Vor Kurzem haben Sicherheitsforscher einen der neuen „agentischen“ KI-Browser auf die Probe gestellt. Die Aufgabenstellung war recht einfach: ein Produkt suchen, ein Formular ausfüllen und eine Bestellung vornehmen. Innerhalb weniger Stunden hatte der Browser auf eine Phishing-Anzeige geklickt, Kreditkartendaten auf einer gefälschten Website eingegeben und eine betrügerische Transaktion abgeschlossen – und das alles, ohne dass ein Mensch den Betrug mitbekommen hat.
Das Experiment mahnt auf beunruhigende Art und Weise an, wie leistungsfähig Browser bereits sind: Sie wissen, wohin wir gehen, wonach wir suchen und was wir kaufen. Sie speichern Cookies, Anmeldeinformationen, Token und Autofill-Daten, die uns im gesamten Web stillschweigend authentifizieren. Jede digitale Gewohnheit, jede Anmeldung und jede Spur von verhaltensbezogenen Metadaten fließt durch diese eine Anwendung. Wenn nun eine KI-Ebene im Browser aktiv wird, erhalten wir nicht nur eine intelligentere Schnittstelle, sondern auch eine exponierte Angriffsfläche.
Vom menschlichen Fehler zum Maschinenfehler im großen Maßstab
Phishing und Social Engineering nutzen schon lange das Verhalten menschlicher Benutzer aus, indem sie deren Neugier, Ablenkung und Vertrauen ausnutzen. Angreifer setzen auf Fehler und Masse: Irgendwo klickt immer jemand.
KI-Browser stellen dieses Muster auf den Kopf. KI-Agenten sind nicht impulsiv, aber gehorsam und bereit, alles zu tun, um eine Aufgabe für ihren Menschen zu erledigen. Wenn eine schädliche Seite versteckte Anweisungen oder manipulative Prompts enthält, wird ein KI-Agent diese ohne zu zögern verarbeiten und ausführen. Sobald ein Angreifer eine funktionierende Angriffsmethode gefunden hat, sei es durch Prompt Injection, manipulierten HTML-Code oder unsichtbaren Text, muss er keinen Menschen mehr täuschen. Er kann direkt in dessen Namen auf ganze Systeme abzielen.
Das altbewährte Angriffs-Playbook funktioniert weiterhin: gefälschte Anmeldungen, irreführende Popups, manipulierte Anzeigen oder CAPTCHA-Umgehungen. Der Unterschied ist die Größenordnung: Ein KI-Browser kann die gleiche fatale Entscheidung Tausende Male pro Sekunde treffen, über unzählige Sessions hinweg, und dabei für die Systeme, mit denen er in Berührung kommt, völlig legitim erscheinen.
Der vermeintlich verborgene Bedrohungsmultiplikator
Während der Geschichte des Internets wurden Browser größtenteils als Werkzeuge betrachtet, die Inhalte zwar anzeigen, aber nicht mit ihnen interagieren. Diese Annahme war noch nie ganz richtig. Browser sind seit jeher eine Goldgrube für Daten, einschließlich Surf-Verlauf, gespeicherte Passwörter, Session-Cookies und zwischengespeicherte Dokumente. Sie befinden sich bereits an der Schnittstelle von Identität, Daten und Verhalten.
Durch das Aufkommen „agentischer“ Browser wie Atlas von OpenAI, Comet von Perplexity oder des Copilot-Modus von Microsoft Edge vergrößert sich dieses Risiko. Agentische Browser geben Seiten nicht nur wieder, sondern interpretieren sie, fassen sie zusammen und führen Aktionen darauf aus. Sie kennen Ihren Kontext und Ihre Präferenzen, können Informationen abrufen, Workflows ausführen und sogar Transaktionen durchführen.
Für ein Unternehmenssystem wirken diese Aktionen völlig normal: Sie verwenden gültige Token, weisen korrekte Header auf und entsprechen einem üblichen Verhalten. Für einen Angreifer ist diese Legitimität eine willkommene Gelegenheit, denn ist der Agent einmal kompromittiert, übernimmt der Akteur das Vertrauen, die Identität und die Berechtigungen des Benutzers. Der Browser war schon immer eine der privilegiertesten Softwarekomponenten auf jedem Gerät.
Kaskadierendes Risiko
Die potenziellen Ausfallmodi sind Erweiterungen von Mustern, die Security-Teams bereits verstehen. Sie bewegen sich jetzt jedoch noch schneller bewegen und verfügen über breiteren Zugriff:
- Datenexposition: KI-Browser können sensible Dashboards zusammenfassen oder vertrauliche Daten im Speicher zwischenspeichern, wodurch diese durch die Maschen der Compliance- und DLP-Kontrollen rutschen.
