05. Juni 2026

Sicherheit im KI-Takt (3/3): Wenn der Agent im System ist – Schaden in Minuten statt Stunden

Wenn der Einstieg gelingt, ist nicht mehr die Frage, ob Schaden entsteht, sondern wie schnell. Dabei verändern Agenten das Vorgehen – und damit, welche Schutzmaßnahmen wir brauchen.
1060 x 710 Thomas Jäger

Autor:in

Thomas Jäger

2026 Hacking KI Takt 3

In dieser dreiteiligen Serie zu IT-Security und KI möchten wir euch näherbringen, 

  1. welche Schwachstellen noch schneller ausgenutzt werden, 
  2. wie Phishing noch „echter“ wird und
  3. wie ein erfolgreicher Angriff mit Agenten noch schneller Schaden anrichtet.

In Teil drei schauen wir auf den Moment, wenn es dem Angreifer gelungen ist, ins System einzubrechen – und warum es dann nicht mehr um Stunden, sondern um Minuten geht.

Was Angriffe mit KI-Agenten so tückisch macht

Früher war das typische Muster nach einem erfolgreichen Angriff: Ein Mensch nutzt die kompromittierten Zugangsdaten, loggt sich ein und tastet sich manuell vor. Er schaut, was sichtbar ist, klickt sich durch Menüs, probiert ein paar Dinge aus – und braucht dafür je nach Umgebung Minuten bis Stunden.

Genau diesen Teil übernehmen zunehmend Agenten. Sie können sich in heterogenen, zunächst unbekannten Systemlandschaften bewegen, Informationen sammeln, Hypothesen testen und daraus die nächsten Schritte ableiten.

Arbeit im System statt großer Knall

Agenten verändern das Vorgehen nach dem Einstieg grundlegend. Nach dem ersten Zugriff folgen viele kleine Schritte: systematisch, iterativ, ohne Pause, ohne Ermüdung. So können sich Agenten in sehr kurzer Zeit in einem unbekannten System zurechtfinden und Handlungsoptionen systematisch ausweiten. Der Aufwand für Angreifer sinkt – und der potenzielle Schaden wird größer.

Typische Schleifen der Agenten sehen so aus:

  • Sichten: Welche Systeme sind erreichbar? Welche Schnittstellen gibt es? Wo liegen Daten?
  • Prüfen: Welche Rechte hat dieser Account wirklich – und wo sind die Grenzen?
  • Kombinieren: Welche Pfade lassen sich verbinden (z. B. ein Export hier, eine Rollenänderung dort)?
  • Iterieren: Wenn etwas nicht geht, wird variiert – andere Parameter, andere Reihenfolge, andere Zielsysteme.
  • Ausnutzen: Sobald etwas „wirkt“, wird skaliert: mehr Daten, mehr Zugriffe, mehr Systeme.

Enorme Schnelligkeit von Agenten

Angreifer optimieren fast immer auf Tempo. Sie haben keine Change-Fenster, keine Freigaben, keine Rücksicht auf Betriebsrisiko. Verteidiger dagegen arbeiten in Prozessen – und genau diese Asymmetrie nutzen Angreifer und ihre Agenten aus:

  • Keine Ermüdung: ein Agent probiert hundert Varianten, wo Menschen nach zehn aufhören.
  • Kein Kontextwechsel: er bleibt dran und arbeitet eine Hypothese konsequent ab.
  • Systematik: er geht breit vor, nicht nur „hier mal schauen“.
  • Skalierung: wenn ein Pfad funktioniert, wird er auf mehr Systeme oder Accounts ausgeweitet.

Die praktische Folge: Das Zeitfenster zwischen dem ersten Zugriff und einer High‑Impact‑Aktion, also einem Schritt mit maximalem Schadenpotenzial, wird kleiner. Wer erst reagiert, wenn das Verhalten eindeutig auffällig ist, reagiert oft zu spät.

 

Die typischen Folgen: Stehlen, sabotieren, erpressen

Aus dem agentischen Durcharbeiten entstehen häufig drei Ergebnisräume – die oft auch kombiniert auftreten:

  1. Stehlen und Weiterverwertung. Daten und Zugänge werden abgegriffen, weiterverwendet oder verkauft. Der Schaden entsteht durch Folgeangriffe, Betrug, Identitätsmissbrauch und Vertrauensverlust.

     

  2. Manipulation und Sabotage. Systeme und Daten werden verändert, Prozesse gestört, Workflows sabotiert, Daten verschlüsselt. Häufig werden Spuren verwischt oder so gelegt, dass die Aufklärung schwerer wird. Der Hebel ist oft schlicht: Der Betrieb steht.

