Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
Agentic AI: Risiken und Governance | SECURAM
Agentic AI: KI-Agenten handeln autonom – Risiken und Governance für Unternehmen

Agentic AI: Wenn KI-Systeme eigenständig handeln

Florian Priegnitz, Information Security Consultant, SECURAM Consulting GmbH · 4. Dezember 2025

Agentische KI-Systeme führen Aufgaben nicht mehr nur aus, wenn sie gefragt werden. Sie planen, handeln und korrigieren sich eigenständig. Für IT-Sicherheitsverantwortliche verschiebt das die Risikolandschaft grundlegend.

Was Agentic AI von herkömmlicher KI unterscheidet

Der Begriff „Agentic AI" beschreibt KI-Systeme, die über reine Text- oder Bildgenerierung hinausgehen. Ein agentisches System nimmt ein Ziel entgegen, zerlegt es in Teilaufgaben, führt diese eigenständig aus und passt seinen Kurs an, wenn Hindernisse auftreten. Die drei Kernmerkmale sind: Autonomie (eigenständige Entscheidungen), Werkzeugnutzung (Zugriff auf externe Systeme und APIs) und Persistenz (Aufgaben über längere Zeiträume hinweg verfolgen).

Der Unterschied zu einem Chatbot ist strukturell. Ein Chatbot reagiert auf eine Eingabe und liefert eine Antwort. Der Interaktionszyklus ist damit abgeschlossen. Ein agentisches System hingegen öffnet einen Handlungszyklus: Es liest E-Mails, recherchiert im Web, erstellt Dokumente, verschickt Nachrichten und bucht Termine, ohne dass der Nutzer jeden Einzelschritt autorisiert. Freilich verschiebt sich damit auch die Verantwortung: von reaktiver zu proaktiver KI, die eigenständig Entscheidungsketten auslöst.

Zwei Architekturmodelle im Vergleich

Die aktuelle Marktentwicklung zeigt zwei grundsätzlich verschiedene Ansätze für agentische Systeme:

Lokale Agenten vs. Cloud-Agenten Update vom 18.03.2026

Lokale Agenten: Das OpenClaw-Modell

OpenClaw ist der prominenteste Vertreter lokaler KI-Agenten. Das Open-Source-Projekt läuft auf dem Rechner des Nutzers und greift direkt auf Dateisystem, Shell, Browser und Messaging-Dienste zu.

  • Vorteil: Vollständige Kontrolle über Daten und Ausführungsumgebung
  • Nachteil: Die Sicherheitsverantwortung liegt vollständig beim Nutzer
  • Verbreitung: Über 236.000 GitHub Stars (Stand: März 2026), mehr als 135.000 im Internet exponierte Instanzen (Oasis Security, Februar 2026)

Cloud-Agenten: Das Perplexity-Computer-Modell

Perplexity Computer verfolgt den entgegengesetzten Ansatz. Jede Aufgabe läuft in einer isolierten Cloud-Sandbox, ohne lokalen Systemzugriff. Die Multi-Modell-Orchestrierung (19 spezialisierte Modelle) und App-Konnektoren (Gmail, Slack, GitHub, Salesforce u.a.) ermöglichen breite Handlungsfähigkeit bei kontrollierter Ausführungsumgebung.

  • Risikoschwerpunkte: Konnektor-Security, Mandantentrennung, Cloud-Account-Sicherheit
  • Kein lokaler Systemzugriff, aber weitreichende Konnektivität zu Unternehmensdaten

Was beide Modelle verbindet

Unabhängig vom Deployment-Modell teilen alle agentischen Systeme ein Kernrisiko: Sie erweitern die Angriffs- und Compliance-Fläche proportional zu ihrer Autonomie. Der Blast Radius eines kompromittierten agentischen Systems ist erheblich größer als der eines kompromittierten Chatbots.

Fünf Risikokategorien agentischer Systeme

1. Unkontrollierter Systemzugriff

Agenten benötigen weitreichende Berechtigungen, um nützlich zu sein. Ohne granulares Scoping können sie auf Daten zugreifen, die für die jeweilige Aufgabe nicht relevant sind. Das Prinzip der minimalen Rechte (Least Privilege) wird bei agentischen Systemen zur Pflicht.

