Going deeper: Agentic AI Security
AI-Agenten entwickeln sich rasant von experimentellen Helfern zu produktiver Infrastruktur. Sie orchestrieren Prozesse, greifen auf Systeme zu und treffen eigenständig Entscheidungen über Systemgrenzen hinweg. Während sich viele Diskussionen auf Modelle, Use Cases und Integrationen konzentrieren, bleibt eine entscheidende Dimension oft unterbelichtet: Sicherheit.
Die unbequeme Realität ist, dass viele aktuelle AI-Architekturen aus Security-Sicht nicht ausreichend durchdacht sind. Der Grund dafür liegt nicht in einzelnen Implementierungsdetails, sondern in einem grundlegenden Missverständnis: AI-Agenten werden wie klassische Anwendungen behandelt, obwohl sie sich fundamental anders verhalten.
Genau hier setzt das Konzept der Agentic AI Security an.
Autonomie verändert Sicherheitslogik
Klassische Software folgt definierten Abläufen. Ein Nutzer stößt einen Prozess an, die Anwendung führt ihn aus, und die zugrunde liegenden Berechtigungen lassen sich entlang dieser Logik modellieren. Zugriffsmuster sind vorhersehbar, Interaktionen klar strukturiert. AI-Agenten brechen dieses Modell auf.
Ein Agent erhält ein Ziel und entscheidet selbst, wie dieses erreicht wird. Er analysiert Kontext, bewertet Optionen und interagiert mit unterschiedlichen Systemen. Die konkrete Abfolge von Aktionen entsteht erst zur Laufzeit. Damit verschiebt sich die Kontrolle von statischer Logik hin zu dynamischen Entscheidungsprozessen.
Aus technischer Sicht bedeutet das: Das Verhalten eines Systems ist nicht mehr vollständig zur Designzeit bekannt. Und genau darauf sind die allermeisten Sicherheitsmodelle nicht ausgelegt.
AI-Agenten als neue Identitätsklasse
Ein zentraler Aspekt dieser Veränderung ist die Rolle der Identität.
Traditionelle IAM-Systeme unterscheiden zwischen menschlichen Nutzern, technischen Services und Geräten. AI-Agenten passen in keine dieser Kategorien. Sie handeln nicht wie Menschen, folgen aber auch nicht deterministischen Abläufen wie klassische Services. Stattdessen treffen sie eigenständig Entscheidungen und wählen dynamisch aus, welche Aktionen sie ausführen.
In der Praxis lassen sie sich am treffendsten als „reasoning-driven identities“ beschreiben. Diese neue Identitätsklasse hat zwei entscheidende Eigenschaften:
- Erstens ist ihr Verhalten kontextabhängig.
- Zweitens ist ihr Aktionsraum nicht vollständig vorhersagbar
Damit reicht es nicht mehr aus, statische Berechtigungen zu vergeben. Sicherheit muss sich an dynamischem Verhalten orientieren.
Warum klassische OAuth-Modelle an Grenzen stoßen
OAuth2 und OpenID Connect bleiben zentrale Bausteine moderner Sicherheitsarchitekturen. Sie sind jedoch für ein anderes Interaktionsmodell konzipiert worden: bekannte Clients, klar definierte Ressourcen und relativ stabile Zugriffsmuster. In Agent-getriebenen Systemen verschiebt sich dieses Modell.
Ein Agent ist kein klassischer Client. Er entscheidet selbst, welche Ressourcen er nutzt und welche Aktionen notwendig sind. Die Menge möglicher Interaktionen ist nicht mehr vollständig im Voraus bekannt. Klassische Scopes verlieren damit an Präzision. Die zentrale Autorisierungsfrage verändert sich grundlegend.
Es geht nicht mehr darum, ob ein System auf eine API zugreifen darf.
Es geht darum, ob ein Agent eine konkrete Aktion in einem bestimmten Kontext ausführen darf.
In MCP-basierten Architekturen wird diese Verschiebung besonders deutlich, da Fähigkeiten als Tools modelliert werden. Autorisierung erfolgt damit auf der Ebene einzelner Aktionen statt auf Systemebene.
Delegation und Nachvollziehbarkeit als Kernproblem
Ein weiterer kritischer Punkt ist die Delegation. In den meisten Szenarien handeln AI-Agenten im Auftrag eines Nutzers. Gleichzeitig treffen sie eigenständig Entscheidungen über die konkrete Umsetzung. Damit entsteht eine Dualität von Identitäten: die des Nutzers als Initiator und die des Agenten als ausführende Instanz.
Ohne ein sauberes Delegationsmodell entstehen mehrere Risiken. Aktionen lassen sich nicht mehr eindeutig zuordnen, Berechtigungen können implizit erweitert werden, und Auditierbarkeit geht verloren.
Technisch lässt sich dieses Problem über erweiterte Token-Modelle lösen, etwa durch Token Exchange und Actor Claims. Dabei wird im Token sowohl die Identität des Agenten als auch die des Nutzers abgebildet. Nur so kann nachvollzogen werden, in wessen Auftrag eine Aktion erfolgt.
Diese Trennung ist essenziell für jede ernstzunehmende Agentic AI Security Architektur.
Von statischer Autorisierung zu kontextbasierten Policies
Ein weiterer fundamentaler Wandel betrifft die Art der Autorisierung.
