Künstliche Intelligenz ist in vielen Unternehmen bereits angekommen und entwickelt sich zu einer neuen operativen Ebene digitaler Arbeit. Agentic-AI markiert dabei einen neuen Wendepunkt: Die unabhängigen Assistenten liefern nicht mehr nur Antworten, sondern können selbstständig Aufgaben ausführen, Daten abrufen, Programme bedienen oder Code starten. Dies verspricht hohes Produktivitätspotenzial, zugleich wächst die Angriffsfläche enorm. Und was die KI startet, findet in der eigenen IT statt.
Insbesondere der Druck, KI schnell zu implementieren, birgt die Gefahr, dass die Beteiligten Sicherheitsvorkehrungen, Governance und Datenschutz vernachlässigen, was massive Datenpannen und Sicherheitsverstöße zur Folge haben kann. Für die Verantwortlichen der IT-Sicherheit ist es deshalb grundlegend, den Gefahren von unautorisierten Tools und Prozessen mit Richtlinien und Sicherheitsmaßnahmen zu begegnen.
Zwischen offizieller und Schatten-KI
Viele Unternehmen erlauben inzwischen den Einsatz bestimmter KI-Dienste über vertraglich geregelte Business-Zugänge. Dort ist zumindest teilweise definiert, wie eingegebene Daten verarbeitet, gespeichert oder vom Training ausgeschlossen werden. Parallel dazu entsteht jedoch Schatten-KI. Mitarbeitende nutzen private Accounts, kostenlose oder nicht empfohlene Tools sowie KI-Funktionen in Anwendungen, ohne dass IT-Betrieb, Sicherheit oder Compliance davon wissen. Bisweilen ist nicht einmal den Nutzern selbst bewusst, dass eine Anwendung im Hintergrund KI einsetzt. Vertrauliche Informationen übermitteln die Agenten dann etwa unkontrolliert an externe Systeme.

Die Risiken der Agentic-AI werden auf dem eigenen Rechner Wirklichkeit
Während klassische LLMs auf Eingaben reagieren, gehen KI-Agenten einen Schritt weiter. Sie erhalten Zugriff auf Werkzeuge, Dateien, Browser, E-Mail-Postfächer oder lokale Systeme. Bildlich gesprochen bekommt die KI virtuelle Hände. Ein Agent kann Daten suchen, Prozesse anstoßen, Skripte ausführen oder mit anderen Systemen interagieren. Wird er kompromittiert oder falsch konfiguriert, kann der Schaden erheblich sein. Besonders kritisch ist es, wenn Agenten auf Unternehmensgeräten laufen. Haben sie Zugriff auf Netzlaufwerke, interne Systeme oder sensible Dokumente, wird ein eigentlich produktivitätsorientiertes Tool schnell zum Einfallstor für Gefahren.
Die Gefahr durch Erweiterungen und Skills
Ein weiteres Risiko entsteht durch Community-Erweiterungen. Offene Agentensysteme erlauben häufig das Nachladen sogenannter Skills oder Plugins. Diese bringen dem Agenten neue Fähigkeiten bei, etwa E-Mails auszuwerten, Rechnungen zu analysieren oder Informationen aus bestimmten Quellen zu verarbeiten. Doch manipulierte Erweiterungen können Schadcode enthalten, Daten abgreifen oder verdeckt Aktionen ausführen.
So besteht zum Beispiel beim KI-Agenten „OpenClaw“ das Risiko durch kostenlose Open-Source-Skills, über die Angreifer bösartigen Code einschleusen, der dann mit vollen Zugriffsrechten im Heim- oder Firmennetzwerk ausgeführt wird. Für Organisationen ist dies besonders gefährlich, denn wenn ein Mitarbeiter Openclaw auf dem Arbeitsrechner installiert, erhält das Tool Zugriff auf alle verbundenen Netzwerklaufwerke und proprietäre Geschäftsdaten. Aufgrund der Risiken sind bereits Varianten wie Nanoclaw oder Picoclaw entstanden, die in isolierten Containern laufen, um den Zugriff auf das restliche System zu verhindern. Container, Sandboxing und eingeschränkte Rechte können helfen, das Risiko durch KI-Agenten zu reduzieren. Vollständig gelöst ist das Problem jedoch nicht.
Zudem erstellt Openclaw eine Datei namens soul.nd, die ein Profil des Nutzers speichert. Darin werden Vorlieben, Verhaltensweisen und sogar emotionale Zustände wie Introvertiertheit oder Ängstlichkeit festgehalten. Diese Daten sind in der Masse für staatliche Akteure extrem wertvoll für gezielte Propaganda.
Angriffe auf breiter Front in Maschinengeschwindigkeit
Das vielleicht größte Problem sind Geschwindigkeit und Hebelwirkung. KI-Agenten können Aufgaben automatisiert und skalierbar ausführen. Das gilt für legitime Arbeit ebenso wie für Angriffe. Cyberkriminelle können Agenten nutzen, um Systeme zu scannen, Zugangsdaten zu verwerten, interne Informationen zu priorisieren oder weitere Angriffsschritte vorzubereiten. Darüber hinaus entsteht mittlerweile ein kriminelles Ökosystem, in dem Agenten ihrerseits mit Agenten ohne jegliches menschliches Eingreifen miteinander kommunizieren. So wurde zum Beispiel beobachtet, wie Agenten aus kompromittierten Unternehmen erbeutete Login-Daten wiederum an andere verkauften – alles in Maschinengeschwindigkeit. Bis ein Mensch reagiert, wurden Login-Daten bereits automatisiert gestohlen, verkauft und das Ziel erfolgreich angegriffen.

