Nur 18% der Sicherheitsverantwortlichen vertrauen darauf, dass ihre IAM-Systeme KI-Agenten sicher verwalten können. Diese Zahl kommt aus dem Report Securing Autonomous AI Agents der Cloud Security Alliance (CSA), veröffentlicht im Februar 2026 zusammen mit Strata Identity. 285 IT- und Sicherheitsexperten wurden befragt. Die restlichen 82% bewegen sich zwischen “mäßigem Vertrauen” (35%) und “keinem Vertrauen” (18%). Die CSA nennt diese Phase “Time-to-Trust”: Unternehmen bauen gerade erst die Sichtbarkeit, Prüfbarkeit und Kontrolle auf, die sie brauchen, bevor sie Agenten echte Autonomie gewähren können.
Das Problem: Die Agenten sind längst da. 58% der Befragten haben bereits zwischen 1 und 100 Agenten im Einsatz. 70% rechnen damit, innerhalb von zwölf Monaten Dutzende bis Hunderte zu verwalten. Die Identitätsinfrastruktur hält nicht Schritt.
Fünf Zahlen, die Sicherheitsteams alarmieren sollten
Der vollständige CSA-Report umfasst über 30 Seiten. Hier sind die Ergebnisse, die für Budgetentscheidungen und Architekturplanung am wichtigsten sind.
84% bestehen kein Agent-Compliance-Audit
Auf die Frage, ob ihr Unternehmen ein Compliance-Audit zu Agent-Verhalten und Zugriffskontrollen bestehen könnte, sagten 84% nein. Das ist kein theoretisches Problem. Die Transparenzanforderungen des EU AI Act (Artikel 49) gelten bereits für Hochrisikosysteme. Die NIS2-Richtlinie verlangt nachvollziehbare Zugriffe für kritische Infrastrukturen. Für Unternehmen in der DACH-Region, deren Agenten Finanzdaten, personenbezogene Daten oder Betriebssysteme berühren, werden Auditoren irgendwann fragen: Wer hat was autorisiert? Die meisten Unternehmen können das heute nicht beantworten.
Für deutsche Unternehmen kommt ein weiterer Aspekt hinzu: Die DSGVO verlangt nachweisbare Rechtsgrundlagen für jede Datenverarbeitung. Ein KI-Agent, der mit statischen API-Keys auf personenbezogene Daten zugreift, ohne dass die Zugriffe lückenlos protokolliert werden, ist ein offenes Compliance-Risiko.
44% nutzen noch statische API-Keys für Agenten
Die Authentifizierungsmethoden für Agenten lesen sich wie ein Sicherheitskonzept von 2015. 44% setzen auf statische API-Keys. 43% verwenden Benutzername-Passwort-Kombinationen. 35% nutzen gemeinsame Service-Accounts. Das sind genau die Zugangsdaten, die Angreifer zuerst ins Visier nehmen, weil sie nie ablaufen, selten rotiert werden und breiten Zugriff gewähren.
Hillary Baron, Forschungsleiterin bei der CSA, formuliert es klar: “Agenten erben Benutzerberechtigungen, greifen aber unterschiedslos auf alle verfügbaren Daten zu, anders als Menschen.” Ein statischer API-Key gibt einem Agenten dauerhaften, unbegrenzten Zugang. Wenn dieser Key kompromittiert wird, wird der Agent zur offenen Tür. CrowdStrike berichtet, dass 82% der Erkennungen inzwischen ohne Malware erfolgen: Angreifer bewegen sich durch autorisierte Pfade.
Nur 21% führen ein Echtzeit-Agentenregister
Was man nicht sieht, kann man nicht absichern. Nur 21% der Unternehmen pflegen ein Echtzeit-Register aktiver Agenten. 32% verlassen sich auf nicht-aktuelle Aufzeichnungen (Tabellen, Quartalsaudits). 32% planen, innerhalb von zwölf Monaten eines aufzubauen. Und 8% haben gar nichts.
In fast 80% der Unternehmen weiß also niemand genau, wie viele Agenten laufen, worauf sie Zugriff haben oder wer sie autorisiert hat. Die CSA-Folgeanalyse zur Sichtbarkeitslücke bezeichnet dies als das größte Einzelhindernis für Agent-Governance.
Nur 28% können Agent-Aktionen zu einem Menschen zurückverfolgen
Verantwortlichkeit erfordert Nachvollziehbarkeit. Wenn ein Agent eine Aktion ausführt, muss jemand dafür geradestehen. Nur 28% der Befragten können Agent-Aktionen zuverlässig auf einen menschlichen Sponsor oder ein auslösendes System zurückverfolgen, und das über alle Umgebungen hinweg. 46% schaffen es in einigen Umgebungen. 9% können es gar nicht.
Die Zuständigkeit selbst ist zersplittert: 39% sagen, Security-Teams überwachen Agent-Identitäten. 32% sagen, die IT-Abteilung. 13% nennen eine neu entstehende KI-Sicherheitsfunktion. Wenn drei verschiedene Teams glauben, jemand anderes kümmere sich darum, kümmert sich niemand.
Nur 23% haben eine formale Governance-Strategie
Trotz aller Risikodaten haben nur 23% eine formale, unternehmensweite Strategie für Agent-Identitätsmanagement. 37% verlassen sich auf informelle Praktiken. Der Rest befindet sich irgendwo zwischen “Planung” und “Hoffnung”.
