Das BSI entwickelt dedizierte Sicherheitskriterien für KI-Agenten. Wer die frühen Signale ignoriert, wird Compliance nachträglich in laufende Produktivsysteme einbauen, unter Zeitdruck und mit deutlich höheren Kosten. Die Behörde hat bereits Leitfäden zu Evasion-Angriffen auf LLMs veröffentlicht, gemeinsam mit Frankreichs ANSSI ein Zero-Trust-Framework für LLM-Systeme erarbeitet und öffentlich gewarnt: KI-Agenten mit erweiterten Berechtigungen sind die am schnellsten wachsende Angriffsfläche in der Unternehmens-IT.
BSI-Präsidentin Claudia Plattner formuliert es deutlich: “Wer seine Angriffsflächen nicht schützt, wird Opfer.” Mit NIS2 seit Dezember 2025 in Kraft und den Hochrisikoregeln des EU AI Act ab August 2026 ist die BSI-Positionierung zu KI-Agenten kein theoretisches Papier. Es wird der Compliance-Maßstab, an dem Prüfer messen.
BSI-Kernposition: KI-Agenten sind nicht-menschliche Identitäten
Die meisten Unternehmen behandeln KI-Agenten wie Software-Features. Das BSI behandelt sie als autonome Akteure mit eigener Identität, eigenen Berechtigungen und eigenem Schadensradius. Diese Unterscheidung verändert die gesamte Sicherheitsarchitektur.
Jeder KI-Agent erzeugt eine sogenannte nicht-menschliche Identität (Non-Human Identity, NHI): Er braucht API-Schlüssel, Authentifizierungstoken und Machine-to-Machine-Credentials. Laut einer Analyse von Kiteworks übersteigt die Zahl nicht-menschlicher Identitäten die menschlicher Nutzer im Verhältnis 10:1 bis 100:1. Klassische IAM- und PAM-Systeme wurden nie für autonome Agenten entwickelt, die Aktionsketten über mehrere Systeme spannen, Cloud-Grenzen überschreiten und Auswirkungen in Sekunden eskalieren.
Die veröffentlichten BSI-Empfehlungen für LLM-basierte Systeme gelten direkt für Agenten und basieren auf drei Prinzipien:
Zugriffsrechte konsequent minimieren. Agenten sollen mit den minimal notwendigen Berechtigungen für jede einzelne Aufgabe arbeiten, nicht mit geerbten Benutzerrechten. Das gemeinsame Papier mit der ANSSI nennt “Begrenzung der Zugriffsrechte nach Bedarf” als erstes Designprinzip.
Entscheidungen transparent machen. Jede Aktion eines Agenten muss protokolliert und nachvollziehbar sein. Das BSI verlangt, dass Entscheidungsfindung transparent dargestellt wird, damit Incident-Response-Teams rekonstruieren können, was passiert ist.
Menschen bei kritischen Entscheidungen einbinden. Die BSI-Position: Kritische Entscheidungen müssen unter menschlicher Aufsicht stattfinden. Für KI-Agenten bedeutet das Freigabe-Gates vor destruktiven Operationen, datenexfiltrationsfähigen Aktionen oder systemübergreifender Berechtigungseskalation.
Konkrete Bedrohungen, die das BSI identifiziert hat
Das BSI warnt nicht abstrakt. Der Lagebericht 2025 dokumentiert 119 neue Schwachstellen pro Tag (24% mehr als im Vorjahr), 950 Ransomware-Angriffe auf deutsche Institutionen, und stellt fest: Nur 10% der deutschen Unternehmen setzen KI zur Verteidigung ein, während Angreifer die Technologie bereits offensiv nutzen.
Prompt Injection über Geschäftsdaten
Genau dieses Angriffsmuster adressiert die BSI-Veröffentlichung vom November 2025 zu Evasion-Angriffen auf LLMs. Angreifer betten bösartige Anweisungen in gewöhnliche Geschäftsdokumente, E-Mails oder Datenbankeinträge ein. Wenn ein KI-Agent diese Daten verarbeitet, behandelt er die eingebetteten Anweisungen als legitim. CyberArk hat einen realen Fall dokumentiert: Angreifer platzierten Prompts in Lieferadressfeldern, die einen KI-Agenten eines Finanzdienstleisters dazu brachten, auf Rechnungstools zuzugreifen und Bankdaten von Lieferanten zu extrahieren.
BSI-Gegenmaßnahmen: sichere System-Prompts, die Überschreibungsversuche abwehren, Filterung bösartiger Inhalte an jedem Eingangspunkt, Sandboxed-Ausführungsumgebungen, RAG-Pipelines beschränkt auf vertrauenswürdige Datenquellen und explizite Nutzerbestätigung vor jeder Aktion mit realen Auswirkungen.