     

  3. Erpressung und Veröffentlichung. Daten werden als Druckmittel genutzt: mit der Drohung, sie zu veröffentlichen, oder durch tatsächliche Leaks. Der Schaden entsteht durch Erpressungszahlungen, rechtliche und regulatorische Folgen sowie Reputations- und Vertrauensverlust.

 

Agenten im System erkennen

Seien wir ehrlich: Es wird nicht immer gelingen, den Einstieg zu verhindern. Entscheidend ist, wie schnell erkannt wird, dass ein legitimer Zugang missbraucht wird. Dafür muss der Blick weg von „Wer ist das?“ hin zu „Passt das Verhalten?“. 

Frühindikatoren sind zum Beispiel:

  • ungewöhnliche Geschwindigkeit in sensiblen Bereichen
  • Sequenzen, die nicht zur Rolle passen (erst Export, dann Rollenwechsel, dann weitere Exporte)
  • Erkundungsverhalten: viele Prüf‑Aktionen, Zugriffe auf selten genutzte Systeme
  • plötzliche Export‑Spitzen, ungewöhnliche Downloads oder neue Zielorte
  • Berechtigungsänderungen oder Admin‑Aktionen ohne die üblichen Vorläufe

Das sind zwar keine sicheren Beweise, aber es sind frühe Signale, die hellhörig machen sollten. 

Damit dieses Frühwarnsystem funktioniert, braucht es eine Auswertung, die Muster sichtbar macht: zentrale Sichtbarkeit über Identitäten und Dienste, Regeln und Anomalieerkennung für Tempo‑ und Sequenzbrüche sowie Alarmierung, die auf Relevanz statt Masse optimiert.

 

Was im Schadensfall hilft: Zeit gewinnen, Schaden begrenzen

Wenn Agenten die Ausführung beschleunigen, muss auch die Verteidigung Zeit gewinnen. Drei Prinzipien helfen:

1) High‑Impact‑Aktionen doppelt absichern

Definiert, welche Aktionen wirklich weh tun (Zahlungen, Empfängerdaten, Berechtigungen, große Exporte, Admin‑Änderungen). Diese Aktionen brauchen zusätzliche Hürden, damit ein kompromittierter Account nicht sofort maximalen Schaden anrichten kann.

2) Schnell stoppen muss möglich sein

Wenn das Verhalten nicht passt, muss es möglich sein, schnell zu unterbrechen: Sessions beenden, Tokens entwerten, Konten sperren, besonders kritische Pfade temporär blockieren. Das ist kein Zeichen von Panik, sondern eine Antwort auf Geschwindigkeit.

3) Fokus auf Schadensradius

Je kleiner der Schadensradius eines Accounts und je kürzer die „wirksame Zeit“ einer Session, desto mehr Zeit bleibt für Erkennung und Reaktion. Das ist der Unterschied zwischen einem Account und dem ganzen System.

 

Was bedeutet das für uns alle? 

KI-Agenten machen Angriffe nach dem erfolgreichen Einstieg deutlich schneller. Sie können sich ohne Vorwissen in unbekannten, heterogenen Umgebungen orientieren, sich Schritt für Schritt vorarbeiten und so in kurzer Zeit kritische Bereiche unter Kontrolle bringen. Dadurch sinkt der Aufwand für Angreifer: Weniger manuelle Arbeit, weniger Ressourcen – bei gleichzeitig höherer Skalierung, weil sich mehr Angriffe parallel und systematisch durchführen lassen.

Für uns als Verteidiger heißt das: Prävention bleibt wichtig, aber sie reicht nicht aus. Den initialen Einstieg zu verhindern und Angriffsflächen zu reduzieren ist nur ein Teil. Entscheidend ist zusätzlich, dass wir auch im Schadensfall handlungsfähig bleiben: Missbrauch muss über Verhalten früh erkennbar werden – und wir müssen in der Lage sein, ihn in Minuten zu stoppen, zu begrenzen und den Schadensradius klein zu halten.

Welche Erfahrungen habt ihr mit KI-gestützten Cyberangriffen gemacht und wie schützt ihr euch bereits? Wir freuen uns auf den Austausch. 

Mehr zum Thema

Eine Person trägt einen halbenhet maskenartigen Gesichtsausdruck, maskenähnliches Gesicht geöffnet, in einem modernen Büro mit holografischen UI-Elementen.
Magazin
Sicherheit im KI-Takt (2/3): Phishing 2.0 – wenn das Vertraute angreifbar wird
2026 Hacking KI Takt 1
Magazin
Sicherheit im KI-Takt (1/3): Auch die Angreifer werden schneller