Grundlagen der Agentic-AI-Security
Agentic-AI-Security schützt KI-Systeme, die autonome Entscheidungen treffen, Tools verwenden und in Live-Umgebungen handeln. Agentic AI beantwortet nicht nur Fragen – sie handelt danach.
Agents können Infrastruktur eigenständig erstellen, verändern oder löschen – ohne direkte menschliche Freigabe. Sie greifen über leistungsfähige APIs auf kritische Systeme zu und speichern Kontext über Sitzungen hinweg, beispielsweise in Vektordatenbanken. Zudem arbeiten mehrere Agents häufig zusammen, um komplexe Aufgaben in verteilten Umgebungen auszuführen.
Diese Fähigkeiten bringen neue Risiken mit sich, die spezialisierte Sicherheitskontrollen erfordern.
Während klassische AI-Security-Risiken weiterhin relevant sind, benötigen autonome Systeme mehr als statische Schutzmaßnahmen. Sie erfordern intelligente Schutzmechanismen in Echtzeit, basierend auf einer zentralen Sicht auf Identitäten, Services, Pipelines und laufende Systeme, kombiniert mit Informationen zu Datensensibilität und externer Angriffsfläche.
25 AI Agents. 257 Real Attacks. Who Wins?
From zero-day discovery to cloud privilege escalation, we tested 25 agent-model combinations on 257 real-world offensive security challenges. The results might surprise you 👀
Agentic AI und traditionelle Cloud-Security
Traditionelle Cloud-Security basiert auf Vorhersagbarkeit. Benutzer authentifizieren sich, Services bleiben innerhalb bekannter Grenzen – und das Hauptziel ist es, unbefugten Zugriff zu verhindern.
Agentic AI durchbricht dieses Modell. Diese Systeme lernen, passen sich an und treffen Entscheidungen, die sich nicht vollständig vorhersagen lassen.
AI-Security in der Cloud ist ein guter Anfang, reicht jedoch in vier zentralen Bereichen nicht aus:
Statische Perimeter werden umgangen: Gültige API-Zugangsdaten ermöglichen es Agents, Aktionen innerhalb bestehender Netzwerksicherheitsregeln auszuführen – unabhängig davon, ob diese sicher sind oder nicht.
Compliance-Frameworks sind nicht auf autonome Systeme ausgelegt: Bestehende Audit-Modelle gehen von menschlichen Entscheidungen aus – nicht von Agents, die Konfigurationen innerhalb von Sekunden verändern.
Angriffsvektoren verschieben sich: Angriffe zielen zunehmend auf das Verhalten von Agents selbst ab – etwa durch Prompt Injection oder manipulierte Kontextdaten.
Cloud-native Risiken nehmen stark zu: Autoscaling verbreitet Kompromittierungen, Agent-Orchestrierung ermöglicht Lateral Movement, automatisierte Infrastruktur kann Fehlkonfigurationen verstärken.
Beispiel: Ein DevOps-Agent mit Cluster-Admin-Berechtigungen wird über vergiftete Git-Commits dazu gebracht, privilegierte Pods zu erstellen, die Secrets offenlegen. Da legitime Zugangsdaten verwendet werden, bleibt der Angriff in Logs häufig unentdeckt.
Sicherheit muss daher über die reine Zugriffskontrolle hinausgehen. Entscheidend ist, autorisierte Systeme daran zu hindern, schädliche Aktionen auszuführen. Dies erfordert Schutzmechanismen wie transaktionale Prüfungen, eingeschränkte Berechtigungen und menschliche Freigaben.
Agentic-AI-Bedrohungen für Cloud-Security-Teams
Agentic-AI-Bedrohungen entstehen, wenn autonome Systeme manipuliert, fehlkonfiguriert oder in der Supply Chain kompromittiert werden.
Die folgenden fünf Bedrohungskategorien – zusammen mit gängigen Angriffsvektoren und relevanten Standards – erfassen die größten Cybersicherheitsrisiken, die Agentic AI für Cloud-Security-Teams darstellt.
