Dies ist der fünfte Blog-Beitrag einer siebenteiligen Reihe zum Thema Identity-Sicherheit zur Gewährleistung von KI-Sicherheit.
TL;DR:
Mitte September 2025 verwendeten chinesische staatliche Akteure Claude Code für den ersten dokumentierten, groß angelegten autonomen Cyberangriff. Die Operation zielte auf große Technologieunternehmen, Finanzinstitute, Chemieunternehmen und Behörden ab. Unabhängig davon führte Ende August eine Kompromittierung von Anmeldedaten zur Stilllegung der Fabriken von JLR. Diese dauerte fünf Wochen und führte zu Kosten in Höhe von 1,9 Milliarden Pfund. Stellen Sie sich nun vor, dass dieses Angriffsmuster von einem KI-Agenten ausgeführt wird, der nicht schläft und eintausend Kombinationen von Anmeldedaten ausprobieren kann, während Sie diesen Satz lesen. Die Agenten sind da – und diese Angriffe durchbrechen nicht nur die Perimeter, sondern missbrauchen legitime Zugriffsrechte.
Diese Angriffe lassen sich nicht mit besseren Firewalls stoppen. Stattdessen benötigen Sie Autorisierung, d. h. die Kontrolle darüber, was Agenten bei jedem Schritt tun können – und bei kritischen Aktivitäten muss menschliche Aufsicht hinzugezogen werden. Bei cyberphysischen Systemen ist IAM keine IT-Infrastruktur, sondern ein Sicherheitssystem.
Die Risiken sind nicht mehr nur theoretisch
Die OpenID Foundation bezeichnet dies als die „ultimative Identity-bezogene Herausforderung“: die Kontrolle von Agenten, deren Handlungen direkte und potenziell irreversible Folgen in der physischen Welt haben. Autorisierung, der Access Management-Aspekt von IAM, wird zu einer unverzichtbaren Komponente des Sicherheitskonzepts von Systemen.
Drei Vorfälle von Ende 2025 haben bewiesen, dass diese Angriffe bereits Realität sind.
KI-Agenten haben gezeigt, dass sie kritische Infrastrukturen autonom angreifen können. Im September gab Anthropic bekannt, dass eine chinesische staatlich geförderte Gruppe mithilfe von Claude Code den laut Sicherheitsforschern ersten groß angelegten Cyberangriff gestartet hatte, der hauptsächlich von einer KI durchgeführt wurde. Der Agent erledigte den größten Teil der Arbeit: das Scannen nach Schwachstellen, das Schreiben von Exploits, das Sammeln von Anmeldedaten und die lateralen Bewegungen durch Netzwerke. Zu den Zielen gehörten Chemieunternehmen.Einige wurden erfolgreich angegriffen. Bei diesen Einrichtungen könnten kompromittierte Anmeldedaten Prozesssteuerungen manipulieren und Zwischenfälle mit katastrophalen Folgen auslösen.
Außerdem haben Forscher bewiesen, dass jeder Agent mit physischem Zugriff zur Angriffsfläche gehört. Im August 2025 demonstrierten Forscher, dass eine manipulierte Google-Kalendereinladung Gemini kapern könnte, um Smarthome-Geräte wie Lampen, Rollläden und Heizungen zu steuern. Dieser von den Forschern als „Promptware“ bezeichnete Angriff „nutzte eine schwerwiegende Autorisierungslücke aus: Kalenderleseberechtigungen sollten keine Berechtigungen zur Steuerung von Aktoren gewähren. Der Mechanismus ist der gleiche, aber die Konsequenzen sind erheblich schwerwiegender.
Hinzu kommt: Es hat sich gezeigt, dass sich mit kompromittierten Anmeldedaten Fabriken stilllegen lassen – und zwar schnell. Jaguar Land Rover wurde Opfer des wirtschaftlich wahrscheinlich verheerendsten Cyberangriffs in der Geschichte Großbritanniens. Angreifer verschafften sich über einen JLR-Zulieferer Zugang und machten so lange weiter, bis sie auf Produktionssysteme trafen. Das Ergebnis: Roboter bewegten sich nicht mehr und Arbeiter blieben fünf Wochen lang zu Hause. Mehr als 5.000 Unternehmen in der JLR-Lieferkette waren betroffen. Stellen Sie sich nun vor, dass diese laterale Bewegung von einem KI-Agenten ausgeführt wird, der sich nicht vertippt und eintausend Kombinationen von Anmeldedaten ausprobieren kann, während Sie diesen Satz lesen. Das ist das Bedrohungsmodell.
Die Zahl der Anmeldedatendiebstähle verschärft das Problem
Der IBM X-Force 2025-Bericht bestätigt diese Entwicklung: Der Missbrauch gültiger Accounts ist inzwischen die bevorzugte Methode und für 30 % aller Vorfälle verantwortlich. In der ersten Hälfte des Jahres 2025 wurden 800 % mehr Anmeldedaten durch Infostealer-Malware gestohlen. Die Kompromittierung nicht-menschlicher Identities (API-Keys, Service-Accounts, OAuth-Token) gehört jetzt zu den häufigsten ersten Angriffsvektoren.
