Die Agentic Enterprise absichern — Agent Behavior Analytics, OWASP Top 10 und der AI Insider Threat
KI-Agenten-Sicherheit: Warum herkömmliche Tools an ihre Grenzen stoßen
Exabeam April 2026: Unternehmen tun sich schwer damit, normales KI-Agentenverhalten als Baseline zu definieren, möglichen Missbrauch zu untersuchen und neue agentenbasierte Insider-Bedrohungen zu erkennen. ChannelInsider: Exabeam hat Agent Behavior Analytics auf ChatGPT, Copilot und Gemini ausgeweitet. Unternehmen erhalten damit Einblick in KI-Agentenaktivitäten über alle großen KI-Plattformen hinweg. Business Wire: Exabeam überwacht Agentenverhalten anhand der OWASP Top 10 for Agentic AI — mit Fokus auf Prompt Manipulation, übermäßige Privilegien, unsichere Tool-Nutzung und Model Misuse.
Das Problem ist struktureller Natur. Traditionelle Sicherheitstools wurden nicht für KI-Agenten entwickelt, die im Auftrag von Benutzern handeln. Ein menschlicher Benutzer mit Zugriff auf dein CRM sieht aus wie eine Person. Ein KI-Agent mit Zugriff auf dein CRM sieht aus wie eine API. Traditionelle UEBA weiß nicht, wie normales KI-Agentenverhalten aussieht — weil die Kategorie tatsächlich völlig neu ist.
Warum KI-Agenten eine neue Angriffsfläche schaffen
KI-Agenten unterscheiden sich in securityrelevanten Punkten von menschlichen Benutzern.
Maschinengeschwindigkeit: Ein KI-Agent kann Tausende Entscheidungen pro Tag treffen. Ein Mensch trifft Dutzende. Volumen und Geschwindigkeit von Agentenaktionen erzeugen eine Angriffsfläche, für die auf Menschen ausgerichtete Sicherheitstools nicht konzipiert sind.
Credential-Proliferation: Ein Benutzer autorisiert einen Agenten. Der Agent agiert dann mit den vollständigen Zugriffsrechten dieses Benutzers. Wenn ein Benutzer an einen Agenten delegiert, erbt der Agent alle Berechtigungen des Benutzers — ohne zusätzliche Prüfung.
Prompt Manipulation: Ein KI-Agent kann durch Inputs auf Weisen manipuliert werden, die nicht wie traditionelle Credential-Kompromittierung aussehen. Ein Angreifer verbirgt bösartige Anweisungen in Daten, die der Agent verarbeitet. Der Agent folgt Anweisungen, die wie legitime Befehle aussehen. Das Sicherheitssystem sieht gültige Credentials und plausible Anweisungen. Es sieht den Angriff nicht.
Autonomie: Der Agent handelt, ohne dass der Benutzer jede Aktion überwacht. Ein menschlicher Benutzer, der seine eigenen Aktivitäten überprüft, fällt Anomalien auf. Ein Agent, der autonom zwischen Check-ins läuft, kann erheblichen Schaden anrichten, bevor jemand etwas bemerkt.
Die agentenbasierte Insider-Bedrohung ist der Punkt, an dem dies am gravierendsten wird. Traditionelle Insider-Bedrohungen sind menschliche Mitarbeiter, die ihren Zugriff missbrauchen. Agentenbasierte Insider-Bedrohungen sind KI-Agenten, die ihren Zugriff missbrauchen — entweder weil sie manipuliert wurden oder weil sie von Anfang an übermäßige Privilegien hatten. Exabeam: KI-Agenten verschieben diese Grenzen noch weiter. Der Agent hat reale Privilegien und kann Daten exfiltrieren, Zugriff eskalieren oder Aktionen durchführen, die der menschliche Benutzer nie autorisiert hätte.
Die OWASP Agentic Top 10 — Das Bedrohungs-Framework
Business Wire: Exabeam überwacht Agentenverhalten anhand der OWASP Top 10 for Agentic AI. Das Framework bietet eine strukturierte Bedrohungs-Taxonomie, gegen die Sicherheitsteams auditen können.
