OWASP hat erstmals die Top 10 for Agentic Applications veröffentlicht. Der Bericht macht deutlich, welche erheblichen geschäftlichen Risiken von agentischer KI ausgehen können – insbesondere, weil diese Systeme eigenständig Entscheidungen treffen und ohne menschliches Eingreifen handeln [1].
Dazu ein Kommentar von Keren Katz, Co-Lead, OWASP Agentic AI Project; Senior Group Manager of AI Security, Tenable
»Viele Unternehmen implementieren agentische KI derzeit in rasantem Tempo, ohne sich der Tragweite dieses Wandels voll bewusst zu sein. Diese Systeme beantworten nicht nur Fragen, sondern stoßen eigenständig Aufgaben an, verketten Entscheidungen und führen Aktionen aus, die bislang menschliches Eingreifen erforderten. Das kann die Effizienz erheblich steigern und Mitarbeitenden den Freiraum geben, sich auf wichtigere Aufgaben zu konzentrieren. Gleichzeitig entsteht jedoch eine neue Klasse operativer und sicherheitsrelevanter Risiken, auf die die meisten Unternehmen strukturell noch nicht vorbereitet sind.
Die zentrale Erkenntnis ist: In der Praxis fungiert agentische KI als eine neue Form der digitalen Workforce. Sie kann sich in Kernsystemen bewegen, Transaktionen initiieren, auf sensible Daten zugreifen, komplexe Prozesse orchestrieren und autonome Entscheidungen in bislang unerreichter Geschwindigkeit treffen. Wenn dabei etwas schiefläuft, handelt es sich nicht um einen einfachen Fehler, sondern um eine Maßnahme mit unmittelbaren operativen Auswirkungen. Eine einzige fehlgeleitete Entscheidung kann eine Kettenreaktion auslösen, die im gesamten Unternehmen spürbar ist.
Von riskanten Nutzer-Prompts über eingeschleuste persistente Kontextdaten, externe agentische Integrationen und Payloads bis hin zu Privilegieneskalation, Identitätslücken und Schwachstellen in der Lieferkette erstreckt sich die Angriffsfläche über nahezu jede Ebene agentischer KI-Systeme. Schon Datenabfluss, Output-Manipulation oder Workflow-Hijacking sind für sich genommen alarmierend. Die Lage kann jedoch rasch eskalieren – von KI-Agenten, die wie böswillige Insider agieren, bis hin zu kaskadierenden Ausfällen, die ganze Betriebsabläufe lahmlegen. All diese Risiken spiegeln sich in den Agentic Top 10 wider.
Der Hype und das große Versprechen von KI, gepaart mit dem Mangel an klaren Leitlinien und Regulierung, haben eine Wissenslücke geschaffen. Unternehmen stehen damit ohne klaren Fahrplan da, wie sie diese neue Bedrohung absichern sollen. Mit den OWASP Top 10 for Agentic Applications wollen wir diese Lücke schließen: Wir bündeln und vereinfachen bestehende Empfehlungen, damit Unternehmen ihre KI-Reise sicher fortsetzen können.«
[1] https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/
Die Gefahren von KI-Agenten und wie Unternehmen ihnen begegnen können
Mit dem rasanten Aufstieg agentischer KI-Systeme – also KI-Agenten, die eigenständig Aufgaben ausführen, Entscheidungen treffen und ohne menschliches Eingreifen agieren – entsteht eine neue Klasse operativer und sicherheitsrelevanter Risiken. Unternehmen profitieren zwar von Effizienzsteigerungen, stehen aber zugleich vor Herausforderungen, die klassische IT-Sicherheitskonzepte nicht mehr abdecken.
Neue Risikoklasse: Was macht KI-Agenten so gefährlich?
Agentische KI unterscheidet sich grundlegend von bisherigen Automatisierungslösungen. Sie kann sich in Kernsystemen bewegen, Transaktionen initiieren, auf sensible Daten zugreifen und komplexe Prozesse orchestrieren. Fehler oder Manipulationen führen nicht nur zu einzelnen Fehlfunktionen, sondern können Kettenreaktionen auslösen, die ganze Geschäftsbereiche betreffen.
