Agentic AI: Wenn autonome KI-Systeme zum Sicherheitsrisiko werden

Von Privilegieneskalation über unkontrollierte Datenexfiltration bis hin zu systemischen Sicherheitslücken – Agentic AI erweitert nicht nur Möglichkeiten, sondern auch die Angriffsfläche. Aktuelle Vorfälle zeigen: Agentic AI ist nicht nur ein Effizienztreiber, sondern kann auch zum Einfallstor für Angriffe und Missbrauch werden. Ein Beispiel ist der ServiceNow-Vorfall aus dem Januar 2026 (CVE-2025-12420). Ein hartcodierter, systemweiter Schlüssel ermöglichte es Angreifern, über die Virtual-Agent-API Administratorrechte zu erlangen.

Doch dieser Fall ist kein Einzelfall – sondern ein Hinweis auf ein strukturelles Problem: Wenn grundlegende Sicherheitsprinzipien nicht konsequent umgesetzt werden, wird Agentic AI selbst zum Risiko.

Reale Risiken mit Agentic AI: Aktuelle Vorfälle und Einordnung

Aktuelle Vorfälle zeigen, dass Agentic AI neue Angriffspfade eröffnet – insbesondere durch Privilegieneskalation, manipulierte Entscheidungslogik und kompromittierte Agenten:

1. Privilegieneskalation durch Agenten

• ServiceNow (Januar 2026, CVE-2025-12420): Ein hartcodierter Schlüssel in der Virtual-Agent-API ermöglichte Angreifern, Administratorrechte zu erlangen.  Ein klassischer Agent-to-Agent-Angriff (A2A).

• Microsoft Copilot (EchoLeak, CVE-2025-32711): Durch manipulierte Prompts konnten Angreifer sensible Daten extrahieren und Berechtigungen erweitern.

• Langflow (CVE-2025-3248): Eine Code-Injection in AI-Agenten führte zur vollständigen Kompromittierung der AI-Infrastruktur und angebundener Systeme. 

2. Datenexfiltration und -manipulation

• Reconciliation Agent bei einem Finanzdienstleister (2024)
  Eine scheinbar normale Business-Anfrage brachte einen «Reconciliation Agent» dazu, 45.000 Kundendatensätze zu exportieren. Die AI erkannte die Manipulation nicht, weil die Anfrage «geschäftsüblich» formuliert war.

• Kompromittierte Open-Source-Frameworks
  Veränderte Agenten-Frameworks installierten Backdoors, die erst nach Monaten entdeckt wurden – mit entsprechend langer unbemerkter Datenabflusssituation.

3. Supply-Chain-Risiken in der AI-Lieferkette

• Salt Typhoon (2024–2025)
  Staatliche Akteure nutzten die AI-Supply-Chain, um Agenten-Frameworks zu kompromittieren und sich so persistenten Zugang zu Unternehmensnetzwerken zu verschaffen.

4. Prompt Injection und Missbrauch von Tools

• Prompt Injection bei gängigen Plattformen
  Schädliche Prompts manipulierten AI-Agenten und führten von Datenabflüssen bis zur Ausführung bösartiger Skripte. Betroffen waren u.a. GitHub Copilot, Salesforce Einstein und ChatGPT.

• Missbrauch von Non-Human Identities (NHI)
  Kompromittierte Agenten-Credentials gewährten Angreifern über Wochen unentdeckten Zugriff auf Systeme (NHI Compromise).

Warum klassische Sicherheitsmassnahmen versagen

Agentic AI öffnet neue Angriffsvektoren, die von traditionellen Security-Controls nicht erfasst werden:

• Autonomie
  Agenten handeln eigenständig, oft ohne laufende menschliche Kontrolle oder Freigabe.

• Komplexität
  Multi-Agenten-Systeme, Shared Service Accounts und dynamische Workflows erschweren die Zuordnung von Aktionen und Verantwortlichkeiten.

• Dynamik
  AI-Agenten lernen, kombinieren Tools und interagieren miteinander; Sicherheitslücken entstehen durch unvorhergesehene Interaktionen – nicht nur durch klassischen Code. 

Unternehmen, die AI-Agenten wie klassische Software behandeln, riskieren stille Kompromittierung, laterale Bewegung und Compliance-Verstösse.

Verantwortungskultur und Agentic AI Security Awareness

Agentic AI verändert nicht nur Technologie, sondern auch Verantwortung. Wer AI-Agenten sicher einsetzen will, braucht eine klare Governance, neue Rollen und gezielte Sensibilisierung.

Die Rolle des  «AI Steward»: Verantwortlich für sichere AI-Agenten

Der AI Steward ist zentrale Ansprechperson für Agentic AI Security und Governance, mit den Kernaufgaben:

• Risikobewertung vor dem Deployment von AI-Agenten

• Laufende Audits von Agenten-Aktivitäten und Logs

• Compliance-Checks (CH DSG, EU DSGVO, ISO 27001, NIST AI RMF)

• Analyse von Prompts und Policies zur Erkennung von Datenlecks und Prompt Injection

Diese Rolle ist der Dreh- und Angelpunkt für Agentic AI Security Awareness im Unternehmen.