2. Prompt Injection und Manipulation

Agentische Systeme verarbeiten Inhalte aus externen Quellen (E-Mails, Webseiten, Dokumente). Ein Angreifer kann schädliche Anweisungen in diese Inhalte einbetten, die der Agent als legitime Instruktionen interpretiert. Diese „Indirect Prompt Injection" ist bei autonomen Systemen besonders gefährlich, weil der Nutzer die Ausführung nicht in Echtzeit überwacht.

3. Datenabfluss und Schatten-KI

Agenten, die eigenständig auf Cloud-Dienste zugreifen, können sensible Unternehmensdaten in Umgebungen übertragen, die nicht vom Unternehmen kontrolliert werden. Die Kombination aus agentenbasiertem Zugriff und fehlender Sichtbarkeit erzeugt eine neue Dimension von Schatten-KI.

4. Scraping und Anti-Bot-Bypass

Die jüngste Debatte um Scrapling, ein Tool, das Cloudflare-Turnstile-Captchas automatisiert löst, zeigt, wie agentische Systeme als Multiplikator für Web-Scraping wirken. Die Kombination aus autonomer Orchestrierung und Anti-Bot-Umgehung senkt die Eintritts­hürden für massenhaftes, schwer detektierbares Crawling. Daraus folgen absehbar Konflikte um Terms of Service, Datenbankrechte und DSGVO.

5. Compliance-Lücken durch Geschwindigkeit

Agentische Systeme verbreiten sich schneller als Governance-Zyklen. Der EU AI Act (Art. 50) verlangt ab August 2026 eine vollständige Inventarisierung eingesetzter KI-Systeme. Zumal sich agentische KI nur schwer nachträglich erfassen lässt, riskieren Unternehmen ohne frühzeitige Kontrolle Haftungsfolgen – sowohl regulatorisch als auch zivilrechtlich.

„Die größte Bedrohung durch Agentic AI ist nicht die Technologie selbst. Es ist die Governance-Lücke zwischen dem, was möglich ist, und dem, was kontrolliert wird."

Nadine Eibel, CEO SECURAM Consulting GmbH

Governance-Framework für agentische KI

Unternehmen, die agentische Systeme produktiv nutzen wollen, benötigen ein strukturiertes Governance-Framework. Die gute Nachricht: Die methodischen Grundlagen existieren bereits. In der Beratungspraxis zeigt sich, dass Organisationen mit einem bestehenden ISMS die Integration agentischer Systeme deutlich schneller umsetzen als Unternehmen ohne etablierte Sicherheitsprozesse.

  1. Inventarisierung und Klassifikation: Jedes agentische System – ob lokal oder cloudbasiert – muss in ein KI-Inventar aufgenommen und nach Risikoklasse klassifiziert werden. Ein AIMS nach ISO 42001 liefert den methodischen Rahmen. Gleichwohl reicht eine einmalige Erfassung nicht aus: Agenten ändern sich schneller als klassische Software.
  2. Zugriffsmanagement: Agenten müssen denselben Zugriffskontrollprinzipien unterliegen wie menschliche Nutzer: Least Privilege, rollenbasierte Berechtigungen, regelmäßige Rezertifizierung. Zusätzlich brauchen sie Action-Approvals für kritische Operationen – ein Konzept, das OpenClaw inzwischen in seinen Release Notes v2026.2.25 als „Exec-Approval-Bindings" implementiert hat.
  3. Mehrschichtige Erkennung: Die Kombination aus CASB, DNS-Filterung, DLP und EDR bildet ein Erkennungsnetz, das sowohl lokale als auch cloudbasierte Agenten erfasst. Entscheidend ist die Korrelation der Signale.
  4. Kosten- und Aktionsgrenzen: Budget-Limits (wie bei Perplexity Computer) und Rate-Limits (wie bei OpenClaw v2026.2.25) sind nicht nur Kostenkontrollen, sondern Sicherheitskontrollen. Unkontrollierte Autonomie ist ein Risiko, das sich sowohl in Rechnungen als auch in Sicherheitsvorfällen manifestiert.
  5. Regelmäßige Neubewertung: Der KI-Agent-Markt bewegt sich in Wochen. Governance-Frameworks müssen indes agiler sein als klassische ISMS-Review-Zyklen. Quartalsweise Neubewertung der eingesetzten Systeme und ihrer Berechtigungen ist ein Minimum.

