Wichtige Erkenntnisse
- 12 Agenten pro Unternehmen, die Hälfte in Silos: Der Connectivity Benchmark von Salesforce vom 5. Februar ergab, dass das durchschnittliche Unternehmen mittlerweile 12 Agenten mit künstlicher Intelligenz (KI) betreibt, wobei 50 % völlig isoliert voneinander und von Governance-Frameworks arbeiten.
- Maschinenidentitäten sind bis zu 80 zu 1 zahlreicher als Menschen: Nicht-menschliche Identitäten (NHIs) von KI-Agenten, Dienstkonten und API-Tokens sind in Unternehmensumgebungen inzwischen weitaus zahlreicher als menschliche Mitarbeiter, und ältere IAM-Systeme (Identity and Access Management) können sie nicht verfolgen.
- Nur 23 % verfügen über eine formelle Governance-Strategie: Die Cloud Security Alliance (CSA) hat herausgefunden, dass 84 % der Unternehmen bezweifeln, dass sie eine Compliance-Prüfung des Agentenverhaltens oder der Zugriffskontrollen bestehen könnten.
- **Dies ist die SaaS-Wildwuchskrise der 2010er Jahre, die sich mit Maschinengeschwindigkeit wiederholt: Das gleiche Muster unkontrollierter Einführung, Schattenbereitstellungen und verzögerter Governance, das den SaaS-Management-Markt geschaffen hat, wiederholt sich bei KI-Agenten, mit der Ausnahme, dass Agenten Aktionen ausführen und nicht nur Daten speichern können.
Die Woche, in der die Masken abgenommen wurden
Am 5. Februar 2026 wurden innerhalb weniger Stunden zwei bahnbrechende Berichte veröffentlicht. Keiner von beiden schaffte es auf die Titelseite einer großen Tech-Publikation.
Der 11. jährliche [Connectivity Benchmark Report] (https://www.mulesoft.com/lp/reports/connectivity-benchmark) von Salesforce, in dem 1.050 IT-Führungskräfte in neun Ländern befragt wurden, ergab, dass ein durchschnittliches Unternehmen mittlerweile 12 KI-Agenten betreibt, wobei diese Zahl bis 2028 voraussichtlich 20 erreichen wird. Die Hälfte dieser Agenten arbeitet völlig isoliert: kein gemeinsamer Kontext, keine koordinierten Arbeitsabläufe, keine zentrale Aufsicht. Es handelt sich um autonome Programme, die in Cloud-Umgebungen laufen, auf sensible Daten zugreifen und Entscheidungen treffen, die sich auf echte Systeme und echtes Geld auswirken.
Am selben Tag veröffentlichten die Cloud Security Alliance und Strata Identity [„Securing Autonomous AI Agents“] (https://cloudsecurityalliance.org/artifacts/securing-autonomous-ai-agents) eine Umfrage unter 285 IT- und Sicherheitsexperten, die die Identität hinter dem Hype aufdeckte. Die Ergebnisse waren düster: Nur 23 % der Unternehmen verfügen über eine formelle, unternehmensweite Strategie für die Verwaltung von KI-Agentenidentitäten. 44 Prozent verwenden immer noch statische API-Schlüssel (Application Programming Interface) zur Authentifizierung ihrer Agenten. Achtzig Prozent haben keine Echtzeiteinsicht darüber, welche Agenten zu einem bestimmten Zeitpunkt in ihrer Umgebung aktiv sind.
Wenn man diese beiden Berichte zusammenfasst, ergibt sich ein deutliches Bild: Unternehmen setzen autonome Agenten schneller ein, als sie diese verfolgen, steuern oder sichern können. Der KI-Hype-Zyklus hat ein echtes Produktivitätstool hervorgebracht. Es hat auch zur größten Erweiterung der Angriffsfläche von Unternehmen seit der Erfindung der Cloud geführt.
