Autonome Sicherheitsagenten schreiben heute Firewall-Regeln und ändern IAM-Policies. Das erhöht Tempo und Risiko zugleich. Ein OWASP Audit für autonome Agenten zeigt, wo Governance fehlt: Wer darf schreiben, wer liest externe Eingaben, welche Genehmigungen greifen? Mit klaren Kontrollen senken Teams das Risiko, bevor der nächste Agent live geht. In 2025 kaperten Angreifer legitime KI-Tools in mehr als 90 Organisationen durch bösartige Prompts. Diese Tools konnten Daten lesen, aber keine Firewalls ändern. Jetzt liefern Hersteller autonome SOC-Agenten aus, die Firewall-Regeln umschreiben, IAM-Policies anpassen und Endpunkte isolieren – über freigegebene APIs und mit eigenen privilegierten Identitäten. Der Gegner berührt das Netz nie; der Agent erledigt den Eingriff. Cisco stellte im Februar AgenticOps for Security vor, inklusive autonomer Firewall-Remediation und PCI-DSS-Funktionen. Ivanti startete Continuous Compliance und den Neurons AI Self-Service-Agenten mit eingebauten Richtlinien, Genehmigungen und Datenkontext-Prüfungen. Genau diese Governance fehlt oft – das dokumentiert OWASP mit den Agentic Top 10. CrowdStrike berichtet 2026, dass Angreifer legitime KI-Werkzeuge über Prompt-Injection zu unerlaubten Befehlen verleiteten. Laut Adam Meyers verkürzt KI die Zeit zwischen Absicht und Ausführung und macht Unternehmens-KI selbst zum Ziel. Staatlich gelenkte Offensiveinsätze mit KI stiegen um 89 Prozent. Parallel tauchten bösartige MCP-Server-Klone auf, die vertrauenswürdige Dienste imitierten und Daten aus KI-Workflows abgriffen. Das NCSC des Vereinigten Königreichs warnt: Prompt-Injection lässt sich womöglich nie vollständig abstellen.

Warum ein OWASP Audit für autonome Agenten jetzt Pflicht ist

OWASP veröffentlichte Ende 2025 die Top 10 für Agentic Applications. Besonders kritisch für SOC-Agenten mit Schreibrechten sind: – ASI01 Ziel-Hijacking: Externe Eingaben werden als Anweisungen missverstanden. – ASI02 Tool-Missbrauch: Gültige Berechtigungen werden zu destruktiven Aktionen gebogen. – ASI03 Identitäts- und Privilegmissbrauch: Agenten agieren mit zu weiten Service-Accounts. Palo Alto Networks beziffert das Verhältnis von Maschinen- zu Mensch-Identitäten im Schnitt auf 82:1. Jeder neue Agent verschärft diese Schere. Der Saviynt/Cybersecurity Insiders Report 2026 zeigt: 47 Prozent der CISOs sahen bereits unbeabsichtigtes Agentenverhalten, nur 5 Prozent trauen sich zu, einen kompromittierten Agenten sicher einzudämmen. 48 Prozent der befragten Profis bei Dark Reading nennen agentische KI den gefährlichsten Angriffsvektor. IEEE-USA betont: Das Risiko hängt weniger vom Modell ab, sondern von Autonomiegrad, Privileg-Scope und Betriebsumfeld.

Vom Lesen zum Schreiben: Die neue Angriffsfläche

Ein kompromittierter SOC-Agent kann heute: – Firewall-Regeln umschreiben, – IAM-Policies verändern, – Endpunkte isolieren – und das als „legitime“ Aktivität im EDR, weil alles über genehmigte APIs und privilegierte Agenten-Identitäten läuft. Cisco adressiert die Lücke mit intent-basierter Inspektion auf Netzwerkebene. Ivanti verankert Governance direkt in der Plattform: Continuous Compliance schließt Lücken zwischen Wartungsfenstern und Regulatorik, patched out-of-band und prüft jede Phase auf Policy-Konformität. Der Neurons AI Self-Service-Agent löst Standardfälle Ende-zu-Ende, aber nur innerhalb von Richtlinien, Genehmigungen und Datenkontext. Robert Hanson, CIO von Grand Bank, erwartet durch diese Fähigkeiten weniger Routinearbeit und mehr Fokus auf wertstiftende Aufgaben – „innerhalb der von uns definierten Leitplanken“. Das ist der Punkt: Geschwindigkeit und Governance schließen sich nicht aus. Ein OWASP Audit für autonome Agenten stellt sicher, dass Leitplanken vor Produktivbetrieb greifen.

