Schatten-Agenten im Unternehmensnetz

– Warum Agentic AI eine neue Vertrauensarchitektur erfordert

Autonome KI-Agenten etablieren sich in Unternehmensumgebungen oft schneller, als die IT-Sicherheit mithalten kann. Sie agieren eigenständig, erben Berechtigungen und entziehen sich klassischen Kontrollmechanismen. Wer nicht rechtzeitig Identität, Governance und kryptografische Verifikation in die eigene Infrastruktur einbaut, riskiert einen Kontrollverlust, der sich mit herkömmlichen Sicherheitskonzepten nicht mehr einfangen lässt.

Es beginnt mit einer pragmatischen Entscheidung. Ein Team bindet einen KI-Agenten in einen Workflow ein, um dem enormen Arbeitsaufkommen Herr zu werden. Jemand gewährt ihm Zugriff auf ein internes System, damit er ohne ständige Aufsicht arbeiten kann. Die Berechtigungen sind zunächst eng gefasst, der Agent funktioniert einwandfrei. Also bleibt er. Mit der Zeit wächst der Wirkungskreis: Zugang zu einem weiteren System, dann noch einem. Der Agent löst Aktionen automatisiert aus, arbeitet still im Hintergrund – mit Befugnissen, die sich über die Zeit angehäuft haben, ohne dass eine einzelne verantwortliche Person den Gesamtumfang jemals geprüft hätte.

Irgendwann fühlt sich der Agent nicht mehr wie ein Experiment an, sondern wie Infrastruktur. Er läuft in der Produktion mit realen Berechtigungen und realen Konsequenzen. Und die meisten Organisationen wissen nicht einmal, dass er da ist.

Wie Schatten-Agenten entstehen

Was diese KI-Agenten zum Risiko macht, ist nicht ihr Ursprung, sondern ihre Fähigkeit, in den normalen Betriebsabläufen zu verschwinden. Sie werden selten über formale Deployment-Prozesse eingeführt oder wie klassische Anwendungen inventarisiert. Die meisten gelangen über Skripte, Integrationen oder eingebettete Features in die Umgebung und sammeln sukzessive Zugriffsrechte, während Teams sie für neue Aufgaben adaptieren. Kein einzelner Schritt erscheint gravierend genug, um eine Überprüfung auszulösen. Jede Berechtigung ergibt im Kontext Sinn.

Genau dieses inkrementelle Wachstum macht die Agenten unsichtbar. Die Verantwortlichkeit fragmentiert sich. Das Team, das den Agenten erstellt hat, besitzt möglicherweise längst keine Hoheit mehr über die Systeme, mit denen er mittlerweile interagiert. Die Teams, die von ihm abhängen, wissen unter Umständen nicht, wie er autorisiert wurde. Mit der Zeit wird der Agent Teil des Workflows – ohne jemals Teil eines Inventars geworden zu sein.

Schatten-Agenten breiten sich nicht aus, weil Organisationen Risiken ignorieren. Sie breiten sich aus, weil Geschwindigkeit, Autonomie und Dezentralisierung bereits in die Arbeitsweise moderner Teams eingebaut sind – und derselbe Weg Hunderte oder Tausende Male innerhalb eines einzigen Unternehmens beschritten wird.

Warum bestehende Sicherheitsmodelle versagen

Die meisten Sicherheitsarchitekturen in Unternehmen basieren auf zwei Grundannahmen: dass Systeme bekannt sind und dass Zugriffsrechte bewusst vergeben werden. Schatten-Agenten verletzen beide Prämissen. Sie tauchen weder als Benutzer auf noch verhalten sie sich wie klassische Anwendungen. Sie folgen nicht den Lebenszyklusmustern, für die Sicherheitsteams über Jahre Kontrollen aufgebaut haben. Stattdessen existieren sie in einem Zwischenbereich – teils Skript, teils Service, teils Automatisierung – und häufen Zugriffsrechte an, ohne jemals als vollwertige Identität behandelt zu werden.

Sicherheitsteams sind es gewohnt, Fragen zu beantworten wie: Wem gehört dieses System? Welche Anmeldedaten verwendet es? Was darf es tun? Schatten-Agenten machen diese Fragen schwer beantwortbar, weil Eigentümerschaft diffus ist, Berechtigungen sich über die Zeit vererben und das Verhalten sich quasi unbemerkt verändert, während der Agent für neue Aufgaben angepasst wird. Das Ergebnis: eine wachsende Klasse autonomer Akteure, die mit realer Autorität operieren, aber ohne klare Identität, konsistente Richtlinien oder verlässliche Aufsicht.

Das ist keine Lücke im Werkzeugkasten. Es ist eine Lücke im Modell.

Regulatorischer Druck verstärkt die Dringlichkeit

Dass dieses Thema nicht nur eine technische Herausforderung, sondern auch eine Governance-Frage ist, unterstreichen die aktuellen regulatorischen Entwicklungen in Europa. Die EU-Verordnung über künstliche Intelligenz verpflichtet Anbieter und Betreiber von KI-Systemen zu Transparenz, Nachvollziehbarkeit und klar definierten Verantwortlichkeiten – Anforderungen, die sich kaum erfüllen lassen, wenn autonome Agenten im Verborgenen operieren und ihre Autorität nicht nachvollziehbar dokumentiert ist.

