Unternehmens-IT: Einsatz von agentischer KI birgt hohes Risiko für Firmen - Golem.de


Laut einem Experten kann durch den unkontrollierten Umgang eine Schatten-IT entstehen. Cyberkriminelle nutzen KI-Agenten, um Systeme zu scannen.

Jörg von der Heydt von Bitdefender (Bild: Bitdefender)

Jörg von der Heydt von Bitdefender Bild: Bitdefender

Durch die unabhängigen Assistenten der agentischen KI wächst die Angriffsfläche in der Unternehmens-IT enorm. Das sagte Jörg von der Heydt, Regional Director DACH bei dem rumänischen Antiviren- und Securityunternehmen Bitdefender am 14. Juli 2026. "Viele Unternehmen erlauben inzwischen den Einsatz bestimmter KI-Dienste über vertraglich geregelte Business-Zugänge. Dort ist zumindest teilweise definiert, wie eingegebene Daten verarbeitet, gespeichert oder vom Training ausgeschlossen werden. Parallel dazu entsteht jedoch Schatten-KI", erklärte von der Heydt.

Beschäftigte nutzten private Accounts, kostenlose oder nicht empfohlene Tools sowie KI-Funktionen in Anwendungen, ohne dass IT-Betrieb, Sicherheit oder Compliance davon wüssten. Bisweilen sei nicht einmal den Nutzern selbst bewusst, dass eine Anwendung im Hintergrund KI einsetzt. Die Agenten übermittelten vertrauliche Informationen dann unkontrolliert an externe Systeme.

Von der Heydt sagte: "Ein Agent kann Daten suchen, Prozesse anstoßen, Skripte ausführen oder mit anderen Systemen interagieren. Wird er kompromittiert oder falsch konfiguriert, kann der Schaden erheblich sein. Besonders kritisch ist es, wenn Agenten auf Unternehmensgeräten laufen. Haben sie Zugriff auf Netzlaufwerke, interne Systeme oder sensible Dokumente, wird ein eigentlich produktivitätsorientiertes Tool schnell zum Einfallstor für Gefahren. "

Risiko durch Community-Erweiterungen

Ein weiteres Risiko entstehe durch Community-Erweiterungen. Offene Agentensysteme erlauben häufig das Nachladen sogenannter Skills oder Plugins. Diese bringen dem Agenten neue Fähigkeiten bei, etwa E-Mails auszuwerten, Rechnungen zu analysieren oder Informationen aus bestimmten Quellen zu verarbeiten. Doch manipulierte Erweiterungen könnten Schadcode enthalten, Daten abgreifen oder verdeckt Aktionen ausführen.

So bestehe zum Beispiel beim KI-Agenten Openclaw das Risiko durch kostenlose Open-Source-Skills, über die Angreifer bösartigen Code einschleusten, der dann mit vollen Zugriffsrechten im Heim- oder Firmennetzwerk ausgeführt werde. "Für Organisationen ist dies besonders gefährlich, denn wenn ein Mitarbeiter Openclaw auf dem Arbeitsrechner installiert, erhält das Tool Zugriff auf alle verbundenen Netzwerklaufwerke und proprietäre Geschäftsdaten. Aufgrund der Risiken sind bereits Varianten wie Nanoclaw oder Picoclaw entstanden, die in isolierten Containern laufen, um den Zugriff auf das restliche System zu verhindern. Container, Sandboxing und eingeschränkte Rechte können helfen, das Risiko durch KI-Agenten zu reduzieren. Vollständig gelöst ist das Problem jedoch nicht", betonte von der Heydt.

Agenten greifen Firmendaten ab und reichen sie an andere weiter

Cyberkriminelle könnten Agenten nutzen, um Systeme zu scannen, Zugangsdaten zu verwerten, interne Informationen zu priorisieren oder weitere Angriffsschritte vorzubereiten. Es sei mittlerweile ein kriminelles Ökosystem entstanden, in dem Agenten ihrerseits mit Agenten ohne jegliches menschliches Eingreifen miteinander kommunizierten. So sei zum Beispiel beobachtet worden, wie Agenten aus kompromittierten Unternehmen erbeutete Login-Daten wiederum an andere verkauften – alles in Maschinengeschwindigkeit. Bis ein Mensch reagiere, seien Login-Daten bereits automatisiert gestohlen, verkauft und das Ziel erfolgreich angegriffen worden, sagte von der Heydt.

Nötig seien klare Nutzungsregeln, welche Daten in ein LLM eingegeben und für welche Aufgaben KI-Agenten auf Firmengeräten genutzt werden dürfen. "Wichtig ist die richtige Balance. Reine Verbote werden kaum funktionieren, weil der Produktivitätsgewinn für viele Mitarbeitende zu attraktiv ist und Sicherheitsbedenken beiseitezuschieben hilft. Besser ist ein Ansatz, der einen sicheren Gebrauch ermöglicht: mit verständlichen Regeln, überprüften und freigegebenen Tools und konkreten, praxisnahen Beispielen dafür, was erlaubt ist und was nicht, um Unklarheiten zu vermeiden", erklärte der Experte.