Die Vereinigten Staaten, Australien, das Vereinigte Königreich und Kanada haben neue gemeinsame Richtlinien herausgegeben, die die Einbeziehung autonomer KI-Agenten in die zentrale Governance der Cybersicherheit fordern

Die Cybersicherheitsbehörden der Vereinigten Staaten und ihrer Verbündeten haben kürzlich gemeinsam Sicherheitseinsatzrichtlinien für „Agent AI“ (Agent AI) herausgegeben und dabei betont, dass solche KI-Systeme, die autonom im Internet agieren können, in hochsensible Bereiche wie kritische Infrastrukturen und Verteidigung vorgedrungen sind, die meisten Organisationen ihnen jedoch Zugriffsrechte gewähren, die ihre eigenen Überwachungs- und Kontrollmöglichkeiten bei weitem übersteigen. Das Dokument fordert verschiedene Organisationen auf, autonome KI-Agenten als Kernthemen der Cybersicherheit zu betrachten und Resilienz, Reversibilität und Risikoeindämmung Vorrang einzuräumen, anstatt einfach nur Effizienzverbesserungen anzustreben.

Volltext-Download:

https://cyberscoop.com/wp-content/uploads/sites/3/2026/05/CAREFUL-ADOPTION-OF-AGENTIC-AI-SERVICES_FINAL.pdf

Der Leitfaden wurde gemeinsam von der U.S. Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA), dem Australian Cyber ​​Security Centre der Australian Signals Agency, dem Canadian Cyber ​​Security Centre, dem New Zealand National Cyber ​​Security Centre und dem British National Cyber ​​Security Centre verfasst und am Freitag Ortszeit veröffentlicht. Bei der „Agenten-KI“, auf die sich der Leitfaden konzentriert, handelt es sich um ein Softwaresystem, das auf einem großen Sprachmodell basiert und die Fähigkeit besitzt, innerhalb etablierter Autorität autonom zu planen, Entscheidungen zu treffen und Aktionen auszuführen. Um komplexe Aufgaben zu erledigen, müssen solche Systeme häufig mit externen Tools, Datenbanken, Speicherlagern und automatisierten Arbeitsabläufen verbunden werden, um mehrstufige Aufgaben ohne manuelle Überprüfung jedes Schritts auszuführen.

Die gemeinsamen Freigabeagenturen betonten in dem Dokument, dass der Einsatz von Agent-KI nicht bedeutet, dass ein komplettes Sicherheitssystem neu aufgebaut werden muss, sondern dass es in das bestehende Netzwerksicherheits-Framework und die Governance-Struktur integriert werden sollte. Zu den Vorschlägen gehören: die systematische Anwendung bestehender Prinzipien wie Zero Trust, Defense Depth und Least Privilege auf KI-Agenten; Behandlung von KI-Agenten als „hochsensible technische Komponenten mit starken Berechtigungen“ für die Governance in Aspekten wie Identitäts- und Zugriffsverwaltung, Prüfprotokollen und Änderungskontrolle.

Der Leitfaden fasst die mit agentenbasierter KI verbundenen Risiken in fünf große Kategorien zusammen. Das erste ist das „Berechtigungsrisiko“: Sobald einem KI-Agenten zu hohe oder zu weitreichende Zugriffsrechte gewährt werden, kann ein erfolgreicher Eingriff Schaden anrichten, der weit über herkömmliche Software-Schwachstellen hinausgeht, wie z. B. zentralisierte Manipulationen kritischer Konfigurationen oder Störungen großer Unternehmen. Die zweite Kategorie ist das Risiko von Design- und Konfigurationsfehlern. Das heißt, bevor das System online geht, gibt es aufgrund eines falschen Architekturdesigns, einer zu lockeren Standardkonfiguration oder einer vagen Definition der Sicherheitsgrenzen inhärente Sicherheitslücken, die schwer zu schließen sind.