Prüfen statt hoffen: Umsetzung des Audits und Sofortmaßnahmen

Die 10 Fragen des Audits

– Welche Agenten haben Schreibzugriff auf produktive Firewall-, IAM- oder Endpoint-Kontrollen? – Welche übernehmen externe Eingaben ohne Validierung? – Welche führen irreversible Aktionen ohne menschliche Genehmigung aus? – Welche speichern Kontext so, dass sich Vergiftungen über Sitzungen hinweg aufbauen? – Welche delegieren an andere Agenten und erzeugen Ketten erhöhter Privilegien? – Welche laden zur Laufzeit Drittanbieter-Plugins oder MCP-Server? – Welche generieren oder führen Code in Produktionsumgebungen aus? – Welche erben Benutzer-Credentials statt eng geschnittener Agenten-Identitäten? – Welche werden nicht auf Verhaltensdrift gegen den vorgesehenen Zweck überwacht? – Welche lassen sich durch persuasive Sprache zu Umgehung von Sicherheitskontrollen bewegen? Drei oder mehr „Weiß nicht“-Antworten zu einem Tool zeigen: Die Governance hält mit den Fähigkeiten nicht Schritt. Genau hier greift ein OWASP Audit für autonome Agenten mit Priorität.

Kernkontrollen, die jetzt wirken müssen

– Eingaben nach Vertrauensstufen klassifizieren; instruktionshaltige Inhalte aus untrusted Quellen blocken; externe Daten vor Agenten-Intake validieren (ASI01). – Werkzeuge minimal berechtigen; jeden Tool-Call mit Intent-Metadaten loggen; außerhalb des Basislinienmusters alarmieren (ASI02). – Agenten-spezifische, zeit- und aufgabenbegrenzte Identitäten ausstellen; geerbte User-Credentials abschaffen (ASI03). – Zulässige MCP-Server- und Plugin-Registry pflegen; Herkunft und Integrität vor Laufzeit prüfen; Unapproved blocken (ASI04). – Agenten-Code strikt sandboxen; produktive Codepfade nur nach Menschenfreigabe; dynamische Eval und ungeprüfte Installs sperren (ASI05). – Sitzungsübergreifende Speicher begrenzen; persistente Memories regelmäßig auditieren; Speicher strikt pro Aufgabenscope isolieren (ASI06). – Gegenseitige Authentisierung, Verschlüsselung und Schema-Validierung für Inter-Agent-Kommunikation durchsetzen (ASI07). – Delegationsketten komplett kartieren; Privileggrenzen je Handover erzwingen; Circuit Breaker gegen Kaskadenfehler einbauen (ASI08). – Hohempfehlungen unabhängig verifizieren; menschliche Freigaben inkl. Agenten-Reasoning lückenlos protokollieren (ASI09). – Verhaltensdrift erkennen; Baselines pro Agent festlegen; Abweichungen alarmieren (ASI10).

Praxisbeispiele: Governance ab Werk

– Ivanti Neurons for Patch Management: Continuous Compliance erzwingt Abgleich mit Regulierung, patcht Endpunkte außerhalb von Wartungsfenstern und prüft jeden Schritt auf Policy und Konformität. – Ivanti Neurons AI Self-Service-Agent: Von Intake bis Lösung, aber mit eingebauten Leitplanken für Richtlinien, Genehmigungen und Datenkontext. – Cisco AgenticOps for Security: Autonome Remediation und PCI-DSS-Funktionen; intent-basierte Inspektion auf Netzwerkebene als zusätzliche Erkennungsschicht. Diese Ansätze zeigen den Trend: Governance muss mitliefern, nicht nachrüsten. Ein OWASP Audit für autonome Agenten verifiziert, ob diese Zusagen in Ihrer Umgebung tatsächlich greifen.

Was der Vorstand hören sollte

– 2025 wurden laut CrowdStrike in über 90 Organisationen KI-Tools kompromittiert. – Die jetzt ausgerollten autonomen Tools besitzen deutlich mehr Privilegien. – Wir haben jedes Tool gegen die OWASP-Risiken geprüft und die Kontrollen umgesetzt. Falls Satz drei heute nicht stimmt, braucht es einen 30-Tage-Plan: Führen Sie das OWASP Audit für autonome Agenten für alle Werkzeuge mit Schreibzugriff auf produktive Infrastruktur durch. Jede Plattform, die in Produktion geht, muss denselben Standard erfüllen: Richtlinienerzwingung, Genehmigungstore und Datenkontext-Prüfung ab Start – nicht erst nach dem ersten Vorfall. So schützt das OWASP Audit für autonome Agenten Geschwindigkeit und Sicherheit gleichermaßen.

(Source: https://venturebeat.com/security/adversaries-hijacked-ai-security-tools-at-90-organizations-the-next-wave-has-write-access-to-the-firewall)

For more news: Click Here

FAQ