KI-Systeme sind bereits betroffen. Bei einem Lieferkettenangriff auf das OpenAI-Plugin-Ökosystem wurden Agenten-Zugangsdaten von 47 Unternehmensumgebungen gestohlen. In diesem Fall hatten die Angreifer sechs Monate lang Zugriff, bevor es jemand bemerkte. Angriffe auf Fertigungsunternehmen nahmen im Jahresvergleich um 61 % zu. Das Muster ist immer das gleiche: gestohlene Zugangsdaten, laterale Bewegungen, reale Schäden.
Der Perimeter bietet keinen Schutz
Klassische Sicherheitstools konzentrieren sich darauf, Angreifer fernzuhalten. Diese Firewalls und Tools für Netzwerksegmentierung und Endpoint-Schutz sind alle wichtig. Aber KI-Agenten brechen nicht ein, denn sie befinden sich bereits in Ihrer Umgebung und operieren mit legitimen Anmeldedaten.
Bei dem Promptware-Angriff wurde keine Firewall überwunden, sondern ein autorisierter Agent gekapert. Bei der Claude Code-Operation wurden keine Netzwerkschwachstellen ausgenutzt, sondern gültige Anmeldedaten erbeutet und verwendet. Diese Angriffe waren erfolgreich, weil die Agenten die Erlaubnis hatten, dort zu sein. Sie hatten lediglich keine Erlaubnis, das zu tun, was sie taten.
Die Frage ist nicht, wohin Agenten gehen können. Vielmehr geht es darum, wozu sie bei jedem Schritt befugt sind, sobald sie dort angekommen sind.
Nehmen wir eine Wasseraufbereitungsanlage als Beispiel: Ein KI-Agent überwacht den Chlorgehalt, reguliert den Druck und reagiert auf Bedarfsschwankungen. Was ist sein Autorisierungsbereich? Er sollte explizit definiert sein: „Halte den Füllstand zwischen X und Y, überschreite niemals den Druck Z und eskaliere an einen Menschen, sobald es Abweichungen jenseits dieser Grenzen gibt.“ Wenn der Agent jedoch von der Person, die ihn implementiert hat, umfassende Berechtigungen zur „Verwaltung von Wassersystemen“ geerbt hat, könnte ein kompromittierter Agent Chlor auf giftige Werte bringen oder Druckausfälle auslösen. Die Testfrage lautet: Lässt Ihre Autorisierungsarchitektur die Definition dieser Einschränkungen überhaupt zu?
Autorisierung als Sicherheitsinfrastruktur
Bei cyberphysischen Systemen verlässt das IAM seine traditionelle Rolle und wird zu einer Ebene zur Sicherheits- und Richtliniendurchsetzung.
Die Identity sagt Ihnen, wer handelt. Autorisierung sagt Ihnen, was sie tun dürfen – Aktion für Aktion und bei großem Risikopotenzial mit menschlicher Aufsicht. Bei Agenten, die physische Systeme steuern, lassen sich mit dieser Architektur Explosionen verhindern.
Die Luftfahrt verlässt sich nicht darauf, dass sich Piloten an Höhenbeschränkungen erinnern. Kernkraftwerke vertrauen nicht darauf, dass Betreiber unsichere Konfigurationen vermeiden. Diese Industrien haben vor Jahrzehnten gelernt, dass menschliche Aufmerksamkeit kein Sicherheitssystem ist. Dazu bedarf es festgelegter Einschränkungen. Die NIST Zero Trust Architecture (SP 800-207) geht vom Grundsatz „Vertrauen ist gut, Kontrolle ist besser“ aus und schreibt vor, dass an jedem Entscheidungspunkt das Least-Privilege-Prinzip durchgesetzt werden sollte.
Für KI-Agenten, die physische Systeme steuern, ist die Autorisierung diese festgelegte Einschränkung. Richtig implementiert, funktioniert es so: Anmeldedaten werden just-in-time ausgestellt, auf die unmittelbare Operation beschränkt und in dem Moment widerrufen, in dem sich der Kontext ändert. Token, die nicht existieren, können nicht gestohlen werden. Ein kompromittierter Agent kann seinen Autorisierungsbereich nicht verlassen. Aktionen mit großem Risikopotenzial erfordern die Zustimmung eines Menschen. Und jede Aktion lässt sich auf einen bestimmten Benutzer, Agenten und Zeitpunkt zurückführen.
Technisch sieht dies wie folgt aus: RFC 693 (OAuth 2.0 Token Exchange) ermöglicht Delegierungs-Token, die den Kontext bewahren:
{
"sub": "technikerin-jana@fertigung.beispiel",
"act": {
"sub": "wartungs-agent-7"
},
"aud": "fertigungs-api.beispiel.com",
"scope": "actuator:write",
"exp": 1737043200
}
Der sub-Claim identifiziert den Menschen. Der act-Claim identifiziert den Agenten. Der scope-Claim definiert genau, was zulässig ist, d. h. nicht „Systeme verwalten“, sondern „actuator:write“ für eine bestimmte Ressource. Der exp-Claim legt die Ablaufzeit fest – und diese liegt für cyberphysische Operationen bei 5-60 Minuten statt Monaten. Wenn sich das Wartungsfenster schließt, ist das Token ungültig.
