Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat 2026 zum “Jahr des Angriffsflächenmanagements” erklärt. Und KI-Agenten sind der Grund dafür. Im aktuellen Lagebericht dokumentiert die Behörde 119 neue Schwachstellen pro Tag (ein Plus von 24% gegenüber dem Vorjahr) und benennt autonome KI-Agenten als den Bedrohungsvektor, auf den bestehende Abwehrsysteme am wenigsten vorbereitet sind. In einer Dark-Reading-Umfrage sehen 48% der Cybersicherheitsexperten agentic AI als den wichtigsten Angriffsvektor 2026.
Hier geht es nicht um Governance-Richtlinien für KI-Agenten. Hier geht es darum, dass KI-Agenten Angriffsflächen erzeugen, die die meisten Unternehmen weder sehen noch verteidigen können.
Warum das BSI KI-Agenten gezielt hervorhebt
Das BSI unterscheidet KI-Agenten von gewöhnlicher Software, weil Agenten autonom handeln, Aktionen über Systeme hinweg verketten und sogenannte Non-Human Identities (NHIs) erzeugen. Eine herkömmliche Anwendung ruft eine API mit festen Parametern auf. Ein KI-Agent entscheidet selbst, welche APIs er nutzt, erstellt mehrstufige Workflows im laufenden Betrieb und greift auf Datenquellen zu, für die er nie explizit programmiert wurde.
Diese Autonomie erzeugt drei Kategorien von Angriffsflächen, für die bestehende Sicherheitswerkzeuge nicht gebaut wurden.
Credential- und Token-Wildwuchs
Jeder KI-Agent braucht API-Schlüssel, OAuth-Tokens oder Dienstkonto-Zugangsdaten. Laut Kiteworks’ Analyse für 2026 übertreffen Non-Human Identities die menschlichen Nutzer in typischen Unternehmensumgebungen im Verhältnis 10:1 bis 100:1. Wenn Agenten sich vermehren, folgt der Credential-Wildwuchs. Ein kompromittierter Agent-Token öffnet den Zugang zu jedem System, das der Agent erreichen kann.
Security-insider.de berichtet, dass automatisierter Token-Diebstahl 2026 zur primären Angriffsmethode wird: KI-gesteuerte Malware extrahiert aktive Session-Tokens aus Browsern und stiehlt hochwertige Tokens vor deren Ablauf. Multi-Faktor-Authentifizierung allein reicht nicht mehr. Das BSI fordert hardwarebasierte Authentifizierung und Zero-Trust-Browser-Architekturen.
Dynamische Infrastruktur, die sich nicht inventarisieren lässt
Klassisches Angriffsflächenmanagement setzt voraus, dass man seine Assets aufzählen kann. KI-Agenten brechen diese Annahme. Sie bauen temporäre Verbindungen auf, greifen dynamisch auf APIs zu und interagieren mit Diensten, die kein Administrator explizit konfiguriert hat. Die BSI-Seite zum Angriffsflächenmonitoring betont die Notwendigkeit einer kontinuierlichen, automatisierten Oberflächenerkennung, weil statische Asset-Inventare nicht erfassen, was Agenten erzeugen.
Allein Deutschlands web-erreichbare Angriffsfläche umfasst 13,2 Millionen .de-Domains. Wenn KI-Agenten darüber hinaus ephemere API-Verbindungen und dynamische Tool-Integrationen aufbauen, wird die effektive Oberfläche mit manuellen Methoden nicht mehr kartierbar.
Agent-zu-Agent-Angriffsketten
Das Risiko potenziert sich, wenn Agenten mit anderen Agenten interagieren. All-about-security.de dokumentiert, wie Angreifer Agent-Orchestrierungen infiltrieren können, um Transaktionen zu manipulieren, Daten abzugreifen oder Erpressungsszenarien auszulösen. Wer einen Agenten in einer Multi-Agent-Pipeline kompromittiert, besitzt nicht nur diesen Agenten, sondern jedes nachgelagerte System, das die Pipeline berührt. Gartner prognostiziert, dass 40% der Enterprise-Anwendungen bis 2026 aufgabenspezifische KI-Agenten einbetten werden, gegenüber weniger als 5% im Jahr 2025. Jede Integrationsstelle ist ein weiteres Glied in einer potenziellen Angriffskette.
Die deutschen Zahlen, die das Ganze dringend machen
Die BSI-Warnungen wiegen besonders schwer, weil Deutschlands Bedrohungslage bereits kritisch ist. Die Bitkom-Studie Wirtschaftsschutz 2025 ergab, dass 81% der deutschen Unternehmen von Datendiebstahl, Industriespionage oder Sabotage betroffen waren. Deutschland liegt weltweit auf Platz vier bei Cyberangriffen und ist das am stärksten betroffene Land in der EU. Unternehmen verzeichnen durchschnittlich 1.223 Angriffe pro Woche, ein Plus von 14% gegenüber dem Vorjahr laut Cybles Analyse.
BSI-Präsidentin Claudia Plattner bringt es auf den Punkt: “Wer seine Angriffsflächen nicht schützt, wird Opfer.”
Für den Mittelstand sind die Zahlen noch alarmierender. Das BSI stuft KMU als “zu leicht angreifbar” ein. Sie setzen KI-Agenten ein, um wettbewerbsfähig zu bleiben, haben aber nicht die Security-Teams, um zu überwachen, was diese Agenten tun. Das Ergebnis ist genau die unkontrollierte Angriffsflächen-Expansion, vor der das BSI warnt.