- Betrug und Transaktionen: Durch Prompt Injection manipulierte Agenten können Käufe, Überweisungen oder Genehmigungen ohne menschliche Bestätigung initiieren.
- Diebstahl von Anmeldedaten: Autofill-APIs und gespeicherte Sessions können dazu veranlasst werden, Anmeldedaten auf gefälschten Seiten einzugeben.
- Reputationsschaden: Automatisierte Systeme können im Namen von Benutzern Beiträge veröffentlichen oder Nachrichten senden, wodurch Risiken für das öffentliche Vertrauen und die Authentizität entstehen.
Einzeln betrachtet, ist jedes dieser Risiken bekannt, doch zusammen bilden sie eine Bedrohung, die innerhalb des Perimeters völlig legitim operiert.
Verantwortlichkeit, Absicht und Vertrauen
Die größte Herausforderung ist gar nicht die Erkennung, sondern die Zuordnung der verantwortlichen Entität. Unsere derzeitigen Sicherheitskonzepte gehen davon aus, dass hinter jeder Handlung eine Person steht. Wenn Browser jedoch autonom handeln, ist diese Zuordnung nicht mehr gegeben.
Ein KI-Browser kann auf sensible Daten zugreifen, Workflows genehmigen oder Informationen mit einem anderen Dienst austauschen – und das alles unter Verwendung der richtigen Anmeldedaten im richtigen Netzwerk. Aus der Überwachungsperspektive sieht alles normal aus, doch der Faktor Absicht ist aus der Gleichung verschwunden.
Ohne die Möglichkeit, diese nicht-menschlichen Akteure eindeutig zu identifizieren und einzuschränken, kommt Unternehmen sowohl die Transparenz als auch die Kontrolle abhanden. Sie können nicht einfach feststellen, wer oder was eine Aktion ausgeführt hat, oder ob diese überhaupt autorisiert war. In diesem neuen Kontext wird Identity-Management zu dem Mittel, das den Aspekt der Verantwortlichkeit in die Interaktionen zurückbringt.
Wenn eine Entität, ganz gleich ob Mensch oder Maschine, sich anmelden, auf Daten zugreifen und Befehle ausführen kann, muss sie über eine Identität, klar definierte Berechtigungen und ein überprüfbares Verhalten verfügen. Und im Falle von KI-Agenten muss dies an einen verantwortlichen menschlichen Besitzer gebunden sein. Andernfalls wird Vertrauen zur Vermutung und eine „normale Aktivität“ wird zur nächsten Insider-Bedrohung.
Fragen, die sich Sicherheitsverantwortliche stellen sollten
Wir alle wissen, dass CISOs durch neue KI-Anwendungsfälle und Regulierungsdruck bereits stark vereinnahmt sind. Doch mit ein paar einfachen Fragen lässt sich ausmachen, wo Risiken am schnellsten wachsen:
- Können wir feststellen, ob eine Aktivität in unseren Protokollen von einem Menschen oder einem Agenten initiiert wurde?
- Sind unsere Zugriffsrichtlinien granular genug, um delegierte Browseraktionen zu kontrollieren?
- Unterscheiden unsere DLP- und Betrugssysteme zwischen agentischer Automatisierung und Benutzerverhalten?
- Was passiert, wenn ein KI-Browser kompromittiert wird und Daten über legitime APIs exfiltriert?
- Wie erstellen wir Audit-Trails, die in der Lage sind, in einer autonomen Umgebung Absicht nachzuweisen?
Die Antworten auf diese Fragen werden maßgeblich dafür sein, wie gut ein Unternehmen auf die nächste Generation webbasierter Automatisierung vorbereitet ist.
Schutz des agentischen Webs
Browser waren schon immer ein begehrtes Ziel. Sie wissen, wer wir sind, was wir tun und wo unsere Daten gespeichert sind. Kommt dann noch KI dazu, steigt das Risiko.
Da KI-Browser und KI-Agenten zunehmend Teil unseres beruflichen Alltags werden, müssen Security-Teams bekannte Prinzipien auf unbekanntes Terrain anwenden. Verifizierung, Durchsetzung des Least-Privilege-Prinzips, kontinuierliche Überwachung und schnelle Session-Beendigung sind nach wie vor die tragenden Säulen. Der Unterschied besteht darin, dass sie nun auch für Software-Akteure und nicht nur für menschliche Benutzer zum Einsatz kommen müssen.
Um Daten in dieser Umgebung zu schützen, müssen Identity-basierte Kontrollen auf jede Entität ausgeweitet werden, die im Netzwerk agieren kann. Nur wenn jede Aktion an eine verifizierte Identität gebunden ist und ihr Verhalten kontinuierlich bewertet wird, können wir die Verantwortlichkeit wahren, von der moderne Sicherheit abhängt.
Erfahren Sie mehr darüber, wie Okta Unternehmen beim Schutz von KI-Agenten unterstützt.