Kompromittierte Agent-Skills und Plugins
Das BSI hat explizit vor Agent-“Skills” gewarnt: modulare Interaktionskomponenten, die die Fähigkeiten eines KI-Agenten erweitern. Offenes Teilen von Skills über Marktplatz-Plattformen erzeugt dieselben Supply-Chain-Risiken, die npm und PyPI plagten. Ein bösartiger Skill kann Backdoors, Datenexfiltrationslogik oder Privilege-Escalation-Code enthalten, der sich erst nach der Installation aktiviert.
MCP-Server-Schwachstellen haben bereits 2025 gezeigt, dass Agent-Tool-Integrationen eine realistische Angriffsfläche darstellen. Forscher haben selbstreplizierende bösartige Pakete dokumentiert, die gestohlene Credentials ausnutzen.
Wildwuchs nicht-menschlicher Identitäten
Jede KI-Agent-Bereitstellung fügt Maschinenidentitäten hinzu, die über die Zeit Berechtigungen akkumulieren. 48% der KRITIS-Betreiber verfügen nicht über angemessene Angriffserkennungssysteme. Wenn die Credentials eines Agenten kompromittiert werden, hängt der Schadensradius davon ab, wie viele Berechtigungen diese Identität angesammelt hat. Ohne aktive Governance wachsen Agent-Berechtigungen monoton: Teams fügen Zugang für neue Anwendungsfälle hinzu, widerrufen aber selten alte.
Wie BSI-Regeln mit NIS2 und EU AI Act zusammenhängen
Deutsche Unternehmen mit KI-Agenten stehen jetzt vor drei sich überlappenden Regulierungsrahmen. Das BSI sitzt an der Schnittstelle aller drei.
NIS2: Die unmittelbare Frist
Die NIS2-Umsetzung in Deutschland trat im Dezember 2025 in Kraft. Die Registrierung über das BSI-Portal musste bis April 2026 erfolgen. Rund 29.000 wesentliche und wichtige Einrichtungen sind betroffen. Die Kernpunkte für KI-Agent-Deployments:
- 24-Stunden-Meldepflicht. Wenn ein KI-Agent eine Sicherheitsverletzung verursacht oder ermöglicht, muss Ihr Unternehmen innerhalb von 24 Stunden eine Frühwarnung an das BSI übermitteln und innerhalb von 72 Stunden eine detaillierte Meldung.
- Vorstandshaftung. NIS2 macht Vorstandsmitglieder persönlich haftbar für Cybersicherheits-Compliance-Versäumnisse. “Wir wussten nicht, dass unser KI-Agent Zugriff auf Kundendaten hatte” ist keine Verteidigung.
- Lieferkettensicherheit. Sie müssen Sicherheitsstandards bei allen Zulieferern prüfen und durchsetzen, einschließlich KI-Agent-Plattformanbieter und Skill-/Plugin-Lieferanten.
BSI-Präsidentin Plattner hat das geringe NIS2-Bewusstsein deutscher Unternehmen als “fatal” bezeichnet. Nur 50% der betroffenen Organisationen kennen ihre Pflichten.
EU AI Act: Hochrisikoregeln ab August 2026
Das KI-MIG (KI-Marktüberwachungs- und Innovationsgesetz), vom Bundeskabinett am 11. Februar 2026 beschlossen, bestimmt die Bundesnetzagentur als primäre KI-Marktaufsichtsbehörde. Das BSI übernimmt eine Übergangsrolle. KI-Agenten, die im Personalwesen, Finanzbereich, bei kritischer Infrastruktur oder in der Strafverfolgung eingesetzt werden, fallen wahrscheinlich unter die Hochrisikoklassifizierung, was umfangreiche Pflichten auslöst: Risikomanagementsysteme, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht und Cybersicherheitsanforderungen.
Die praktische Konsequenz: Wenn Ihr KI-Agent Entscheidungen trifft, die Menschen betreffen (Lebensläufe sichten, Kredite genehmigen, verdächtige Transaktionen markieren), brauchen Sie ein dokumentiertes Risikomanagementsystem, kontinuierliches Monitoring und die Fähigkeit, Compliance gegenüber Behörden nachzuweisen, die Ihren Quellcode prüfen und Ihre Geschäftsräume betreten können.
BSI AIC4: Das technische Compliance-Framework
Der AIC4-Kriterienkatalog erweitert das C5-Cloud-Sicherheitsframework des BSI um sieben KI-spezifische Kriterienbereiche über den gesamten KI-Lebenszyklus. Obwohl derzeit freiwillig, ist AIC4 das detaillierteste technische Framework einer deutschen Behörde für KI-Compliance. Prüfer referenzieren es zunehmend. Für KI-Agent-Bereitstellungen in regulierten Branchen (Bankwesen über BaFin, Medizin über BfArM) sind AIC4-Kriterien über sektorspezifische Regulierung de facto verpflichtend.
Was Unternehmen jetzt tun sollten: Sechs-Punkte-Checkliste des BSI
Basierend auf den veröffentlichten Empfehlungen des BSI und den verschiedenen Positionspapieren der Behörde: die konkrete Aufgabenliste für Unternehmen mit KI-Agenten.
