EU AI-Act legt die Grundlage

Wenn KI zur Macht im Hintergrund wird

KI-Macht
LinkedInRedditWhatsApp

Nachtschicht im Rechenzentrum, obwohl niemand Dienst hat: Am Morgen stellt ein Handelshaus fest, dass in mehreren Systemen Veränderungen vorgenommen wurden.

Ein externer Dienst hat neue Zugänge erhalten, Firewall-Regeln wurden angepasst, Tickets im ITSM-Tool sind abgearbeitet. Die Protokolle sind eindeutig und zeigen keinen einzigen menschlichen Login. Am Werk war ein KI-System, das Routineaufgaben automatisiert.

Anzeige

Solche Szenen gelten als Fortschritt: KI entlastet Teams, schließt Tickets schneller, stabilisiert Prozesse. Gleichzeitig entsteht eine Leerstelle. Während auf europäischer Ebene unter dem Dach des EU AI-Act über Transparenz, Erklärbarkeit und Risikoklassen verhandelt wird, stellt sich im Maschinenraum der IT eine sehr konkrete Frage: Wer steuert die Berechtigungen dieser Systeme und ab wann ist ein KI-Agent faktisch ein Super-User?

Regulierung regelt Verhalten – nicht Berechtigungen

Mit dem EU AI-Act legt die EU erstmals einen umfassenden Rechtsrahmen für KI vor. Er unterscheidet zwischen risikoarmen und hochriskanten Anwendungen, verbietet bestimmte Praktiken und formuliert strenge Anforderungen an KI in sensiblen Bereichen. Dokumentation, menschliche Aufsicht und angemessene Cybersicherheitsmaßnahmen gehören zu den Kernforderungen.

Für Unternehmen ist das ein wichtiger Orientierungsrahmen. Was der AI-Act jedoch nicht im Detail regelt, ist die operative Ebene der Berechtigungen: Über welche Konten, Schlüssel und Tokens eine KI agiert, welche Systeme sie erreichen darf und wer für diese Privilegien Verantwortung trägt.

Anzeige

Genau hier entscheidet sich, ob KI als kontrollierbarer Helfer auftritt oder als kaum durchschaubarer Super-User mit weitreichenden Rechten.

Aus Helfer wird Machtkonto

Wer KI in Geschäftsprozesse integriert, verfolgt zunächst ein klares Ziel: Entlastung und Effizienz. Ein Agent soll Passwörter zurücksetzen, Konfigurationen prüfen oder Wartungsjobs anstoßen. Damit das gelingt, erhält das System Zugriff auf weitgreifende Ressourcen – in der Regel über nicht-menschliche Identitäten wie Servicekonten oder API-Clients.

In Projekten werden diesen Konten oft großzügig Rechte eingeräumt. Man möchte „nichts blockieren“ und vergibt lieber etwas zu viel als zu wenig. Mit wachsendem Funktionsumfang kommen neue Aufgaben und Integrationen hinzu, ohne dass die ursprünglichen Berechtigungen grundlegend hinterfragt werden.

So entsteht schleichend eine Konstellation, in der wenige technische Identitäten breit, dauerhaft und systemübergreifend privilegiert sind. In Summe bilden sie Machtkonten, die nicht aus einer Person bestehen, sondern aus automatisierten Workflows und Modellen und deren Rechte nur noch wenige vollständig überblicken.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

KI als Identität behandeln statt als Ausnahmefall

Entscheidend ist ein nüchterner Blick: KI-Systeme sind keine mystischen Blackboxen, sondern hochprivilegierte Identitäten im bestehenden Rechte- und Rollenkonzept. Wer das ernst nimmt, behandelt sie wie andere sensible Konten auch. Es muss klar sein, welches Konto zu welchem System gehört, welche Aktionen darüber möglich sind und wer fachlich wie technisch die Verantwortung trägt. Ein Agent, der Passwörter zurücksetzt, muss nicht gleichzeitig produktive Daten verändern oder Berechtigungen in der Cloud-Infrastruktur anpassen können. Statt pauschaler Administratorrollen braucht es klare, funktionsbezogene Rollen, in die KI-Systeme eingeordnet werden – so wird aus dem diffusen Super-User ein Set nachvollziehbarer Identitäten.

Neben der Frage, was eine KI darf, ist wichtig, wie lange sie es darf. Dauerhaft privilegierte Konten sind ein lohnendes Ziel, für Fehler ebenso wie für Angreifer. Sinnvoller sind Just-in-Time-Zugriffe: Berechtigungen werden nur für die Dauer einer konkreten Aufgabe aktiviert und danach technisch wieder entzogen. Ein KI-Agent, der eine Wartungsroutine an einer Produktionsdatenbank ausführen soll, erhält nur für dieses Zeitfenster die nötigen Rechte, Zugangsdaten werden zentral verwaltet und im Anschluss rotiert.

Voraussetzung dafür ist eine ehrliche Inventur: Über welche Konten, Schlüssel und Tokens greifen KI-Systeme heute auf produktive Ressourcen zu, inklusive Integrationen über Plattformen oder Automatisierungstools? Erst wenn diese Landschaft sichtbar ist, lassen sich überhöhte Privilegien gezielt zurückschneiden, Rollen schärfen und zeitliche Begrenzungen einführen – beginnend bei offensichtlichen Super-User-Konstellationen etwa im Identity-Management oder bei zentralen Datenplattformen.

Der EU AI Act ist nicht der Sicherheitsarchitekt

Der EU AI-Act legt die Grundlage dafür, dass KI-Systeme in Europa nachvollziehbar, sicher und verantwortungsvoll eingesetzt werden. Die konkrete Ausgestaltung der Zugriffswege bleibt jedoch Aufgabe der Unternehmen.

Ob KI in der Praxis zu einem beherrschbaren Werkzeug oder zu einem schwer kontrollierbaren Super-User wird, entscheidet sich im Berechtigungsmodell: in der Art, wie Identitäten geführt, Rollen definiert und Privilegien verteilt sind. Wer KI-Systeme als das behandelt, was sie technisch sind – hochprivilegierte, nicht-menschliche Identitäten – und sie nach Prinzipien wie „Least Privilege“ und Just-in-Time-Zugriff steuert, verbindet regulatorische Vorgaben mit einer tragfähigen Sicherheitskultur im Alltag der IT-Abteilungen.


Andreas

Müller

Vice President Enterprise Sales Central and Eastern Europe

Delinea

Anzeige

Artikel zu diesem Thema

KI-Blase
27. Juni 2026
Keine Anzeichen für eine KI-Blase

Weitere Artikel

KI-Software – Unternehmen kämpfen mit fehlender Transparenz
KI am Telefon: Warum der Mittelstand bei der Sprachautomatisierung umdenken muss
Eigener Chatbot warnt: Google liest Gmail-Inhalte für KI mit
Vibe Coding: Der blinde Fleck der KI
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.