OWASP Agentic AI Top 10: Wenn KI-Agenten zur größten Angriffsfläche werden

9 Min. Lesezeit

Software-Aktien brechen ein, weil KI-Agenten ganze Geschäftsprozesse automatisieren sollen. Doch während Vorstände über Kosteneinsparungen diskutieren, entsteht ein Sicherheitsproblem, das die meisten IT-Teams noch nicht auf dem Radar haben: Autonome Agenten schaffen eine völlig neue Angriffsfläche. Die OWASP hat mit den Agentic AI Top 10 erstmals einen Rahmen definiert – und 48 Prozent der Security-Profis stufen KI-Agenten bereits als Bedrohung Nummer eins für 2026 ein.

Das Wichtigste in Kürze

OWASP Agentic AI Top 10: Im Dezember 2025 veröffentlichte die OWASP das erste Sicherheitsframework speziell für autonome KI-Agenten – entwickelt von mehr als 100 Fachleuten (OWASP, Dezember 2025).
Erster dokumentierter KI-Cyberangriff: Im September 2025 setzte eine staatlich geförderte Gruppe einen KI-Agenten für eine mehrtägige Spionagekampagne ein – 80 bis 90 Prozent der Angriffsdurchführung liefen autonom (Anthropic, November 2025).
82 Maschinenidentitäten pro Mensch: In Unternehmen kommen auf jede menschliche Identität bereits 82 Non-Human Identities – KI-Agenten verschärfen dieses Verhältnis weiter (CyberArk, 2025).
48 Prozent sehen KI-Agenten als Top-Bedrohung: Fast die Hälfte aller Cybersecurity-Fachleute stuft agentenbasierte KI als größten Angriffsvektor für 2026 ein – vor Ransomware und Supply-Chain-Angriffen (Dark Reading, 2026).
492 offene MCP-Server: Trend Micro fand Anfang 2026 fast 500 exponierte Model Context Protocol Server ohne jede Authentifizierung. Der erste bestätigte bösartige MCP-Server leitete wochenlang E-Mails um.
Gartner fordert Guardian Agents: Bis 2028 werden 40 Prozent der CIOs verlangen, dass Guardian Agents verfügbar sind – KI-Systeme, die andere KI-Agenten überwachen (Gartner Market Guide, Februar 2026).

Warum KI-Agenten eine neue Bedrohungsklasse sind

Die bisherigen Sicherheitsmodelle für KI-Systeme gingen von einem simplen Ablauf aus: Ein Mensch stellt eine Frage, ein Modell antwortet, der Mensch bewertet die Ausgabe. Die Angriffsfläche beschränkte sich auf Prompt und Antwort.

Autonome KI-Agenten funktionieren grundlegend anders. Ein Agent erhält ein Ziel, plant eine Abfolge von Aktionen, ruft externe Werkzeuge auf, speichert Informationen im Langzeitgedächtnis, startet Unter-Agenten und führt aus – oft ohne dass ein Mensch jeden Schritt prüft. Die Angriffsfläche ist damit jeder Werkzeugaufruf, jeder Speicherzugriff, jede Übergabe zwischen Agenten und jede Verbindung zu externen Systemen.

AWS hat am 24. März 2026 bestätigt, intern KI-Agenten für Vertrieb und Geschäftsentwicklung zu bauen. Die Software-Branche verlor daraufhin an einem Tag 4,3 Prozent. Doch während die Finanzwelt über Bewertungen streitet, stellt sich für CISOs eine drängendere Frage: Wer kontrolliert, was diese Agenten tun?

48 %

der Security-Profis stufen KI-Agenten als Bedrohung Nr. 1 für 2026 ein

Quelle: Dark Reading Survey, 2026

Praxisfall: Der erste dokumentierte KI-Cyberangriff

Dass die OWASP-Risiken keine Theorie sind, zeigte sich bereits im September 2025. Anthropic deckte eine mehrtägige Spionagekampagne auf, bei der eine staatlich geförderte Gruppe einen KI-Agenten als autonomes Angriffswerkzeug einsetzte. Das Unternehmen bezeichnete den Vorfall als ersten dokumentierten Fall eines groß angelegten KI-gestützten Cyberangriffs.