Das EU-Gesetz zur künstlichen Intelligenz (EU AI Act) klassifiziert KI-Systeme, die als Sicherheitskomponenten in kritischer Infrastruktur (einschließlich Wasser, Gas und Strom) eingesetzt werden, als hohes Risiko gemäß Anhang III, was gemäß Artikel 14 menschliche Aufsichtspflichten auslöst. Für Systeme, die pro Minute Tausende Entscheidungen treffen, kann dies nicht bedeuten, dass Menschen jede einzelne überprüfen muss. Es bedeutet, dass Unternehmen Autorisierungssysteme benötigen, die Grenzen programmgesteuert durchsetzen und nur wirklich außergewöhnliche Bedingungen eskalieren.
Das Zeitfenster wird kleiner
Gartner prognostiziert, dass KI-Agenten die Zeit bis zur Ausnutzung von Account-Kompromittierungen bis 2027 um 50 % verkürzen werden. Damit werden Angriffe nicht mehr innerhalb weniger Wochen, sondern nach wenigen Tage möglich sein. Die Claude Code-Operation hat bereits gezeigt, wie Angriffe in Maschinengeschwindigkeit aussehen können.
Unternehmen, die jetzt eine angemessene Autorisierungsarchitektur aufbauen, werden als Vorbild dienen, wenn die Vorschriften strenger werden.
Wie Okta das Problem löst
Keiner dieser Angriffe hat eine Firewall überwunden. Beim Promptware-Angriff wurde ein autorisierter Agent gekapert, dessen Autorisierungsbereich nicht angemessen definiert war. Der OpenAI-Plugin-Angriff hat Anmeldedaten ausgenutzt, die zu lange gültig waren und zu viel erlaubten. Die Claude Code-Operation hat gültige Secrets abgegriffen und wiederverwendet. Jeder Fehler lässt sich einer Kontrolle zuordnen, die wir heute bereitstellen.
- Cross-App Access (XAA) macht Agentenaktionen sowohl für Benutzer als auch für Agenten nachvollziehbar. Delegierungs-Token übertragen den Kontext durch die gesamte Kette, wobei act-Claims identifizieren, welcher Agent was getan hat.
- Mit Token Vault gehören langlebige Anmeldedaten der Vergangenheit an. Agenten rufen Token on-demand ab und die Berechtigungen sind auf die unmittelbare Operationen beschränkt. Gestohlene Token laufen ab, bevor Angreifer sie verwenden können.
- Step-up-Authentifizierung (CIBA) bezieht bei Aktionen mit hohem Risikopotenzial Menschen ein. Wenn ein Agent versucht, seinen Autorisierungsbereich zu überschreiten (Druck über die Grenzwerte hinaus anpassen, chemische Konzentrationen ändern, Sperren außer Kraft setzen), muss der autorisierende Benutzer dies ausdrücklich genehmigen.
- Fine-Grained Authorization bewertet den Zugriff zum Zeitpunkt der Entscheidung, nicht nur beim Login. Auf diese Weise wird „Halte den Füllstand zwischen X und Y, überschreite niemals den Druck Z“ in maschinenlesbarer Form ausgedrückt.
Der Weg in die Zukunft
Angesichts der 21 Milliarden IoT-Geräte und Millionen Industrieroboter, die jetzt verbunden sind, können KI-Agenten auf ein wachsendes Universum physischer Systeme zugreifen und diese steuern.
Die Governance-Frage ist einfach: Kann Ihr Team den Autorisierungsbereich für jeden Agenten mit Zugriff auf kritische Systeme genau beschreiben? Weiß es, welche Anmeldedaten er verwendet, welche Berechtigungen diesen Zugangsdaten zugewiesen sind und ob diese über den wirklichen Bedarf hinausgehen? Wenn Ihr Team diese Frage nicht beantworten kann, ist diese Lücke Ihre Angriffsfläche.
Doch diese Lücke lässt sich schließen. Die gleichen Autorisierungsmuster, die Finanztransaktionen absichern, können Wasseraufbereitungsanlagen, chemische Reaktoren und Roboterarme schützen. Identity-Management beantwortet Ihnen die Frage nach dem „Wer“, während Autorisierung kontrolliert, was KI-Agenten bei jedem Schritt tun können, und bezieht bei riskanten Aktionen einen Menschen ein. Bei cyberphysischen Systemen geht es nicht um das Zugriffsmanagement, sondern um die Sicherheitsinfrastruktur.
Diese Architekturen existieren. Die Frage ist, ob Sie sie implementieren, bevor oder nachdem Sie selbst zu einem Fallbeispiel geworden sind.
Im sechsten Teil unserer Blog-Reihe erfahren Sie, was passiert, wenn ein KI-Agent von mehreren Stakeholdern mit unterschiedlichen Berechtigungen verwendet wird. Wenn der KI-Agent des CFO Fragen in einem gemeinsam genutzten Slack-Kanal beantwortet: Welche Zugriffsrechte verwendet dieser Agent für die Antwort?