Die Identitätsmathematik, die jeden CISO in Angst und Schrecken versetzen sollte
Das Kernproblem sind nicht die Agenten selbst. Es sind die Identitäten, die sie in sich tragen.
Jeder KI-Agent benötigt für den Betrieb Anmeldeinformationen. Es benötigt API-Schlüssel, um externe Dienste aufzurufen, Dienstkonten, um auf interne Datenbanken zuzugreifen, OAuth-Tokens, um sich bei Cloud-Plattformen zu authentifizieren, und Berechtigungen zum Lesen, Schreiben und Ausführen in allen Unternehmenssystemen. Jeder dieser Berechtigungsnachweise stellt eine nichtmenschliche Identität (Non-Human Identity, NHI) dar, einen maschinellen Berechtigungsnachweis, der sich wie ein Mitarbeiterausweis verhält, jedoch ohne den damit verbundenen Menschen.
Laut den Sicherheitsforschern von Gradient Flow übersteigt die Zahl der NHIs in Unternehmensumgebungen inzwischen die Zahl der menschlichen Mitarbeiter um bis zu 80 zu 1. Der CSA-Bericht stellte fest, dass diese Identitäten chronisch überberechtigt sind: Agenten erhalten routinemäßig einen umfassenderen Zugriff, als sie benötigen, weil Unternehmen nicht über die Tools verfügen, um granulare, rollenbasierte Berechtigungen für autonome Systeme zu definieren.
Die Rechnung ist einfach. Wenn ein Unternehmen 5.000 Mitarbeiter und schätzungsweise 400.000 Maschinenidentitäten hat und 44 % dieser Identitäten sich mit statischen API-Schlüsseln authentifizieren, die nie ablaufen und nie rotieren, wird die Angriffsfläche nicht in „Endpunkten“ gemessen. Es wird in permanenten, nicht überwachten Zugriffstokens gemessen.
Angriffsfläche = NHIs × P(zu viele Berechtigungen) × P(statische Anmeldeinformationen)
Für ein mittelständisches Unternehmen mit konservativen Schätzungen:
400.000 × 0,90 × 0,44 = 158.400 persistente Zugriffsvektoren
Das ist keine Schwachstelle. Das ist eine Dauereinladung.
SaaS Sprawl 2.0: Gleicher Film, schnellerer Projektor
Wenn Ihnen diese Geschichte bekannt vorkommt, sollte sie das auch tun. Die Unternehmenstechnologiebranche hat genau dieses Muster schon einmal erlebt.
Im Jahr 2013 nutzte ein durchschnittliches Unternehmen 73 Software-as-a-Service-Anwendungen (SaaS). Bis 2015 waren „Shadow SaaS“, nicht autorisierte Tools, die von einzelnen Teams ohne Genehmigung der IT übernommen wurden, für Chief Information Security Officers (CISOs) zum größten Problem geworden. Mitarbeiter haben sich für Dropbox, Slack und Dutzende Projektmanagement-Tools angemeldet, weil sie unmittelbare Probleme gelöst haben. Niemand hat koordiniert. Niemand regierte. Daten sind über Plattformen verstreut wie Samen im Wind.
Der Markt reagierte. Anbieter von Integration Platform as a Service (iPaaS) wie MuleSoft (später von Salesforce für 6,5 Milliarden US-Dollar übernommen) und SaaS-Verwaltungsplattformen wie BetterCloud und Zylo kamen auf den Markt, um Ordnung in das Chaos zu bringen. Die Lektion war teuer, aber klar: Eine unkontrollierte Einführung geht immer einer Governance-Krise voraus, die eine neue Marktkategorie schafft.