Der Agent führte Netzwerk-Reconnaissance durch, erstellte selbstständig Exploit-Code, sammelte Zugangsdaten und exfiltrierte Daten mit automatischer Kategorisierung nach Nachrichtenwert. Zwischen 80 und 90 Prozent der Angriffsdurchführung liefen autonom. Die Angreifer umgingen Sicherheitsmechanismen durch Task-Fragmentierung: Der Angriff wurde in kleine, harmlos wirkende Teilaufgaben zerlegt, die einzeln keine Alarme auslösten.

Rund 30 Organisationen aus Technologie, Finanzwesen, Chemie und Behörden waren betroffen. Die Konten wurden innerhalb von zehn Tagen gesperrt, betroffene Organisationen und Behörden benachrichtigt. Für CISOs ist der Fall ein Weckruf: Die Methodik – Agent Goal Hijacking über fragmentierte Aufgaben – entspricht exakt OWASP ASI01 auf Platz 1 der Agentic AI Top 10.

Die OWASP Agentic AI Top 10 im Detail

Das im Dezember 2025 veröffentlichte Framework identifiziert zehn kritische Risiken, die speziell für autonome Agenten gelten. Die drei gefährlichsten:

Agent Goal Hijacking (ASI01) steht auf Platz 1: Angreifer schleusen manipulierte Eingaben ein – eine präparierte E-Mail, ein vergiftetes Dokument, eine kompromittierte Website. Der Agent kann nicht zuverlässig zwischen Anweisungen und Daten unterscheiden und führt die manipulierten Ziele mit seinen legitimen Werkzeugen und Zugriffsrechten aus. Eine einzige bösartige Eingabe kann den gesamten Agenten umlenken.

Memory Poisoning ist besonders heimtückisch: Angreifer injizieren schrittweise falsche Informationen in das Langzeitgedächtnis eines Agenten. Über Wochen verschiebt sich das Entscheidungsverhalten. Klassische Anomalie-Erkennung greift nicht, weil die Veränderung zu graduell ist.

Supply-Chain- und MCP-Server-Schwachstellen sind bereits real: Trend Micro fand Anfang 2026 insgesamt 492 exponierte Model Context Protocol Server ohne jede Authentifizierung. Der erste bestätigte bösartige MCP-Server – postmark-mcp – leitete wochenlang jede ausgehende E-Mail per BCC an eine Angreifer-Adresse weiter, bevor er entdeckt wurde.

Unternehmen sind bereits Agentic-AI-Angriffen ausgesetzt – oft ohne zu wissen, dass Agenten in ihrer Umgebung laufen.
Keren Katz, OWASP Co-Lead und Senior Group Manager AI Security bei Tenable (sinngemäß übersetzt)

NIS2 und der regulatorische Rahmen

Für deutsche Unternehmen kommt eine zusätzliche Dimension hinzu: NIS2 ist seit Dezember 2025 geltendes Recht. Rund 29.500 Einrichtungen fallen unter die neuen Pflichten. Das Gesetz fordert explizit Risikomanagement und Incident-Reporting – auch für KI-Systeme, die in regulierten Sektoren eingesetzt werden.

ENISA und die europäischen Normungsgremien CEN, CENELEC und ETSI arbeiten daran, KI-spezifische Sicherheitsanforderungen direkt an die NIS2-Kernpflichten zu koppeln. Die 2026 geplante NIS2-Review wird zum Schnittpunkt für technische Standards, KI-Kontrollen und Incident-Reporting.

