Im September 2025 meldete Anthropic eine verdeckte Cyberspionagekampagne, bei der ein staatlich unterstützter Angreifer einen AI‑Agenten nutzte, um weitgehend autonom Operationen gegen 30 globale Zielorganisationen zu fahren. Nach Angaben des Unternehmens führte der Agent 80–90 % der taktischen Schritte selbstständig aus – von der Aufklärung über das Schreiben von Exploits bis hin zur lateralen Bewegung im Netzwerk mit Maschinengeschwindigkeit. Dieser Vorfall markiert einen Wendepunkt: Angreifer setzen nicht mehr nur punktuell KI ein, sondern orchestrieren vollständig automatisierte Cyberangriffe.
AI-Agenten und das Ende der linearen Cyber Kill Chain
Die klassische Cyber Kill Chain nach Lockheed Martin (2011) geht von einem sequentiellen Angriffsablauf aus: Aufklärung, Initialzugriff, Installation von Malware, Privilegienausweitung, laterale Bewegung, Exfiltration. Auf jeder Stufe können Verteidiger Anomalien erkennen – etwa durch Endpoint Detection & Response (EDR), Netzwerkmonitoring, Zugriffsverwaltung oder SIEM-Korrelationen.
Selbst ausgefeilte APT-Gruppen wie APT29 oder LUCR‑3 hinterlassen in der Praxis Spuren: ungewöhnliche Login-Geolokationen, abweichende Zeitmuster oder Verhaltensauffälligkeiten gegenüber etablierten Baselines. Moderne Threat-Detection-Ansätze sind genau auf solche Abweichungen ausgerichtet, wie Berichte von Mandiant, ENISA oder dem Verizon Data Breach Investigations Report regelmäßig zeigen.
AI‑Agenten folgen jedoch einem anderen Paradigma. Sie sind von Beginn an darauf ausgelegt, systemübergreifend zu handeln, Daten zwischen Anwendungen auszutauschen und dauerhaft im Hintergrund zu arbeiten. Wird ein solcher Agent kompromittiert, muss sich der Angreifer nicht mehr schrittweise durch die Kill Chain vorarbeiten – der Agent selbst wird zur durchgehenden, legitim wirkenden Angriffskette.
AI-Agenten in SaaS: legitimer Zugang als Tarnkappe
In vielen Unternehmen erhalten AI‑Agenten weitreichende, oft überdimensionierte Berechtigungen. Um Geschäftsprozesse zu automatisieren, werden sie mit CRM-Systemen wie Salesforce, Kollaborationsplattformen wie Slack, Cloud-Speichern wie Google Drive oder ITSM-Lösungen wie ServiceNow verknüpft. Das Protokoll ihrer Aktivitäten bildet damit faktisch eine präzise Landkarte sensibler Datenbestände.
Wird ein solcher Agent kompromittiert, erbt der Angreifer schlagartig alle Rechte, Token, Integrationen und Vertrauensbeziehungen. Datenbewegungen erscheinen dann als normaler Teil des Geschäftsprozesses. Klassische Indikatoren entlang der Kill Chain – verdächtige Logins, Privilegienerweiterungen, untypische Datenflüsse – entfallen oder wirken völlig unauffällig.
Fallstudie OpenClaw: erster grosser Krisenfall mit AI-Agenten
Der Vorfall OpenClaw verdeutlicht die reale Tragweite dieses Risikos. Eine Untersuchung ergab, dass rund 12 % der auf dem öffentlichen Marktplatz der Plattform angebotenen „Skills“ bösartig waren. Eine kritische Remote-Code-Execution-Schwachstelle (RCE) erlaubte es, Instanzen mit einem einzigen Klick zu kompromittieren, während über 21.000 Agenten-Instanzen direkt aus dem Internet erreichbar waren.
Am gefährlichsten war dabei nicht der Erstzugriff selbst, sondern der Umfang des legitimen Zugriffs, den Angreifer durch die Übernahme bereits integrierter Agenten erhielten: Diese waren mit Slack und Google Workspace verbunden, konnten Nachrichten, Dateien, E-Mails und Dokumente lesen und verfügten über eine persistente Erinnerung über Sitzungen hinweg. Was in traditionellen Angriffsszenarien die Endphase einer erfolgreichen Kompromittierung wäre, bildete hier den Startpunkt der Operation.