Rollenbasierte Modelle stoßen schnell an ihre Grenzen, da sie nicht ausreichend flexibel sind, um dynamische Entscheidungen abzubilden. Stattdessen gewinnen attribut- und policybasierte Ansätze an Bedeutung.
Autorisierung wird zu einer Laufzeitentscheidung, die mehrere Faktoren berücksichtigt: Identität, Kontext, Zielsystem und konkrete Aktion.
Das bedeutet konkret:
Nicht jede Aktion eines Agenten ist per se erlaubt, sondern wird anhand von Regeln bewertet, die situativ greifen. Diese Regeln können beispielsweise festlegen, dass ein Agent nur innerhalb bestimmter Projekte agieren darf oder nur lesenden Zugriff auf sensible Daten hat.
Technologisch führt das zu einer stärkeren Entkopplung von Policy und Anwendung. Policy Engines werden zu zentralen Komponenten, die Autorisierungsentscheidungen treffen, während Systeme diese Entscheidungen lediglich durchsetzen.
Die eigentliche Herausforderung: Cross-System Interaktionen
Die Komplexität steigt weiter, sobald Agenten mehrere Systeme miteinander kombinieren.
Ein einzelner Workflow kann sich über unterschiedliche Sicherheitsdomänen erstrecken. Dabei müssen Identitäten, Berechtigungen und Kontextinformationen konsistent übertragen werden.
Hier kommen Mechanismen wie Token Exchange, audience-spezifische Tokens und standardisierte Claims ins Spiel. Sie ermöglichen es, Identitätskontexte über Systemgrenzen hinweg zu propagieren, ohne die Kontrolle zu verlieren.
Gleichzeitig muss sichergestellt werden, dass jede Aktion nachvollziehbar bleibt. Auditability ist in Agenten-getriebenen Systemen keine optionale Funktion, sondern eine zwingende Voraussetzung.
Ein Lösungsansatz: Identity als Control Plane
Die beschriebenen Herausforderungen lassen sich nicht durch punktuelle Anpassungen lösen. Sie erfordern einen strukturellen Ansatz.
Die zentrale Idee ist, Identity nicht mehr als unterstützende Funktion zu betrachten, sondern als Control Plane für Agentic AI Security. Ein solcher Ansatz umfasst mehrere Kernkomponenten:
- Zunächst braucht es eine klare Identität für jeden Agenten. Diese wird über etablierte Mechanismen wie OAuth2 Client Credentials oder Workload Identity Federation realisiert.
- Darauf aufbauend muss Delegation sauber abgebildet werden, sodass jederzeit nachvollziehbar ist, ob ein Agent im eigenen Kontext handelt oder im Auftrag eines Nutzers.
- Ein weiterer zentraler Baustein ist eine Policy-basierte Autorisierung, die Entscheidungen zur Laufzeit trifft. Hier kommen Modelle wie PBAC (Policy-Based Access Control) zum Einsatz, die flexibel auf Kontext reagieren können.
- Ergänzt wird dies durch Mechanismen zur sicheren Weitergabe von Identitätskontexten über Systemgrenzen hinweg, etwa durch Token Exchange.
- Schließlich ist eine durchgängige Auditierung notwendig, um alle Aktionen transparent nachvollziehen zu können.
Architekturprinzipien für Agentic AI Security
Aus diesen Anforderungen lassen sich klare Architekturprinzipien ableiten.
- Erstens sollten Agenten als eigenständige Identitäten behandelt werden, nicht als Erweiterung bestehender Services.
- Zweitens muss jede Aktion eines Agenten explizit autorisiert werden, idealerweise auf Tool- oder Aktionslevel.
- Drittens sollte Delegation immer explizit modelliert werden, um klare Verantwortlichkeiten zu schaffen.
- Viertens müssen Identitätskontexte systemübergreifend konsistent propagiert werden.
Und schließlich muss jede Interaktion auditierbar sein.
Unternehmen, die auf Agentic AI Security setzen, schaffen die Grundlage für sichere und skalierbare AI-Infrastrukturen.
Fazit: Agentic AI Security – Kontrolle wird zum entscheidenden Faktor
AI-Agenten verändern nicht nur Anwendungen, sondern die Grundlagen von IT-Sicherheit. Systeme werden dynamischer, Entscheidungen entstehen zur Laufzeit, und klassische Modelle stoßen an ihre Grenzen.
Agentic AI Security beschreibt den notwendigen Wandel, um diese Systeme kontrollierbar zu machen. Es geht nicht darum, Innovation zu bremsen, sondern sie überhaupt erst sicher skalierbar zu machen.
Unternehmen, die AI produktiv einsetzen wollen, müssen sich daher nicht nur fragen, was ihre Systeme leisten können, sondern unter welchen Bedingungen sie handeln dürfen.
Denn am Ende entscheidet nicht die Fähigkeit eines Agenten über seinen Wert, sondern die Kontrolle darüber.
Mehr Infos zu Agentic AI Security
Mehr zu einer beispielhaften Identity Control Plane erfahren Sie auf AI Agent für Identitäten.
Sprechen Sie mit uns darüber, wie Sie die Sicherheit in Ihrem Unternehmen stärken können: Machen Sie einen kostenlosen Termin mit unseren Experten aus.