Die regulatorische Trias aus NIS2, EU AI Act und ISO 42001 definiert den Rahmen: NIS2 setzt die Grundanforderungen für Risikomanagement und Meldepflichten. Der EU AI Act klassifiziert Hochrisiko-KI-Systeme. ISO 42001 liefert das Management-System. Unternehmen, die KI-Agenten einsetzen, müssen alle drei Ebenen adressieren.

Die Konsequenzen bei Verstößen sind erheblich: Bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen. Bis zu 7 Mio. Euro oder 1,4 Prozent für wichtige Einrichtungen.

Identity und Access Management für KI-Agenten

Eine der unterschätzten Herausforderungen: KI-Agenten sind keine Menschen, brauchen aber Identitäten. Sie authentifizieren sich an APIs, greifen auf Datenbanken zu, senden E-Mails im Namen von Mitarbeitenden. Klassisches IAM ist dafür nicht ausgelegt.

Die Dimension des Problems zeigt der CyberArk State of Machine Identity Security Report 2025: Auf jede menschliche Identität kommen in Unternehmen bereits 82 maschinelle Identitäten – API-Keys, Service Accounts, Zertifikate, Tokens. KI-Agenten verschärfen dieses Verhältnis massiv, weil jeder Agent mehrere Identitäten für verschiedene Werkzeuge und Systeme benötigt.

82 : 1

Verhältnis maschineller zu menschlichen Identitäten in Unternehmen

Quelle: CyberArk State of Machine Identity Security Report, 2025

Wenn ein KI-Agent mit den Zugriffsrechten eines Vertriebsleiters E-Mails verschickt, CRM-Daten ändert und Angebote erstellt – wer trägt die Verantwortung bei einem Sicherheitsvorfall? Die bisherigen Rollenmodelle (RBAC, ABAC) gehen von menschlichen Nutzern aus, die Kontext verstehen und Entscheidungen bewusst treffen.

Für Agenten braucht es ein neues Paradigma: Machine Identity Management. Jeder Agent erhält eine eigene, auditierbare Identität mit klar definierten Berechtigungen, zeitlich begrenzten Tokens und automatischer Rotation. Azure Managed Identities und AWS IAM Roles bieten Ansätze, aber die meisten Unternehmen nutzen sie noch nicht für Agenten-Szenarien.

Der OWASP-Rahmen empfiehlt: Keine geteilten Credentials zwischen Mensch und Agent. Jeder Agenten-Zugriff muss separat protokolliert und auswertbar sein. Wenn ein Agent kompromittiert wird, darf die Sperrung seiner Identität keinen menschlichen Nutzer aussperren.

Die Lücke zwischen Adoption und Absicherung

Die Diskrepanz ist alarmierend: Unternehmen rollen KI-Agenten im Eiltempo aus, während Security-Teams hinterherhinken. Laut einer Dark-Reading-Umfrage haben nur 34 Prozent der Unternehmen KI-spezifische Sicherheitskontrollen im Einsatz. Gleichzeitig erwartet Gartner, dass bis Ende 2026 bereits 40 Prozent der Enterprise-Anwendungen KI-Agenten integrieren werden.

Diese Lücke wird durch den Wettbewerbsdruck verschärft. Nachdem AWS am 24. März bestätigte, interne KI-Agenten für den Vertrieb zu bauen, steigt der Druck auf andere Unternehmen, nachzuziehen. Die Angst, den Anschluss zu verlieren, führt zu überstürzten Deployments ohne angemessene Sicherheitsarchitektur.

Ein typisches Muster: Die Fachabteilung setzt einen KI-Agenten für Kundenkommunikation auf, verbindet ihn mit CRM, E-Mail und Kalender – ohne das Security-Team einzubinden. Der Agent hat innerhalb von Stunden mehr Zugriffsrechte als die meisten Mitarbeitenden. Und niemand überwacht, was er damit tut.