Tool-Missbrauch und Cloud-API-Exploitation
Agents mit gültigen Berechtigungen können über Adversarial-AI-Angriffe auf ihren Entscheidungsprozess zu schädlichen Aktionen verleitet werden.
Typische Angriffsvektoren:
Prompt-Injection über IaC-Kommentare, Git-Nachrichten oder Monitoring-Alerts
Memory-Poisoning durch manipulierte Einträge in einer Vektordatenbank oder einem RAG-Store – dadurch verändert sich der Kontext des Agents schrittweise
Server-Side Request Forgery (SSRF) zu Cloud-Instance-Metadata-Services (IMDSv1 oder fehlkonfigurierte Metadata-Proxies), um temporäre Credentials abzugreifen – Abhilfe durch IMDSv2 und Hop-Limit-Kontrollen auf 1
Missbrauch von Cloud-CLIs (AWS, Azure, Google Cloud, kubectl), um etablierte Änderungskontrollen zu umgehen
Einmal kompromittiert, kann ein Agent mit Admin-Rechten und API-Zugriff Hintertüren einrichten, Sicherheitskontrollen deaktivieren oder Daten innerhalb von Sekunden über mehrere Clouds hinweg exfiltrieren.
Relevante Standards: NIST SP 800-53 (Access Control, System and Information Integrity), ISO/IEC 42001 (AI Management Systems Controls)
Supply-Chain- und Model-Integrity-Risiken
Agents können Kompromittierungen erben, wenn ihre Container, Modelle oder Abhängigkeiten an irgendeinem Punkt in der Supply Chain manipuliert werden.
Diese Kategorie von Agentic-AI-Bedrohungen umfasst folgende Angriffsmethoden:
Manipulierte Base-Images aus privaten Container-Registries oder öffentlichen Hubs wie Hugging Face
Bösartiger Code, der in Open-Source-Abhängigkeiten des Agents injiziert wird
Kompromittierte Modellgewichte, die aus Cloud-Storage oder Registries heruntergeladen werden
Unsignierte oder nicht authentifizierte Artefakte ohne Attestierungen (z. B. SLSA-Compliance)
Ein einzelnes kompromittiertes Image oder Modell, das automatisch über normale CI/CD-Prozesse aus EKS, GKE oder AKS gezogen und bereitgestellt wird, kann sich schnell über Cluster hinweg ausbreiten. Das kann mehrere Umgebungen und Kunden gleichzeitig betreffen.
Relevante Standards: NIST SSDF (SP 800‑218), ISO/IEC 23894 (AI Risk Management Guidance)
Infrastruktur-Exposure und Lateral Movement
Angreifer können Agents mit übermäßigen Berechtigungen ausnutzen, um sich durch Cloud-Umgebungen zu bewegen und sensible Ressourcen zu erreichen.
Häufige Angriffsvektoren:
Übermäßig großzügige Security-Groups oder Firewall-Regeln, die breiten Netzwerkzugriff erlauben.
Cross-Account Role Assumption für Third-Party-Zugriff ohne External ID – das ermöglicht Confused-Deputy-artige Privilege-Escalation.
Agents mit standardmäßig gewährten Cluster-Admin-Bindings in Kubernetes.
Uneingeschränkter ausgehender Datenverkehr von Agents zu Third-Party-Endpoints, der Data-Exfiltration-Kanäle schafft.
Agents mit breitem Zugriff schaffen Möglichkeiten für böswillige Akteure, Dark AI zu nutzen und VPCs, Cloud-Accounts und Service-Meshes zu durchqueren, um kritische Datastores zu erreichen.
Relevant Standards: NIST SP 800-53 (Least-Privilege-Prinzip, Access Control), EU AI Act (Genauigkeit, Robustheit und Cybersicherheit für Hochrisiko-KI)
Securing AI Agents 101
AI agents are changing how work gets done. This one-pager explainer breaks it all down.
