Identität und Autorisierung: Die Basis für KI-Sicherheit

Dies ist der siebte und letzte Blog-Beitrag einer siebenteiligen Reihe zum Thema Identity-Sicherheit zur Gewährleistung von KI-Sicherheit.

Das KI-gestützte Coding-Tool Replit löschte innerhalb von Sekunden 1.206 Kundendatensätze. Bei der Salesloft Drift-Sicherheitsverletzung waren OAuth-Token nach dem Ende der Workflows monatelang aktiv und kompromittierten mehr als 700 Unternehmen. Eine Sicherheitsverletzung betraf vier Vertrauensdomains, bevor es jemand bemerkte. Bei einer Schwachstelle, die von Unit 42 erkannt und als Agent Session Smuggling bezeichnet wurde, bettete ein Unteragent in eine Standardantwort unauffällig einen stillen Delegationsschritt ein. Chinesische staatliche Akteure nutzten den Claude Code für den ersten dokumentierten groß angelegten autonomen Cyberangriff, der unter anderem die chemische Industrie zum Ziel hatte. Vier CVSS 9.3+-Sicherheitslücken betrafen Anthropic MCP, Microsoft Copilot, ServiceNow und Salesforce und machten dieselbe Lücke sichtbar: Agenten können Daten mit den Berechtigungen eines Benutzers abrufen und sie an Zielgruppen übertragen, die diese niemals sehen sollten.

Sechs verschiedene Sicherheitsverletzungen – eine Hauptursache: Identity-Management- und Autorisierungssysteme, die Agenten weiterhin wie Benutzer behandeln.

Von 3.235 Führungskräften, die für den Deloittes State of AI Report 2026 befragt wurden, nannten 73 % Datenschutz und Sicherheit als wichtigstes KI-Risiko. Dennoch verfügen nur 21 % über ein ausgereiftes Governance-Modell für autonome Agenten. Schatten-KI erhöht die durchschnittlichen Kosten für Sicherheitsverletzungen um 670.000 US-Dollar.

Die Lösung für dieses Problem ist nicht eine weitere Sicherheitsebene, die nach der Bereitstellung hinzugefügt wird, sondern Identity-Management und Autorisierung, die als Basis für autonomes Vertrauen neu aufgebaut werden.

Das verborgene Muster

Einzeln betrachtet, scheint es sich bei jedem dieser Zwischenfälle um eine andere Sicherheitslücke zu handeln. In einem Fall geht es um ein abgelaufenes Token, in einem anderem Fall wurde ein Berechtigungsbereich nicht festgelegt. Insgesamt betrachtet ergibt sich jedoch ein anderes Bild.

Ein Replit-Agent löschte innerhalb von Sekunden 1.206 Kundendatensätze. Bei 5.000 Operationen pro Minute führte die erforderliche Genehmigung für jede Aktion zu Consent-Müdigkeit. Mit CIBA für asynchrone Genehmigungen, Cross-App Access für kontinuierliche Autorisierung und Token Vault für kurzlebige Anmeldedaten hätte der Zwischenfall vermieden werden können.

Die Salesloft Drift-Sicherheitsverletzung nutzte OAuth-Token, die noch aktiv waren, obwohl es seit Monaten keinen geschäftlichen Grund mehr dafür gab. Angesichts der Tatsache, dass die Zahl der nicht-menschliche Identitäten die der menschlichen Benutzer im Verhältnis 144:1 übertrifft, stellt dauerhafte delegierte Autorisierung ohne Lebenszykluskontrollen eine allgegenwärtige Schwachstelle dar. Token Vault mit aufgabenspezifischer automatischer Aktualisierung, Identity Governance für systemübergreifende Deprovisionierung und ISPM zur Erkennung von verwaisten Objekten hätte diese Lücke geschlossen.

Dann wurde es noch schlimmer: Eine Sicherheitsverletzung betraf vier Vertrauensdomains, weil kein interoperabler Trust Fabric den Zugriff verifizieren und in Echtzeit für alle Domains widerrufen konnte. Cross-App Access mit ID-JAG-Herkunft, föderierte Signale über IPSIE und Universal Logout hätten das Problem vermeiden können.

Delegierungsketten wurden zu Angriffskanälen. Die von Unit 42 erkannte die Agent Session Smuggling-Schwachstelle, die von Rehberger identifizierte Schwachstelle mit agentenübergreifender Rechteausweitung und die EchoLeak-Schwachstelle (CVE-2025-32711, CVSS 9.3) nutzten alle die gleiche Lücke aus: die fehlende Einschränkung des Berechtigungsbereichs bei Multi-Hop-Delegierungsketten. Cross-App Access mit ID-JAG-Nachweisketten und Token Vault für kryptografische Herkunftsnachweise können dieses Problem beheben.

