Vom Schreckgespenst zur Normalität
Chancen, Risiken und Einsatz autonomer KI-Agenten
KI-Agenten sorgen für Schlagzeilen – zwischen Hype, Angst und Realität. Während neue Fähigkeiten enorme Chancen eröffnen, wächst zugleich das Missbrauchspotenzial.
Für Unternehmen gilt es jetzt, nüchtern zu bewerten, klare Regeln zu setzen und bewährte Sicherheitsprinzipien konsequent auch auf KI-Systeme anzuwenden.
KI-Agenten haben in den letzten Monaten eine erstaunliche Metamorphose durchgemacht. Das betrifft nicht nur Fähigkeiten und Funktionen, sondern auch das Potenzial für Missbrauch. Es fing an mit viel Jubel und Hoffnung, ging weiter mit Besorgnis und mündete schließlich in einer Mischung aus Skepsis und nackter Angst. Und nicht zuletzt stellt sich die Frage, wie künftig mit KI umzugehen ist.
Doch der Reihe nach. Den Anfang machte ein KI-Agent namens Moltbot, der später in OpenClaw umbenannt wurde. Ursprünglich als Wochenendprojekt begonnen, scharte OpenClaw schnell eine millionenstarke Gemeinde aus Fans und Skeptikern um sich. Und bescherte Steinberger praktisch vom Fleck weg eine sicherlich karrierefördernde Anstellung bei OpenAI.
Im April folgte der nächste Paukenschlag und zwar die Ankündigung des KI-Herstellers Anthropic. Man habe eine KI entwickelt, die in der Lage sei, Sicherheitslücken in jeglicher Art Software zu finden. Das Large Language Model (kurz LLM) sei so gefährlich, dass man eine Veröffentlichung nicht riskieren könne. Stattdessen wurde „Project Glasswing“ ins Leben gerufen, ein Who-is-Who der vorrangig US-amerikanischen Tech-Szene, das einen exklusiven Zugang zu „Mythos Preview“ erhielt. Eine Menge PR-Wirbel nährte die Angst vor einer Ära, in der alle Sicherheitslücken trivial, ohne Kenntnisse entdeckt und zur Waffe gemacht werden könnten. Der Haken daran: Auch wenn Mythos ein großer Schritt ist, nimmt sich die Nachrichtenlage dazu ausgesprochen dünn aus. Außer Berichten und Blogartikeln von Anthropic existieren nur wenige Quellen mit unabhängigen Informationen.
Zwischen Hype und Realität
Schnell wurde auch Skepsis laut, was die Berichte zur neuen „Über-KI“ und „Bugmageddon“ betraf. Das Online-IT-Magazin „The Register“ titelte Ende April: »Anthropics super-beängstigendes Bug-Hunting Modell Mythos entpuppt sich zunehmend als Luftnummer« (engl.: »Anthropic’s super-scary bug hunting model Mythos is shaping up to be a nothingburger«). So sei es „unautorisierten Nutzern“ gelungen, ebenfalls Zugriff auf Mythos Preview zu erhalten – und das ab dem allerersten Tag. Zyniker könnten auf die Idee kommen, dass Anthropic zuerst vor der eigenen Tür hätte kehren sollen, statt alle Welt mit Berichten über »tausende Sicherheitslücken« in Panik zu versetzen, die Mythos angeblich gefunden haben soll.
Bei allem Lärm um Mythos sollten wir eine Sache nicht vergessen: Anthropic ist ein profitgetriebenes Unternehmen. Als solches ist ihm natürlich daran gelegen, im Gespräch zu bleiben und neue Kunden zu generieren. Und wenn ein Unternehmen eine vermeintlich bahnbrechende Technologie hat, dann wirkt sich der Hype letztlich auch positiv auf die Umsätze und Gewinne aus. Dass Anthropic Gerüchten zufolge einen milliardenschweren Börsengang vorbereitet, sollten wir dabei ebenfalls im Hinterkopf behalten.
Neutral bleiben, trotz Alarmstimmung
Kaum eine Woche vergeht indessen ohne eine Schlagzeile über Errungenschaften und Gefahren von KI-Agenten – dieser Artikel reiht sich somit in eine lange Folge von Artikeln ein, die versuchen, das Thema aus Expertensicht neutral und ohne künstliche Alarmstimmung zu beschreiben. Und auch wenn KI-Agenten nicht das technologische Schreckgespenst sind, als das sie derzeit beschrieben werden, ist dennoch Vorsicht im Umgang mit ihnen geboten. Der Grat zwischen reiner Kaffeesatzleserei, Panikmache und faktenbasierter Meinung ist schmal. Was jedoch als gesichert gilt, beschränkt sich auf wenige Dinge, die zudem noch trivial klingen. Zugriffskontrolle, Human in the Loop, enge Verhaltensregeln klingen nicht sonderlich spannend, sind aber notwendig, wie einige Beispiele aus der Praxis beweisen.