Die vier Bedrohungskategorien, die für Enterprise-Deployments am relevantesten sind:
Prompt Manipulation: Ein Angreifer verbirgt bösartige Anweisungen in Daten, die der Agent verarbeitet — einer E-Mail, einem Dokument, einem Datenbankeintrag. Der Agent interpretiert diese Anweisungen als legitime Befehle. Das System sieht gültige Credentials und plausible Anweisungen. Der Angriff gelingt, weil der Agent manipuliert wurde — nicht weil Credentials gestohlen wurden.
Excessive Privileges: Dem Agenten wurde mehr Zugriff gegeben, als er braucht. Missbrauch dieses Zugriffs bleibt unentdeckt, weil der Agent innerhalb seiner gewährten Berechtigungen agiert. Das Sicherheitssystem sieht autorisierten Zugriff. Es sieht nicht, dass der Zugriff unnötig und daher riskant war.
Insecure Tool Usage: Der Agent ruft Tools auf Weisen auf, die Daten exponieren oder Schwachstellen erzeugen. Der Agent hat eine legitime Funktion. Er nutzt diese Funktion auf eine Weise, die ein Sicherheitsloch erzeugt. Der Tool-Aufruf sieht normal aus. Die Konsequenz nicht.
Model Misuse: Der Agent wird für Zwecke genutzt, für die er nicht konzipiert wurde. Das ist sowohl eine externe Bedrohung — ein Angreifer nutzt den Agenten für unbeabsichtigte Ziele — als auch ein internes Governance-Versagen.
So sehen die einzelnen Bedrohungen in der Praxis aus: Prompt Injection könnte ein Agent sein, der eine vergiftete E-Mail liest und halluziniert, dass er alle Kundendaten an eine externe Adresse weiterleiten soll. Privilege Escalation könnte ein Agent mit CRM-Lesezugriff sein, der diesen Zugriff nutzt, um Kontaktdaten zu exportieren, die er nie exportieren durfte. Data Exfiltration könnte ein Agent mit E-Mail-Zugriff sein, der sensible Anhänge an einen nicht autorisierten Empfänger sendet. Tool Abuse könnte die Ausnutzung der Tool-Calling-Fähigkeit eines Agenten sein, um beliebigen Code auszuführen.
Was Agent Behavior Analytics tatsächlich leistet
Exabeam: Agent Behavior Analytics wendet Behavioral Modeling auf menschliche Benutzer und die KI-Agenten an, die in ihrem Auftrag handeln. So wie UEBA etabliert hat, was für menschliche Benutzer normal aussieht, etabliert ABA, was für KI-Agenten normal aussieht. Abweichungen vom normalen Verhalten lösen Alerts aus — unabhängig davon, ob der Agent gültige Credentials hat.
Was ABA erkennt, was traditionelle Tools nicht erkennen: Anomale Datenzugriffsmuster, wenn ein Agent auf Daten zugreift, auf die er normalerweise nicht zugreift; ungewöhnliche API-Call-Volumina, wenn ein Agent plötzlich Tausende Calls tätigt, obwohl er normalerweise Dutzende macht; uncharakteristische Aktionen, wenn ein Agent versucht, Operationen durchzuführen, die er noch nie versucht hat; und mandantenübergreifende Datenbewegungen, wenn ein Agent Daten zwischen Datenspeichern bewegt, die er nicht verbinden sollte.
Der sitzungsbasierte Analytics-Ansatz: Exabeam erkennt riskantes KI-Agentenverhalten mit sitzungsbasierten Analytics und First-Time-Activity-Insights. ABA verfolgt die vollständige Session eines Agenten — was er getan hat, in welcher Reihenfolge, mit welchem Kontext. First-Time-Aktivitäten werden zur Überprüfung markiert. Ein Agent, der plötzlich zum ersten Mal auf eine neue Datenquelle zugreift, löst einen Alert aus.
