Thought Leadership
KI-Agenten entwickeln sich zur neuen Insider-Bedrohung für Unternehmen, warnt Wendi Whitmore, Chief Security Intelligence Officer bei Palo Alto Networks.
Autonome KI-Agenten stellen nach Einschätzung von Wendi Whitmore eine neue Form der Insider-Bedrohung dar. Die wachsende Selbstständigkeit dieser Systeme bringe CISOs und Sicherheitsteams unter erheblichen Druck, neue Technologien schnell einzuführen und gleichzeitig deren Sicherheit zu gewährleisten.
“Das hat dieses Konzept geschaffen, dass der KI-Agent selbst zur neuen Insider-Bedrohung wird”, erklärte Whitmore gegenüber The Register.
Massive Zunahme erwartet
Marktforscher Gartner rechnet damit, dass bis Jahresende 2026 etwa 40 Prozent der Enterprise-Anwendungen an aufgabenspezifische KI-Agenten angebunden sein werden. Zum Vergleich: 2025 lag dieser Anteil noch unter 5 Prozent. Whitmore spricht von einer ambivalenten Entwicklung.
Die Technologie könne durchaus helfen, den Mangel an Cybersecurity-Fachkräften abzufedern. KI-Agenten übernehmen bereits heute Aufgaben wie Code-Fehlerkorrektur, automatisierte Protokollauswertung oder das unmittelbare Abwehren von Bedrohungen.
“Wenn wir durch die Verteidigerbrille schauen, erlauben uns die agentischen Fähigkeiten, strategischer darüber nachzudenken, wie wir unsere Netzwerke verteidigen, anstatt immer in dieser reaktiven Situation gefangen zu sein”, so Whitmore.
Als Beispiel nennt sie einen SOC-Analysten bei Palo Alto Networks, der ein KI-basiertes Programm entwickelt hat. Dieses gleicht öffentlich bekannte Bedrohungen mit den eigenen Threat-Intelligence-Daten ab und analysiert die Widerstandsfähigkeit des Unternehmens.
Weitreichende Zugriffsrechte als Schwachstelle
Die Kehrseite: Je nach Einrichtung verfügen die Agenten über privilegierte Zugriffe auf sensible Bereiche. Whitmore beschreibt das “Superuser-Problem”: Autonome Systeme erhalten oft umfassende Berechtigungen und können dadurch unkontrolliert auf kritische Ressourcen zugreifen.
“Es wird genauso wichtig für uns sicherzustellen, dass wir nur das Minimum an Privilegien vergeben, das für die Erledigung einer Aufgabe nötig ist – genau wie wir es bei Menschen tun würden”, betonte Whitmore.
Risiko durch automatisierte Entscheidungen
Ein weiteres Szenario, das Whitmore als “Doppelgänger-Konzept” bezeichnet, betrifft KI-Agenten, die zunehmend Geschäftsentscheidungen treffen könnten, die bisher Führungskräften vorbehalten waren – etwa die Freigabe von Zahlungen oder Vertragsunterzeichnungen.
Ein kompromittierter Agent könnte ungewollte Überweisungen auslösen. Bei M&A-Vorgängen bestehe die Gefahr manipulierter Modelle, die den Agenten zu schädlichem Handeln veranlassen.
Laut den 2026-Vorhersagen von Palo Alto Networks können Angreifer mit “einer einzelnen, gut formulierten Prompt-Injection oder durch Ausnutzung einer Tool-Misuse-Schwachstelle” einen “autonomen Insider unter ihrem Kommando” schaffen, der heimlich Transaktionen ausführt, Backups löscht oder komplette Kundendatenbanken exfiltriert.
Keine Lösung für Prompt-Injection
Das Thema Prompt-Injection bleibt ungelöst. Forscher haben die Verwundbarkeit mehrfach nachgewiesen. “Es wird wahrscheinlich deutlich schlimmer werden, bevor es besser wird”, prognostiziert Whitmore zur Prompt-Injection. “Ich glaube einfach nicht, dass wir diese Systeme ausreichend abgesichert haben.”
Die Innovation bei KI-Modellen verlaufe deutlich schneller als die Integration von Sicherheitsmaßnahmen, kritisiert sie.
Veränderte Vorgehensweise von Angreifern
Das Incident-Response-Team Unit 42 von Palo Alto Networks beobachtete 2025 zwei Arten, wie Angreifer KI missbrauchen: zum einen zur schnelleren und breiteren Durchführung traditioneller Cyberangriffe, zum anderen zur Manipulation von Modellen für neue Angriffsformen.
“Historisch gesehen wollten Angreifer nach dem initialen Zugriff lateral zu einem Domain-Controller vordringen”, erklärte Whitmore. “Das sehen wir nicht mehr so häufig. Stattdessen sehen wir, dass sie Zugriff auf eine Umgebung bekommen, sofort zum internen LLM gehen und beginnen, das Modell mit Fragen abzufragen, und es dann die ganze Arbeit für sie erledigen lassen.”
Als Beispiel nennt Whitmore die im September dokumentierten Einbrüche bei mehreren Unternehmen und Behörden, bei denen chinesische Spione das KI-Tool Claude Code von Anthropic für automatisierte Angriffe nutzten.
Whitmore erwartet zwar keine vollautonomen KI-Angriffe in diesem Jahr, sieht aber eine klare Verstärkerwirkung: “Man wird sehen, wie diese wirklich kleinen Teams fast die Fähigkeiten großer Armeen haben. Sie können jetzt KI-Fähigkeiten nutzen, um so viel mehr von der Arbeit zu erledigen, für die sie früher ein viel größeres Team gebraucht hätten.”
Lehren aus der Cloud-Ära
Die Situation erinnere an die Cloud-Migration vor rund 20 Jahren, so Whitmore. “Die größten Datenpannen in Cloud-Umgebungen passierten nicht, weil die Cloud genutzt wurde, sondern weil unsichere Cloud-Konfigurationen angegriffen wurden. Wir sehen wirklich viele identische Indikatoren, wenn es um KI-Adoption geht.”
CISOs müssten nun Best Practices für KI-Identitäten entwickeln und sicherstellen, dass Agenten nur auf tatsächlich benötigte Daten und Anwendungen zugreifen können. “Wir müssen sie mit dem geringstmöglichen Zugriff ausstatten und Kontrollen einrichten, damit wir schnell erkennen können, wenn ein Agent außer Kontrolle gerät”, fordert Whitmore.
