88 Prozent: KI-Agenten werden zum Sicherheitsrisiko

HiddenLayer, ein auf KI-Sicherheit spezialisiertes Unternehmen, hat 2026 seinen AI Threat Landscape Report veröffentlicht. Die Kernzahl ist unangenehm deutlich: 88 Prozent der Organisationen, die KI-Agenten betreiben, meldeten im vergangenen Jahr einen bestätigten oder vermuteten Sicherheitsvorfall. Damit verschiebt sich die Sicherheitsfrage. Es geht nicht mehr nur darum, was ein Chatbot sagt, sondern darum, was ein autonomer Agent tut, mit welchen Rechten, an welchen Systemen.

Die Zahl hinter der Schlagzeile

88 Prozent. Das ist fast jeder, der KI-Agenten produktiv nutzt.

Wichtig ist die genaue Lesart. Der Report spricht von bestätigten oder vermuteten Vorfällen im vergangenen Jahr. Das schließt auch Fälle ein, in denen am Ende kein Schaden entstand, aber jemand einen Vorfall registriert hat. Trotzdem bleibt die Botschaft hart: Wer Agenten einsetzt, hat mit hoher Wahrscheinlichkeit schon ein Sicherheitsereignis erlebt, ob er es bemerkt hat oder nicht.

Die zweite Zahl ordnet das ein. Autonome Agenten machen laut HiddenLayer inzwischen einen von acht gemeldeten KI-Sicherheitsvorfällen aus. Das ist eine eigene Kategorie geworden, neben den klassischen Themen wie manipulierten Prompts oder Datenabfluss aus einem Modell. Ein Agent ist kein passives Werkzeug, das nur antwortet. Ein Agent handelt. Er schreibt Nachrichten, ruft Schnittstellen auf, ändert Datensätze, löst Workflows aus. Genau diese Handlungsfähigkeit ist der neue Hebel für Angreifer.

Wer in den letzten zwei Jahren KI eingeführt hat, kennt den Unterschied. Ein Chatbot, der eine Frage falsch beantwortet, ist ärgerlich. Ein Agent, der mit deinen Rechten eine falsche Aktion ausführt, ist ein Vorfall.

Schatten-KI: das eigentliche Problem

Der Report hebt ein Muster hervor, das in der Praxis die meisten Kopfschmerzen macht: Schatten-KI.

So entsteht sie. Ein Mitarbeiter findet ein praktisches Agenten-Tool, verbindet es schnell mit Slack oder Google Workspace, gibt ihm die nötigen Zugriffsrechte und hat danach ein deutlich produktiveres Arbeitsmittel. Niemand hat böse Absichten. Niemand fragt die IT. Und genau hier liegt das Risiko, denn dieser Agent hängt jetzt mit erhöhten Rechten an einem Unternehmenssystem, und die klassischen Sicherheitstools erkennen ihn schlicht nicht als das, was er ist.

Schatten-KI ist der Nachfolger der Schatten-IT, nur schneller und unsichtbarer. Bei Schatten-IT hat sich jemand eine nicht freigegebene Software installiert. Bei Schatten-KI hat sich ein autonomer Akteur mit Handlungsvollmacht an deine Kerndaten geklemmt, oft über eine simple Integration, die in zwei Minuten eingerichtet ist.

Das Tückische daran ist die Berechtigung. Ein Agent, der in Slack mitlesen und schreiben darf, sieht eben auch vertrauliche Kanäle. Ein Agent mit Workspace-Zugriff kann Dateien lesen, die für ihn nie gedacht waren. Wenn dieser Agent kompromittiert wird oder durch eine manipulierte Eingabe in die Irre geführt wird, handelt er mit genau diesen Rechten weiter. Die Angriffsfläche ist nicht das Modell. Die Angriffsfläche sind die Rechte, die der Agent bekommen hat.

Ein frischer Vorfall zeigt das Tempo

Wie schnell solche Lücken auftauchen, zeigt ein aktuelles Beispiel. ServiceNow schloss laut Berichten am 5. Juni 2026 eine API-Schwachstelle, die unauthentifizierten Zugriff auf Kundendaten-Tabellen ermöglicht haben soll.

Wir nennen das hier bewusst mit Schutzformel, weil die Details der Aufarbeitung nicht in allen Punkten öffentlich abschließend belegt sind. Aber das Muster ist lehrreich, unabhängig von den letzten Details. Eine Schnittstelle, die Daten ohne saubere Authentifizierung herausgibt, ist in einer Welt voller Agenten doppelt gefährlich. Genau solche APIs sind die Verbindungspunkte, an denen Agenten andocken. Wenn die Schnittstelle schwach abgesichert ist, erbt jeder angebundene Agent diese Schwäche.

