KI-Agenten (AI agents) und Modelle schaffen eine wachsende Angriffsfläche für Cyberangriffe, warnen Sicherheitsexperten
Die rasche Integration von künstlicher Intelligenz (artificial intelligence) in die Unternehmensinfrastruktur löst einen tiefgreifenden Wandel im Bereich der Cybersicherheit aus. Während Organisationen darum wetteifern, autonome KI-Agenten (AI agents) bereitzustellen und große Sprachmodelle (large language models, LLMs) über offene Standards zu integrieren, schlagen Sicherheitsexperten Alarm wegen einer massiv wachsenden Angriffsfläche. Von ungesicherten Endpunkten, die das Model-Kontext-Protokoll (Model Context Protocol, MCP) ausführen, bis hin zu staatlichen Akteuren, die KI für Cyberkriegsführung nutzen, entwickelt sich der Bedrohungsvektor schneller als viele Abwehrmechanismen mithalten können.
Das Risiko agentischer KI: Eine neue Grenze
Die Bereitstellung von KI-Agenten—autonome Software, die komplexe Workflows ausführen und Entscheidungen treffen kann—hat eine Verwundbarkeitsebene eingeführt, die traditionelle Sicherheitsparadigmen nur schwer adressieren können. Dr. Margaret Cunningham, Vice President of Security and AI Strategy bei Darktrace Inc., hob während eines jüngsten Briefings der Cloud Security Alliance (CSA) hervor, dass das Verhaltensmuster agentischer KI die Sicherheitslandschaft grundlegend verändert.
Im Gegensatz zu statischen Softwaretools benötigen KI-Agenten umfangreiche Berechtigungen, um auf Daten zuzugreifen, mit anderen Agenten zu kommunizieren und Code auszuführen. Diese Autonomie, die Effizienz vorantreibt, schafft eine durchlässige Perimeterzone. Die Einführung des Model-Kontext-Protokolls (Model Context Protocol, MCP) durch Anthropic Ende 2024 sollte standardisieren, wie KI-Modelle sich mit externen Daten und Werkzeugen verbinden. Aktuelle Erkenntnisse deuten jedoch darauf hin, dass diese Konnektivität einen hohen Sicherheitspreis gefordert hat.
Die MCP-Schwachstelle: 95 % Blindstellen
Eine der besorgniserregendsten Enthüllungen stammt aus einer Analyse von MCP-Server-Deployments. MCP-Server, die als Verbindungsglied zwischen großen Sprachmodellen und externen Datensätzen dienen sollen, werden oft mit unzureichender Aufsicht bereitgestellt. Aaron Turner, Dozent bei IANS Research, erklärte unmissverständlich, dass er noch keine "echte native Full-Stack-Sicherheit" innerhalb des Protokolls gefunden habe, und warnte Organisationen, sich auf schwere Konsequenzen vorzubereiten.
Forschungsergebnisse von Clutch Security Inc. zeichnen ein düsteres Bild des aktuellen Zustands der MCP-Sicherheit:
Table 1: Critical Security Gaps in MCP Deployments
| Metric | Finding | Implication |
|---|---|---|
| Deployment Location | 95% of MCPs run on employee endpoints | Bypasses centralized server security controls |
| Visibility Level | Zero visibility for security teams | IT cannot monitor or audit agent activity |
| Recommended Posture | "Treat as Malware" (Aaron Turner) | Requires strict isolation and zero-trust protocols |
| Attack Vector | CI Pipelines and Cloud Workloads | Potential for supply chain injection and lateral movement |
Die Tatsache, dass die überwältigende Mehrheit dieser Deployments auf Mitarbeiterendgeräten liegt, bedeutet, dass sie außerhalb des Blickfelds standardmäßiger serverseitiger Sicherheitswerkzeuge betrieben werden. Diese „Shadow AI“-Infrastruktur verwandelt effektiv jeden verbundenen Laptop in einen potenziellen Einstiegspunkt für Angreifer, die versuchen, die KI-Agenten gewährten Vertrauensverbindungen auszunutzen.
Zunehmende Angriffe auf LLM-Infrastrukturen
Die Bedrohung ist nicht nur theoretisch; die aktive Ausnutzung von KI-Infrastrukturen erfolgt bereits in großem Maßstab. GreyNoise Intelligence Inc., ein Cybersicherheits-Unternehmen, das sich auf die Analyse von Internet-Hintergrundrauschen spezialisiert hat, hat einen dramatischen Anstieg feindlicher Aufklärungsaktivitäten gegen Endpunkte großer Sprachmodelle dokumentiert.