In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich einen Kriterienkatalog zur Integration extern bereitgestellter generativer KI-Modelle veröffentlicht, der sich an die Bundesverwaltung richtet, aber auch für die Privatwirtschaft als Orientierungsrahmen dient. Die dort formulierten Anforderungen – von der verpflichtenden Kontrolle aller KI-basierten Anwendungen über definierte Verantwortlichkeiten bis hin zu Schwachstellenmanagement und Threat Modelling – setzen genau an den Stellen an, an denen Schatten-Agenten ihre größte Wirkung entfalten: dort, wo Sichtbarkeit, Zurechenbarkeit und kontrollierte Berechtigungsvergabe fehlen.

Besonders relevant ist in diesem Zusammenhang die BSI-Anforderung, dass bei der Integration von KI-Modellen ein umfassendes Threat Modelling durchzuführen ist. Dieses soll den gesamten Informationsfluss nachvollziehen, potenzielle Manipulationsstellen identifizieren und vor allem die Frage beantworten, welche Aktionen eine Information innerhalb einer Anwendung auslösen kann – einschließlich sogenannter Kettenreaktionen, wenn eine Komponente Aktionen einer anderen Komponente auszulösen vermag. Für Unternehmen, die autonome KI-Agenten einsetzen, beschreibt diese Anforderung präzise das Kernproblem: Ohne vollständige Transparenz über die Handlungsketten eines Agenten lässt sich weder sein Risikopotenzial bewerten noch seine Compliance sicherstellen.

Identität als Fundament der Agenten-Governance

Gartner hat in seinen strategischen Technologietrends für 2026 mehrere Entwicklungen identifiziert, die unmittelbar mit dieser Problematik zusammenhängen. Von Multiagent-Systemen über Digital Provenance bis hin zu KI-Sicherheitsplattformen – die Marktforscher sehen den Bedarf, Herkunft, Integrität und Autorität autonomer Systeme verifizierbar zu machen, als eine der zentralen strategischen Aufgaben der kommenden Jahre.

Der Schlüssel liegt in einem fundamentalen Perspektivwechsel. KI-Agenten dürfen nicht länger als Werkzeuge behandelt werden, sondern müssen als eigenständige Akteure in die Sicherheitsarchitektur integriert werden. Das bedeutet konkret, dass jeder Agent eine verifizierbare Identität benötigt – nicht als bürokratische Hürde, sondern als Grundvoraussetzung dafür, dass seine Handlungen zurechenbar, auditierbar und durchsetzbar sind.

Vier Anforderungen kristallisieren sich dabei als unverzichtbar heraus. Erstens braucht jeder Agent eine eigenständige, kryptografisch verifizierbare Identität – keine zusammengestückelten Credentials aus verschiedenen Systemen. Zweitens muss es eine eindeutige Eigentümerschaft mit explizit definierten Befugnissen geben, die sich am tatsächlichen Einsatzzweck orientieren und nicht an dem, was gerade bequem zu gewähren ist. Drittens müssen Agenten standardmäßig auffindbar sein – ihre Inventarisierung darf nicht von manueller Dokumentation oder informellem Wissen abhängen, sondern muss in den Erstellungs- und Bereitstellungsprozess selbst eingebettet werden. Viertens müssen Organisationen in der Lage sein, Richtlinien durchzusetzen und Zugriffe entschieden zu widerrufen, wenn ein Agent sich unerwartet verhält oder kompromittiert wird – in Maschinengeschwindigkeit, nicht erst nach einer Vorfallsanalyse.

Intelligentes Vertrauen statt statischer Kontrolle

Mit zunehmender Autonomie kann Vertrauen nicht mehr statisch oder implizit sein. Es muss kontinuierlich hergestellt werden – durch Identität, Kryptografie, Richtlinien und Echtzeit-Durchsetzung. Was Unternehmen brauchen, lässt sich als „intelligentes Vertrauen“ beschreiben: die Fähigkeit, nicht nur zu verifizieren, wer ein Agent ist, sondern was er in einem bestimmten Moment tun darf – und dieses Vertrauen dynamisch anzupassen, wenn sich die Bedingungen ändern.

Zertifikate, Schlüssel und Maschinenidentitäten in diesem Maßstab zu verwalten, war schon bisher komplex genug. Autonome Agenten erhöhen die Anforderungen noch einmal erheblich. Aber das Ziel ist nicht, Schatten-Agenten vollständig zu eliminieren. Das Ziel ist, Licht auf sie zu werfen – agentische Systeme sichtbar, steuerbar und kontrollierbar zu machen, damit Autonomie nicht über die Reichweite der Governance hinaus skaliert.

Für Unternehmen, die diesen Weg beschreiten, ist der nächste Schritt nicht Perfektion. Er ist Sichtbarkeit. Von dort aus können Identität, Governance und Durchsetzung folgen – bevor Schatten-Agenten zu einem Problem werden, das sich nicht mehr entwirren lässt.