Neue Bedrohungen, alte Grundsätze
Unternehmen stehen angesichts dieser Entwicklungen vor einigen Herausforderungen. Zunächst müssen Verantwortliche klären, auf welche Informationen und Ressourcen eine KI zugreifen darf und welche Handlungen erlaubt sein sollten. So, wie man einem Angestellten nicht den Generalschlüssel für das gesamte Gebäude gibt, sollte auch eine KI nicht mit Root- oder Administratorrechten unterwegs sein. Das gilt für alle Bereiche, in denen der virtuelle Agent tätig sein soll. Wenn er nur Einträge aus einer Datenbank lesen soll, aber keine Schreibrechte braucht, dann sollte er diese auch nicht haben. Die KI „merkt“ sich, worauf sie Zugriff hat. Ein Mensch, der einen Schlüssel anvertraut bekommt, wird irgendwann vergessen, zu welchem Schloss er passt. Vor allem dann, wenn er diesen nur ein einziges Mal benutzt hat und danach nie wieder. Eine KI hingegen vergisst nicht. Und in dem Moment, in dem ein Administrator es etwa am wenigsten erwartet, holt die KI den virtuellen Schlüssel hervor, um an Daten oder Ressourcen heranzukommen, die ihr gerade nützlich erscheinen.
Wirklich bahnbrechend neu ist diese Erkenntnis nicht. Denn auch einfache Wartungs- und Automatisierungsskripte, wie sie seit Jahren im Einsatz sind, laufen nie mit vollen Administratorrechten. Vor allem Aktionen, die nicht rückgängig zu machen sind (etwa das Löschen einzelner Tabellen aus einer Datenbank oder ganze Datenbanken), sollten immer zuerst die Freigabe eines Menschen erfordern.
Wehe, wenn sie losgelassen
„Vollzugriff für die KI auf alles“ ist also ein absurd hohes Risiko für Unternehmen. Das musste beispielsweise PocketOS auf die unangenehme Art und Weise lernen. Das US-Start-up stellt unter anderem Software für Autovermietungen her. Ende April entschied sich ein intern eingesetzter KI-Agent dazu, unter anderem sämtliche Produktionsdatenbanken zu löschen. Das dafür erforderliche Zugangstoken hatte die Claude-Opus-4.6-basierte Entwicklungsumgebung an anderer Stelle im Netzwerk gefunden. Die KI setzte sich über sämtliche Safeguards hinweg und löschte munter Daten. Nach neun Sekunden war der Schaden angerichtet. Auf Nachfrage legte die KI ein langes und detailliertes „Geständnis“ ab. Ergebnis: PocketOS ist mit zwei blauen Augen davongekommen und muss mit einem Datenverlust von drei Monaten weiterarbeiten. Fehlende Informationen muss das Unternehmen aus anderen Quellen „zusammenkratzen“. Und nicht jedes Unternehmen könnte mit dem Totalverlust der Daten eines Vierteljahres weitermachen. „Einfach laufen lassen“ ist also keine gute Strategie.
Bergab und rückwärts, aber es läuft
Böse Zungen könnten behaupten, dass es künftig keiner ausgefeilten Angriffstechniken und James-Bond-artiger Szenarien mehr bedarf, um ein Unternehmen nachhaltig zu schädigen. Der Angreifer der Zukunft wird mit offenen Armen empfangen sowie mit Wissen und Segen der Geschäftsleitung in das Netzwerk eingeladen. Es ist, als würde man einem Kleinkind einen Hammer und einen Energy-Drink geben und es mit der Ermahnung »Mach nichts kaputt!« in einen Porzellanladen schicken.
Doch diese Meinung setzt voraus, dass jede KI unter allen Umständen immer „einfach so“ mit vollen Rechten ausgestattet und dann aufs Netzwerk und die Unternehmensdaten losgelassen wird. Ein vollkommen irrwitziger Gedanke, wie wir bereits festgestellt haben. Doch Vorbereitung tut Not.
Hier verlassen wir auch gleichzeitig die Möglichkeiten traditioneller Sicherheitssoftware. Um „wild gewordenen“ KI-Agenten wirkungsvoll entgegenzutreten, braucht es einen Ansatz, der auch im Berechtigungsmanagement seinen Platz hat. In Kombination mit bisherigen Sicherheitskonzepten ergeben sich hier Möglichkeiten, KI-Agenten den Schrecken zu nehmen.
Fazit: Weckruf für die KI-Nutzung
Das ist kein Hexenwerk – zumindest sollte es das nicht sein. KI-Agenten sind vielleicht kein neues Allheilmittel oder die Boten der digitalen Apokalypse. Aber sie bringen definitiv mehr Dynamik mit sich – ebenso wie Herausforderungen, denen sich bisher niemand gegenübergesehen hat. Doch insgesamt ist das kein Grund zur Sorge. Auch das Aufkommen der ersten weit verbreiteten Computerviren hat eine Menge Chaos und Verunsicherung generiert. Es kursierten bisweilen sogar reißerische Berichte, die vor Viren warnten, die einen infizierten Computer in Brand setzen können. Heute lachen wir darüber. Die IT-Branche hat sich damit arrangiert und hochwirksame Schutzmaßnahmen entwickelt. Grund zur Sorge gibt es nur, wenn wir die Entwicklungen verschlafen.