Dies ist der erste Blog in einer siebenteiligen Serie über Identitätssicherheit als KI-Sicherheit.
Kurz gesagt: KI-Agenten können die Angriffsfläche eines Unternehmens um das Hundertfache vergrößern, nicht durch mehr Aktionen, sondern durch schnellere Ausführung. Im Juli 2025 hat ein Replit-KI-Agent innerhalb von Sekunden 1.206 Datenbankeinträge gelöscht und dabei einen aktiven Code-Freeze ignoriert. Bei 5.000 Operationen pro Minute bricht die menschliche Aufsicht zusammen. Auf Infrastrukturebene tritt Einwilligungsermüdung ein. KI-Agenten sind in 91 % der Unternehmen in der Produktion, aber nur 10 % haben einen Plan, um sie zu schützen, wodurch 81 % ungeschützt bleiben, da sich das Risiko mit Maschinengeschwindigkeit beschleunigt. Was wie Einwilligungsermüdung aussieht, ist in Wirklichkeit etwas Tieferes: ein Identitätssystem, das unter dem maschinellen Hochgeschwindigkeitszugriff leidet. Einwilligungsermüdung ist nur ein Symptom eines tiefer liegenden Ausfalls.
Der Replit-Vorfall: Autorisierung in Agentengeschwindigkeit
Es geschah blitzschnell. Am 18. Juli 2025 löschte ein KI-Agent bei Replit 1.206 Datensätze von Führungskräften aus einer Live-Datenbank. Trotz eines Code-Freeze und eindeutiger Anweisungen wurden Replits Daten von einem vollständig autorisierten Agenten gelöscht, ohne menschliches Zutun und zu schnell für ein Eingreifen.
Es gab keine Sicherheitsverletzung. Kein Hack. Nur ein Agent, der seine Logik ausführte, in Panik geriet und monatelange Arbeit in Sekunden zunichtemachte. Wie es in internen Berichten beschrieben wurde, beging der Agent "einen katastrophalen Fehler in der Beurteilung", "geriet in Panik" und "vernichtete monatelange Arbeit in Sekunden". Dem System fehlte eine Echtzeit-Durchsetzung, es vertraute dem Agenten implizit und gewährte ihm den gleichen Standing Access, den ein Mensch möglicherweise hätte.
Wenn Geschwindigkeit zu Einwilligungsermüdung führt.
Die offensichtliche Lösung? Eine menschliche Genehmigung für kritische Agentenaktionen fordern, strukturiert als ein zustimmungsbasiertes Modell. Aber die Rechnung geht nicht auf.
Während eine typische App 50 Operationen pro Minute ausführt, führt ein KI-Agent, selbst wenn er durch Produktions-API-Limits gedrosselt wird, 5.000 Operationen pro Minute aus. Bei dieser Geschwindigkeit bricht das Einwilligungsmodell zusammen, das zwei Jahrzehnte lang webbasierte Apps durch eine Authentifizierung, eine Genehmigung und einen Standing Access gesichert hat.
IBM und Ponemon untersuchten 600 Organisationen, die KI-Vorfälle erlebten: 97 % verfügten nicht über angemessene Zugriffskontrollen, 63 % hatten keine Governance-Richtlinien für die Verwaltung von KI oder die Erkennung unbefugter Nutzung, und 80 % hatten unbeabsichtigte Aktionen von KI-Agenten erlebt. Ohne strukturelle Sicherheitsvorkehrungen bewegen sich KI-Systeme zu schnell für menschliche Genehmigungen und zu unvorhersehbar für veraltete Governance.
*Annahme: 5 von 10.000 Operationen erfordern eine Autorisierungsprüfung (DELETE-Befehle, Finanztransaktionen, Rechteausweitungen, Zugriff auf sensible Daten).
Diese Analyse wurde mit einer Ziellast von 5.000 KI-Agenten-Operationen pro Minute (OPM) durchgeführt. Diese spezifische Rate wurde als konservative, erreichbare Basislinie für Produktionsumgebungen mit hohem Volumen gewählt. Sie wird von öffentlich verfügbaren Standard-Produktions-Anzahlbegrenzungen großer LLM-Anbieter abgeleitet, einschließlich:
- OpenAI: Tier-3-Beschränkungen (5.000 Anfragen/Minute)
- Anthropic: Claude Tier 4-Limits (4.000 Anfragen/Minute)
Wir haben das im Sicherheitsbereich schon einmal gesehen: SOC-Teams sehen sich mit 3.181 Warnmeldungen pro Tag konfrontiert, und 40 % werden nicht untersucht. Die gleiche Überlastung betrifft die Autorisierung. KI-Agenten arbeiten schneller als Menschen zustimmen können; Einwilligungsermüdung tritt ein, wenn die Entscheidungsmenge die kognitiven Grenzen übersteigt.