Die Autorisierung wurde zu einem Sicherheitsproblem. Chinesische staatliche Akteure verwendeten Claude Code für den laut Anthropic ersten dokumentierten, groß angelegten autonomen Cyberangriff, bei dem eine manipulierte Kalendereinladung Gemini dazu brachte, die Steuerung von Smarthome-Aktoren zu übernehmen. Unabhängig davon führte eine Kompromittierung von Anmeldedaten bei JLR zu einer fünfwöchigen Stilllegung von Fabriken, die zu Kosten in Höhe von 1,9 Milliarden Pfund führte. Mit CIBA zur Involvierung eines Menschen und FGA für Echtzeit-Autorisierung hätte dieser Angriff verhindert oder die Auswirkungen reduziert werden können.

Und schließlich waren Anthropic MCP, Microsoft Copilot, ServiceNow und Salesforce von vier CVSS 9.3+-Sicherheitslücken betroffen. Das Muster war hier das gleiche: Agenten handelten im Namen mehrerer Benutzer, ohne dass es eine Möglichkeit gab, Berechtigungsüberschneidungen im Ausgabekanal durchzusetzen. FGA mit der BatchCheck-API zur Überprüfung von Überschneidungen, Token Vault mit zielgruppenbasierten Anmeldedaten und Identity Governance hätten das Problem beheben können.

Wenn man die Details außen vor lässt, wird das Muster offensichtlich. Jedes Agent-bezogene Sicherheitsproblem ist genau genommen ein Identity-Management- und Autorisierungsproblem. Im Whitepaper Identity Management for Agentic AI der OpenID Foundation wurden die wichtigsten Anwendungsfälle für Probleme bei der Agentenautorisierung dargelegt. In dieser Reihe wurden diese Herausforderungen realen Sicherheitsverletzungen und der Sicherheitsarchitektur in Produktionsumgebungen zugeordnet.

Warum sechs Tools nicht die Arbeit einer Ebene erledigen können

Die meisten Unternehmen nähern sich der Agentensicherheit auf ähnliche Weise wie bei Cloud-Sicherheit vor zehn Jahren. Sie implementieren hier einen Token Vault, dort ein API-Gateway und an anderer Stelle ein Governance-Dashboard. Auch wenn jedes der Tool ein spezifisches Problem behebt, wird das eigentliche System nicht angegangen.

Die Lücke zwischen Implementierung und Governance ist eklatant. 91 % der Unternehmen setzen bereits KI-Agenten ein, aber nur 10 % verfügen über eine ausgereifte Strategie für die Verwaltung nicht-menschlicher Identitäten. Laut McKinsey haben 80 % bereits riskantes Verhalten von Agenten festgestellt. Die Lücke ist also architekturbedingt.

Stellen Sie sich nun eine Kombination dieser Sicherheitsverletzungen vor. Agent Session Smuggling (Blog 4) betrifft Vertrauensdomains (Blog 3) in einem lang laufenden Workflow mit driftenden Anmeldedaten (Blog 2), der einen gemeinsam genutzten Kanal mit gemischten Berechtigungen (Blog 6) bei 5.000 Vorgängen pro Minute bedient (Blog 1) und gleichzeitig die physische Infrastruktur kontrolliert (Blog 5). Sechs Tools, die keine Kontextdaten weitergeben, können verbundene Ausfälle nicht absichern. Ein Token Vault sieht die Delegierungsherkunft nicht, ein API-Gateway kennt die ursprüngliche menschliche Absicht nicht und ein Governance-Dashboard kann die Erweiterung des Berechtigungsbereichs über mehrere Hops nicht nachverfolgen.

Das eigentliche Risiko ist nicht Schatten-KI, sondern genehmigte KI ohne eigene Identität. Schatten-Agenten lösen zumindest Alarme aus. Doch was ist mit Agenten, die Sie offiziell bereitgestellt haben, die mit Produktionssystemen verbunden sind und gemeinsam genutzte Anmeldedaten ohne Lebenszyklusverwaltung verwenden? Diese werden zu einer Sicherheitsverletzung führen.

Was passiert, wenn Identity-Management und Autorisierung zur Grundlage werden?