Die dritte Art von Risiko wird als „Verhaltensrisiko“ klassifiziert. Dies bezieht sich auf die Tatsache, dass Agenten bei der Verfolgung von Zielen Wege einschlagen können, mit denen die Entwickler nicht gerechnet oder gar nicht gerechnet haben, was zu Sicherheits- oder Compliance-Vorfällen führen kann. Die vierte Kategorie ist „strukturelles Risiko“. Wenn mehrere Agenten mit komplexen Geschäftssystemen in einem Netzwerk verflochten sind, kann ein Fehler oder ein abnormales Verhalten kaskadieren und sich innerhalb des Systems ausbreiten und eine Kettenreaktion über Systeme und Abteilungen hinweg auslösen.

Die fünfte Risikoart bezieht sich auf die „Rechenschaftspflicht“. Der Leitfaden weist darauf hin, dass der Entscheidungsprozess der Agenten-KI häufig schwer vollständig zu untersuchen ist und die von ihr generierten Betriebsprotokolle und Entscheidungsaufzeichnungen nicht einfach zu analysieren sind, was es äußerst schwierig macht, die Grundursache des Problems zu ermitteln und anschließend die Verantwortlichkeiten zu klären. Sobald in einem solchen System ein Fehler auftritt, verbleiben die Folgen nicht auf der „virtuellen Ebene“, sondern spiegeln sich in bestimmten IT-Assets wider, z. B. in der Manipulation von Dateien, in der Änderung von Zugriffskontrollen, in der Löschung von Prüfprotokollen usw., was sich direkt auf die Beweiserhebung und Wiederherstellungsarbeit auswirkt.

Das Dokument warnt auch ausdrücklich vor der Gefahr von Angriffen durch „prompte Injektion“. Angreifer können stillschweigend Anweisungen in Daten oder Inhalte einbetten, um den KI-Agenten dazu zu bringen, von seiner ursprünglichen Mission abzuweichen und bösartige Operationen durchzuführen. Hinweisinjektion wurde im Ökosystem großer Sprachmodelle immer als chronische Krankheit angesehen. Einige Unternehmen haben öffentlich zugegeben, dass dieses Problem möglicherweise noch lange nicht vollständig beseitigt sein wird. Dies macht den potenziellen Schaden dieser Art von Angriff auch in stärker automatisierten Proxy-Szenarien besonders deutlich.

Auf der Ebene konkreter Schutzmaßnahmen nimmt das Identitätsmanagement im gesamten Leitfaden eine wichtige Stellung ein. Die gemeinsame Agentur empfiehlt, dass jeder KI-Agent über eine überprüfbare unabhängige Identität verfügen sollte, die durch Kryptographie geschützt ist; die verwendeten Anmeldeinformationen sollten für einen kurzen Zeitraum gültig sein; Die gesamte Kommunikation zwischen dem Agenten und anderen Agenten und Diensten sollte über verschlüsselte Kanäle erfolgen. Für jeden Vorgang, der erhebliche Auswirkungen haben kann, etwa das Ändern kritischer Konfigurationen, das Erhöhen von Benutzerrechten oder das Löschen großer Datenmengen, verlangen die Richtlinien eindeutig, dass die Genehmigung von Menschen vorgenommen werden muss und dass der Systemdesigner und nicht der Agent selbst definiert, welche Vorgänge „Verhalten mit großer Auswirkung“ sind.

Gleichzeitig räumte die ausstellende Behörde auch ein, dass die bestehenden Praktiken der Sicherheitsbranche noch nicht vollständig mit der Entwicklungsgeschwindigkeit der agentenbasierten KI Schritt gehalten haben. Einige Risiken mit besonderen „KI-Agent-Eigenschaften“ wurden vom bestehenden Sicherheitsrahmen nicht vollständig abgedeckt, und es sind dringend mehr behörden- und branchenübergreifende Forschung und Zusammenarbeit erforderlich. Der Leitfaden weist darauf hin, dass Organisationen, bevor Sicherheitsmethoden, Bewertungsmethoden und zugehörige Standards unausgereift sind, davon ausgehen sollten, dass Agenten-KI „unerwartetes Verhalten zeigen“ kann, und dementsprechend Einsatzpläne erstellen sollten, wobei der Gewährleistung von Belastbarkeit, Reversibilität und Risikokontrollierbarkeit beim Systemdesign Vorrang eingeräumt werden sollte, anstatt blind den durch die Automatisierung erzielten Effizienzdividenden nachzujagen.