Das Baseline-Problem ist der schwierigste Teil. ChannelInsider: Unternehmen tun sich schwer damit, normales KI-Verhalten als Baseline zu definieren. ABA löst das: Ohne zu wissen, was normal aussieht, kann man keine Anomalien erkennen. Das Aufbauen der Baseline erfordert die Beobachtung von Agentenverhalten über Zeit — das bedeutet, ABA-Deployment ist nicht sofort wirksam. Es erfordert eine Lernphase, bevor es effektiv wird.
Warum ChatGPT, Copilot und Gemini der Ausgangspunkt sind
ChannelInsider: Exabeam hat ABA auf ChatGPT, Copilot und Gemini ausgeweitet und ermöglicht damit Visibility und Anomaly Detection für Enterprise-KI-Agentenaktivitäten über alle drei großen Plattformen hinweg.
Die Enterprise-KI-Realität: Die meisten Unternehmen haben ChatGPT über OpenAI deployed oder sind dabei, Microsoft Copilot in der Microsoft-365-Suite und Google Gemini in Google Workspace. Jede dieser Plattformen hat Agenten, die im Auftrag von Benutzern im Unternehmen agieren. Jede erzeugt Activity Logs, die traditionelle Sicherheitstools nicht verstehen.
Was Exabeams Erweiterung abdeckt: Visibility, Anomaly Detection und Security für Enterprise-KI-Agentenaktivitäten über alle drei Plattformen. Unternehmen können jetzt unifizierte Behavioral Visibility haben — unabhängig davon, auf welcher KI-Plattform ihre Agenten laufen.
Warum das für Sicherheitsteams relevant ist: Ohne ABA-Abdeckung über diese Plattformen hinweg haben Sicherheitsteams keinen Einblick in das, was KI-Agenten in ihrer Umgebung tun. Damit haben Sicherheitsteams die Möglichkeit zu erkennen, wann ein KI-Agent — unabhängig von der Plattform — anfängt, sich anomal zu verhalten.
Der KI-Agenten-Sicherheits-Stack — Was Unternehmen brauchen
Ein Fünf-Schichten-Framework für KI-Agenten-Sicherheit:
Schicht 1 — Identity and Access Management: Welche Agenten haben Zugriff auf welche Systeme; was ist das Least-Privilege-Prinzip für Agenten; welche Menschen haben welche Agentenaktionen autorisiert; und welche Agentenaktionen erfordern menschliche Autorisierung.
Schicht 2 — Agent Behavior Analytics: Wie sieht normales Agentenverhalten aus; wann agiert der Agent außerhalb seiner Baseline; welche First-Time-Aktivitäten sollten markiert werden; und wie erkennt sitzungsbasiertes Analytics anomales Agentenverhalten.
Schicht 3 — OWASP Agentic Top 10 Threat Intelligence: Werden Agenten durch Prompt Injection angegriffen; versuchen Agenten Privilege Escalation; greifen Agenten auf Daten außerhalb ihrer Autorisierung zu; und wie bietet die Überwachung anhand der OWASP Top 10 messbare Coverage dieser Bedrohungen.
Schicht 4 — Audit Logging und Forensik: Was hat jeder Agent getan, wann und mit welchem Kontext; wer hat jede Agentenaktion autorisiert; und auf welche Daten hat jeder Agent zugegriffen.
Schicht 5 — Governance und Policy: Was dürfen Agenten tun; auf welche Daten dürfen Agenten zugreifen; und was passiert, wenn ein Agent sich anomal verhält.
Die CISO-Aktionspunkte in der richtigen Reihenfolge: Führe ein Agenten-Inventar durch — die meisten Unternehmen wissen nicht, wie viele KI-Agenten in ihrer Umgebung aktiv sind. Etabliere Behavioral Baselines — wie sieht normales Agentenverhalten aus. Deploye ABA — implementiere Behavioral Monitoring für Agenten. Passe an die OWASP Top 10 an — audite gegen die Bedrohungskategorien. Integriere in die bestehende SOC — Agenten-Sicherheitsereignisse sollten in das Security Operations Center fließen, zusammen mit anderen Security Alerts.
Wenn dein Sicherheitsteam nicht weiß, wie normales KI-Agentenverhalten in deiner Umgebung aussieht, hast du keine KI-Agenten-Sicherheit. Starte mit dem Agenten-Inventar.