Maßnahmen zur Risikoeindämmung
Agentic-AI darf nicht als normales Softwaretool behandelt werden. Unternehmen benötigen klare Regeln, technische Kontrollen und transparente Prozesse:
1. Etablierung klarer Richtlinien: Unternehmen sollten dedizierte KI-Richtlinien erstellen oder diese in bestehende Datenmanagement-Richtlinien integrieren. Es bedarf klarer Nutzungsregeln, welche Daten in ein LLM eingegeben und für welche Aufgaben KI-Agenten auf Firmengeräten genutzt werden dürfen. Wichtig ist die richtige Balance. Reine Verbote werden kaum funktionieren, weil der Produktivitätsgewinn für viele Mitarbeitende zu attraktiv ist und Sicherheitsbedenken beiseitezuschieben hilft. Wer KI pauschal blockiert, riskiert, dass Beschäftigte auf private oder unkontrollierte Lösungen ausweichen. Besser ist ein Ansatz, der einen sicheren Gebrauch ermöglicht: mit verständlichen Regeln, überprüften und freigegebenen Tools und konkreten, praxisnahen Beispielen dafür, was erlaubt ist und was nicht, um Unklarheiten zu vermeiden.
2. Frameworks: Empfehlenswert als Richtlinie ist das Framework ISO 42001, welches speziell für das Management und die Governance von KI entwickelt wurde, ähnlich wie ISO 27001 für die Informationssicherheit.
3. Anpassen von Geschäftsprozessen: Bereits in der Beschaffung sollte der Onboarding-Prozess für Lösungen neuer Anbieter so angepasst werden, dass direkt abgefragt wird, ob und wie die Tools KI nutzen. Zudem sollten Unternehmen prüfen, ob Anbieter über Optionen verfügen, KI-Funktionen bei Bedarf zu deaktivieren.
4. Schulungen: Regelmäßige Kurse sollten alle Mitarbeiter über die Risiken von LLMs und Agentic AI aufklären. IT-Teams sollten Workshops mit den Fachabteilungen durchführen, um deren spezifischen KI-Gebrauch und die damit verbundenen Risiken zu vermitteln.
5. Technische Leitplanken: Da Angriffe nun mit Maschinengeschwindigkeit erfolgen, müssen Unternehmen auch ihre Defensive stärker automatisieren. In vielen Fällen wird künftig gelten: KI-gestützte Angriffe lassen sich nur mit KI-gestützter Abwehr wirksam bekämpfen. Um das Risiko durch bösartige Skills zu minimieren, sollten Agenten zudem in isolierten Containern laufen, damit sie keinen Zugriff auf das gesamte System haben. Weiterhin sollten Sandboxing, Zugriffsrechtebeschränkung, eine Kontrolle von Agenten auf Unternehmensgeräten sowie Monitoring auf ungewöhnliches Verhalten eingesetzt werden. Auch sollten Unternehmen die Möglichkeit prüfen, Agenten offsite in Rechenzentren zu betreiben.
Fazit: Nutzung von Agentic-AI ohne Kontrollverlust

Agentic-AI ist mehr als ein weiterer Technologieschritt. Sie verändert, wie Arbeit automatisiert wird, wie Angriffe ablaufen und wie Unternehmen Risiken steuern müssen. Der professionelle Umgang mit Agentic AI besteht nicht im Verbot, sondern in kontrollierter Ermöglichung. Unternehmen müssen KI strategisch, technisch und organisatorisch einhegen. Wer nur auf Produktivität schaut, unterschätzt das Risiko. Wer nur auf Gefahren schaut, verpasst den Fortschritt. Die entscheidende Aufgabe lautet: KI nutzen, ohne die Kontrolle zu verlieren.
Jörg von der Heydt, Regional Director DACH bei #Bitdefender










