerhalb von Produktionssystemen sicher funktionieren.

Die Lösung besteht nicht darin, die Einführung von KI zu verlangsamen, sondern darin, Sicherheit von Anfang an in die Architektur einzubauen.

Josh nutzte eine einfache Analogie, um diese Idee zu veranschaulichen: Sicherheit ist ein Überrollkäfig, kein Bremspedal. Ein Auto mit Überrollkäfig kann schneller fahren, weil der Fahrer dem Schutz um sich herum vertraut.

Das gleiche Prinzip gilt auch für KI-Systeme.

Wenn Organisationen klare Leitplanken für autonome Systeme entwerfen, können sie diesen Systemen mehr Verantwortung und Autonomie gewähren.

Zero Trust macht das möglich.

Die Zukunft der Unternehmenssicherheit liegt in der Maschinen-Governance.

Josh glaubt, dass viele Organisationen immer noch unterschätzen, wie stark sich die Unternehmensumgebungen im kommenden Jahrzehnt verändern werden.

Maschinenidentitäten nehmen bereits rasant zu. APIs, Dienste und Automatisierungstools übertreffen mittlerweile in vielen Umgebungen die Anzahl der menschlichen Benutzer. KI-Agenten werden diesen Trend noch weiter vorantreiben.

In naher Zukunft werden menschliche Benutzer möglicherweise nur noch einen kleinen Anteil der in den Unternehmenssystemen aktiven Identitäten ausmachen.

Diese Umstellung wird die Arbeitsweise von Sicherheitsteams verändern. Statt sich hauptsächlich auf das menschliche Verhalten zu konzentrieren, werden die Teams die Maschinenaktivität überwachen. Sie werden automatisierte Arbeitsabläufe analysieren, KI-gestützte Entscheidungen überprüfen und Schutzmechanismen für autonome Systeme durchsetzen.

Zero Trust bietet bereits die richtige Grundlage. Es beseitigt Annahmen über Vertrauen und überprüft den Zugriff kontinuierlich. Die gleichen Prinzipien gelten direkt auch für KI-Systeme.

Der Unterschied liegt im Maßstab.

Sicherheitsplattformen werden schon bald Millionen von maschinengesteuerten Interaktionen pro Minute auswerten müssen. Die Vorbereitung auf diese Zukunft muss jetzt beginnen.

Organisationen müssen die KI-Innovation nicht bremsen. Sie benötigen jedoch Umgebungen, in denen KI-Agenten klare Identitäten, strikte Grenzen und eine ständige Überwachung haben.

Die Unternehmen, die im Zeitalter der KI erfolgreich sein werden, werden nicht nur die Automatisierung schneller einführen, sondern auch Systeme entwickeln, denen sie vertrauen können.

Hören Sie sich die vollständige Folge von „The Segment: A Zero Trust Leadership Podcast“ an auf Apple Podcasts, Spotify, oder Unsere Website.

Raghu Nandakumara
Vizepräsident, Industriestrategie
Illumio Editorial
11März 2026
23 min. lesen
Cyber-Resilienz
Kontaktiere uns
Aktie

Verwandte Artikel

Von „Sind Sie geschützt?“ zu „Können Sie operieren?“ Warum Regulierungsbehörden Resilienz und nicht nur Kontrollen fordern
Cyber-Resilienz

Von „Sind Sie geschützt?“ zu „Können Sie operieren?“ Warum Regulierungsbehörden Resilienz und nicht nur Kontrollen fordern

Erfahren Sie, wie Regulierungsbehörden die Einhaltung von Checklisten durch operative Resilienz ersetzen und im Rahmen der regulatorischen Vorschriften Nachweise über die Eindämmung und Reaktion auf Cyberangriffe fordern.

Mehr lesen
Banken & Finanzdienstleistungen
Einhaltung
Warum die Grundlagen der Sicherheit der am meisten vernachlässigte Aspekt bei der Einführung einer Zero-Trust-Strategie sind
Cyber-Resilienz

Warum die Grundlagen der Sicherheit der am meisten vernachlässigte Aspekt bei der Einführung einer Zero-Trust-Strategie sind

Erfahren Sie, warum die Grundlagen der Sicherheit der am meisten vernachlässigte Aspekt von Zero Trust sind und wie die korrekte Umsetzung dieser Grundlagen darüber entscheidet, ob Sicherheitslücken außer Kontrolle geraten oder eingedämmt bleiben.

Mehr lesen
Cyber-Resilienz
Worauf warten Sie noch? Eine verzögerte Cybermodernisierung birgt Risiken.
Cyber-Resilienz

Worauf warten Sie noch? Eine verzögerte Cybermodernisierung birgt Risiken.

Erfahren Sie, warum der ehemalige CIO der US-Bundesregierung, Tony Scott, die Verzögerung der Cybermodernisierung als Führungsversagen bezeichnet und wie Sie handeln können, bevor ein Sicherheitsvorfall Sie zum Handeln zwingt.

Mehr lesen
Cyber-Resilienz
Illumio expandiert im Nahen Osten, um die Cyber-Resilienz zu stärken
Cyber-Resilienz

Illumio expandiert im Nahen Osten, um die Cyber-Resilienz zu stärken

Erfahren Sie mehr über die Expansion von Illumio in den Sicherheitsmarkt des Nahen Ostens und wie das Unternehmen das Wachstum von Illumio, seinen Kunden, Partnern und Interessenten beschleunigt.

Mehr lesen
Keine Artikel gefunden.
BT und Illumio: Vereinfachung der DORA-Compliance
Cyber-Resilienz

BT und Illumio: Vereinfachung der DORA-Compliance

Erfahren Sie, wie Sie die Cyber-Resilienz erhöhen, IKT-Risiken managen und Ihr Finanzinstitut auf die DORA-Compliance-Frist im Januar 2025 vorbereiten können.

Mehr lesen
Einhaltung
Was Sie über den neuen Umsetzungsplan der Nationalen Cybersicherheitsstrategie wissen müssen
Cyber-Resilienz

Was Sie über den neuen Umsetzungsplan der Nationalen Cybersicherheitsstrategie wissen müssen

Holen Sie sich die Erkenntnisse von Gary Barlet, CTO von Illumio, zum neuen Umsetzungsplan der US-Regierung.

Mehr lesen
Regierung

Erleben Sie Illumio Insights noch heute

Erfahren Sie, wie KI-gestützte Beobachtbarkeit Ihnen hilft, Gefahren schneller zu erkennen, zu verstehen und einzudämmen.
Testen Sie Illumio Insights