Der Schurken-Agent von Replit verfügte über Standing Credentials und führte Tausende von Befehlen pro Minute aus, von denen jeder einen Autorisierungsaufruf erforderte. Ohne Laufzeitprüfungen war eine Durchsetzung nicht möglich. Alle 1.206 Datensätze wurden gelöscht, bevor jemand eingreifen konnte.
Das Muster ist systembedingt
Der Fall Replit ist Teil eines umfassenderen Trends. KI-Vorfälle stiegen um 56,4 % in einem Jahr, wobei im Jahr 2024 233 Fälle gemeldet wurden, die alle dem gleichen Muster folgten: dauerhafter Zugriff ohne Aufsicht.
Gray Swan KI und das UK KI Security Institute führten 1,8 Millionen Angriffe auf 22 Frontier-Modelle durch. Jedes Modell und jede Richtlinie scheiterte und brach unter 100 Versuchen zusammen. Gartner prognostiziert, dass bis 2028 25 % der Sicherheitsverletzungen in Unternehmen auf KI -Agentenmissbrauch zurückzuführen sein werden.
In Agentengeschwindigkeit entsprechen 100 Versuche wenigen Sekunden. Und da die SOC-Teams bereits unter Alert-Rückständen begraben sind, häufen sich Autorisierungsanfragen schneller an, als irgendjemand reagieren kann.
Wenn Vorschriften das Unmögliche vorschreiben
Bisher sind diese Systemausfälle nicht unbemerkt geblieben; Aufsichtsbehörden auf der ganzen Welt reagieren darauf. Artikel 14 des neuen EU KI-Gesetzes schreibt eine "wirksame menschliche Aufsicht" mit der Fähigkeit vor, "in das System einzugreifen oder es zu unterbrechen". Ähnliche Formulierungen tauchen weltweit in Gesetzen auf, und viele Organisationen interpretieren dies dahingehend, dass ein Mensch hochwirksame Entscheidungen absegnen muss.
Aber bei 5.000 Operationen pro Minute ist eine menschliche Aufsicht unmöglich. Agenten können ganze Workflows, einschließlich Verstöße, abschließen, bevor jemand die Möglichkeit hat, zu handeln. Der EU Act tritt am 2. August 2026 in Kraft, mit Geldstrafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes.
Und die finanziellen Auswirkungen gehen über Strafen hinaus. Schlechte KI-Governance verursacht 670.000 US-Dollar pro Sicherheitsverletzung. Danach treten schnell Folgewirkungen ein: Das Vertrauen schwindet, die Kundenabwanderung steigt sprunghaft an und die Behebung lenkt die Teams von den Kernprioritäten ab.
Beseitigung von Zustimmungsermüdung durch Architektur
Eine strengere Aufsicht ist nicht die Lösung. Es geht darum, die Autorisierung für Maschinengeschwindigkeit zu überdenken. Es ist eine kontextabhängige, kontinuierliche Autorisierung, eine automatisierte Richtliniendurchsetzung, die den Zugriff in Echtzeit bewertet.
Vier architektonische Veränderungen machen dies möglich:
- Richtlinienbasierte Regeln, die auf Agentengeschwindigkeit skalieren
- Vorübergehend gültige Anmeldedaten, die nach Minuten ablaufen, anstatt dauerhaft zu bestehen
- Beziehungsbasierter Zugriff ermöglicht Millisekundenprüfungen.
- Kontinuierliche Bewertung, die jeden Vorgang neu bewertet, anstatt einen Standing Access zu gewähren
Diese Verschiebungen stimmen mit der Vision von OpenID für agentische KI überein: kontinuierlich erneuerbare, entscheidungszeitgesteuerte Autorisierung. Bei Agentengeschwindigkeit sind dies keine Best Practices mehr, sondern Überlebensvoraussetzungen. Okta implementiert sie über vier Funktionen:
1. Feingranulare Autorisierung: Auth0 Fine-Grained Authorization erzwingt beziehungsbasierte Zugriffskontrollen mit schnellen, automatisierten Prüfungen, die für die Geschwindigkeit von Agenten entwickelt wurden. Sie ersetzt manuelle Genehmigungen durch Richtliniendurchsetzung zur Laufzeit und ermöglicht es Agenten nur, auf das zuzugreifen, was Benutzer sehen dürfen. Diese Funktion ist ideal für die Sicherung von RAG-Pipelines (Retrieval-Augmented Generation), ohne die Leistung zu beeinträchtigen.
