AI Security

Ihre KI-Agenten sind in der Überzahl

Maschinenidentitäten übersteigen die Zahl der Mitarbeiter um bis zu 80 zu 1, und die meisten sind ungesteuert. Warum Ihre KI-Agenten Ihr am schnellsten wachsendes Sicherheitsrisiko sind.

Von Leon Soliman · 2026-06-26 · 2 Min. Lesezeit

Die wichtigsten Punkte

Nicht-menschliche Identitäten, darunter KI-Agenten, Dienstkonten und API-Schlüssel, übersteigen die Zahl der menschlichen Mitarbeiter in großen Organisationen inzwischen um bis zu 80 zu 1.
Die meisten besitzen dauerhafte Anmeldedaten und weitreichenden Zugriff, den niemand rotiert oder stilllegt; in vielen Beständen sind 47 Prozent dieser Identitäten älter als ein Jahr und werden nie überprüft.
Marktplätze für Agenten-Skills sind zu einer aktiven Lieferkette geworden: Auf einem weit verbreiteten Marktplatz fanden Forscher rund jeden fünften Skill zur Waffe umfunktioniert.
Die Lösung ist Governance, nicht ein weiteres Werkzeug: ein echtes Inventar nicht-menschlicher Identitäten, minimale Rechte, Rotation und ein funktionierender Offboarding-Prozess für Agenten.

Sie haben eine Belegschaft eingestellt, die niemand führt

Jeder KI-Agent, den Sie einsetzen, ist ein Arbeiter mit einem Schlüssel zu Ihren Systemen. Er meldet sich an, liest Daten, ruft andere Dienste auf und handelt, ohne dass ihn jemand beobachtet. Der Unterschied ist, dass niemand im Unternehmen ihn als Mitarbeiter behandelt, und so wendet auch niemand die Kontrollen an, die er bei einem Mitarbeiter anwenden würde.

Die Zahlen lassen sich kaum noch ignorieren. KPMG berichtet, dass nicht-menschliche Identitäten, also die Dienstkonten, API-Schlüssel, Automatisierungs-Anmeldedaten und KI-Agenten, die im Unternehmen laufen, die Zahl der menschlichen Nutzer in großen Organisationen um bis zu 80 zu 1 übersteigen. Branchenforschung zeigt, dass 47 Prozent dieser Identitäten älter als ein Jahr sind, ohne dass die Anmeldedaten rotiert wurden, und die große Mehrheit besitzt weit mehr Zugriff, als sie je benötigt.

Die Lieferkette der Agenten ist nun eine Angriffsfläche

Moderne Agenten arbeiten nicht allein. Sie beziehen Skills, Plugins und Konnektoren aus gemeinsamen Marktplätzen, jedes davon ein Paket mit Zugriff auf Ihre Daten und Ihre Systeme. Dieser Komfort ist zugleich eine Hintertür. Wenn Sie einen Skill installieren, erben Sie alles, was sein Autor darin hinterlegt hat.

Das ist längst nicht mehr theoretisch. Auf einem weit verbreiteten Marktplatz für Agenten-Skills fanden Sicherheitsforscher, dass rund jeder fünfte veröffentlichte Skill zur Waffe umfunktioniert worden war und mehr als ein Drittel mindestens einen Sicherheitsmangel aufwies, von Prompt-Injection bis zu offengelegten Geheimnissen. Autonome Agenten machen bereits etwa jeden achten gemeldeten KI-Sicherheitsvorfall aus, und die meisten Unternehmen geben an, im vergangenen Jahr mindestens einen Agenten-Vorfall gehabt zu haben.

Steuern Sie die Agenten, wie Sie Menschen steuern

Die Antwort ist nicht, die Einführung zu verlangsamen, und es ist auch kein weiteres Erkennungsprodukt, das im Nachhinein angeschraubt wird. Sie besteht darin, nicht-menschliche Identitäten mit der Disziplin zu behandeln, die Sie bereits auf Mitarbeiter anwenden: ein vollständiges Inventar, welche Agenten existieren, welche Anmeldedaten sie besitzen und worauf sie zugreifen dürfen.

Das bedeutet minimale Rechte als Standard, geplante Rotation der Anmeldedaten, Überwachung dessen, was jeder Agent tatsächlich tut, und einen echten Offboarding-Prozess, damit ein stillgelegter Agent seinen Zugriff an dem Tag verliert, an dem er nicht mehr genutzt wird. Unternehmen, die das richtig machen, behalten die Geschwindigkeit der Agenten, ohne eine ungesteuerte Angriffsfläche zu erben. Wer es nicht tut, wird lernen, dass seine größte Belegschaft jene war, die es nie eingestellt hat.

Weiterlesen: Ihre Verschlüsselung läuft ab · KI-Undurchsichtigkeit wird jetzt gegen Sie gewertet

Häufig gestellte Fragen

Was ist eine nicht-menschliche Identität?

Eine nicht-menschliche Identität ist jede Anmeldeinformation, die zu Software statt zu einer Person gehört: Dienstkonten, API-Schlüssel, OAuth-Token, Automatisierungs-Bots und KI-Agenten. Jede davon kann sich anmelden und in Ihren Systemen handeln, weshalb sie dieselbe Governance benötigt wie menschliche Konten.

Wie beginnen wir damit, KI-Agenten zu steuern?

Beginnen Sie mit einem Inventar: Listen Sie jeden Agenten und jede nicht-menschliche Identität auf, die Anmeldedaten, die sie besitzt, und den Zugriff, den sie hat. Von dort aus wenden Sie minimale Rechte an, rotieren die Anmeldedaten nach einem Zeitplan, überwachen die Aktivität und definieren einen Offboarding-Schritt, der den Zugriff in dem Moment entfernt, in dem ein Agent stillgelegt wird.

Ihre KI-Agenten sind bereits Ihre größte Belegschaft. Sie zu steuern ist nicht länger optional.

AI Agents Non-Human Identity AI Security Governance Supply Chain

Mehr aus dem Servola Journal

Information Security

Ihre Verschlüsselung läuft ab

2026-06-26 · 2 Min. Lesezeit

Beitrag lesen →

AI Risk and Governance

KI-Undurchsichtigkeit wird jetzt gegen Sie gewertet

2026-06-25 · 3 Min. Lesezeit

Beitrag lesen →

AI Governance

Der Betriebsrat kann Ihre KI stoppen

2026-06-25 · 3 Min. Lesezeit

Beitrag lesen →

Servola

Servola hilft Unternehmen, ihre KI-Agenten und nicht-menschlichen Identitäten zu inventarisieren, zu steuern und stillzulegen, bevor sie zum Sicherheitsvorfall werden, auf Deutsch und Englisch.

Vertrauliches Gespräch anfragen Über Servola →

Servola ist technologische Beratung für einige wenige Familien und Family Offices. Wenn eine Entscheidung nicht delegierbar ist, sitzen wir auf Ihrer Seite des Tisches.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Alle Beiträge