Der KI-Agentenzyklus wiederholt das gleiche Skript, jedoch mit einem entscheidenden Unterschied. SaaS-Tools haben Daten gespeichert. KI-Agenten führen Aktionen aus. Ein betrügerischer Dropbox-Ordner lässt Dokumente durchsickern. Ein betrügerischer KI-Agent kann interne APIs durchqueren, Produktionsdatenbanken modifizieren, Finanztransaktionen auslösen und Änderungen mit Maschinengeschwindigkeit über miteinander verbundene Systeme verbreiten. Der Explosionsradius ist exponentiell größer.
| Ära | Durchschn. Tools/Agenten | Governance-Lücke | Konsequenz |
|---|---|---|---|
| SaaS 2013 | 73 Apps/Unternehmen | Shadow SaaS, Datensilos | Datenlecks, Compliance-Verstöße |
| SaaS 2018 | Über 900 Apps/Unternehmen | iPaaS- und SaaS-Management entstehen | $6,5 Milliarden Übernahme von MuleSoft |
| KI-Agenten 2026 | 12 Agenten/Unternehmen (voraussichtlich 20 bis 2028) | 77 % fehlt eine formelle Identitätsstrategie | Erster schwerwiegender Agentenverstoß (ausstehend) |
Der SaaS-Ausbreitungszyklus dauerte von der Krise bis zur Konsolidierung etwa fünf Jahre. Der Zyklus der Agentenausbreitung beschleunigt sich, da die Agentenbereitstellung mit der Geschwindigkeit der Software und nicht mit der Geschwindigkeit des menschlichen Onboardings skaliert wird. Die eigenen Daten von Salesforce zeigen, dass die Zahl der Agenten pro Unternehmen in zwei Jahren voraussichtlich um 67 % steigen wird, eine Kompression, die darauf hindeutet, dass die „Governance-Rechnung“ Ende 2026 oder Anfang 2027 eintreffen könnte.
Die drei Fehlermodi
Die CSA- und Salesforce-Daten konvergieren in drei spezifischen Fehlermodi, die dazu führen, dass sich die aktuelle Agentenausbreitung qualitativ von früheren Technologiezyklen unterscheidet.
Fehlermodus 1: Der Authentifizierungszusammenbruch
Das alarmierendste Ergebnis im CSA-Bericht ist die Art und Weise, wie sich Agenten authentifizieren. Unter den Organisationen, die KI-Agenten einsetzen:
- 44 % verwenden statische API-Schlüssel oder planen deren Verwendung
- 43 % verwenden Kombinationen aus Benutzername und Passwort
- 35 % nutzen gemeinsame Dienstkonten
Dies sind keine modernen Authentifizierungsmethoden. Sie sind das digitale Äquivalent zum Hinterlassen des Büroschlüssels unter der Fußmatte. Statische API-Schlüssel laufen nicht ab, rotieren nicht und generieren keine Prüfprotokolle, die Aktionen auf bestimmte Agenten oder menschliche Sponsoren zurückführen. Wenn eines kompromittiert wird, erhält der Angreifer dauerhaften, stillen Zugriff auf jedes System, das über den Schlüssel entsperrt wird.
Nur 21 % der Unternehmen unterhalten ein Echtzeit-Agentenregister und nur 28 % können Agentenaktionen zuverlässig auf bestimmte Personen oder Systeme zurückführen. Das heißt, wenn ein Agent im Februar 2026 kompromittiert wird, würden die meisten Unternehmen ihn erst nach Stunden, Tagen oder möglicherweise Wochen bemerken.
Fehlermodus 2: Die Explosion der Berechtigungen
Herkömmliches IAM wurde für ein einfaches Modell entwickelt: Ein Mensch meldet sich an, erhält eine Rolle und diese Rolle definiert seinen Zugriff. KI-Agenten brechen dieses Modell, weil sie sich kein einziges Mal „anmelden“. Sie instanziieren, führen mehrstufige Workflows über mehrere Systeme hinweg aus und verschwinden möglicherweise innerhalb von Minuten. Ein flüchtiger Agent, der sich für eine einzelne Aufgabe hochfährt und sich selbst beendet, erscheint möglicherweise nie bei einem herkömmlichen Sicherheitsscan.
