Ich habe meine Karriere damit verbracht, mich durch das Labyrinth der Informationssicherheit zu navigieren und bin von detaillierten technischen Audits zur kritischen Arbeit der Generative AI Governance, Risk und Compliance (GRC) übergegangen. In all dieser Zeit habe ich eine unabänderliche Wahrheit gelernt: Jeder große Paradigmenwechsel in der Technologie zieht einen entsprechenden Wandel in der Angriffsstrategie nach sich. In den letzten zehn Jahren haben wir uns zum Schutz vor Phishing auf Sicherheitstraining und -technologie verlassen. Heute stehe ich hier, um Ihnen zu sagen, dass diese Ära vorbei ist. Sobald wir unsere Kollegen erfolgreich darin geschult hatten, schlecht gestaltete E-Mails zu erkennen, verbesserten die Angreifer ihre gesamten operativen Fähigkeiten. Die brennende Frage, die sich mir täglich stellt, lautet: Wie verteidigen wir uns gegen eine Entität, die mit der Planung, Beharrlichkeit und psychologischen Tiefe eines engagierten menschlichen Bedrohungsakteurs operiert, gleichzeitig aber mit der Geschwindigkeit und dem Umfang einer Maschine agiert? Genau das ist die zentrale Herausforderung, die die Agenten-KI mit sich bringt. In diesem Artikel möchte ich Ihnen erklären, warum Agentic AI den menschlichen Faktor optimal ausnutzt und weit über einfaches Phishing hinausgeht und differenzierte Manipulation ermöglicht. Ich teile meine Erkenntnisse darüber, wie diese Technologie die Cyber-Kill-Chain grundlegend verändert. Dabei greife ich auf meine Erfahrung im GRC-Bereich zurück, um die kritischen Schwachstellen unserer aktuellen Strategien für Drittanbieterrisiken und operative Resilienz zu veranschaulichen. Für jeden Entwickler, Ingenieur oder Sicherheitsexperten, der dies liest, ist das Verständnis dieses Wandels keine Option; er ist die neue Überlebensgrundlage. Definition des Agenten: Nicht der LLM Ihres Großvaters Wenn die meisten Branchenexperten im Zusammenhang mit Cyberangriffen über KI sprechen, denken sie immer noch an Large Language Models (LLMs), die kontextuell fehlerfreie Spear-Phishing-E-Mails generieren. Das ist zwar eine ernstzunehmende Bedrohung, aber grundsätzlich passiv. Der Angreifer benötigt weiterhin einen Menschen (oder ein Skript), um die Kampagne zu steuern, die Reaktionen zu analysieren und den nächsten Schritt zu entscheiden. Agentische KI ist anders. Ich definiere sie als ein System, das auf einem LLM basiert und durch die Fähigkeit erweitert wird, in der externen digitalen Welt zu denken, zu planen, Aktionen auszuführen und – entscheidend – sich auf der Grundlage von Feedback selbst zu korrigieren. Betrachten Sie es weniger als Werkzeug, sondern vielmehr als autonome Software-Einheit. Der Agent definiert ein Ziel, beispielsweise die Exfiltration sensibler Kundendaten, und erstellt dann einen mehrstufigen Plan: Ziel finden, Informationen sammeln, Schwachstellen untersuchen, einen Exploit entwickeln und den Einbruch bewältigen. Wenn Schritt 3 fehlschlägt, stoppt der Agent nicht; er leitet um, lernt und probiert einen neuen Ansatz. Der entscheidende Unterschied, den ich in meiner GRC-Arbeit analysiere, ist die Autonomie. Eine agentenbasierte KI kann Wochen oder Monate mit kontinuierlicher, stiller Aufklärung verbringen und ihre Social-Engineering-Taktiken in Echtzeit anpassen, bis sie das notwendige schwache Glied findet – und dieses Glied ist fast immer ein Mensch. Die neue Kill Chain: Psychologische Optimierung im großen Maßstab Die traditionelle Cyber-Kill-Chain geht von einer zeitaufwändigen Abfolge von Ereignissen aus und bietet uns Zeitfenster zur Erkennung und Eindämmung. Agentische KI reduziert diese Zeitfenster auf nahezu Null. Die gefährlichste Beschleunigung sehe ich in der Anfangsphase: Aufklärung und Bewaffnung. Jahrelang habe ich die Wichtigkeit der Eindämmung von Informationslecks gepredigt. Heute kann eine agentenbasierte KI die Arbeit von zwanzig erfahrenen Analysten in wenigen Minuten erledigen und Daten aus sozialen Medien, öffentlichen Aufzeichnungen und Darknet-Foren synthetisieren. Sie findet nicht nur Name und Titel eines Mitarbeiters, sondern erfasst auch dessen Beziehungen, aktuelle Projekte, Fachsprachenkenntnisse