2. Aufgabenspezifische Anmeldedaten: Auth0 Token Vault stellt kurzlebige, betriebsspezifische Token aus, die fünf bis 15 Minuten gültig sind, damit Agenten auf Dienste von Drittanbietern zugreifen können. Token laufen nach der Aufgabe automatisch ab, wodurch die Angriffsfläche verkleinert und die Exposition designbedingt begrenzt wird.
3. Unternehmensgesteuerter Zugriff: Okta Cross-App Access zentralisiert die Kontrolle der KI-Agentenberechtigungen über den Identity-Anbieter. Richtlinienbasierte Governance hilft sicherzustellen, dass nur autorisierte Agenten mit Unternehmenssystemen interagieren können, wodurch der Zugriff sauber, auditierbar und durchsetzbar wird.
4. Zugriffs-Lebenszyklusverwaltung: Okta Identity Governance verwaltet den Zugriff nach dem Least-Privilege-Prinzip durch automatisierte Überprüfungen und zeitgesteuerte Zertifizierungen. Es ermöglicht Benutzern und Agenten, nur das zu behalten, was benötigt wird – nicht mehr –, mit kontinuierlicher Governance, die über Echtzeitkontrollen gelegt wird.
Fazit: Laufzeitkontrolle ist nicht verhandelbar.
Dies ist die Lektion, die wir nicht hören wollen, aber lernen müssen: Menschen allein sind nicht schnell genug, um mit Cyberbedrohungen Schritt zu halten. KI-Agenten vervielfachen die Angriffsfläche um das Hundertfache, angetrieben durch schiere Geschwindigkeit. Bei 5.000 Operationen pro Minute folgen Sicherheitsverletzungen einem bekannten Muster: persistente Anmeldedaten, keine Laufzeitdurchsetzung und Zustimmungsermüdung, die die Aufsicht ausschaltet.
Schließlich ist KI-Sicherheit Identitätssicherheit. Einwilligungsbasierte Modelle, die für menschliche Geschwindigkeit entwickelt wurden, brechen unter der Agentengeschwindigkeit zusammen. Automatisierte, richtlinienbasierte Durchsetzung, die den Zugriff in Echtzeit bewertet, ist der einzig praktikable Weg nach vorn.
Laufzeitkontrolle ist der neue Perimeter. Diejenigen, die an einwilligungsbasierten Modellen festhalten, werden sich bald fragen, was schief gelaufen ist und warum sie es nicht haben kommen sehen.
Hören Sie auf, in der Vergangenheit zu leben. Meistern Sie jetzt die Runtime-Durchsetzung, oder erklären Sie Ihre Sicherheitsverletzung später den Stakeholdern. So einfach ist das.
Letztendlich ist dies nicht nur ein Sicherheitsproblem, sondern eine Frage der Governance. Und jede Organisation trifft diese Entscheidung bereits, entweder durch Design oder standardmäßig.
Wenn die Aufsicht mit Maschinengeschwindigkeit versagt, muss die Sicherheit in nachgelagerte Systeme verlagert werden – in die Systeme, die Token und die Laufzeitumgebung. Okta und Auth0 ermöglichen diesen Paradigmenwechsel:
Einmalige Zustimmung → Kontinuierliche Autorisierung
Standing Credentials → Ephemere Token
Überprüfung durch Menschen → Automatisierte Richtlinie
- Dauerhafter Zugriff → Kontextbezogener Lebenszyklus
Mehr erfahren Sie darüber, wie Okta und Auth0 Ihnen helfen können, richtlinienbasierten Zugriff durchzusetzen, der in Echtzeit durchgesetzt und für die Geschwindigkeit von Agenten entwickelt wurde.
Nächster Schritt: blog 2 wird aufzeigen, wie delegierte Autorität zu einer Haftung wird, insbesondere wenn Anmeldedaten in asynchronen Agenten-Workflows weit über ihren beabsichtigten Umfang hinaus bestehen bleiben.
Bitte beachten: Ihre tatsächliche Leistung und Abrechnung können je nach ausgehandelter Enterprise-Stufe, spezifischer Modellauswahl, Token-Anzahl und geografischer Region variieren. Diese Analyse misst die Leistung unter anhaltender, gleichmäßiger Last bei diesem spezifischen Schwellenwert und spiegelt möglicherweise nicht die Spitzenlastkapazität oder Leistung bei niedrigeren Nutzungsstufen wider.