Autonomie braucht Architektur

Agentische KI ist keine Zukunftsmusik. OpenClaw, Perplexity Computer und zahlreiche weitere Systeme zeigen, dass KI-Agenten bereits heute auf Firmengeräten und in Cloud-Umgebungen laufen. Die Frage ist nicht, ob Unternehmen agentische KI nutzen werden, sondern ob sie es kontrolliert tun.

Die Antwort liegt in der Kombination aus bestehendem ISMS und spezifischer KI-Governance. Wer die Grundlagen der Informationssicherheit beherrscht – Risikoanalyse, Zugriffskontrolle, Monitoring – und sie auf agentische Systeme ausdehnt, ist besser vorbereitet als die Mehrheit. Denn die größte Bedrohung durch Agentic AI ist nicht die Technologie selbst. Es ist die Governance-Lücke zwischen dem, was möglich ist, und dem, was kontrolliert wird.

Quellen

Quellen zuletzt überprüft und überarbeitet am 18.03.2026.

  1. OpenClaw Release Notes v2026.2.25 und v2026.2.26 — github.com/openclaw
  2. Oasis Security: OpenClaw Exposure Report, Februar 2026 — PRNewswire
  3. Perplexity Help Center: Perplexity Computer — perplexity.ai (27.02.2026)
  4. WIRED: „The New Era of AI Agents" (25.02.2026) — wired.com
  5. Golem.de: Berichterstattung zu OpenClaw und Perplexity Computer (26./27.02.2026) — golem.de
  6. heise.de: KI-Agenten und Unternehmenseinsatz (26.02.2026) — heise.de

Weiterführend

KI-Governance nach ISO 42001
Agentische Systeme inventarisieren, klassifizieren und sicher betreiben. Methodischer Rahmen nach ISO 42001.
Mehr erfahren →
Schatten-KI erkennen und steuern
KI-Agenten auf Firmengeräten ohne IT-Wissen: Sichtbarkeit schaffen, Risiken minimieren.
Mehr erfahren →
EU AI Act: Compliance ab August 2026
Art. 50 verlangt vollständige KI-Inventarisierung. Wer agentische Systeme einsetzt, muss jetzt handeln.
Zur Beratung →
ISMS nach ISO 27001
Die Grundlage für sichere KI-Integration: Risikoanalyse, Zugriffskontrolle und Monitoring nach ISO 27001.
Mehr erfahren →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen
Verwandte Themen

Schatten-KI: Das unsichtbare Risiko in Ihrem Unternehmen

KI-Governance beginnt dort, wo Kontrolle aufhört. Diese zwei Seiten zeigen, warum Schatten-KI jedes AIMS-Projekt betrifft.

Hub-Seite

Schatten-KI

80 % der Beschäftigten nutzen KI-Tools ohne Genehmigung. Die Hub-Seite liefert den Überblick: Risiken, Erkennungsmethoden und ein praxisnahes Governance-Framework für den kontrollierten Umgang mit nicht genehmigten KI-Anwendungen.

80 % ungenehmigt
Aug 2026 EU AI Act Deadline
Zur Übersicht Schatten-KI Fallstudie

Was ist OpenClaw?

Ein österreichischer Entwickler baut in einer Stunde einen KI-Agenten. Vier Monate später ist OpenClaw das meistgesternde Projekt auf GitHub, mit 135.000 exponierten Instanzen im offenen Internet. Die Fallstudie zum größten Schatten-KI-Vorfall 2026.

265K GitHub Stars
135K+ exponiert
CVSS 8.8 CVE-Schwere
Zur Fallstudie OpenClaw