Mit dem rasanten Aufkommen der agentenbasierten KI ist das Kapitel der einfachen Prompt-und-Antwort-KI beendet. Die Bandbreite der neuen digitalen Belegschaft reicht von Backend-API-Orchestrierungen bis hin zu autonomen Kundendienst-Workflows und besteht ganz offensichtlich aus KI-Agenten. Dies mag der Produktivität Schubkraft verleihen, doch die nicht-menschlichen Identitäten können im Verborgenen agieren und hochprivilegierte Zugriffe nutzen, ohne dass dies von herkömmlichen Identity-Protokollen überwacht wird.
Transparenz ist das einzige Gegenmittel, um diese neuen Risiken in den Griff zu bekommen. Deshalb freuen wir uns umso mehr, dass Agent Discovery, eine Funktion von Okta Identity Security Posture Management, jetzt im Early Access (EA) verfügbar ist. Indem Okta die Übergabe zwischen Mitarbeitenden und den von ihnen verwendeten KI-Tools überwacht – die „erste Meile“ der Sicherheit – konvertiert Okta Schatten-KI-Agenten in verwaltete Identitäten. Die Agent Discovery-Funktion ist im Rahmen von ISPM auch in Okta for AI Agents verfügbar, während die umfassendere Lösung Okta for AI Agents jetzt ebenfalls im Early Access angeboten wird.
Die Transparenzlücke: Kritische Risiken für Sicherheitsverantwortliche
Sicherheitsverantwortliche tun sich heutzutage schwer, kritische Fragen wie die folgenden zu beantworten:
- Verliert unser Unternehmen geistiges Eigentum oder Kundendaten durch nicht genehmigte KI-Tools?
- Wir haben Millionen in die Produktivität investiert und KI-Builder-Plattformen genehmigt, doch wie viel Risiko ist damit verbunden? Was wäre das Worst-Case-Szenario bei einem Angriff?
- Welche übermäßig privilegierten, nicht rotierenden API-Keys steuern derzeit wichtige Agenten? Und wer ist verantwortlich, falls die Agenten außer Kontrolle geraten?
Wenn Sie sich mit solchen Fragen beschäftigen, sind Sie nicht allein. Durch den Wettlauf um die „Agentisierung“ der Unternehmen ist eine klaffende Transparenzlücke entstanden. Vollständige Transparenz ist unerlässlich, um das Vertrauen in die Sicherheitslage Ihrer KI-Agenten zu stärken.
Mit Agent Discovery können Sie diese Transparenz in vier wichtigen Phasen mühelos erlangen. Nachfolgend haben wir ein Playbook zusammengestellt, das Ihnen dabei hilft, die Kontrolle über Ihren KI-Bestand zurückzugewinnen:
Phase 1: Identifizierung der wichtigsten KI-Plattform-Agenten
Autorisierung ist nicht gleichbedeutend mit Transparenz. Denn während KI-Teams in genehmigten Umgebungen wie Microsoft Copilot, Salesforce Agentforce, AWS Bedrock, OpenAI, Google Vertex AI und Gemini Enterprise schnelle Entwicklungen realisieren, fehlt es den Security-Teams oft an administrativem Zugriff oder an Fachwissen, um diese Produktionsumgebungen zu überwachen. Doch selbst für Teams mit hochqualifizierten Ressourcen ist eine manuelle Überwachung angesichts der riesigen Anzahl von Agenten schier unmöglich.
Daraus ergibt sich mit Blick auf die Verantwortlichkeit ein gefährliches Defizit: Wenn durch KI eine Sicherheitsverletzung eintritt, werden Sie für die Auswirkungen zur Rechenschaft gezogen, Sie haben aber keine Möglichkeit, den aktuellen Status des bestehenden Risikos auszumachen. Um Vorfälle zu verhindern, müssen Sie in der Lage sein, Sicherheitskontrollen festzulegen und zu überwachen. Doch lässt sich überhaupt erkennen, ob einem Agenten zugunsten einer schnelleren Einrichtung „Super-Admin“-Berechtigungen gewährt wurden oder ob er auf gefährliche Weise den Zugriff zwischen kritischen Produktionsmandanten und unsicheren Entwicklungsmandanten überbrückt?
Könnten Sie nach einem Vorfall, bei dem ein Agent innerhalb dieser Plattformen kompromittiert wurde, eine genaue Liste der Daten erstellen, auf die er zugreifen kann?
Auch hier gilt: Vertrauen ist gut, Kontrolle ist besser. Doch ohne eine automatisierte Bestandsaufnahme von Agenten und Berechtigungen ist eine solche Kontrolle unmöglich.
Die Okta-Lösung: Machen Sie sich detaillierte Informationen zunutze und identifizieren Sie, wer für welche Agenten verantwortlich ist, welche Befugnisse diese Agenten tatsächlich haben und wo die größten Risiken liegen. Dadurch treten Ihre autorisierten Plattformen aus dem toten Winkel hervor und werden zu kontrollierten Assets, sodass „genehmigt“ gleichbedeutend mit „sicher“ ist.