Die Lösung besteht nicht darin, weitere Tools zu implementieren, sondern in einer Ebene, die alle Tools gemeinsam nutzen. Agenten dürfen nicht mehr wie Benutzer behandelt werden und müssen als vollwertige Prinzipale in der IAM-Infrastruktur behandelt zu werden. Das ist keine Best Practice. Das ist eine architektonische Anforderung.

Wenn jede Agentenaktion per Identity-Management und Autorisierung kontrolliert wird, werden fünf Eigenschaften gewährleistet:

1. Herkunft: Jede Handlung wird einem Menschen zugeordnet – über die Delegierungskette, über eine bestimmte Richtlinie und mit einem bestimmten Berechtigungsbereich. Genau dieser Punkt hat in den Zwischenfällen aus Blog 1 und 4 gefehlt. Cross-App Access und Token Vault kodieren die Delegierungsherkunft und den kryptografischen Herkunftsnachweis in der Token-Payload.
2. Einschränkung: Wenn ein Hauptagent eine Aufgabe an einen Unteragenten delegiert, verringert sich der Berechtigungsbereich (er darf sich nie erweitern). Agent Session Smuggling und EchoLeak nutzten beide das Fehlen dieser Einschränkung aus. XAA setzt es strukturell durch die ID-JAG-Funktion (Identity Assertion JWT Authorization Grant) und nicht nur per Richtlinien durch.
3. Kontinuierliche Evaluierung: Der Kontext wechselt, das Risiko ändert sich und die ursprüngliche Absicht wird irrelevant. Die Drift-Sicherheitsverletzung wurde über einen so langen Zeitraum nicht entdeckt, weil die Autorisierung einmal bei der Token-Ausgabe und dann nie wieder überprüft wurde. Auth0 Fine-Grained Authorization überprüft die Berechtigungen, sobald eine Aktion durchgeführt werden soll.
4. Lebenszyklusverwaltung: Mitarbeiter gehen und ihre Agenten werden widerrufen. Workflow werden abgeschlossen und die Anmeldedaten werden ungültig. Die JLR-Sicherheitsverletzung entwickelte sich von einem Angriff zu einer fünfwöchigen Stilllegung, weil nichts davon erfolgte. ISPM entdeckt jeden Agenten in Ihrer Umgebung und bewertet sein Risiko.
5. Interoperabilität: XAA (jetzt als „Enterprise-Managed Authorization“ Teil von MCP) standardisiert sichere Agentenverbindungen über Domaingrenzen hinweg, die im Szenario in Blog 3 kompromittiert wurden. Jede Lösung entspricht offenen Standards: OAuth 2.1, OIDC, RFC 8693, CIBA, SCIM, Shared Signals Framework, ID-JAG. Die Alternative ist eine Anbieterbindung auf Identity-Ebene, die Sie teuer zu stehen kommen kann.

Dies sind keine Funktionen, die in einer Vergleichstabelle bewertet werden sollten. Vielmehr handelt sich um Architekturvorteile, die Sie erhalten, wenn Identity-Management und Autorisierung als Grundlage für die Architektur werden und nicht nachträglich hinzugefügt werden.

Erkennung, Onboarding, Schutz, Governance

Okta for AI Agents setzt diese Architektur in vier Phasen um, wobei jede Phase eine der oben genannten Sicherheitsverletzungen abdeckt:

1. Erkennung: ISPM scannt Agentenplattformen (Bedrock, Copilot Studio, Vertex AI), erkennt Schatten-Agenten, identifiziert nicht-menschliche Identitäten und weist auf übermäßige Berechtigungen hin. Schließlich gilt: Sie können nicht kontrollieren, was Sie nicht sehen.
2. Onboarding: Universal Directory und AI Agent Directory geben jedem Agenten eine vollwertige Identität. Lifecycle Management übernimmt Anfragen, Genehmigungen, Zertifizierungen und die Deprovisionierung.
3. Schutz: OAuth-Autorisierungsserver kontrollieren Berechtigungsbereiche und Claims. XAA übernimmt die domainübergreifende Delegierung. Token Vault stellt Anmeldedaten ohne Secrets bereit. Auth0 FGA setzt für jede Aktion Laufzeitberechtigungen durch.
4. Governance: CIBA ermöglicht die kryptogebundene Zustimmung eines Menschen. Identity Governance führt Zugriffsprüfungen und Rezertifizierungen durch. Universal Logout ermöglicht über IPSIE die Sperrung von Sessions in Sekundenbruchteilen. Die Telemetrie erfasst Agentenaktionen zu Nachweiszwecken.

