Jahrelang war die Sorge rund um künstliche Intelligenz vergleichsweise einfach: Mitarbeitende könnten vertrauliche Informationen in öffentliche KI-Dienste eingeben. Sicherheitsabteilungen reagierten mit Richtlinien, Sperrlisten, Data-Loss-Prevention-Systemen und der Blockierung bekannter KI-Plattformen.
Das war sinnvoll. Doch die eigentliche Bedrohung hat sich inzwischen verändert.
Shadow AI ist heute nicht mehr primär ein Datenleck-Problem. Es ist ein Problem der Zugriffskontrolle. Die entscheidende Frage lautet nicht mehr, welche Daten Mitarbeitende in KI-Systeme eingeben. Die entscheidende Frage lautet, welche KI-Agenten bereits im Unternehmen aktiv sind, mit welchen Systemen sie verbunden wurden und welche Berechtigungen sie besitzen.
Die meisten Sicherheitskonzepte entstanden in einer Zeit, in der Software Werkzeuge waren. Menschen führten Aktionen aus, Systeme reagierten darauf. Rollenmodelle, Berechtigungen und Überwachungsmechanismen wurden für dieses Prinzip entwickelt.
KI-Agenten verändern diese Logik grundlegend.
Ein moderner Agent beantwortet nicht nur Fragen. Er kann APIs aufrufen, Datenbanken durchsuchen, Tickets erstellen, Quellcode analysieren, Cloud-Ressourcen verwalten, Workflows starten und eigenständig Entscheidungen vorbereiten.
Damit wird er zu einer digitalen Identität innerhalb der Unternehmensinfrastruktur.
Genau hier beginnt das eigentliche Risiko.
Bei klassischer Shadow IT ging es meist um nicht freigegebene Anwendungen. Diese stellten Risiken für Datenschutz, Compliance oder Datenhaltung dar.
Shadow AI funktioniert anders.
Ein KI-Agent ist kein passiver Speicherort für Informationen. Er kann handeln. Er kann lesen, schreiben, ändern, löschen und Prozesse auslösen.
Ein Mitarbeiter, der Kundendaten in einen Chatbot kopiert, verursacht möglicherweise ein Datenleck. Ein KI-Agent mit Zugriff auf Salesforce, GitHub, Slack, Snowflake, interne Datenbanken und Cloud-Systeme besitzt dagegen die Fähigkeit, selbstständig auf diese Informationen zuzugreifen und mit ihnen zu arbeiten.
Das macht ihn zu einem völlig neuen Sicherheitsobjekt.
Die meisten dieser Agenten werden nicht im Rahmen großer IT-Projekte eingeführt.
Sie entstehen in Fachabteilungen, Entwicklerteams oder durch einzelne Mitarbeitende. Ein Browser-Plugin hier, ein SaaS-Assistent dort, eine Automatisierung über einen MCP-Server, ein internes Skript oder eine KI-Funktion, die zufällig bereits in einer Plattform integriert ist.
Was als Experiment beginnt, entwickelt sich oft innerhalb weniger Tage zu einem produktiven Prozess.
Damit die Abläufe funktionieren, erhalten die Agenten Zugriff auf weitere Systeme. Zusätzliche API-Schlüssel werden hinterlegt. Neue Rollen werden vergeben. Temporäre Berechtigungen bleiben bestehen. Niemand dokumentiert die Entwicklung vollständig.
Nach einigen Monaten existiert eine digitale Infrastruktur, die niemals bewusst geplant wurde.
Viele Unternehmen investieren erhebliche Ressourcen in die Kontrolle menschlicher Identitäten. Benutzerkonten werden verwaltet, Rollen geprüft und Zugriffe dokumentiert.
KI-Agenten fallen häufig durch dieses Raster.
Ein Agent zur Fehleranalyse kann beispielsweise Logdateien auswerten, Monitoring-Systeme abfragen, Konfigurationsänderungen durchführen, Tickets erzeugen und anschließend automatisch Teams benachrichtigen.