Shadow-AI-Agents und unkontrollierte Deployments
Nicht genehmigte Agents, die außerhalb von Security-Reviews gestartet werden, erzeugen unsichtbare Risiken. Sie umgehen traditionelles Monitoring.
Achten Sie auf folgende Angriffsvektoren und Indikatoren:
Entwickler stellen Agents über Serverless Functions (Lambda, Cloud Functions) mit unverwalteten API-Keys bereit.
Anomale DNS-Abfragen oder Netzwerk-Egress zu öffentlichen AI-Service-Endpoints treten auf.
Plötzliche Spitzen bei AI-Service-Kosten wie SageMaker oder Azure AI entstehen.
Infrastruktur-Drift zeigt neue, undokumentierte oder nicht getaggte Agent-Ressourcen.
Die Self-Service-Natur der Cloud macht es einfach, „Shadow Agents" bereitzustellen. Diese operieren oft mit übermäßigen Berechtigungen und ohne Aufsicht – und können dadurch zu versteckten Hintertüren werden.
Relevant Standards: NIST SP 800-53 (Configuration Management, Asset Inventory), ISO/IEC 42001 (AI Asset Governance)
Ressourcenverbrauch und Kostenmissbrauch
Agents können manipuliert werden, um massive Cloud-Ressourcen zu verbrauchen. Das verursacht sowohl finanziellen Schaden als auch Service-Unterbrechungen.
Typische Angriffsvektoren in dieser Kategorie:
Adversarial Prompts lösen unkontrolliertes Autoscaling teurer Server aus.
Verhaltensmanipulation verursacht die Bereitstellung nicht autorisierter Workloads über legitime Provisioning-Tools.
Bösartige Inputs initiieren große, unnötige regionenübergreifende Datentransfers.
Ein einzelner Autoscaling-Agent unter der Kontrolle eines Bedrohungsakteurs kann Budgets über Nacht aufbrauchen, Quotas erschöpfen und sogar Produktions-Workloads offline nehmen.
Relevant Standards: NIST SP 800-53 (Resource Availability and Protection), ISO/IEC 42001 (Operational Controls for AI Systems)
Die drei Säulen der Agentic-AI-Security
Agentic AI abzusichern erfordert, Verhalten in Echtzeit zu formen – nicht nur Probleme zu erkennen, nachdem sie passiert sind. Dafür brauchen Sie eine einzige Policy-Engine, die Code, Pipelines und Runtime umfasst.
Während Frameworks wie OWASP MAESTRO umfassendes Agentic-Threat-Modeling bieten, können Cloud-Teams mit drei praktischen Kontrollen beginnen, um Agentic-AI-Risiken schon heute wirksam zu reduzieren – ohne Autonomie, Skalierung und Effizienz auszubremsen.
Runtime-Protection und Sandboxing
Agentic AI handelt kontinuierlich und mit hoher Geschwindigkeit – das macht Runtime-Containment essenziell, also Aktionen zur Laufzeit zu begrenzen und zu kontrollieren. Mit starkem Sandboxing stellen Sie eingebautes Sandboxing Guardrails bereit und begrenzen den Schadensradius, falls ein Agent kompromittiert wird.
Nutzen Sie Admission-Controller (OPA Gatekeeper, Kyverno), um Sicherheitsrichtlinien auf Kubernetes-Deployments automatisch durchzusetzen.
Erzwingen Sie Netzwerk-Mikrosegmentierung mit Service-Mesh-Richtlinien (Istio, Linkerd) oder Kubernetes-NetworkPolicies, um Agent-Kommunikation strikt zu kontrollieren.
Nutzen Sie eBPF-basierte Telemetrie für Echtzeit-Anomalieerkennung von Workload-Verhalten auf Kernel-Ebene.