Sicherheitsforscher von Gradient Flow beschreiben dies als „Identitätsschulden“, die angehäuften, ungelösten Schwachstellen bei der Verwaltung des Maschinenzugriffs, die auf Agentenebene nicht mehr beherrschbar sind. Das Problem verschärft sich, weil jeder neue Agent standardmäßig weitreichende Berechtigungen erbt, da Unternehmen nicht über das Fachwissen oder die Tools verfügen, um Least-Privilege-Richtlinien für autonome Systeme zu definieren, die ihr Verhalten dynamisch ändern.
| Metrisch | Menschliche Mitarbeiter | KI-Agenten |
|---|---|---|
| Übererlaubte Rate | ~70 % | ~90% |
| Authentifizierung | SSO, MFA, Biometrie | Statische API-Schlüssel (44 %), Passwörter (43 %) |
| Sichtbarkeit | HR-Systeme, Active Directory | 80 % verfügen nicht über eine Echtzeitregistrierung |
| Audit-Trail | Anmeldeprotokolle, Sitzungsverfolgung | 72 % können keinen menschlichen Sponsor identifizieren |
Fehlermodus 3: Das Eigentumsvakuum
Wer ist verantwortlich, wenn ein KI-Agent einen Fehler macht? Die CSA-Umfrage zeigt eine fragmentierte Antwort:
- 39 % geben an, dass das Sicherheitsteam für die Agenten-Governance verantwortlich ist
- 32 % nennen IT-Betrieb
- 13 % geben eine dedizierte KI-Sicherheitsfunktion an
Diese Fragmentierung ist selbst die Schwachstelle. Wenn drei verschiedene Teams einen Teilbesitz beanspruchen, trägt niemand die volle Verantwortung. Das Ergebnis ist vorhersehbar: 84 % der Unternehmen bezweifeln, dass sie ein Compliance-Audit in Bezug auf Agentenverhalten oder Zugriffskontrollen bestehen könnten. In regulierten Branchen wie dem Finanz- und Gesundheitswesen, in denen Prüfungsfehler rechtliche Konsequenzen nach sich ziehen, führt dieser Zweifel direkt zu einem Haftungsrisiko. (Weitere Informationen zu den rechtlichen Dimensionen der Haftung autonomer Agenten finden Sie in der entsprechenden Analyse in The Autonomous Tort: Why AI Agents Are Uninsurable.)
The Steel Man: Warum die Optimisten nicht falsch liegen
Fairerweise muss man sagen, dass die Agent-Governance-Krise nicht hoffnungslos ist und das Narrativ „Alles brennt“ einer Einschränkung bedarf.
Die im Januar 2026 angekündigte Entra Agent ID von Microsoft stellt den glaubwürdigsten Versuch dar, IAM in das Agentenzeitalter zu bringen. Es weist Agenten eindeutige Workload-Identitäten zu, erzwingt menschliches Sponsoring (jeder Agent muss einer verantwortlichen Person zugeordnet werden können) und wendet Zero Trust Conditional Access-Richtlinien an. Die Commerzbank hat mithilfe der Entra-basierten Governance bereits einen Banking-Avatar mit 30.000 Gesprächen aufgebaut. Die Wirtschaftsprüfungsgesellschaft EisnerAmper hat auf Azure AI Foundry einen KI-gestützten Prüfagenten mit Entra als Identitätskontrollebene entwickelt.
Das sind echte Erfolgsgeschichten in regulierten Branchen. Sie zeigen, dass die Agenten-Governance lösbar ist, wenn der Plattformanbieter den gesamten Stack kontrolliert.