Für diese Aufgaben nutzt er Service-Konten, OAuth-Tokens, API-Schlüssel oder Cloud-Rollen. Technisch betrachtet handelt es sich um eigenständige Identitäten.
Organisatorisch werden sie jedoch oft wie Werkzeuge behandelt.
Genau dadurch entsteht eine gefährliche Lücke zwischen IT-Betrieb und Sicherheitsmanagement.
Besonders kritisch sind Agenten, die niemand mehr nutzt.
Ein Projekt wird eingestellt. Ein Mitarbeiter wechselt die Abteilung. Eine Fachanwendung wird ersetzt. Der Agent verschwindet aus dem Blickfeld, seine Zugangsdaten bleiben jedoch aktiv.
Damit entstehen digitale Identitäten ohne aktive Betreuung, aber mit weiterhin gültigen Berechtigungen.
Diese Konten erscheinen in keinem Organigramm. Sie nehmen an keinem Sicherheitstraining teil. Sie kündigen nicht. Sie melden sich nicht krank. Sie verschwinden einfach aus der Aufmerksamkeit des Unternehmens.
Und genau deshalb werden sie häufig übersehen.
Mit der Verbreitung von MCP-Servern gewinnt das Thema zusätzliche Dynamik.
Das Model Context Protocol ermöglicht es KI-Systemen, direkt mit Unternehmensanwendungen zu kommunizieren. Datenbanken, CRM-Systeme, Dateisysteme, Kalender, Shops, Support-Plattformen oder interne Anwendungen lassen sich dadurch innerhalb weniger Minuten anbinden.
Der Nutzen ist enorm. Gleichzeitig verschiebt sich das Risiko von der Dateneingabe auf die Berechtigungsebene.
Ein falsch konfigurierter MCP-Server kann einem Agenten Zugriff auf Systeme geben, die ursprünglich nie vorgesehen waren. Besonders kritisch wird es, wenn Lese- und Schreibrechte vermischt oder Zugriffe über mehrere Systeme hinweg vererbt werden.
Die Geschwindigkeit, mit der solche Verbindungen entstehen, überfordert vielerorts die etablierten Sicherheitsprozesse.
Die Lösung besteht nicht darin, KI zu verbieten. Dieser Ansatz würde die Nutzung lediglich weiter in den Untergrund verlagern.
Stattdessen benötigen Unternehmen Transparenz.
Für jeden Agenten sollten folgende Fragen beantwortet werden können:
Wer diese Fragen nicht beantworten kann, besitzt keine vollständige Übersicht über seine digitale Angriffsfläche.
Die Diskussion über KI-Sicherheit konzentrierte sich bislang vor allem auf Datenlecks. Dieses Risiko bleibt relevant.
Doch die größere Herausforderung entsteht an einer anderen Stelle.
Unternehmen schaffen derzeit tausende neue digitale Identitäten. Viele davon sind KI-Agenten. Sie erhalten Zugriffe auf Systeme, Datenbanken, Quellcode, Cloud-Infrastrukturen und Geschäftsprozesse.
Die meisten Organisationen verfügen jedoch noch nicht über dieselben Kontrollmechanismen, die sie für menschliche Benutzer längst etabliert haben.
Damit verschiebt sich die zentrale Sicherheitsfrage der KI-Ära.
Früher lautete sie:
Welche Daten geben Mitarbeitende in KI-Systeme ein?
Heute lautet sie:
Welche KI-Agenten arbeiten bereits in unserer Umgebung – und worauf haben wir ihnen Zugriff gegeben?
Wer diese Frage nicht beantworten kann, hat kein Datenleck-Problem.
Er hat ein Identitätsproblem.
Und genau dieses Identitätsproblem könnte sich in den kommenden Jahren als die größte Sicherheitsherausforderung der Agenten-Ära erweisen.
Kategorie
KI
Künstliche Intelligenz, große Sprachmodelle, Bildgeneratoren und was sie wirklich können – und was nicht.