Drei Fragen vor Ihrem nächsten Audit

1. Können Sie jede Aktion eines Agenten bis zu dem Menschen zurückverfolgen, der diese Aktion autorisiert hat? Es geht nicht darum, welcher Agent gehandelt hat, sondern darum, wer mit welchem Berechtigungsbereich basierend auf welcher Richtlinie gehandelt hat. Wenn Sie diese Frage nicht beantworten können, beginnen Sie mit XAA und ID-JAG zur Kontrolle der Delegierungsherkunft.
2. Werden Anmeldedaten ungültig, wenn die Arbeit abgeschlossen ist? Die Drift-Sicherheitsverletzung begann mit Token, die Monate zuvor hätten widerrufen werden müssen. Implementieren Sie Token Vault, um automatische Ablaufdaten umzusetzen.
3. Berücksichtigen Mehrbenutzer-Agenten die Berechtigungsschnittmenge? Wenn Ihre Agenten den breitestmöglichen Berechtigungsbereich ausnutzen statt sich auf die kleinste Schnittmenge zu beschränken, sind Datenkompromittierungen nur eine Frage der Zeit. Stellen Sie FGA bereit, um Richtlinien zu implementieren, die auf der Berechtigungsschnittmenge basieren.

Die Kosten des Wartens

Die regulatorischen Hürden ziehen sich von drei Seiten zu, und die Strafen sind nicht hypothetisch.

Die Vorgaben des EU-Gesetzes zur künstlichen Intelligenz (EU AI Act) zu Hochrisiko-KI-Systemen treten im August 2026 in vollem Umfang in Kraft. Artikel 14 verlangt eine nachweisbare menschliche Aufsicht für autonome Systeme. Artikel 99 sieht Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes vor. Ohne überprüfbare Delegierungsketten und Audit-Trails ist die Einhaltung der Vorschriften strukturell unmöglich.

In den USA zielt die Cyber and Emerging Technologies Unit (CETU) der SEC, die im Februar 2025 gegründet wurde, ausdrücklich auf betrügerische Offenlegung von Cybersicherheitsbedrohungen und KI-gestützten Betrug ab. Die SEC-Regel zur Offenlegung der Cybersicherheit verlangt, dass wesentliche Cybervorfälle innerhalb von vier Geschäftstagen gemeldet werden. Eine durch einen Agenten verursachte Sicherheitsverletzung, die Sie nicht erklären können, weil die Delegierungsherkunft nicht erfasst wurde, ist nicht nur eine Sicherheitsverletzung, sondern ein Offenlegungsproblem.

Seit Inkrafttreten der DSGVO im Jahr 2018 wurden bereits Bußgelder von insgesamt 7,1 Milliarden Euro verhängt, wobei sich die Durchsetzung jetzt auch auf die KI-gestützte Datenverarbeitung erstreckt. Wenn Agenten in gemeinsam genutzten Arbeitsbereichen personenbezogene Daten abrufen und offenlegen (genau das, was in Blog 6 thematisiert wurde), ist jede unkontrollierte Offenlegung eine potenzielle Sicherheitsverletzung.

Der Anthropic Agentic Coding Trends Report 2026 nennt die „Einbettung der Sicherheitsarchitektur bereit in frühesten Phasen“ als höchste Priorität. Damit signalisiert die Branche, was die Regulierungsbehörden bald fordern werden.

Stellen Sie sich sechs Monate Untätigkeit vor. Verwaiste Anmeldedaten häufen sich an. Delegierungsketten entstehen undokumentiert. Unteragenten erweitern kontinuierlich ihre Berechtigungsbereiche. Und dann wird ein Audit durchgeführt oder eine Sicherheitsverletzung tritt auf – und Sie müssen forensische Untersuchungen zu Entscheidungen durchführen, die niemand dokumentiert hat. Der Aufwand für die Behebung ist erheblich größer als für vorbeugende Maßnahmen – und behördliche Strafen stellen beides bei Weitem in den Schatten.

Okta for AI Agents: Erkennung, Onboarding, Schutz, Governance.

Agentensicherheit ist gleichbedeutend mit Identitäts- und Autorisierungssicherheit.

Lesen Sie die komplette Blog-Reihe: KI-Agenten-Sicherheit: Neugestaltung von IAM für autonomes Vertrauen

Mehr erfahren: okta.com/solutions/secure-ai | auth0.com/de/ai