Implementieren Sie Human-in-the-Loop-Freigaben für High-Impact-Tools und verlangen Sie signierte „Plans" (z. B. Terraform plan) vor der Ausführung gefährlicher Aktionen.
Etablieren Sie Circuit-Breaker-Mechanismen, um einen Agenten automatisch herunterzufahren, wenn er verdächtige Infrastruktur-Modifikationsmuster zeigt.
Identity and Access Management
Identität definiert, was ein Agent tun kann und was nicht. Ohne strikte Kontrollen können kompromittierte Agents mit weitreichenden Berechtigungen agieren.
Stellen Sie kurzlebige Zugangsdaten über Short-Lived Tokens bereit, etwa AWS STS, Azure Managed Identities oder GCP Workload Identity.
Gewähren Sie Just-in-Time-Zugriff (JIT), damit Berechtigungen eines Agents abhängig von seiner aktuellen Aufgabe erweitert oder reduziert werden. Eliminieren Sie dauerhaft breite Zugriffsrechte.
Föderieren Sie Identität über Clouds hinweg mit Standards wie OIDC, um konsistente Authentifizierung für Agents in Multi-Cloud-Umgebungen sicherzustellen.
Analysieren Sie kontinuierlich effektive Berechtigungen und identifizieren Sie toxische Kombinationen – wie öffentliche externe Angriffsfläche plus Datensensibilität plus privilegierte Token-Pfade. Nutzen Sie einen Security-Graph, um Least-Privilege-Fixes zu priorisieren.
Rotieren und auditieren Sie Agent-Service-Accounts regelmäßig über alle Cloud-Provider hinweg.
Compliance-Automatisierung und Audit-Trails
Agents nehmen kontinuierlich Änderungen vor. Das bedeutet: Sie brauchen Compliance-Prüfungen und Forensik, die mit derselben Geschwindigkeit arbeiten.
Automatisieren Sie die Richtlinien-Validierung, um kontinuierlich zu prüfen, ob alle von einem Agenten modifizierten Ressourcen noch Sicherheits-Baselines wie CIS-Benchmarks oder SOC-2-Controls erfüllen.
Aggregieren Sie Multi-Cloud-Audit-Logs in einer einheitlichen Ansicht, um Agent-Aktionen für Compliance-Reporting und Forensik nachzuverfolgen.
Integrieren Sie Supply-Chain-Verifizierung in ihre CI/CD-Pipeline, um Container-Images zu scannen und Modellintegrität vor dem Deployment zu prüfen.
Überwachen Sie Infrastrukturänderungen in Echtzeit durch das Erkennen von Configuration-Drift.
Pflegen Sie manipulationssichere Decision-Logs (z. B. WORM-Storage oder kryptografisch signierte Logs), die einen umfassenden Audit-Trail des Agent-Reasonings und seiner Infrastrukturänderungen bieten.
Wichtig: Lesen Sie alles über Best Practices für AI-Security, um das Fundament für Ihre AI-Sicherheitsarchitektur zu legen.
Was ist AI-SPM? [KI-Security-Posture-Management]
AI-SPM (AI Security Posture Management) ist eine neue und wichtige Komponente der Cybersicherheit in Unternehmen, die KI-Modelle, Pipelines, Daten und Dienste sichert.
Mehr lesen
90-Tage-Fahrplan für Agentic-AI-Security
Agentic AI in der Cybersicherheit erfolgreich zu implementieren erfordert einen schrittweisen Reifeprozess: Beginnen Sie mit Transparenz, ergänzen Sie anschließend Prävention und automatisieren Sie schließlich Kontrollen. Jede Phase baut auf der vorherigen auf, während menschliche Aufsicht erhalten bleibt.
Erste 30 Tage: Discovery und Lockdown
Inventarisieren Sie alle AI-Agents, die APIs, die diese aufrufen, und die Daten, auf die sie zugreifen.
Wenden Sie das Least-Privilege-Prinzip auf jede Agent-Identität an.