Aber genau das ist die Einschränkung. Die Governance von Microsoft funktioniert für das Microsoft-Ökosystem: Copilot Studio, Azure Foundry, Microsoft 365. Die Salesforce-Daten zeigen, dass Unternehmen Agenten aus durchschnittlich drei verschiedenen Entwicklungsquellen bereitstellen: 36 % vorgefertigte SaaS-Agenten, 34 % eingebettete Plattformagenten und 30 % maßgeschneiderte. Die Governance-Krise betrifft keine einzelne Plattform. Es befindet sich an den Nähten zwischen Plattformen, wo Agenten von OpenAI, Anthropic, Google, ServiceNow und benutzerdefinierten Builds über unkontrollierte APIs miteinander und mit Unternehmensdaten interagieren.
Es lohnt sich, die langweilige Hypothese deutlich zu formulieren: Die meisten Organisationen sind nicht inkompetent. Sie verwenden Identitätstools aus dem Jahr 2020 für ein Problem aus dem Jahr 2026. Das ist eine Verzögerung, keine Verschwörung. Aber Verzögerungen bei der Sicherheit haben Konsequenzen, die Verzögerungen bei der Produktivität nicht haben.
Die Effekte zweiter Ordnung
Die nachgelagerten Folgen der Agentenidentitätskrise gehen weit über den ersten Verstoß hinaus.
Erste Ordnung: Ein Agent mit übermäßigen Berechtigungen wird kompromittiert und exfiltriert sensible Daten. Das ist das offensichtliche Szenario, und es wird passieren. Gartner hat prognostiziert, dass die Kosten durch den Missbrauch von KI-Agenten bis zum Jahr 2027 viermal höher sein werden als die Kosten herkömmlicher Multi-Agenten-Systeme.
Zweite Ordnung: Der Verstoß löst ein Compliance-Erdbeben aus. Erwarten Sie, dass das National Institute of Standards and Technology (NIST) und die SOC 2-Frameworks bis Ende 2026 oder Anfang 2027 agentenspezifische Prüfanforderungen hinzufügen werden. Jedes Informationssicherheitsteam (InfoSec) muss plötzlich jede KI-Agentenidentität in seiner Umgebung inventarisieren, klassifizieren und prüfen, eine Aufgabe, die die meisten ab Anfang 2026 nicht mehr ausführen können.
Dritte Ordnung: Durch die Compliance-Belastung werden mittelständische Unternehmen von der Unternehmens-KI ausgeschlossen. Fortune-500-Unternehmen verfügen über das Budget für Entra Agent ID, dedizierte KI-Sicherheitsteams und Deloitte-Governance-Engagements. Bei einem Fertigungsunternehmen mit 200 Mitarbeitern, das drei verschiedene KI-Agentenplattformen nutzt, ist dies nicht der Fall. Die Governance-Steuer beschleunigt die Konzentration der KI-Fähigkeiten in den größten Organisationen und stärkt so einen strukturellen Vorteil, der sich mit der Zeit verstärkt.
Dies ist das Muster, das sich bei SaaS-Governance, Cloud-Compliance und Datenschutzbestimmungen abspielte. Jede Technologiewelle erzwingt eine Regierungswelle, und jede Regierungswelle begünstigt die etablierten Betreiber, die die Kosten tragen können. Die Frage ist nicht, ob dies geschehen wird; es ist wie schnell.
Was das für Sie bedeutet
Wenn Sie ein CISO oder IT-Leiter sind:
- Sofortige Bestandsaufnahme. Die Tatsache, dass 80 % der Unternehmen ihre aktiven Agenten nicht sehen können, ist der gefährlichste Datenpunkt im CSA-Bericht. Sie können nicht sichern, was Sie nicht sehen können. Beginnen Sie mit einer Agentenregistrierung, bevor Sie Governance-Plattformen kaufen.
- Statische API-Schlüssel töten. Die Zahl von 44 % ist nicht zu rechtfertigen. Migrieren Sie auf kurzlebige Token mit automatischer Rotation. Dies ist die am niedrigsten hängende Frucht mit der größten Wirkung.
- Bestimmen Sie für jeden Agenten einen menschlichen Sponsor. Nur 28 % können Agentenaktionen auf Menschen zurückführen. Dies ist kein Technologieproblem; Es handelt sich um ein Richtlinienproblem, das noch am selben Tag behoben werden kann.