Warum herkömmliche Sicherheitswerkzeuge bei AI-Agenten versagen
Die meisten Security-Tools sind auf das Erkennen von Anomalien trainiert. Wenn ein Angreifer jedoch den bestehenden Workflow eines AI‑Agenten „mitreitet“, bleibt nahezu alles innerhalb der erwarteten Muster: gleiche SaaS‑Ziele, ähnliche Zeitfenster, vergleichbare Datenvolumina. Dadurch entsteht ein massiver Blind Spot: Das Verhalten erscheint aus Sicht der Geschäftslogik legitim und fällt durch die Raster klassischer Signaturen und Korrelationsregeln.
Shadow AI und toxische Integrationsketten in der SaaS-Security
Zusätzlich verschärft Shadow AI die Lage – also AI‑Agenten und Integrationen, die von Fachbereichen ohne Einbindung der IT oder Informationssicherheit eingebunden werden. Häufig binden Nutzer eigenständig externe AI‑Plattformen per API, OAuth oder über Protokolle wie Model Context Protocol (MCP) an. So entstehen „toxische“ SaaS‑Verknüpfungen, die isoliert betrachtet harmlos wirken, in Kombination jedoch hochkritische Datenpfade eröffnen.
Agentic AI Security: Inventarisierung, Rechtekontext und Verhalten im Fokus
Ein wirksamer Schutz beginnt mit einer vollständigen Inventarisierung aller AI‑Agenten in der SaaS‑Landschaft – einschließlich eingebauter AI‑Funktionen in Business‑Applikationen und nicht freigegebener Drittintegrationen. Lösungen wie Reco Agentic AI Security erkennen solche Entitäten automatisch und erstellen eine Karte, welche SaaS‑Anwendungen angebunden sind, welche Berechtigungen existieren und auf welche Daten tatsächlich zugegriffen wird.
Die in Reco visualisierten SaaS‑to‑SaaS‑Beziehungen machen sichtbar, wie AI‑Agenten Systeme über MCP, OAuth oder direkte API‑Integrationen verbinden. So lassen sich gefährliche Rechtekombinationen identifizieren, bei denen einzelne Applikationsverantwortliche formal nur begrenzte Zugriffe vergeben haben, die Summenwirkung der Integrationskette jedoch ein kritisches Risiko erzeugt.
Im nächsten Schritt bewertet Reco jeden Agenten anhand von Kriterien wie Berechtigungsbreite, systemübergreifendem Zugriff und Sensitivität der verarbeiteten Daten. Hochrisiko-Agenten werden automatisch markiert, sodass über Identity‑ and Access‑Governance-Prozesse das Least‑Privilege‑Prinzip durchgesetzt und der mögliche Schaden im Kompromittierungsfall deutlich reduziert werden kann.
Ergänzend analysiert eine identity‑zentrische Threat-Analytics-Engine das Verhalten von Menschen und AI‑Agenten gleichermaßen. Sie trennt legitime Automatisierung von verdächtigen Abweichungen nahezu in Echtzeit, um Angriffe zu erkennen, auch wenn diese sich eng an übliche Prozessmuster anlehnen.
Die klassische Kill Chain basierte auf der Annahme, dass Angreifer jeden neuen Zugriffsschritt „verdienen“ müssen. In der Ära vernetzter AI‑Agenten gilt zunehmend das Gegenteil: Die Kompromittierung eines einzigen Agents kann einen formal legitimierten Vollzugriff auf kritische Daten ermöglichen – ohne sichtbare Schritte, die wie ein Einbruch wirken. Organisationen, die ihr Monitoring ausschließlich auf menschliche Nutzer ausrichten, laufen Gefahr, diese neue Angriffswelle zu übersehen. Es ist ratsam, frühzeitig für durchgängige Transparenz über AI‑Agenten, deren SaaS‑Integrationen, Rechte und reales Verhalten zu sorgen und identity‑zentrische, agentenspezifische Security‑Lösungen in die Sicherheitsarchitektur zu integrieren.