Ersetzen Sie statische Zugangsdaten durch kurzlebige Tokens (AWS STS, Azure Managed Identities, GCP Workload Identity).
Aktivieren Sie detailliertes Logging und Telemetrie für jede Agent-Aktion und Cloud-API-Aufrufe.
Damit schalten Sie Transparenz in Ihrer AI-Posture frei und etablieren eine Baseline für „normales" Verhalten mit starken Zugriffskontrollen.
Erste 60 Tage: Guardrails in Aktion
Wenden Sie ein einheitliches Richtlinien-Framework an, um Admission-Controls sowohl in CI/CD-Pipelines als auch in Kubernetes-Clustern durchzusetzen. Das reduziert Drift und blockiert Fehlkonfigurationen, bevor sie die Runtime erreichen.
Fügen Sie Human-in-the-Loop-Freigaben für destruktive Aktionen hinzu, z. B. Firewall-Änderungen oder Datenbank-Löschungen.
Erweitern Sie Sicherheitskontrollen, die unsichere Operationen verhindern, statt nur auf Erkennung zu setzen.
Dokumentieren Sie kurzlebige Workloads, bevor sie verschwinden.
Durch diese Maßnahmen hindern Sie kompromittierte oder fehlkonfigurierte Agents daran, High-Impact-Änderungen auszuführen – und bleiben agil.
Erste 90 Tage: Automatisieren und vorbereiten
Pilotieren Sie eine AI-SPM-Funktion, die Agent-Identitäten, Datensensibilität und externe Angriffsfläche korreliert, um agentische Angriffspfade sichtbar zu machen und priorisiert zu beheben.
Erstellen Sie Incident-Response-Playbooks für Agentic AI, die Credential Revocation, Memory- Resets und die Eindämmung kompromittierter Endpunkte abdecken.
Erweitern Sie Sicherheitskontrollen, um sie mit den OWASP Top 10 für LLM-Anwendungen und dem CSA MAESTRO Agentic AI Framework abzugleichen.
Investieren Sie in organisatorische Bereitschaft und teamübergreifende Zusammenarbeit.
Am Ende dieser Phase sollten sich Ihre Verteidigungsmechanismen gemeinsam mit Ihren Agents weiterentwickeln – damit Sicherheit mit Autonomie und Skalierung Schritt hält.
AI Security Sample Assessment
In this Sample Assessment Report, you’ll get a peek behind the curtain to see what an AI Security Assessment should look like.
Wie Wiz Agentic-AI-Workloads über den gesamten Cloud-Stack absichert
Wiz AI-SPM liefert Agentic-AI-Security durch zwei Kernfunktionen:
Agentless-Transparenz erfasst Ihre gesamte AI-Umgebung ohne Overhead. Sie erhalten ein umfassendes Inventar von AI-Workloads, Trainingsdaten und Model-Abhängigkeiten.
Angriffspfad-Analyse, gestützt durch den Wiz Security Graph, verbindet Berechtigungen, Services und Exponierungen, um riskante Kombinationen hervorzuheben, die ausnutzbare Risiken schaffen.
So arbeiten diese Funktionen zusammen: Angenommen, Agentless-Transparenz katalogisiert einen Agent mit Cloud-Admin-Berechtigungen und Zugriff auf sensible Kundendaten über eine öffentlich exponierte API. Der Security-Graph deckt diesen Angriffspfad sofort auf und priorisiert ihn für die Behebung.
Wiz verfolgt Ihre Agents kontinuierlich, während sie lernen und skalieren. Wiz erkennt Configuration-Drift über Cloud-APIs und anomales Workload-Verhalten mit einem leichtgewichtigen eBPF-basierten Runtime-Sensor.
Bereit, Agentic AI in realen Umgebungen abzusichern? Sehen Sie einen Live-Angriffspfad vom Agent bis zu den Daten – und wie Sie ihn mit graphbasierten Schutzmechanismen durchbrechen.