Die Lehre ist nicht, dass ServiceNow ein schlechtes Produkt wäre. Die Lehre ist, dass jede Schnittstelle, an die du einen Agenten hängst, selbst ein Sicherheitsobjekt ist. Nicht nur der Agent muss vertrauenswürdig sein, sondern auch das, womit du ihn verbindest.

Warum das gerade jetzt eskaliert

Die Zahlen sind kein Zufall. KI-Agenten sind 2026 von der Demo in den Alltag gewandert. Anbieter wie Microsoft, Salesforce, ServiceNow und Workday haben Agenten direkt in ihre Standardsoftware eingebaut. Damit landen sie in Werkzeugen, die ohnehin in jeder Firma laufen, auch in kleineren.

Mit der Verbreitung wächst die Angriffsfläche automatisch mit. Jeder neue Agent ist ein neuer Akteur mit eigenen Rechten. Jede neue Integration ist eine neue Tür. Und weil das Einrichten so leicht geworden ist, entstehen diese Türen oft an der IT vorbei.

Dazu kommt ein zweiter Effekt, den klassische Schutzsoftware bisher kaum abdeckt. Ein Agent verhält sich nicht wie ein typischer Angreifer von außen. Er meldet sich mit gültigen Zugangsdaten an, nutzt erlaubte Schnittstellen und tut Dinge, die für sich genommen normal aussehen. Eine Mail verschicken, einen Datensatz ändern, eine Datei öffnen. Erst die Kombination aus Tempo, Reichweite und falscher Anweisung macht den Schaden. Genau deshalb erkennen Tools, die nach Schadsoftware oder verdächtigen Logins suchen, einen entgleisten Agenten oft gar nicht als Bedrohung.

Das ist in der Praxis ein größeres Thema als auf dem Papier, weil viele Firmen ihre KI-Nutzung gar nicht inventarisiert haben. Wir sehen in unseren DigiMan-Kursen regelmäßig, dass Teilnehmer aus Verwaltung und Mittelstand zwar wissen, dass Kollegen KI-Tools nutzen, aber niemand eine Liste hat, welcher Agent an welchem System hängt und mit welchen Rechten. Diese fehlende Übersicht ist der eigentliche Schwachpunkt, nicht ein einzelnes Modell. Ein Agent, von dem die IT nichts weiß, lässt sich auch nicht absichern.

Was das für KMU bedeutet

Du brauchst kein Sicherheitsteam von zwölf Leuten, um auf diese Lage zu reagieren. Drei einfache Prinzipien decken den größten Teil ab.

Das erste ist Least Privilege. Jeder Agent bekommt nur die Rechte, die er für seine konkrete Aufgabe wirklich braucht, nicht mehr. Ein Agent, der Termine in einen Kalender einträgt, braucht keinen Lesezugriff auf das gesamte Postfach. Ein Agent, der Standardmails beantwortet, braucht keine Adminrechte. Klingt selbstverständlich, wird in der Eile aber fast immer ignoriert, weil Vollzugriff bequemer ist als sauberes Einrichten.

Das zweite ist Schatten-KI vermeiden. Verschaffe dir einen Überblick, welche Agenten in deiner Firma laufen und an welchen Systemen sie hängen. Eine einfache Liste reicht für den Anfang. Wer was angebunden hat, mit welchen Rechten, für welchen Zweck. Das ist keine große IT-Initiative, sondern eine halbe Stunde Inventur, die du regelmäßig wiederholst. Was du nicht kennst, kannst du nicht schützen.

Das dritte ist eine menschliche Freigabe für kritische Aktionen. Solange ein Agent nur Entwürfe vorbereitet oder Routine erledigt, kann er das selbstständig tun. Sobald es um Geld, um Kundendaten oder um nach außen sichtbare Handlungen geht, gehört ein Mensch in die Schleife, der bestätigt, bevor etwas passiert. Das kostet ein paar Sekunden und verhindert genau die Vorfälle, die im HiddenLayer-Report stecken.

Hinter allen drei Punkten steht dieselbe Einsicht: KI-Agenten sind nützlich, aber sie sind Akteure mit Rechten, keine harmlosen Spielzeuge. Wer sie ohne Leitplanken einsetzt, holt sich eine neue Angriffsfläche ins Haus, oft ohne es zu merken. Und genau dieses Bewusstsein ist Teil der KI-Kompetenz, die der EU AI Act seit dem 2. Februar 2025 von Unternehmen verlangt. Wer seine Mitarbeiter im sicheren Umgang mit Agenten schult, erfüllt nicht nur eine gesetzliche Pflicht, sondern schließt die Lücke, durch die die meisten Vorfälle entstehen.

Häufige Fragen

Zuletzt aktualisiert: 14.06.2026. Stand der Recherche: 14.06.2026.