Die Angriffsfläche ist enorm:
- Riskante Nutzer-Prompts: Fehlgeleitete oder manipulierte Eingaben können zu unerwünschten Aktionen führen.
- Persistente Kontextdaten: Eingeschleuste Daten bleiben im System und beeinflussen künftige Entscheidungen.
- Externe Integrationen & Payloads: Schnittstellen zu anderen Systemen eröffnen neue Einfallstore für Angreifer.
- Privilegieneskalation & Identitätslücken: Unzureichende Zugriffskontrollen ermöglichen es Agenten, Rechte zu erweitern oder Identitäten zu übernehmen.
- Lieferkettenschwachstellen: Schwachstellen in zugekauften Komponenten oder externen Diensten werden zum Risiko für das Gesamtsystem.
Schon einzelne Vorfälle wie Datenabfluss, Output-Manipulation oder Workflow-Hijacking sind kritisch. Im schlimmsten Fall agiert ein kompromittierter KI-Agent wie ein böswilliger Insider und legt ganze Betriebsabläufe lahm.
Ursachen: Warum sind Unternehmen oft unvorbereitet?
Viele Unternehmen implementieren agentische KI, ohne die Tragweite zu erkennen. Es fehlen klare Leitlinien, regulatorische Vorgaben und ein Verständnis für die neuen Bedrohungsszenarien. Die Geschwindigkeit der Einführung überholt die Entwicklung von Sicherheitskonzepten. Zudem besteht eine Wissenslücke: Die Risiken sind oft nicht ausreichend bekannt oder werden unterschätzt.
Lösungsansätze: Wie lassen sich die Risiken beherrschen?
- Orientierung an den OWASP Agentic Top 10
Der OWASP-Bericht bündelt die wichtigsten Bedrohungen und bietet praxisnahe Empfehlungen. Unternehmen sollten diese als Grundlage für ihre Sicherheitsstrategie nutzen und regelmäßig überprüfen.
- Sicherheitsarchitektur anpassen
- Zero Trust-Prinzipien: Jeder Zugriff, jede Aktion eines KI-Agenten muss authentifiziert und autorisiert werden.
- Least Privilege: Agenten erhalten nur die minimal notwendigen Rechte.
- Transparenz & Monitoring: Alle Aktionen von KI-Agenten werden protokolliert und überwacht, um Anomalien frühzeitig zu erkennen.
- Kontext- und Datenhygiene
- Validierung von Eingaben: Nutzer-Prompts und Kontextdaten müssen auf Plausibilität und Sicherheit geprüft werden.
- Schutz vor persistenter Manipulation: Mechanismen zur Erkennung und Bereinigung eingeschleuster Kontextdaten implementieren.
- Lieferkettensicherheit
- Sorgfältige Auswahl von Komponenten: Externe Module und Integrationen werden auf Schwachstellen geprüft.
- Regelmäßige Updates & Patches: Sicherheitslücken in der Lieferkette werden zeitnah geschlossen.
- Notfallpläne und Resilienz
- Incident Response: Klare Prozesse für den Umgang mit Vorfällen, inklusive Sofortmaßnahmen und Kommunikation.
- Simulationen & Penetrationstests: Szenarien mit fehlgeleiteten oder kompromittierten KI-Agenten regelmäßig durchspielen.
- Schulung und Sensibilisierung
- Awareness-Programme: Mitarbeitende werden für die neuen Risiken sensibilisiert.
- Interdisziplinäre Teams: IT, Fachbereiche und Recht arbeiten gemeinsam an der Absicherung agentischer KI.
Fazit
Agentische KI bietet enorme Chancen, bringt aber auch eine neue Dimension von Risiken mit sich. Unternehmen müssen ihre Sicherheitsarchitektur, Prozesse und Kultur anpassen, um die Vorteile nutzen zu können, ohne die Kontrolle zu verlieren. Die Orientierung an etablierten Leitlinien wie den OWASP Agentic Top 10 und die konsequente Umsetzung technischer und organisatorischer Maßnahmen sind der Schlüssel zu einer sicheren KI-Zukunft.
Albert Absmeier & KI
