KI-Agenten – aber sicher!
KI-Agenten, die eigenständig handeln, kommunizieren und auf Daten zugreifen, sind technisch beeindruckend, bergen aber neue Risiken. Und das betrifft auch lokale LLM-Apps, KI-Browser oder moderne Coding-Tools. Wie kann man sie trotzdem sicher einsetzen?
Save to Folio
„Agentic AI“ und auch KI-Agenten sind für viele IT- und Security-Teams das neue Schlagwort zum Beginn des Jahres. Doch während es sich bei Agentic AI in der Regel um hochkomplexe Systeme handelt, die nicht „mal eben“ aufgesetzt werden können, sieht es bei KI-Agenten anders aus. Das liegt teilweise an der Nutzung der Agentenfunktionen der neuen KI-Browser (oder Browser-Plug-ins), oder an der Freischaltung von Werkzeugen und Datenzugriffen für die lokalen KI-Apps der Anbieter oder ganz einfach an den neuen, wesentlich leistungsfähigeren Coding Agents.
Und obwohl die Ergebnisse solcher Workflows faszinieren, sind KI-Agenten nicht frei von Problemen. Betrüger können einen Chatbot dazu bringen, jemand ein Auto gewissermaßen umsonst zu verkaufen oder umgekehrt, Chatbots versprechen Leistungen, die nicht im Preis enthalten sind. Und während man diese Vorkommnisse als Einzelfälle oder „Glitches“ abtun mag, sieht es bei großangelegten Kompromittierungen und Datenlecks wie bei Slack oder im Rahmen der EchoLeak-Lücke schon anders aus. Und noch schlimmer -- die Kompromittierung von Lieferketten in der Entwicklung durch Vibe-Coding-Tools und -Prozesse, z. B. durch GitHub-Probleme.
Viele dieser Vorfälle sind auf eine Kombination mehrerer Agenten-Funktionen zurückzuführen, die zu unbeabsichtigten Nebeneffekten geführt haben. Diese Fähigkeiten sind jedoch oft genau das, was KI-Agenten so leistungsfähig macht:
- Fähigkeit zur externen Kommunikation
- Zugriff auf interne/sensitive Daten
- Exponierung gegenüber externen/nicht vertrauenswürdigen Inhalten
Die Gefahr dabei liegt in der Kombination. Wenn ein Agent nur eine dieser Fähigkeiten benötigt, ist das Risiko sehr gering. Allerdings gibt es kaum ein Agenten-Szenario, das damit abgedeckt werden kann. In der Regel sind mindestens zwei Fähigkeiten erforderlich. Das bedeutet aber auch, dass das Risiko steigt, vielmals in einem noch vertretbaren Rahmen.
Gänzlich riskant wird es aber, wenn ein Agent alle drei Fähigkeiten auf sich vereint. Dann sind einer möglichen Kompromittierung Tür und Tor geöffnet. Dies geht so weit, dass viele Experten aus sicherheitstechnischer Sicht ganz klar eine Beschränkung auf maximal zwei dieser Fähigkeiten fordern.
Und um es noch einmal ganz deutlich zu sagen: Wir sprechen hier nicht nur von professionellen Agenten, die im Rahmen geplanter Projekte implementiert werden. Bereits mit lokalen LLM-Apps, KI-Browsern oder Vibe-Coding-Tools hat man heute in der Regel die Möglichkeit, eigene Agenten zu erstellen und zu nutzen.
Deshalb sind die folgenden Tipps nicht nur für Betreiber von KI-Systemen relevant, sondern für alle, die KI über das einfache Chatbot-Interface hinaus nutzen.
- Überlegen Sie, welche Fähigkeiten Ihre Agenten benötigen. Dies muss nicht über eine umfassende Softwareüberprüfung festgestellt werden. Fragen nach externer Kommunikation, Zugang zu internen Daten sowie Exponierung gegenüber nicht vertrauenswürdigen Daten reichen aus. Gibt es auf mehr als eine Frage eine positive Antwort, ist Vorsicht geboten. Gibt es drei positive Antworten, könnte ein Sicherheitsproblem vorliegen.
- Vorsicht bei Templates: Im Sinne einer besseren Benutzererfahrung werden in Agentenvorlagen oft alle möglichen Funktionen und Fähigkeiten freigeschaltet. Dies erleichtert zwar oft die Handhabung der Agenten, birgt jedoch auch entsprechende Risiken. Dementsprechend lohnt es sich, entweder mit weniger funktionalen Templates zu beginnen und dann entsprechende Fähigkeiten zuzulassen oder nach der Erstellung des Agenten aus einem Template sehr genau hinzuschauen, welche Fähigkeiten der Agent wirklich braucht, und nicht benötigte Komponenten zu deaktivieren.
- Nachfragen bei der Werkzeugnutzung: Auch wenn die ständigen Nachfragen der Agenten wie „Ich möchte dieses Werkzeug jetzt folgendermaßen nutzen. Darf ich das?“ auf den ersten Blick lästig erscheinen, ermöglichen sie doch eine gewisse Kontrolle und Überprüfung, ob der Bearbeiter das tut, was man eigentlich möchte. Man muss sich auch darüber im Klaren sein, dass die Abfrage in keinem Verhältnis zum Risiko der Aktion steht. Die Abfrage für den Schreibzugriff auf das gesamte lokale Dateisystem (evtl. mit Zugriff auf Dateiserver) sieht genauso aus wie die Abfrage, ob der Agent eine Webseite herunterladen darf. Es lohnt sich also, die Toolabfragen zu lesen und nicht einfach blind zu klicken.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.