Wenn Sie ein Unternehmenskäufer sind, der KI-Agent-Plattformen evaluiert:
- Stellen Sie zuerst die Identitätsfrage. Bevor Sie die Produktivitätsfunktionen eines Agenten bewerten, fragen Sie: „Wie authentifiziert sich dieser Agent, welche Berechtigungen benötigt er und können seine Aktionen in Echtzeit überwacht werden?“ Wenn der Verkäufer keine klare Antwort geben kann, gehen Sie weg.
- Plattformen mit integrierter Governance bevorzugen gegenüber einer nachträglichen Zusammenstellung der Governance. Die historische Lehre aus der Ausbreitung von SaaS ist, dass Bolt-on-Governance drei- bis fünfmal mehr kostet als native Governance.
Wenn Sie ein Sicherheitsanbieter oder Startup-Gründer sind: – Der Markt für Agent Identity Governance steht vor dem gleichen explosiven Wachstum wie das SaaS-Management in den Jahren 2016–2019. Der CSA-Bericht ist der Startschuss. Die Gewinner werden diejenigen sein, die plattformübergreifende Agentenidentitätslösungen entwickeln, das Äquivalent von iPaaS für das Agentenzeitalter.
Die Uhr tickt
Der Markt für KI-Agenten für Unternehmen befindet sich in der gleichen Situation wie SaaS im Jahr 2013: Echte Produktivitätssteigerungen treiben die Akzeptanz schneller voran, als die Governance mithalten kann. Die Schatten-KI-Ära, die mit der unbefugten ChatGPT-Nutzung im Jahr 2023 begann [die Unternehmen bereits durchschnittlich 670.000 US-Dollar pro Sicherheitsverletzung gekostet hat] (/ai/shadow-ai-enterprise-security-risk), entwickelt sich zu etwas Gefährlicherem: Schattenagenten mit autonomer Ausführungsfähigkeit und ohne Identitätskontrollen.
Irgendwo in einem Fortune-500-Unternehmen authentifiziert sich derzeit ein KI-Agent mit einem statischen API-Schlüssel, der vor sechs Monaten von einem Entwickler bereitgestellt wurde, der das Unternehmen inzwischen verlassen hat. Dieser Agent hat Lesezugriff auf eine Kundendatenbank, Schreibzugriff auf ein Ticketsystem und Ausführungsberechtigungen für eine Zahlungs-API. Niemand weiß, dass es läuft. Niemand beobachtet, was es tut.
Das Verhältnis von 80 zu 1 stellt kein zukünftiges Risiko dar. Es ist die aktuelle Realität. Die Frage ist, ob der erste größere Agentenverstoß auftritt, bevor oder nachdem die Governance-Rahmenwerke aufgeholt haben. Die Geschichte legt „vorher“ nahe. Der SaaS-Governance-Markt wurde auf den Trümmern von Datenschutzverletzungen aufgebaut, die niemals hätten passieren dürfen. Der Agent-Governance-Markt wird wahrscheinlich auf die gleiche Weise aufgebaut sein.
Der einzige Unterschied besteht darin, dass die unkontrollierten Werkzeuge dieses Mal denken können.
Quellen
- Salesforce 2026 MuleSoft Connectivity Benchmark Report
- CSA & Strata Identity: Securing Autonomous AI Agents (February 2026)
- CIO Dive: IT Leaders Grapple with AI Agent Sprawl
- Gradient Flow: Security for AI-Native Companies
- Gartner: AI Spending Forecast 2026
- Help Net Security: Securing Autonomous AI Agents Rules
- Microsoft: Four Priorities for AI-Powered Identity Security in 2026
- Deloitte: State of AI in the Enterprise 2026
- CSA: Securing Autonomous AI Agents Report
🦋 Diskussion auf Bluesky
Auf Bluesky diskutieren