Anbieter zum Thema

CADFEM Germany GmbH

d.velop AG

Esker Software Entwicklungs-und Vertrieb

Cyberresilienz für KI-Agenten: Identitätsschutz & Resilienz

Thomas Mierschke, Area Vice President DACH bei Proofpoint

Eine moderne Sicherheitsarchitektur muss den jüngsten Veränderungen in der Bedrohungslandschaft Rechnung tragen. Dies bedeutet: Während der Schutz von Menschen nach wie vor unverzichtbar ist, muss die Architektur nun auch agentische KI-Systeme absichern. KI-Agenten fungieren wie Mitarbeiter. Sie können durch bösartige Prompts manipuliert werden, dem „Data Drift“ zum Opfer fallen, Privilegien missbrauchen oder versehentlich Informationen preisgeben. Unser Report „AI and Human Risk Landscape“ bestätigt, dass die Einführung von KI-Technologien den Ausbau der Sicherheitsmaßnahmen bei Weitem hinter sich lässt. 56 Prozent der deutschen Unternehmen sehen sich mit ihren Sicherheitsmaßnahmen in einem Aufholwettlauf begriffen oder betrachten diese als inkonsistent oder rein reaktiv. Und jedes zweite befragte Unternehmen hat bereits einen vermuteten oder bestätigten KI-bezogenen Vorfall verzeichnet.

Die Antwort liegt nicht darin, KI als neuartige Bedrohungskategorie zu behandeln, sondern darin, bewährte Kontrollen konsequent auf alles anzuwenden, was KI berührt, ausführt und als was sie sich authentifizieren darf. Unternehmen, die dieses Fundament frühzeitig legen, können ihren KI-Einsatz ruhigen Gewissens ausbreiten. Alle anderen automatisieren lediglich ihre eigene Angriffsfläche. Krisenpläne müssen regelmäßig aktualisiert und getestet werden. Idealerweise sollte jedoch von vornherein verhindert werden, dass diese überhaupt zur Anwendung kommen müssen. Unternehmen benötigen daher eine Sicherheitsplattform, die in der Lage ist, KI und KI-Agenten ebenso zu verwalten wie menschliche Mitarbeiter. Zudem muss sie absichtsbasierte Handlungen analysieren können, indem sie die mehrstufigen Arbeitsabläufe eines Agenten von der ersten Anfrage bis zur abschließenden API-Ausführung nachvollzieht, und agentische KI nutzen, um verdächtige Aktivitäten selbstständig zu unterbinden.

Frank Schwaak, Field CTO EMEA bei Rubrik

Moderne Angriffe, ob automatisierte DDoS, Ransomware oder identitätsbasierte Vorfälle, zeigen deutlich: Vollständige Prävention ist keine realistische Zielgröße mehr und viele Unternehmen sind auf den fast sicher eintretenden Ernstfall wenig vorbereitet. Dabei ist die entscheidende Kennzahl heute Time-to-Recovery: Wie schnell kann ein Unternehmen nach einem Vorfall einen verifizierten, sauberen Betriebszustand wiederherstellen? Nur wer das misst, kann gezielt diese Zeit verkürzen.Krisenpläne entfalten ihren Wert erst, wenn sie regelmäßig erprobt werden, durch Simulationen, automatisierte Wiederherstellungstests und klare Verantwortlichkeiten über IT und Fachbereiche hinweg. Ergänzt werden muss das durch eine Architektur, die auf „Assumed Breach“ ausgelegt ist: unveränderliche Backups, isolierte Wiederherstellungsumgebungen und ein konsequentes Least-Privilege-Prinzip für alle Identitäten, menschliche wie maschinelle.

Denn Angreifer brechen heute nicht mehr ein, sie melden sich einfach an. Gekaperte Identitäten sind das neue Einfallstor, und der Kreis der Gefährdeten wächst: Laut Rubrik Zero Labs haben nur 21 Prozent der deutschen Unternehmen vollständige Transparenz über die in ihrer Umgebung aktiven Agenten, oftmals sind sie eine „Shadow Workforce“, die neue Angriffsvektoren schafft. Für echte Cyberresilienz gilt daher: Identitätsschutz muss als eigene Resilienzschicht in die Sicherheitsarchitektur integriert werden. Resilienz entsteht vor allem durch Übung, die passende Architektur und gelebte Krisenpläne.

Richard Werner, Security Advisor bei TrendAI, ein Geschäftsbereich von Trend Micro

Organisationen fehlt häufig der Überblick über ihre Infrastruktur und deren spezifische Herausforderungen. Dadurch lässt sich die Gefahrenlage nur schwer bestimmen. Oft wird zudem nur punktuell verteidigt wird und die Koordination der einzelnen Maßnahmen damit zu einer organisatorischen Herausforderung. Kommt es zum Angriff werden zuvor übersehene Probleme zur sprichwörtlichen Achillesverse. Um sich auf den Ernstfall vorzubereiten, sollten Unternehmen mögliche blinde Flecken identifizieren und automatisiert die Cyber-Risikosituation überwachen. Moderne Sicherheitsarchitekturen und -Plattformen sind in der Lage, solche Informationen zu erfassen, zu zentralisieren und damit die genannten organisatorischen Hürden zu überwinden.

Krisenpläne müssen Hand in Hand mit der Sicherheitsarchitektur interagieren und ergänzen in Ausnahmesituationen die regulären Maßnahmen. Dazu zählt auch, auf den Worst Case vorbereitet zu sein. Alle Prozesse, technologisch wie organisatorisch, sollten zudem regelmäßig geprüft werden, beispielsweise durch „Red Teaming“. Künstliche Intelligenz erhöht die Dynamik in der Cybersicherheit weiter. Doch sie macht nicht nur Angriffe effizienter. Richtig eingesetzt wird die KI zum entscheidenden Verbündeten der Verteidigung: Sie kann alle relevanten Prozesse deutlich beschleunigen, nicht nur auf technischer Ebene, sondern auch bei der Entscheidungsfindung der Verantwortlichen.