AI Agent Security: Agent Identity Gaps, Rogue Agents, and SOC Automation in 2026
RSAC 2026 hatte eine klare Botschaft aus jedem wichtigen Security-Track: Die Identität von AI Agents ist das Sicherheitsthema des Jahres. Die rasante Bereitstellung von AI Agents in Unternehmen hat die Sicherheitsprogramme überholt, die sie schützen sollten. Das Ergebnis ist eine wachsende Lücke – und eine neue Angriffsfläche, auf die die meisten Organisationen nicht vorbereitet sind.
Die Salt Security-Forschung „1H 2026 State of AI and API Security", für die 327 Security-Experten aus den Bereichen Technologie, Finanzdienstleistungen, Gesundheitswesen und Fertigung befragt wurden, ergab: AI Agents überholen die Sicherheitsprogramme. Das ist die duale Realität von Agentic AI: Diese Systeme sind gleichzeitig die leistungsfähigsten Sicherheitstools, die Unternehmen je eingesetzt haben, und das bedeutendste neue Sicherheitsrisiko, dem sie gegenüberstehen.
Die wachsende Lücke
Die Geschwindigkeit der AI Agent-Bereitstellung im Vergleich zur Entwicklung von Sicherheitsprogrammen hat eine Lücke geschaffen. Organisationen setzen Agents in Produktions-Workflows schneller ein, als sie die Sicherheitskontrollen entwickeln, um diese Agents zu steuern.
Die Lücke ist nicht hypothetisch. Die Keynotes auf der RSAC 2026 haben sie explizit formuliert: Die Angriffsfläche eines Unternehmens, das AI Agents ohne angemessene Identitäts-, Credential- und Verhaltenskontrollen eingesetzt hat, ist erheblich größer als dieselbe Organisation vor dem Einsatz dieser Agents.
Ergebnisse von Salt Security aus der Befragung der 327 Experten: Organisationen, die AI Agents in der Produktion eingesetzt haben, erleben Sicherheitsvorfälle im Zusammenhang mit diesen Agents in einem Ausmaß, das mit der Bereitstellungsgeschwindigkeit korreliert, die die Sicherheitsbereitschaft übersteigt. Je schneller das Deployment, desto höher die Vorfallsrate.
Die Kategorien von Vorfällen: nicht autorisierte Aktionen von Agents, die außerhalb der vorgesehenen Parameter operieren; Credential-Kompromittierung durch Agent-to-Agent-Kommunikationskanäle; Datenlecks durch Agents mit zu breitem Datenzugriff; und Prompt Injection durch bösartige Eingaben in agentic Workflows.
AI Agents als Sicherheits-Assets
Vor dem Risiko-Inventar: AI Agents sind auch leistungsstarke Sicherheitstools. Die duale Realität ist wichtig.
Agentic Detection Agents können Verhaltensdaten über Unternehmenssysteme hinweg analysieren, auf Weise, die statische regelbasierte Systeme nicht können. Ein Agent, der Zugriffsmuster, API-Call-Graphen und Benutzerverhalten überwacht, kann Anomalien aufdecken, deren Identifikation einen menschlichen Analysten Stunden kosten würde – in Echtzeit, über Millionen von Events hinweg.
SOC-Automatisierung mit AI Agents reduziert den operativen Aufwand der Sicherheitsüberwachung. Die menschliche Analystenzeit, die für Pattern Matching und erste Triage aufgewendet wurde, kann auf Investigation und Response umgeleitet werden. Das Ergebnis ist schnellere Erkennung und Reaktion, wobei menschliche Expertise dort eingesetzt wird, wo sie den größten Mehrwert liefert.
Die Salt Agentic Security Platform, als erste agentic Security Platform für AI-Stacks, die LLMs, MCP-Server und APIs umspannen, zeigt, dass der Markt beginnt, AI Agents als legitimen Sicherheitsbereich zu behandeln, der dedizierte Tools erfordert. Die Existenz einer agentic Security Platform signalisiert, dass die Security-Community Agentic AI als eigenständige Bedrohungsfläche anerkennt.
AI Agents als Sicherheitsrisiken
Die Kehrseite: AI Agents bringen Risiken mit sich, für die traditionelle Sicherheitskontrollen nicht konzipiert wurden.
Erhöhtes Identitätsrisiko: Agents operieren mit delegierten Credentials, oft mit breiterem Zugriff als ein Mensch für dieselbe Aufgabe benötigen würde. Wenn ein Agent kompromittiert wird, ist der Blast Radius größer.