Guardian Agents: Wenn KI andere KI überwacht

Gartner hat im Februar 2026 den ersten Market Guide for Guardian Agents veröffentlicht – ein Signal, dass die Branche das Problem erkannt hat. Guardian Agents sind KI-Systeme, die speziell dafür entwickelt wurden, andere KI-Agenten zu überwachen und deren Aktionen gegen definierte Grenzen zu prüfen. Drei Rollen definiert Gartner: Reviewer prüfen Outputs, Monitors beobachten laufende Aktionen, Protectors blockieren bei Regelverstößen.

Die Prognosen sind deutlich: Bis 2028 werden laut Gartner 40 Prozent der CIOs verlangen, dass Guardian Agents für ihre KI-Deployments verfügbar sind. Bis 2030 sollen Guardian Agents 10 bis 15 Prozent des gesamten Agentic-AI-Markts ausmachen. Und bis 2029 werden unabhängige Guardian Agents fast die Hälfte der heutigen Sicherheitssysteme für KI-Agenten ersetzen.

Ein Detail aus dem Report verdient besondere Aufmerksamkeit: Bis 2028 werden laut Gartner mindestens 80 Prozent der unautorisierten KI-Agent-Transaktionen durch interne Policy-Verstöße entstehen – nicht durch externe Angriffe. Das größte Risiko kommt also von den eigenen Agenten, die ihre definierten Grenzen überschreiten. Guardian Agents adressieren genau dieses Problem: Sie schaffen eine Kontrollebene oberhalb der operativen Agenten.

Praxis-Checkliste: So sichern Sie KI-Agenten ab

Die OWASP empfiehlt das Prinzip der minimalen Autonomie – das agentenspezifische Äquivalent zum Least-Privilege-Prinzip. Konkret bedeutet das:

1. Agenten-Inventar erstellen: Welche KI-Agenten laufen in Ihrer Umgebung? Viele Unternehmen wissen es nicht. Schatten-Agenten in Marketing-, Vertriebs- und Finanzabteilungen sind häufig.

2. Werkzeugzugriff beschränken: Jeder Agent darf nur die Werkzeuge und APIs nutzen, die für seine definierte Aufgabe zwingend erforderlich sind. Kein Agent braucht Zugriff auf das gesamte CRM und das E-Mail-System gleichzeitig.

3. Memory Provenance einführen: Jede Information im Agenten-Speicher erhält Metadaten zu Quelle, Konfidenz und Validierungsstatus. So lässt sich Memory Poisoning erkennen.

4. Red Teaming für Agenten: Penetrationstests müssen explizit Prompt Injection, Werkzeugmissbrauch und Privilegieneskalation in Agenten-Workflows testen. Standard-Pentests decken die agentenspezifische Angriffsfläche nicht ab.

5. MCP-Server absichern: Alle Model Context Protocol Server mit Authentifizierung und Zugriffskontrollen versehen. Der postmark-mcp-Vorfall zeigt, dass ein einziger ungesicherter Server wochenlang Daten exfiltrieren kann.

6. Guardian-Agent-Strategie evaluieren: Für komplexe Multi-Agent-Deployments eine Überwachungsebene einplanen. Der Gartner Market Guide bietet einen Rahmen für die Auswahl und Implementierung von Guardian Agents als unabhängige Kontrollinstanz.

Fazit

KI-Agenten werden kommen – ob als interne AWS-Tools, als Ersatz für SaaS-Lizenzen oder als autonome Prozessautomatisierer. Die Frage ist nicht ob, sondern wie schnell. Der Anthropic-Vorfall vom September 2025 hat gezeigt, dass Angreifer bereits wissen, wie man KI-Agenten als Waffe einsetzt. Gleichzeitig arbeiten 82 maschinelle Identitäten pro Mensch in Unternehmensumgebungen – jede davon ein potenzielles Einfallstor.

