KI-Agenten werden immer leistungsfähiger. Sie können automatisch Schlussfolgerungen ziehen, planen, Kontextinformationen abrufen und Maßnahmen in Dutzenden von Systemen ergreifen. Sie können miteinander interagieren und externe Tools nutzen. Und sie werden bereits heute in Produktionsumgebungen eingesetzt. Doch diese Agenten werfen ein Governance-Problem auf, dem nicht genügend Aufmerksamkeit geschenkt wird.
Die meisten KI-Agenten verfügen über weitaus mehr Zugriffsrechte, als sie benötigen. Wenn ein Entwickler einen KI-Agenten mit einer Reihe von Tools (z. B. CRM, Datenbank, ERP-System) verbindet, ist der schnellste Weg auch derjenige mit den geringsten Sicherheitsvorkehrungen. Ein API-Schlüssel liefert Daten. Ein Dienstkonto gewährt Zugriff. Der Agent ruft auf, was er benötigt. Die Demo überzeugt. Der Proof of Concept ist erfolgreich.
Dann geht jemand der Sache genauer auf den Grund und stellt Fragen:
- Auf was genau hat dieser Agent Zugriff?
- Was hat es gestern gemacht?
- Könnte es Daten erfasst haben, auf die es eigentlich keinen Zugriff haben sollte?
In den meisten Unternehmensumgebungen lautet die ehrliche Antwort heute: Wir sind uns nicht ganz sicher.
Das Problem mit dem breiten Zugang
Das Standardmodell, mit dem KI-Agenten Zugriff auf Unternehmensanwendungen erhalten, ähnelt überraschenderweise der Situation, in der man einem neuen Mitarbeiter am ersten Arbeitstag einen Generalschlüssel übergibt. Nicht, weil jemand das gründlich durchdacht hätte, sondern weil es der einfachste Weg war, die Dinge zum Laufen zu bringen.
Bei den meisten Frameworks für KI-Agenten können Sie Tools bereitstellen, indem Sie den Agenten auf einen API-Endpunkt verweisen. Es gibt keine Durchsetzung von Richtlinien, keine Zugriffsbeschränkungen und keinen Prüfpfad. Der Agent ruft das Tool auf, das Tool antwortet, und alle machen weiter.
In einer Sandbox funktioniert das einwandfrei. In einer Unternehmensumgebung mit regulierten Daten, Compliance-Anforderungen und echten Benutzern, deren Identität von Bedeutung ist, wird dies jedoch zu einem Governance-Problem mit realen Konsequenzen.
Was „Zugriff mit geringsten Berechtigungen“ für KI-Agenten tatsächlich bedeutet
Das Prinzip der geringsten Berechtigungen ist seit Jahrzehnten ein Sicherheitsstandard. Benutzer und Systeme sollten nur Zugriff auf die Ressourcen haben, die sie tatsächlich für ihre Arbeit benötigen.
Bei KI-Agenten muss dieses Prinzip auf jeder Ebene angewendet werden.
Auf welche Tools kann der Mitarbeiter zugreifen? Nicht jeder Mitarbeiter benötigt Zugriff auf jedes System. Ein Personalreferent muss keine Finanzdaten abfragen. Ein Kundendienstmitarbeiter benötigt keinen Schreibzugriff auf die Produktionsdatenbank.
In wessen Namen handelt der Agent? Wenn ein KI-Agent eine Aktion ausführt, sollte er dies mit den Berechtigungen des jeweiligen Benutzers tun, der die Aktion ausgelöst hat, und nicht als generisches Dienstkonto mit pauschalem Zugriff.
Was kann der Agent innerhalb der einzelnen Tools tatsächlich tun? Durch das „Token Downscoping“ können Sie für jede Aktion eine Berechtigung mit eng begrenztem Umfang vergeben, wodurch der Zugriff des Agenten selbst innerhalb eines Systems, für dessen Nutzung er autorisiert ist, eingeschränkt wird. Selbst wenn also etwas schiefgeht, bleibt der Schaden begrenzt.
Auf diese drei Fragen gibt es keine komplizierten Antworten. Doch die meisten heutigen Frameworks für KI-Agenten stellen sie überhaupt nicht.
Der Ansatz von SnapLogic: richtliniengesteuerte Tool-Aufrufe
MCP (Model Context Protocol) ist ein offener Standard, der festlegt, wie KI-Agenten Unternehmensanwendungen erkennen und aufrufen. Der MCP-Server von SnapLogic basiert auf einem anderen Modell für den Agentenzugriff. Jede Anwendung ist eine SnapLogic-Pipeline, die auf Ihrer Infrastruktur läuft, Ihren Richtlinien unterliegt und denselben API-Verwaltungsregeln unterliegt, die auch für Ihre übrigen Unternehmensintegrationen gelten.
Governance ist kein optionales Element und kann nicht nachträglich hinzugefügt werden. Ein MCP-Server kann nur erstellt werden, wenn er einer Richtliniengruppe zugeordnet ist. Dies ist ein Pflichtfeld bei der Erstellung.
Das bedeutet, dass Ratenbegrenzung, IP-Beschränkungen, Authentifizierungsanforderungen und rollenbasierte Zugriffskontrollen für jedes Tool, das Ihre KI-Agenten aufrufen können, zwingend erforderlich sind, bevor überhaupt ein einziger Aufruf erfolgt.
Warum das wichtiger ist, als du denkst
Die Frage ist nicht, ob Ihre KI-Agenten irgendwann Zugriff auf sensible Systeme erhalten werden. Das ist ja gerade der Sinn ihres Einsatzes. Die Frage ist vielmehr, ob Sie diesen Zugriff kontrollieren können, wenn es soweit ist.
Die Alternative wäre, sie zu sperren, damit sie keinen Schaden anrichten oder sensible Informationen preisgeben können, doch diese Einschränkung schränkt auch die Nützlichkeit der Agenten erheblich ein. Die Beschränkung des Zugriffs ist keine Governance.
Die Zugriffskontrolle für KI-Agenten ist nicht nur eine Frage der Sicherheit. Sie ist eine Grundvoraussetzung für den Einsatz von KI im Unternehmensmaßstab. Ohne sie bringt jeder neu bereitgestellte Agent eine neue Angriffsfläche, ein neues Compliance-Risiko und einen neuen Unsicherheitsfaktor mit sich.
In Teil 2 werden wir uns eingehender mit dem Thema Identität befassen: insbesondere damit, warum es eine Rolle spielt, als welcher Benutzer ein KI-Agent auftritt, und wie die Token-Propagation-Lösung von SnapLogic, „Trusted Agent Identity“, sicherstellt, dass die richtige Identität den Agenten bis hin zum Backend-System begleitet.
Dies ist eine dreiteilige Serie zur Vorbereitung auf unsere bevorstehende virtuelle Diskussion mit dem Titel „Steuerung von KI-Agenten: Sicherer Zugriff, Identitätsmanagement und Kontrolle im Unternehmensmaßstab“.Seien Sie am 10. Juni in Ihrer Region dabei: Melden Sie sich für die EMEA-Übertragung oder die Nordamerika-Übertragungan. Wir freuen uns auf Sie!