und sogar dessen emotionalen Zustand anhand öffentlicher Beiträge. Beim Social Engineering optimiert der Agent psychologische Schwachstellen. Traditionelles Phishing ist eine „Spray-and-Pray“-Operation, die darauf abzielt, ein paar leicht zu erreichende Ziele zu erreichen. Agentische KI hingegen erstellt eine hyperpersonalisierte Erzählung. Sie weiß genau, welches Projekt ich gerade leite, mit welchem Drittanbieter ich am meisten zu tun habe und welchem meiner Kollegen ich blind vertraue. Sie kann Nachrichten generieren, die Ton, Rhythmus und internen Jargon eines vertrauenswürdigen Kollegen perfekt imitieren und mein menschliches Vertrauen nutzen, um technische Sicherheitsebenen zu umgehen. Diese Fähigkeit ist nicht nur eine Bedrohung, sondern eine tiefgreifende Herausforderung für das Konzept der „menschlichen Firewall“. Mein Kampf am Perimeter: Der Drittparteien-Vektor In meiner aktuellen Rolle ist das Management von Drittanbieterrisiken von größter Bedeutung. Mir war immer klar, dass meine Sicherheitslage nur so stark ist wie mein schwächster Lieferant. Doch Agentic AI verwandelt dieses Allgemeinwissen in ein katastrophales Ereignis. Ich habe kürzlich ein Angriffsszenario simuliert, das mir die Gefahr verdeutlicht hat. Mein Fokus lag auf einem Managed Service Provider (MSP), der die Überwachung unserer Cloud-Umgebung übernimmt – ein vertrauenswürdiger, langjähriger Partner. Ich entwickelte eine Agentic AI, um diesen Anbieter gezielt anzusprechen. Nicht per Massen-E-Mail, sondern mithilfe einer komplexen Social-Engineering-Kampagne, die sich an einen seiner Junior-Ingenieure richtete, von dem ich wusste, dass er über Administratorzugriff verfügte. Der Agent verbrachte eine Woche damit, eine falsche digitale Identität zu erstellen. Er erstellte ein sehr detailliertes Profil eines neuen, fiktiven Kundenkontakts, der ein technisches Nischeninteresse mit dem Zielingenieur teilte. Als der Agent sich schließlich meldete, handelte es sich nicht um eine Anfrage nach Anmeldeinformationen, sondern um eine komplex klingende Supportanfrage zu einer anfälligen Partner-API, die der MSP nutzte. Die Kommunikation verlief einwandfrei: korrekte Verwendung der technischen Terminologie, höfliche Dringlichkeit und ein legitim aussehender, aber bösartiger Codeausschnitt zur „Fehlerbehebung“ des vermeintlichen API-Problems. Der Ingenieur, der seinem vermeintlich glaubwürdigen Kollegen vertraute, der technische Hilfe zu einer ihm vertrauten API suchte, führte den Code aus. Was dann geschah, war erschreckend: Der Agent nutzte die kompromittierten Anmeldeinformationen automatisch, stellte Persistenz her und begann mit der Kartierung meines Netzwerks – und das alles innerhalb von zwanzig Minuten nach der ersten menschlichen Interaktion. Mir wurde der tiefgreifende Wandel bewusst: Der Agent benötigte keine Schwachstelle in meinem System, um den Angriff auszuführen; er nutzte eine Schwachstelle in meinem Vertrauensrahmen und dem Authentifizierungsprozess der API aus. Mein GRC-Framework war darauf ausgelegt, die Richtlinien des Anbieters zu überprüfen, nicht die unmittelbaren menschlichen Entscheidungen, die unter dem Druck überzeugender Argumente eines autonomen digitalen Angreifers getroffen wurden. Wenn Digital auf Physisches trifft: Angriff auf die operative Widerstandsfähigkeit Der aus meiner Sicht als GRC- und Operational-Resilience-Spezialist beunruhigendste Aspekt ist das Potenzial des Agenten, Multi-Vektor-Angriffe zu koordinieren und so die Lücke zwischen IT und Operational Technology (OT) zu schließen. Diese Fähigkeit verschiebt die Bedrohung vom Datenverlust auf physische Störungen und eine mögliche finanzielle Lähmung. Ich denke oft an die Logistikabläufe in der Lieferkette zurück, die ich mit abgesichert habe. Stellen Sie sich eine agentenbasierte KI vor, die mit dem Ziel programmiert ist, einen kritischen Fertigungsprozess in der Lieferkette zu unterbrechen. Zunächst dringt der Agent gezielt in das IT-Netzwerk des Herstellers (die ursprüngliche Domäne) ein. Im Netzwerk angekommen, analysiert er selbstständig den Kommunikationsfluss zwischen dem IT-System und der OT-Umgebung, einschließlich der