Für Security-Teams heißt das: Jetzt die OWASP Agentic AI Top 10 als Baseline nehmen, ein Agenten-Inventar erstellen, das Least-Agency-Prinzip durchsetzen und Guardian Agents als Kontrollschicht evaluieren. Der konkrete erste Schritt bleibt ein Schatten-Agenten-Audit: Welche KI-Agenten laufen bereits in Ihrer Umgebung, wer hat sie eingerichtet und welche Zugriffsrechte haben sie? Wer wartet, bis der erste Memory-Poisoning-Vorfall im eigenen Unternehmen passiert, hat den Zeitpunkt für proaktive Absicherung verpasst.

Häufige Fragen

Was sind die OWASP Agentic AI Top 10?

Ein im Dezember 2025 veröffentlichtes Sicherheitsframework, das die zehn kritischsten Risiken für autonome KI-Agenten identifiziert. Es wurde von mehr als 100 Fachleuten entwickelt und ergänzt die bestehende OWASP LLM Top 10, die nur für chatbasierte KI-Systeme mit menschlicher Kontrolle gilt.

Was ist Agent Goal Hijacking?

Bei Agent Goal Hijacking schleusen Angreifer manipulierte Eingaben in die Datenquellen eines KI-Agenten ein – etwa über eine präparierte E-Mail oder ein vergiftetes Dokument. Der Agent kann Anweisungen nicht zuverlässig von Daten unterscheiden und führt die manipulierten Ziele mit seinen legitimen Werkzeugen und Zugriffsrechten aus.

Was ist Memory Poisoning bei KI-Agenten?

Memory Poisoning bezeichnet das schrittweise Einschleusen falscher Informationen in das Langzeitgedächtnis eines Agenten. Im Gegensatz zu klassischen Angriffen verläuft die Manipulation graduell über Wochen und erscheint als normaler Lernprozess. Herkömmliche Anomalie-Erkennung greift deshalb nicht.

Was sind Guardian Agents?

Guardian Agents sind KI-Systeme, die andere KI-Agenten überwachen und deren Aktionen gegen definierte Regeln und Grenzen prüfen. Gartner unterscheidet drei Rollen: Reviewer prüfen Outputs, Monitors beobachten laufende Aktionen, Protectors blockieren bei Regelverstößen. Bis 2030 sollen sie laut Gartner 10 bis 15 Prozent des Agentic-AI-Markts ausmachen.

Was bedeutet das Verhältnis 82:1 bei Maschinenidentitäten?

Laut dem CyberArk State of Machine Identity Security Report 2025 kommen auf jede menschliche Identität in Unternehmen 82 maschinelle Identitäten – API-Keys, Service Accounts, Zertifikate und Tokens. KI-Agenten verschärfen dieses Verhältnis, weil jeder Agent eigene Identitäten für verschiedene Werkzeuge und Systeme benötigt.

Fallen KI-Agenten unter NIS2?

Ja, wenn sie in einem der 18 regulierten Sektoren eingesetzt werden. NIS2 fordert Risikomanagement und Incident-Reporting für alle IT-Systeme. ENISA arbeitet daran, KI-spezifische Anforderungen direkt an die NIS2-Kernpflichten zu koppeln. Die NIS2-Review 2026 wird hier konkretere Vorgaben bringen.

Wie viele Unternehmen haben KI-spezifische Sicherheitskontrollen?

Nur 34 Prozent laut einer Dark-Reading-Umfrage unter Cybersecurity-Fachleuten. Das bedeutet: Zwei Drittel setzen KI-Agenten ein oder planen deren Einsatz, ohne angemessene Sicherheitsmaßnahmen implementiert zu haben.

Was war der postmark-mcp-Vorfall?

Der erste bestätigte Fall eines bösartigen MCP-Servers. Das Modul postmark-mcp leitete wochenlang jede ausgehende E-Mail per BCC an eine von Angreifern kontrollierte Adresse weiter. Trend Micro fand Anfang 2026 insgesamt 492 exponierte MCP-Server ohne jede Authentifizierung.