Agentenbasierte KI – autonom, ­effizient und verwundbar

Agentenbasierte KI verändert den Umgang mit digitalen Aufgaben grundlegend. Anders als generative KI, die Informationen liefert, entscheidet und handelt Agentic AI eigenständig – vom Ausfüllen von Formularen über die Analyse von Daten bis hin zur Koordination komplexer Workflows. In ersten Unternehmen ersetzt sie regelbasierte Automatisierung und verspricht neues Effizienzpotenzial. Doch je autonomer ein System wird, desto grösser wird auch seine Angriffsfläche.

Dies liegt in der Natur der Sache. Denn soll ein System autonom handeln, so benötigt es Zugriff auf Daten, Sensoren und Anwendungen, also Zugriff auf Unternehmens- und persönliche Daten, Anwendungen für Finanztransaktionen, die Verwaltung von Kalendereinträgen, den Empfang und Versand von E-Mail und Messaging und den Browser.

Wenn KI nicht mehr gehorcht

Die Cyberrisiken agentenbasierter KI sind entsprechend vielfältig – und oft tief im System verankert:

• Prompt Injection: Angreifer verstecken Anweisungen in scheinbar harmlosen Eingaben, etwa in E-Mails oder Webseiten. Die KI folgt diesen Anweisungen – ohne dass der Mensch es bemerkt. Forscher zeigten etwa auf der Blackhat-Konferenz 2024 eindrücklich, wie sich Klassifizierungen in Dokumenten entfernen lassen, sodass klassifizierte Inhalte unberechtigten Dritten zugänglich gemacht werden.
• Tool-Missbrauch: KI-Agenten greifen oft auf externe Tools oder APIs zu. Wird ein solches Tool manipuliert, kann es etwa zur Datenspionage missbraucht werden.
• Identitätsdiebstahl: Gelangen Zugangsdaten in falsche Hände, können Angreifer den Agenten imitieren – mit Zugriff auf Systeme, Daten und Prozesse.
• Datenvergiftung: Schon kleine Manipulationen in Trainingsdaten, Sensorwerten oder Texten können die Entscheidungslogik der KI systematisch unterwandern. Die Ergebnisse könnten dann nutzlos oder gar schädlich sein und nicht im Einklang stehen mit den Interessen des Eigentümers.
• Gedächtnismanipulation: Viele Agenten speichern Kontextinformationen über vergangene Aufgaben. Wird dieses Gedächtnis manipuliert, zieht die KI in Zukunft falsche Schlüsse. Möglicherweise unbemerkt.

In Systemen mit mehreren Agenten lassen sich auch Kommunikation und Koordination sabotieren. Durch gezielte Falschinformationen könnte ein ganzes Agentennetzwerk in die Irre geführt oder gar zur Zusammenarbeit mit kompromittierten Agenten bewegt werden.

Autonomie braucht Kontrolle

Die meisten Agentic-AI-Systeme agieren heute noch nicht vollständig autonom – aus gutem Grund. Abgesehen von technischen Limitierungen stehen Unternehmen oft vor Herausforderungen wie unzureichender Datenqualität, fehlenden Sicherheitsrichtlinien oder mangelnder Expertise. Gleichzeitig wachsen die Anforderungen: KI soll nicht nur Backoffice-Aufgaben automatisieren, sondern auch in sensiblen Bereichen wie Kundenservice, Compliance oder Produktentwicklung unterstützen.

Fazit: Wer KI freilässt, muss sie sichern

Agentic AI ist kein Zukunftsversprechen, sondern längst Realität. Doch mit wachsender Entscheidungsfreiheit steigt auch das Risiko für Fehlverhalten, Manipulation und Missbrauch. Unternehmen, die auf agentenbasierte KI setzen, brauchen mehr als Use Cases: Sie brauchen Sicherheits­architektur, Zugriffskontrollen, kontinuierliche Überwachung und ein tiefes Verständnis dafür, wie autonome Systeme denken – und wie sie getäuscht werden können.