Wo KI-Agenten-Risiken auf NIS2 und EU AI Act treffen
Das ist nicht nur ein technisches Problem, sondern ein regulatorisches. NIS2 ist in Deutschland bereits in Kraft und verpflichtet Betreiber kritischer Infrastrukturen und “wichtige Einrichtungen” zu kontinuierlichem Angriffsflächenmanagement. Die Hochrisiko-Bestimmungen des EU AI Act greifen ab August 2026. KI-Agenten in regulierten Sektoren (Finanzwesen, Gesundheit, kritische Infrastruktur) unterliegen dann gleichzeitig den Anforderungen beider Regelwerke.
Das BSI positioniert Angriffsflächenmanagement für KI-Agenten als Schnittstelle dieser beiden regulatorischen Mandate. Wer seine KI-Agenten nicht inventarisieren, deren Berechtigungen dokumentieren und deren Verhalten überwachen kann, wird voraussichtlich sowohl NIS2-Audits als auch EU-AI-Act-Konformitätsbewertungen nicht bestehen.
Was das BSI von Unternehmen erwartet
Das BSI-Framework zum “Jahr des Angriffsflächenmanagements” übersetzt sich in konkrete Maßnahmen für Unternehmen mit KI-Agenten.
Jeden Agenten als Asset erfassen
Jeder KI-Agent in Produktion muss im Asset-Inventar der Organisation erscheinen, mit derselben Sorgfalt wie ein Server oder eine Cloud-Instanz. Das bedeutet: Dokumentation, welche APIs jeder Agent nutzt, welche Credentials er besitzt, welche Daten er lesen und schreiben kann und welche anderen Systeme er auslöst. Kiteworks fand heraus, dass 63% der Organisationen keine Zweckbindung für ihre KI-Agenten durchsetzen können und 60% fehlerhafte Agenten nicht schnell genug beenden können. Beide Lücken beginnen damit, nicht zu wissen, welche Agenten existieren und was sie können.
Agentenverhalten kontinuierlich überwachen
Statische Sicherheitsüberprüfungen funktionieren nicht für autonome Systeme. Das BSI betont kontinuierliches Monitoring: Protokollierung jeder Aktion, Alarmierung bei Abweichungen vom erwarteten Verhalten und die Fähigkeit, einen Agenten mitten in der Ausführung zu stoppen, wenn etwas schiefgeht. Das gemeinsame BSI-ANSSI-Zero-Trust-Framework für LLM-Systeme liefert die Architekturvorlage.
Agent-Credentials wie Privileged Accounts behandeln
API-Schlüssel und Tokens von Agenten brauchen dasselbe Lifecycle-Management wie Admin-Passwörter: automatische Rotation, Just-in-Time-Bereitstellung und Widerruf bei Außerbetriebnahme. Angesichts der BSI-Warnung vor Token-Diebstahl ist das nicht verhandelbar. Wenn Ihre Agenten langlebige API-Schlüssel verwenden, die in Umgebungsvariablen gespeichert sind, werden Angreifer sie finden.
Menschliche Freigabe für folgenschwere Aktionen verlangen
Die konsistente BSI-Position lautet: Kritische Entscheidungen erfordern menschliche Aufsicht. Für KI-Agenten bedeutet das Freigabeschranken vor Aktionen, die Produktionssysteme beeinflussen, Daten exfiltrieren, Sicherheitskonfigurationen ändern oder Berechtigungen über Systemgrenzen hinweg eskalieren könnten.
Häufig gestellte Fragen
Wovor warnt das BSI bei KI-Agenten 2026?
Das BSI hat 2026 zum “Jahr des Angriffsflächenmanagements” erklärt und KI-Agenten als die am schnellsten wachsende Angriffsfläche in der Unternehmens-IT benannt. Die Behörde warnt, dass autonome Agenten Non-Human Identities, dynamische Infrastruktur und Agent-zu-Agent-Angriffsketten erzeugen, die traditionelle Sicherheitstools nicht überwachen können.
Warum gelten KI-Agenten als neue Angriffsfläche?
KI-Agenten handeln autonom, verketten Aktionen über Systeme hinweg und benötigen eigene API-Schlüssel und Credentials (Non-Human Identities). Sie erzeugen dynamische Verbindungen, die in statischen Asset-Inventaren nicht auftauchen. Wenn sie mit anderen Agenten interagieren, kann eine einzige Kompromittierung über ganze Pipelines kaskadieren.
Wie hängt die BSI-Warnung zu KI-Agenten mit NIS2 und dem EU AI Act zusammen?
NIS2 verlangt kontinuierliches Angriffsflächenmanagement für Betreiber kritischer Infrastrukturen in Deutschland. Die Hochrisiko-Bestimmungen des EU AI Act (ab August 2026) fügen Compliance-Anforderungen für KI-Agenten in regulierten Sektoren hinzu. Das BSI positioniert Angriffsflächenmanagement als Framework, das beide regulatorischen Mandate gleichzeitig erfüllt.
Was sollten deutsche Unternehmen tun, um ihre KI-Agenten abzusichern?
Das BSI empfiehlt, jeden KI-Agenten als formales Asset zu erfassen, das Agentenverhalten kontinuierlich zu überwachen, Agent-Credentials wie Privileged Accounts mit automatischer Rotation zu behandeln und menschliche Freigabe für folgenschwere Aktionen einzufordern. Organisationen, die ihre Agenten nicht inventarisieren können, werden voraussichtlich NIS2- und EU-AI-Act-Audits nicht bestehen.
Wie groß ist Deutschlands Cyberbedrohungslage 2026?
Deutschland ist das am stärksten angegriffene Land in der EU. Das BSI dokumentiert 119 neue Schwachstellen pro Tag (24% Anstieg), laut Bitkom sind 81% der deutschen Unternehmen von Cyberangriffen betroffen, und Unternehmen verzeichnen durchschnittlich 1.223 Angriffe pro Woche. KMU werden als besonders verwundbar eingestuft.