KI entwickelt sich rasant. Die neuesten Schlagzeilen und Ankündigungen belegen das: OpenAI hat ChatGPT in eine Plattform für In-Chat-Apps und autonome Agenten verwandelt. Anthropic hat Claude Sonnet 4.5 veröffentlicht, das in der Lage ist, mehrstündige Aufgaben durchzuführen. Googles Gemini kann sich jetzt wie ein Mensch im Web bewegen. Und das Microsoft Copilot-Ökosystem entwickelt sich zu einem Netzwerk von eingebetteten Agenten in Windows und Office.
Zusammen markieren diese Ankündigungen einen Wendepunkt (und werden wahrscheinlich schon veraltet sein, wenn Sie dies lesen): KI geht weit über Chatbots hinaus, die Fragen beantworten. Stattdessen wird die Technologie zu einem aktiven Bestandteil unseres privaten und beruflichen Lebens.
Im Gegensatz zum Menschen macht KI keinen Feierabend und vergisst nichts. Agenten können unbemerkt in Ihren Systemen verbleiben und auch lange nach dem Ende ihrer eigentlichen Aufgabe Zugriffsrechte behalten. Ohne Governance agieren diese Identities unbemerkt – und in der Sicherheitsbranche gilt das, was unbemerkt bleibt, als angreifbar.
Warum ist unsere klassische Identity-Infrastruktur nicht auf KI-Agenten vorbereitet?
Klassische Identity-Systeme wurden für Menschen entwickelt: Mitarbeiter, Partner und Auftragnehmer. KI ist jedoch zu neuen Identity-Herausforderungen verbunden, die nicht in dieses Modell passen.
| Herausforderung | Menschliche Identities | KI-Identities |
|---|---|---|
| Umfang | Stabile Belegschaftsgröße | Tausende dynamische, kurzlebige Agenten |
| Transparenz | Verwaltet über die Personalabteilung oder Verzeichnisse | Versteckt in APIs, Pipelines und Automatisierungen |
| Verantwortlichkeit | An die Anmeldedaten einer Person gebunden | Oft fehlt es an einem klar zugeordneten Besitzer oder Nachverfolgbarkeit |
Mit zunehmender Verbreitung von KI kommt es zu Schattenzugriffen und Compliance-Lücken durch unkontrollierte Agenten, bei denen der Zugriff von niemandem überwacht wird. Gleichzeitig ist jeder verantwortlich.
Wie kontrollieren Sie die Identity eines KI-Agenten?
Um Identities von KI-Agenten zu verwalten und zu steuern, benötigen Sie Transparenz, Verantwortlichkeit und Kontrolle. Das richtige Identity-Security-Playbook bietet, was Sie brauchen.
Damit ist sichergestellt, dass jede KI-Identity folgende Anforderungen erfüllt:
- Bekannt: Sie können jeden KI-Agenten identifizieren, der in Ihrer Umgebung aktiv ist.
- Zugeordnet: Jedem Agenten ist eine Person zugeordnet, die für sein Verhalten und seine Zugriffsrechte verantwortlich ist.
- Definiert: Berechtigungen sind auf einen klaren Zweck und Zeitrahmen beschränkt.
- Überprüfbar: Jede Aktion wird protokolliert und ist nachvollziehbar.
- Widerrufbar: Wenn die Aufgabe endet, endet auch der Zugriff.
Identity endet nicht mehr bei Menschen – sie erstreckt sich auf die KI, die in ihrem Namen agiert.
Tausende Anwendungsfälle – mit stets gleichen Grundlagen
Bei Okta sprechen wir täglich mit Kunden, die sich in unterschiedlichen Phasen der Implementierung von KI-Agenten in ihren Unternehmen befinden. Obwohl die Anwendungsfälle unterschiedlich sind, beginnt die Absicherung der Agenten alle damit, dass die Identität stimmt:
| Use Case | Ziel | Beispiel |
|---|---|---|
| Kundensupport-Agenten | Verhinderung, dass personenbezogene Daten zu stark offengelegt werden | Der Agent kann Kundendaten lesen, aber nicht exportieren |
| Entwickler-Copiloten | Beschränkung des Systemzugriffs | Der KI-Assistent kann interne Repos lesen, aber nicht in der Produktion schreiben |
| Beschaffungsagenten | Gewährleistung der Verantwortlichkeit | KI kann eine Bestellanforderung erstellen, benötigt aber die Genehmigung eines Menschen |
| Forschungsmodelle | Schutz vertraulicher Daten | Das Modell verwendet synthetische Datensätze, keine Live-Kundendaten |
Schützen Sie Ihre KI-Agenten mit einem Reifegradmodell
Unternehmen können ihre Bereitschaft mit dem Okta-Reifegradmodell für die Sicherheit von KI-Agenten bewerten. Es definiert vier Phasen, die Ihnen helfen, Identities von KI-Agenten auf jeder Ebene zu sichern und zu verwalten.
Sie wissen nicht, wo Sie beginnen sollen? Unsere Checkliste hilft.
Schritt 1: Bestandsaufnahme der Identities von KI-Agenten
Erfassen Sie jeden KI-Agenten, jedes Modell und jede Automatisierung, die sensible Systeme berührt.
Schritt 2: Zuweisung menschlicher Besitzer
Jede Identity eines KI-Agenten sollte einer verantwortlichen Person oder einem Team zugeordnet sein.
Schritt 3: Anwendung des Least-Privilege-Prinzips
Gewähren Sie nur den erforderlichen Zugriff und verwenden Sie nach Möglichkeit Just-in-Time-Token.
Schritt 4: Einbeziehung von KI bei Zugriffsprüfungen
Behandeln Sie KI-Accounts wie menschliche Accounts – überprüfen und zertifizieren Sie sie regelmäßig.
Schritt 5: Automatisierung der Lebenszyklusverwaltung
Verwenden Sie Workflows, um Identities von KI-Agenten automatisch zu provisionieren, zu aktualisieren und zu deprovisionieren.
Governance ist ein kontinuierlicher Prozess. Je früher Sie beginnen, desto einfacher wird es, die Kontrolle über den skalierenden KI-Einsatz zu behalten.
Benötigen Sie Hilfe beim Abhaken dieser Punkte auf Ihrer Liste? Erfahren Sie mehr darüber, wie Okta Ihnen hilft, KI-Agenten in Ihrem Unternehmen zu erkennen, zu verwalten und zu schützen.
Diese Materialien dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechts-, Datenschutz-, Sicherheits-, Compliance- oder Unternehmensberatung dar.
Der Inhalt gibt womöglich nicht den aktuellen Stand der relevanten Sicherheits-, Rechts- und Datenschutzfragen wieder. Es liegt in Ihrer Verantwortung, sich mit Blick auf die Rechtslage, den Datenschutz, die Sicherheit, die Compliance und das Business beraten zu lassen. Stützen Sie sich nicht allein auf diese Materialien.
Okta gibt keine Zusicherungen oder Garantien in Bezug auf diese Inhalte und haftet nicht für Verluste oder Schäden, die sich aus Ihrer Implementierung dieser Empfehlungen ergeben. Informationen zu den vertraglichen Zusicherungen von Okta gegenüber seinen Kunden finden Sie unter okta.com/agreements.
