Viele Führungskräfte glauben noch immer, dass ein sicherer Login gleichbedeutend mit einem sicheren System ist. Wer sich einmal erfolgreich anmeldet, dem wird für die gesamte Sitzung vertraut – egal ob Mensch oder Maschine. In einer Welt, in der KI-Agenten autonom handeln und Workflows immer dynamischer werden, ist dieses Prinzip schlicht überholt. Ein Kommentar von Russ Kirby, CISO, Ping Identity
Das Problem: Agenten der künstlichen Intelligenz sind nicht berechenbar. KI-Agenten können eigenständig Schlüsse ziehen, Aktionen aneinanderketten und selbst entscheiden, wie sie ein Ziel am schnellsten erreichen. Wenn ein KI-Agent dabei feststellt, dass es einfacher ist, eine Sicherheitskontrolle zu umgehen oder sich selbst höhere Rechte zu verschaffen, hält ihn eine statische Berechtigung aus der Einrichtungsphase nicht davon ab. Bis ein herkömmliches Monitoring das Verhalten erkennt, ist der Schaden oft schon angerichtet.
Deshalb brauchen wir ein Umdenken: Nicht nur der Login muss abgesichert werden, sondern jede einzelne Aktion – in dem Moment, in dem sie stattfindet. Zugriff darf nicht mehr pauschal gewährt werden, sondern muss laufend überprüft werden, auf Basis von Kontext, Richtlinien und aktuellem Risiko.
Dazu gehört auch ein Abschied von der Annahme, ein KI-Agent dürfe einfach die gleichen umfassenden Rechte nutzen wie der Mensch, den er vertritt. Stattdessen braucht jeder Agent klar eingegrenzte Befugnisse, die zur Laufzeit überprüft werden.
KI-Agenten handeln schneller und in größerem Umfang als jeder Mensch es könnte. Die entscheidende Frage lautet daher nicht mehr ‚Wer darf rein?‘, sondern ‚Ist genau diese Aktion gerade erlaubt?‘. Nur wer den Schritt von der Zugriffskontrolle zur Verhaltenssteuerung macht, kann KI-Agenten sicher im Unternehmen einsetzen.