Produktionsplanungsserver, der Bestandsverwaltungssysteme und der Logistikplattformen. Gleichzeitig startet der Agent eine zweite, unabhängige Social-Engineering-Kampagne gegen einen vertrauenswürdigen Drittanbieter von Logistikdienstleistungen (3PL). Er sendet hochspezifische, zeitkritische E-Mails an den Versandleiter des 3PL. Dabei verwendet er einen Tonfall interner Dringlichkeit, wie ich ihn in Krisenszenarien schon unzählige Male erlebt habe. So wird der Versandleiter aufgrund einer fiktiven „Behördenprüfung“ vorzeitig gestoppt. Das Ergebnis ist eine Zangenbewegung. Der Agent im IT-Netzwerk muss keine zerstörerische OT-Nutzlast ausführen; er verursacht lediglich Datenchaos: Er verfälscht Lagerbestände, passt Produktionspläne minutengenau an und erstellt Phantombestellungen. Zusammen mit dem vom 3PL ausgelösten, echten Lieferstopp ist die Betriebsstörung komplett. Ich müsste nicht nur einen Datenverstoß bewältigen, sondern einen umfassenden Betriebszusammenbruch, dessen Ursachen auf zwei vertrauenswürdige Einheiten und eine autonome KI verteilt sind. Meine unmittelbare Reaktion auf die operative Widerstandsfähigkeit wäre durch die Komplexität und die schiere Koordination des Angriffs überfordert, den ich nur als strategischen Ansatz auf militärischem Niveau beschreiben kann. Paradigmenwechsel bei der Verteidigung: Von der Firewall zum Framework Ich glaube, dass unsere derzeitige Besessenheit von technischen Kontrollen zwar notwendig ist, aber gegenüber der dringenden Notwendigkeit eines robusten KI-Governance- und Risikorahmens zweitrangig geworden ist. Technische Korrekturen sind zu langsam, um mit einem Agenten Schritt zu halten, der seine eigene Exploit-Kette dynamisch neu schreiben kann. Meine Arbeit bei GenAI GRC hat mich davon überzeugt, dass die Verteidigung mit einer radikalen Neubewertung des Konzepts der „menschlichen Firewall“ beginnen muss. Wir können die menschliche Fähigkeit zu Fehlern, Empathie oder Ermüdung nicht durch Training beseitigen. Stattdessen plädiere ich für Frameworks, die KI-gestützte „Gegenagenten“ in unsere GRC- und Überwachungs-Stacks integrieren. Diese Gegenagenten müssen nicht nur darauf trainiert werden, bekannte bösartige Muster zu erkennen, sondern auch die Absicht und Autonomie des Verhaltens des gegnerischen Agenten zu identifizieren. Ich spreche von der Echtzeit-Erkennung von Verhaltensanomalien bei allen API-Interaktionen von Drittanbietern und der sofortigen, automatisierten Durchsetzung von Richtlinien. Diese sperren kritische Prozesse, wenn eine menschliche Entscheidung, so legitim sie auch erscheinen mag, gegen ein in unseren GRC-Regeln festgelegtes Risikomuster verstößt. Das bedeutet, dass Authentifizierungsmechanismen nicht mehr auf menschliche Verifizierung angewiesen sind, sondern auf Zero-Trust-Systeme umgestellt werden, die jeden API-Aufruf und jede Benutzeraktion anhand ihres maschinellen Kontexts und nicht nur anhand ihres menschlichen Ursprungs prüfen. Der autonome Gegner verlangt eine autonome Verteidigung Das Zeitalter des einfachen Phishings ist vorbei. Ich sehe eine Zukunft, in der hochentwickelte, autonome KI-Systeme unsere Abwehrmechanismen ständig auf die Probe stellen und dabei genau die menschlichen Eigenschaften ausnutzen, die wir schätzen: Vertrauen, Schnelligkeit und Effizienz. Meine Erfahrung im Risikomanagement in diesem sich wandelnden Umfeld hat mir gezeigt, dass passive Abwehr und menschliches Training nicht mehr ausreichen. Der autonome Gegner erfordert eine ebenso intelligente, autonome Abwehr. Die Verantwortung liegt nun bei der Tech-Community, Systeme zu entwickeln, die nicht nur sicher, sondern auch von Grund auf widerstandsfähig sind: Systeme, bei denen GRC nicht nachträglich, sondern die zentrale Betriebslogik ist. Ich fordere alle Entwickler der nächsten Softwaregeneration dringend auf, Governance und Risikokontrollen direkt in die Code-Architektur zu integrieren. Gelingt uns dies nicht, übergeben wir die Schlüssel zu unseren digitalen Königreichen den raffiniertesten, unermüdlichsten und anpassungsfähigsten Gegnern, die die Welt je gesehen hat. Dieser Herausforderung können und müssen wir uns stellen.