1. Risikoanalyse um KI-Agent-Bedrohungsszenarien erweitern. Klassische Risikobewertungen decken Prompt Injection, Identitätswildwuchs oder autonome Aktionsketten nicht ab. Nehmen Sie diese jetzt in Ihr Risikoregister auf.
2. Agenten in isolierten Ausführungsumgebungen betreiben. Das BSI empfiehlt explizit Sandboxing und isolierte Systeme. Betreiben Sie Agenten in Containern oder Micro-VMs mit strikter Netzwerksegmentierung. Geben Sie einem Agenten niemals direkten Zugriff auf Produktionsdatenbanken oder interne Netzwerke ohne Security-Gateway.
3. Identitätsmanagement für jeden Agenten implementieren. Registrieren Sie jeden KI-Agenten als verwaltete nicht-menschliche Identität. Erzwingen Sie Least-Privilege- und zeitlich begrenzte Berechtigungen. Setzen Sie Identity Threat Detection and Response (ITDR) ein, um Credential-Missbrauch zu erkennen.
4. Agent-Lieferkette auditieren. Überprüfen Sie jeden Skill, jedes Plugin, jeden MCP-Server und jede Drittanbieter-Integration Ihrer Agenten. Legen Sie denselben Maßstab an wie bei einem neuen Softwareanbieter. Das BSI warnt explizit vor ungeprüften Agent-Skills aus offenen Marktplätzen.
5. Teams zu KI-spezifischen Angriffsmethoden schulen. Die gemeinsame BSI-CISA-Warnung listet KI-spezifische Gefahren als erstes, was Mitarbeitende verstehen müssen. Führen Sie Planspiele durch, die Prompt Injection, Agent-Credential-Diebstahl und außer Kontrolle geratene autonome Aktionen simulieren.
6. Zentralisierte Audit-Logs führen. Jede Agent-Aktion, jeder API-Aufruf, jede Berechtigungsänderung muss protokolliert werden. Die 24-Stunden-Meldepflicht von NIS2 erfordert forensisch verwertbare Logs, nicht nur Anwendungsmetriken. Gartner empfiehlt zentrale Audit-Trails, die jede Dateninteraktion erfassen, als Basis für KI-Agent-Governance.
Häufig gestellte Fragen
Welche Sicherheitsregeln fordert das BSI für KI-Agenten?
Das BSI fordert den Betrieb von KI-Agenten unter Zero-Trust-Architektur mit minimal notwendigen Berechtigungen, Sandboxed-Ausführungsumgebungen, transparenter Entscheidungsprotokollierung und menschlicher Aufsicht bei kritischen Aktionen. Dazu empfiehlt es sichere System-Prompts, Eingabefilterung und die Behandlung jedes Agenten als verwaltete nicht-menschliche Identität mit gesteuertem API-Zugang.
Wie betrifft NIS2 KI-Agent-Deployments in Deutschland?
NIS2 verpflichtet Organisationen, KI-Agent-bezogene Sicherheitsvorfälle innerhalb von 24 Stunden zu melden, macht Vorstandsmitglieder persönlich haftbar für Cybersicherheits-Compliance-Versäumnisse und schreibt Lieferketten-Sicherheitsaudits vor, die sich auf KI-Agent-Plattformanbieter und Plugin-Lieferanten erstrecken. Rund 29.000 deutsche Einrichtungen sind betroffen.
Was ist das BSI-AIC4-Framework?
AIC4 (AI Cloud Service Compliance Criteria Catalogue) erweitert das C5-Cloud-Sicherheitsframework des BSI um sieben KI-spezifische Kriterienbereiche über den gesamten KI-Lebenszyklus. Obwohl derzeit freiwillig, ist es das detaillierteste deutsche technische Framework für KI-Compliance und wird in regulierten Branchen wie Bankwesen und Gesundheitswesen zunehmend als verpflichtend behandelt.
Welche KI-Agent-Sicherheitsrisiken hat das BSI identifiziert?
Das BSI identifiziert drei Hauptrisiken: Prompt Injection über Geschäftsdaten (Angreifer betten bösartige Anweisungen in Dokumente oder Datenbankfelder ein), kompromittierte Agent-Skills und Plugins aus offenen Marktplätzen sowie unkontrollierter Wildwuchs nicht-menschlicher Identitäten, bei dem Agent-Berechtigungen sich über Unternehmenssysteme hinweg ansammeln.
Ab wann gelten die EU-AI-Act-Hochrisikoregeln für KI-Agenten in Deutschland?
Die Hochrisikoregeln des EU AI Act treten im August 2026 und August 2027 in Kraft. Deutschlands KI-MIG bestimmt die Bundesnetzagentur als primäre Aufsichtsbehörde. KI-Agenten im Personalwesen, Finanzbereich, bei kritischer Infrastruktur oder in der Strafverfolgung werden wahrscheinlich als Hochrisiko klassifiziert und benötigen dokumentierte Risikomanagementsysteme, kontinuierliches Monitoring und nachweisbare Compliance.