Phase 2: Erkennung unbekannter, hochaktiver Agenten, die in nicht genehmigten Plattformen erstellt wurden
Sie können nicht kontrollieren, was Sie nicht sehen. Wenngleich sich die meisten Unternehmen auf einige wenige genehmigte Tools konzentrieren, lässt sich nicht ausschließen, dass sich Ihre Angriffsfläche unbemerkt in allen Abteilungen ausbreitet. Diese unbekannte Ebene der KI umfasst nicht genehmigte Plattformen, ungeprüfte Agent-Builder und versteckte MCP-Server, die alle außerhalb des Blickfelds von IT- und Security-Teams operieren.
Ein entscheidender Faktor für dieses Risiko ist OAuth-Grant. Um eigenentwickelte oder versteckte Agenten funktionsfähig zu machen, gewähren Mitarbeitende ihnen über per Benutzerzustimmung Zugriff auf zentrale Geschäftsdaten. Durch diesen Prozess wird ein OAuth-Token generiert. Dieser digitale Schlüssel ermöglicht der App den Zugriff auf Daten und die Durchführung von Aktionen im Namen einer Person.
Die Okta-Lösung: Das Browser-Plugin Okta Secure Access Monitor (SAM) speist ISPM mit Echtzeit-OAuth-Signalen und ermöglicht es Ihnen, die Kontrolle zu übernehmen:
- Identifizieren Sie Agenten, die auf nicht genehmigten Plattformen basieren.
- Identifizieren Sie übermäßig privilegierte Zugriffe: Bringen Sie Bereiche ans Tageslicht, in denen Agenten gefährliche Berechtigungen gewährt werden.
- Identifizieren Sie Schatten-SaaS: Machen Sie nicht autorisierte Anwendungen ausfindig, die rechtliche und Datenschutzprüfungen umgehen und das Unternehmen regulatorischen Risiken und Datenresidenzrisiken aussetzen.
Mit Okta for AI Agents unterstützt Okta Sie dabei, diese Agenten unter Kontrolle zu bringen, indem Sie sie als bekannte, verwaltete Identitäten in Okta registrieren, sichere Richtlinien anwenden und menschliche Verantwortliche zuweisen.
Phase 3: Stärkung der Identity-Ebene und Absicherung nicht-menschlicher Identitäten
KI-Agenten werden mit mehreren nicht-menschlichen Identitäten (NHIs) ausgeführt, darunter API-Token, Zugriffsschlüssel, Dienstprinzipale und OAuth-Token. Um KI-Agenten abzusichern, müssen Sie über den Bot hinausgehen und die technischen Schlüssel härten, die es den Agenten ermöglichen, auf kritische Anwendungen und Daten zuzugreifen. Dies erfordert tiefen Einblick in die Verbindungen zwischen dem KI-Agenten, der Person, die ihn erstellt hat, den NHIs, auf denen er basiert, und den Anwendungen, auf die er zugreifen kann.
Die Okta-Lösung: Verschaffen Sie sich einen Überblick über verschiedene NHI-Typen in SaaS, Identity-Anbieter, Cloud-Infrastruktur und On-Premise-AD, alles in einer einzigen Ansicht. Dadurch lassen sich die Risiken durch Ihre KI-Agenten mit mehr als 25 priorisierten Risikoerkennungen deutlich reduzieren. Diese sind den 10 größten von OWASP genannten Risiken durch NHIs zugeordnet und decken gravierende Lücken wie übermäßig privilegierte oder nicht rotierende Anmeldedaten auf, bevor sie zur Kompromittierung Ihrer KI-Agenten ausgenutzt werden.
Phase 4: Kontrolle durch Transparenz: Konsolidierte, einheitliche Identity-Plattform
Integrieren Sie die identifizierten KI-Agenten und die zugrunde liegenden NHIs mit Okta for AI Agents in dieselbe Identity-Plattform. Okta ist plattformneutral, daher können Sie unabhängig von der Herkunft nach Agenten suchen. Dank dieser Konsolidierung können Sie eine konsistente Sicherheitsrichtlinie für Ihre gesamte Belegschaft anwenden, also sowohl für menschliche als auch für nicht-menschliche Mitarbeitende.
Fazit: Sichere Identitäten bedeuten sichere KI
Bei der Umstellung auf eine autonome Belegschaft müssen Sie sich nicht zwischen Schnelligkeit und Sicherheit entscheiden. Denn KI-Sicherheit bedeutet in erster Linie Identity-Sicherheit. Durch Integrieren von KI-Agenten in Ihren bestehenden Identity Security Fabric machen Sie aus unbekannten Risiken kontrollierte Assets, die es Ihnen ermöglichen, Innovationen voranzutreiben, ohne Ihren Wirkungsradius zu erweitern.
- Mehr erfahren: Erfahren Sie, wie Okta künstliche Intelligenz von der ersten Codezeile während des gesamten Agentenlebenszyklus schützt.
- Wie wir das machen? In unserer Demo erfahren Sie, wie wir den Lebenszyklus von KI-Agenten absichern.
* Alle in diesem Artikel genannten Lösungen, Funktionen, Funktionalitäten, Zertifizierungen, Autorisierungen oder Bestätigungen, die derzeit noch nicht allgemein verfügbar sind oder noch nicht verkauft wurden, werden möglicherweise nicht zum angekündigten Zeitpunkt oder überhaupt nicht bereitgestellt bzw. verkauft. Wir sind nicht verpflichtet, diese bereitzustellen, und Sie sollten sich bei Ihren Kaufentscheidungen nicht auf sie verlassen.