Agent-to-Agent-Delegation ohne standardisiertes Identitätsmanagement: Wenn ein Agent eine Aufgabe an einen anderen Agent delegiert, gibt es kein standardisiertes Identitätsframework als Äquivalent zu OAuth für mensch-zu-Anwendung-Authentifizierung. Der empfangende Agent hat oft keine zuverlässige Möglichkeit, die Identität und Autorität des delegierenden Agents zu verifizieren.
Schwache Secrets, die von autonomen Agents geerbt werden: Agents werden häufig mit API-Schlüsseln, Service-Accounts und Credentials bereitgestellt, die nicht für autonomen Betrieb konzipiert wurden. Diese Credentials unterliegen nicht derselben Rotationsdisziplin wie menschlich zugegriffene Systeme. Veraltete Credentials mit breitem Zugriff sind eine bedeutende Risikofläche.
Ghost Agents nach Pilotprogrammen: Organisationen, die AI Agent-Piloten durchgeführt und die Agents oder deren Credentials dann nicht formal außer Betrieb genommen haben, betreiben Agents in der Produktion, die nie einen Sicherheitsreview durchlaufen haben. Diese Ghost Agents repräsentieren eine ungepflegte Angriffsfläche.
Das Identity-Gap-Problem
NIST arbeitet an einem Konzeptpapier für Software- und AI Agent-Identitätsstandards. Das ist die Anerkennung der Security-Community, dass der aktuelle Zustand – in dem Agents ohne standardisierte Identitätsverifizierung operieren – nicht nachhaltig ist.
Das Kernproblem: Es gibt kein OAuth-Äquivalent für AI Agents. OAuth löst das Problem, begrenzten Zugriff auf Ressourcen zu gewähren, ohne Credentials zu teilen. Dies geschieht durch ein standardisiertes Protokoll, das Anwendungen und Benutzer verstehen und das geprüft und widerrufen werden kann.
AI Agents operieren derzeit in einer Welt, in der Credential-Delegation durch ad hoc-Mechanismen geschieht. Ein Agent, der auf ein System zugreifen muss, präsentiert ein Credential – einen API-Schlüssel, einen Service-Account – das für Machine-to-Machine-Zugriff ausgestellt wurde, nicht für einen autonomen Agent, der mit delegierter Autorität operiert.
Die Implikationen: Ein Agent kann still kompromittiert werden und unbemerkt operieren, weil das Credential, das er verwendet, nie daran gebunden war, einen spezifischen autorisierten Akteur zu identifizieren. Das System, das das Credential empfängt, hat keine Möglichkeit zu unterscheiden, ob der Agent, für den es ausgestellt wurde, oder ein anderes System, das dasselbe Credential erhalten hat, darauf zugreift.
Credential-Rotation-Anforderungen: Agents brauchen Credentials, die rotiert, widerrufen und geprüft werden können – auf die gleiche Weise wie bei menschlich zugegriffenen Systemen. Dies erfordert Agent-Identitätsframeworks, die derzeit noch nicht als Standards existieren.
Rogue Agent Detection
Ein Rogue Agent ist ein Agent, der außerhalb seiner definierten Verhaltensbasislinie operiert. Dies ist etwas anderes als ein fehlfunktionierender Agent – ein Rogue Agent kann korrekt funktionieren, aber außerhalb der Parameter, für die er autorisiert wurde.
Wie Rogue-Verhalten aussieht: ein Agent, dem Zugriff auf eine Kundendatenbank gewährt wurde und beginnt, Datensätze über seinen autorisierten Umfang hinaus zu extrahieren. Ein Agent, der beginnt, Dateien zu modifizieren, die er nur lesen durfte. Ein Agent, der anfängt, Aufgaben ohne Autorisierung vom Orchestrator an andere Agents zu delegieren.
ISACAs Analyse „Agentic AI Evolution and the Security Claw": Die Security-Community entwickelt Erkennungsmechanismen für Rogue-Agent-Verhalten, aber die Baseline-Monitoring-Anforderungen sind in den meisten Unternehmen noch nicht standardisiert.
SOC-Implikationen: Die Erkennung von Rogue Agents erfordert Behavioral Baselining – Verstehen, was der Agent tun soll, Überwachung auf Abweichungen, Auslösen von Alerts oder Interventionen, wenn Abweichungen auftreten. Dies ist komplexer als die Überwachung menschlichen Benutzerverhaltens, weil das „normale" Verhalten des Agents autonomes Entscheiden umfasst, das von Natur aus variabel ist.