Automatisierte Security-Controls für AI-Agenten

Für Agentic AI braucht es automatisierte Sicherheitskontrollen, die:

• Agenten-Workflows und Tool-Nutzung in Echtzeit überwachen 

• Compliance- und Policy-Verstösse erkennen 

• Prompts und Antworten auf sensible Inhalte und Anomalien prüfen

Zentral ist dabei ein Zero-Trust-Ansatz für AI-Agenten: Jede Aktion muss autorisiert, protokolliert und konsequent nach dem Prinzip der geringsten Berechtigung (Least Privilege) beschränkt werden.

Schulung, Kulturwandel und AI Security Awareness

Technische Kontrollen genügen nicht – Sicherheitskultur ist entscheidend:

• Mitarbeitende sensibilisieren: AI-Agenten sind keine «Black Boxes». Teams müssen verstehen, welche Daten in Prompts fliessen, welche Risiken Agenten-Tools haben und wie Agentic AI missbraucht werden kann.

• Gezielte AI Security Awareness: KI-Sicherheitsbewertungen, Schulungen zu Themen wie Prompt Injection, Datenexfiltration, Agenten-Berechtigungen, Non-Human Identities (NHI) und verantwortungsvollem Umgang mit AI-Tools.

• Regelmässige Penetrationstests für AI-Systeme: Spezialisierte AI-Pentests und Red-Teaming-Übungen, um Schwachstellen in Agenten-Workflows, Tool-Integrationen und Sicherheitskontrollen frühzeitig zu finden.

Organisationen, die Verantwortungskultur, AI Stewardship und Agentic AI Security Awareness verankern, reduzieren nicht nur das Risiko von Vorfällen – sie schaffen die Grundlage für vertrauenswürdige, skalierbare AI-Agenten im Unternehmen.

Best Practices: Was Unternehmen JETZT tun müssen

Wir empfehlen folgende technische Massnahmen für Unternehmen:

• Secrets Management: Keine hardcodierten Secrets, konsequenter Einsatz sicherer Vaults. 

• MFA für alle AI-Interaktionen: Insbesondere bei Account-Linking, API-Zugriffen und Agent-Konfiguration. 

• Automatisierte Code-Reviews: Sicherheitsprüfungen für Agenten-Code, Policies und Workflows. 

• Deprovisioning inaktiver Agents: «Zombie-AI» konsequent abschalten, um versteckte Einfallstore zu vermeiden.

• Sandboxing: Isolierte Ausführungsumgebungen für AI-Agenten, um Privilegieneskalation und Seitwärtsbewegungen zu begrenzen.

Organisatorische Massnahmen für Unternehmen:

• AI Stewardship-Rolle etablieren: Klare Verantwortlichkeit für Agentic AI Security und Governance. 

• Transparenzprotokolle: Entscheidungen und Aktionen von AI-Agenten müssen lückenlos nachvollziehbar sein. 

• Notfallpläne für AI-Vorfälle: Definierte Playbooks, wenn ein Agent kompromittiert oder missbraucht wird. 

• Regelmässige Audits: Einsatz von Frameworks wie AI CSA und OWASP Agentic AI Top 10 als Leitlinien.

Kulturelle Massnahmen:

• AI wie «Wet Paint» behandeln: Grundprinzip  «Nicht vertrauen, immer verifizieren» – auch bei eigenen Agenten.

• Regelmässige Awareness-Trainings: Agentic-AI-Risiken als fester Bestandteil der Security Culture.

• «Governance First»-Ansatz: Bevor AI skaliert wird, müssen Richtlinien, Rollen und Kontrollmechanismen stehen.

Fazit: Agentic AI, Fluch oder Segen?

Die entscheidende Frage ist nicht, ob AI sicher ist, sondern ob wir sie sicher gestalten. Agentic AI bietet enorme Chancen – vorausgesetzt, Unternehmen nehmen die Risiken ernst und handeln jetzt.

Konkret heisst das:

• Sicherheitsstandards für AI-Agenten definieren
  Orientierung an Frameworks wie OWASP, NIST AI RMF, CSA Mythos-Ready-Leitfaden und den OECD AI Principles.

• Verantwortung klar zuweisen
  Etablierung von AI Stewardship und Einbindung von Compliance- und Security-Teams.

• Transparenz und Kontrolle verankern
  Entscheidungen und Aktionen von AI-Agenten müssen nachvollziehbar, überprüfbar und steuerbar sein.

So wird Agentic AI nicht zum Risiko, sondern zu einem vertrauenswürdigen strategischen Vorteil. 

Bildlegende: mit KI generiertes Bild