In einem Dreimonatszeitraum ab Oktober 2024 verzeichnete GreyNoise über 91.000 verschiedene Angriffssitzungen, die sich gegen LLM-Infrastrukturen richteten. Die Intensität dieser Kampagnen ist volatil, wobei fast 81.000 dieser Sitzungen innerhalb eines einzigen 11-Tage-Fensters stattfanden. Diese Angriffe sind primär darauf ausgelegt, Schwachstellen in OpenAI-kompatiblen APIs und Google-Gemini-Formaten auszuspähen, was darauf hindeutet, dass Angreifer die Entdeckung von Schwachstellen in der KI-Lieferkette automatisieren.
Diese Demokratisierung der Cyber-Offensive schafft eine gefährliche „Sicherheitsarmutsgrenze“, ein Konzept, das von Wendy Nather von 1Password formuliert wurde. Während ressourcenstarke Unternehmen sich fortgeschrittene KI-Abwehrmechanismen leisten können, stehen kleinere Unternehmen—und weniger raffinierte Angreifer—auf gegenüberliegenden Seiten einer sich vergrößernden Kluft. Angreifer mit geringen Ressourcen, einschließlich sogenannter „Script Kiddies“, nutzen nun KI, um ihre Operationen zu skalieren und Exploits zu automatisieren, die zuvor erheblichen manuellen Aufwand erforderten.
Staatliche Akteure: Das geopolitische KI-Wettrüsten
Neben opportunistischen Kriminellen integrieren staatliche Akteure aggressiv KI in ihre offensiven Cyberfähigkeiten. Berichte deuten darauf hin, dass Länder wie Iran und China nicht nur souveräne KI-Modelle entwickeln, sondern auch kommerzielle Werkzeuge nutzen, um ihre Cyberkriegsführung zu verstärken.
Iran: Dr. Avi Davidi von der Universität Tel Aviv stellt fest, dass iranische Gruppen wie der Hacker-Kollektiv APT-42 aktiv KI einsetzen, um industrielle Kontrollsysteme zu scannen und ausländische Verteidigungsnetze zu sondieren. Diese Gruppen wurden dabei beobachtet, wie sie versuchen, KI-Systeme zu „täuschen“, damit diese Red-Teaming-Anleitungen liefern—im Grunde genommen nutzen sie KI, um Angriffspläne zu erstellen.
China: Die Sorge in Bezug auf China konzentriert sich auf dessen Potenzial, die Vereinigten Staaten in der KI-Fähigkeit zu übertreffen. Colin Kahl, ein ehemaliger US-Unterstaatssekretär für Verteidigung, warnte, dass die USA zwar derzeit einen Vorsprung in der Modellqualität haben, China jedoch ein „naher, schneller Nachfolger“ mit der industriellen Kapazität ist, die Lücke rasch zu schließen. Trotz Exportkontrollen für fortgeschrittene Halbleiter deutet die Verbreitung von Hardware wie Nvidias H200-Chips an chinesische Firmen darauf hin, dass die Strategie der technologischen Eindämmung Grenzen hat.
Empfehlungen zur Absicherung der KI-Grenze
Da die Angriffsfläche wächst, müssen Sicherheitsverantwortliche von reaktiver Fehlerbehebung zu proaktiver Governance von KI-Ressourcen übergehen. Die folgenden Strategien sind wesentlich, um die mit KI-Agenten und dem MCP verbundenen Risiken zu mindern:
- Endpunkt-Isolierung: Behandeln Sie MCP-Deployments auf Mitarbeitergeräten mit derselben Strenge wie nicht vertrauenswürdige ausführbare Dateien. Implementieren Sie strikte Sandboxing-Mechanismen und Netzwerksegmentierung, um laterale Bewegungen zu verhindern.
- Sichtbarkeit zuerst: Setzen Sie Werkzeuge ein, die speziell darauf ausgelegt sind, „Shadow AI“-Instanzen zu entdecken und zu überwachen. Wenn Sicherheitsteams die Agenten nicht sehen können, können sie sie nicht sichern.
- Zero Trust für Agenten: Vertrauen Sie den Aktionen eines KI-Agenten nicht implizit. Implementieren Sie eine „Human-in-the-Loop“-Verifikation für kritische Aktionen, insbesondere solche, die Codeausführung oder Datenexfiltration betreffen.
- Lieferketten-Wachsamkeit: Prüfen Sie regelmäßig die Drittanbieter-Modelle und APIs, mit denen Ihre Agenten interagieren. Die GreyNoise-Daten bestätigen, dass die Infrastruktur selbst konstant angegriffen wird.
Die Ära der KI-Agenten verspricht beispiellose Produktivität, liefert aber, wie die Daten zeigen, derzeit beispiellose Risiken. Für Unternehmen ist die Botschaft klar: Die KI-Angriffsfläche ist da, sie wächst, und sie erfordert ein völlig neues Verteidigungsplaybook.