Wie agentic Detection Agents Rogue-Verhalten verfolgen: Ein sekundärer Agent – oder ein dediziertes Erkennungssystem – überwacht die Aktionen des primären Agents gegen seine definierte Verhaltensbasislinie. Abweichungen lösen Alerts aus. Die SOC-Automatisierungslücke besteht darin, Agent-Verhaltensabweichungen mit Sicherheitsvorfällen zu korrelieren und entsprechende Reaktionen zu routen.
Die SOC-Automatisierungs-Herausforderung
SOC-Automatisierung für agentic AI erfordert das Schließen von Lücken, die in traditionellen Sicherheitsoperationen nicht existierten:
Agent Behavioral Baseline Monitoring: Kontinuierliche Überwachung von Agent-Aktionen gegen definierte Verhaltensparameter. Dies erfordert Tools, die die meisten aktuellen SOC-Plattformen nicht nativ bereitstellen.
Agent-to-Agent Communication Monitoring: Verfolgung der Delegationsketten zwischen Agents, um unautorisierte Delegation oder Credential-Missbrauch zu identifizieren.
Identitätsverifizierung für Agent-Aktionen: Verknüpfung von Agent-Aktionen mit verifizierter Identität und Autorisierung. Erfordert derzeit in den meisten Umgebungen eine individuelle Implementierung.
Die SOC-Automatisierungslücken, die von Plattformen wie der Salt Agentic Security Platform geschlossen und gemessen werden, repräsentieren den Markt, der beginnt, diese Anforderungen zu adressieren. Die Lücken sind real und wachsen, während Agent-Deployments skalieren.
Das Security Foundation Framework
Fünf konkrete Empfehlungen für Security-Verantwortliche:
Bestehende Agent-Deployments prüfen: Jeden AI Agent in der Produktion erfassen, die Systeme, auf die er zugreift, die Credentials, die er hält, und die menschlichen Owner, die für sein Verhalten verantwortlich sind. Die meisten Organisationen werden Ghost Agents finden, die sie nicht kannten.
Credential-Rotation für Agents etablieren: Credentials, die an Agents ausgegeben werden, müssen Rotationsrichtlinien unterliegen. API-Schlüssel und Service-Accounts, die von Agents verwendet werden, sollten auf definierten Zeitplänen mit automatisierter Durchsetzung rotieren.
Verhaltensbaselines für jeden Agent definieren: Für jeden Agent in der Produktion dokumentieren, wie autorisiertes Verhalten aussieht. Monitoring implementieren, das Alerts auslöst, wenn der Agent außerhalb dieser Baseline operiert.
Agent-to-Agent-Authentifizierung implementieren: Bis Standards existieren, Authentifizierungsmechanismen für Agent-Delegation implementieren. Ein Agent, der an einen anderen delegiert, sollte Identität und Autorität verifizieren, bevor er die delegierte Aufgabe ausführt.
Agentic Security Platforms evaluieren: Die Salt Agentic Security Platform und aufkommende Alternativen adressieren die spezifischen Monitoring- und Erkennungsanforderungen für agentic AI-Stacks. Evaluiere diese als Teil deiner Security-Roadmap.
Was Security-Teams jetzt tun sollten
Sofortmaßnahmen:
Ein Agent-Inventar durchführen: Jeden AI Agent in deiner Produktionsumgebung finden, einschließlich Pilotprogramme, die möglicherweise nicht formal in den operativen Status überführt wurden. Dokumentieren, auf was jeder Agent zugreift und welche Credentials er hält.
Credential-Exposure kartieren: Für jeden Agent die verwendeten Credentials identifizieren und bewerten, ob diese Credentials Rotations-, Monitoring- und Widerrufs-Kontrollen unterliegen.
Verhaltensbaselines definieren: Mit den Teams, die jeden Agent besitzen, definieren, wie autorisiertes Verhalten aussieht. Diese Baselines sind das Fundament für Rogue Agent Detection.
SOC-Playbooks für agentic Vorfälle überprüfen: Bestehende Incident-Response-Playbooks berücksichtigen keine agent-spezifischen Szenarien. Playbooks für Agent-Kompromittierung, Credential-Missbrauch, unautorisierte Delegation und Verhaltensabweichung entwickeln.
Die Organisationen, die AI Agents am schnellsten eingesetzt haben, entdecken jetzt als erste die Sicherheitsimplikationen. Der Rest hat die Gelegenheit, Sicherheitsfundamente zu bauen, bevor die Angriffsfläche weiter wächst.
Buch dir einen kostenlosen 15-Minuten-Call: https://calendly.com/agentcorps
Verwandt: Multi-Agent AI Systems · AI Agent Observability · AI Agent ROI