Eric Olden, CEO von Strata Identity, bringt das Kernproblem auf den Punkt: “KI-Agenten abzusichern bedeutet nicht, bestehende IAM-Prozesse anzupassen. Es erfordert ein komplettes Umdenken der Identitätsarchitektur. Statische Zugangsdaten, manuelle Bereitstellung und isolierte Richtlinien können mit der Geschwindigkeit und Autonomie agentischer Systeme nicht mithalten.”
Warum die Vertrauenslücke existiert
Die CSA-Daten erzählen eine Geschichte über eine strukturelle Diskrepanz. Unternehmen haben ihre IAM-Systeme für menschliche Benutzer und Service-Accounts gebaut. Agenten sind weder das eine noch das andere. Sie sind kurzlebig (starten und stoppen innerhalb von Minuten), delegiert (handeln im Auftrag anderer Agenten oder Menschen), autonom (entscheiden zur Laufzeit, worauf sie zugreifen) und umgebungsübergreifend (bewegen sich in einer einzigen Aufgabe über Cloud-Anbieter, On-Premises-Systeme und SaaS-Plattformen).
Klassisches IAM bewältigt nichts davon gut. OAuth-Tokens wurden für benutzerinitiierte Sitzungen entworfen. Service-Accounts gehen von einem festen Zugriffsbereich aus. Rollenbasierte Zugriffskontrolle setzt ein stabiles Set von Rollen voraus. Agenten brechen alle drei Annahmen gleichzeitig.
Die Umfrage bestätigt diese Infrastruktur-Diskrepanz in den Plattformdaten: 66% der Befragten betreiben Agenten über Public Clouds, 38% in hybriden Multi-Umgebungen und 37% On-Premises. Ein Agent, der eine Aufgabe in Azure startet, ein Tool in AWS aufruft und Ergebnisse in eine On-Premises-Datenbank schreibt, braucht eine Identität, die mitreist. Die meisten IAM-Systeme authentifizieren an der Eingangstür und vertrauen dann allem im Inneren.
Was Sicherheitsteams tatsächlich besorgt
Die fünf größten Sorgen aus der Umfrage, nach Anteil der Befragten:
- Offenlegung sensibler Daten (55%): Agenten mit breitem Zugriff, die Daten an unbefugte Orte kopieren
- Unautorisierte oder unbeabsichtigte Aktionen (52%): Agenten, die ihren vorgesehenen Rahmen überschreiten
- Missbrauch von Zugangsdaten (45%): Gestohlene oder geleakte Agent-Credentials
- Fehlende Identitätsstandards (45%): Keine vereinbarten Protokolle für Agent-Authentifizierung
- Unfähigkeit, Agenten zu entdecken und zu registrieren (40%): Schatten-Agenten ohne Aufsicht
Diese Sorgen spiegeln direkt die Fähigkeitslücken wider. Unternehmen fürchten Datenlecks, weil sie statische Keys verwenden. Sie fürchten unautorisierte Aktionen, weil ihnen Echtzeit-Monitoring fehlt. Die Ängste sind rational. Die Reaktionen kommen zu langsam.
Was die Lücke schließt: Die CSA-Empfehlungen
CSA und Strata Identity skizzieren in einem Begleitpapier zu agentischem IAM den Wechsel von statischer Identität zu dynamischer, kontextbezogener Agent-Governance. Die zentralen Empfehlungen:
Agenten als eigenständige Identitäten behandeln
Schluss damit, Agenten in menschliche Benutzerkonten oder generische Service-Accounts zu zwängen. Jeder Agent braucht eine eigene Identität mit einem klaren menschlichen Sponsor, begrenzten Berechtigungen und einem Audit-Trail. Die CSA empfiehlt die Erkundung dezentraler Identifikatoren (DIDs) und verifizierbarer Credentials (VCs) für Agent-Identitäten, da OAuth 2.1, SAML und OIDC nicht für autonome, delegierte Systeme konzipiert wurden.
Statische Zugangsdaten durch kurzlebige Tokens ersetzen
Weg von permanenten API-Keys, hin zu kurzlebigen, aufgabenbezogenen Tokens mit Just-in-Time-Bereitstellung. Wenn ein Agent eine Aufgabe beendet, sollen seine Zugangsdaten automatisch verfallen. Mark Callahan von Strata Identity fordert “keine dauerhaften Berechtigungen für KI-Agenten”: kein persistenter Zugang, keine verbleibenden Credentials, keine Always-on-Service-Accounts.
Laufzeit-Autorisierung implementieren
Einmalige Authentifizierung beim Login reicht nicht. Agenten brauchen kontinuierliche Autorisierung, die bei jeder Aktion den Kontext prüft: Welche Daten werden abgerufen? Was erfordert die aktuelle Aufgabe des Agenten? Ist das Zugriffsmuster auffällig? Das entspricht dem Ansatz, Zero-Trust-Prinzipien auf agentische Systeme anzuwenden.
Agentenregister jetzt aufbauen
Die 21%, die Echtzeit-Register haben, sind die 21%, die ihre Agenten tatsächlich steuern können. Alle anderen operieren blind. Ein Register sollte die Identität jedes Agenten, seinen menschlichen Sponsor, seine Berechtigungen, aktive Sitzungen und die letzte Aktion erfassen. Das ist keine Option mehr; es ist das Fundament, auf dem jede andere Governance-Fähigkeit aufbaut.
In Human-in-the-Loop-Aufsicht investieren
68% der Befragten bewerten menschliche Aufsicht als “essenziell” oder “sehr wichtig”. 69% verlangen menschliche Freigabe vor dem Zugriff auf sensible Daten, 68% vor Systemänderungen wie Code-Deployments, 62% vor Finanztransaktionen. Das sind vernünftige Leitplanken für den aktuellen Reifegrad. Das Ziel ist nicht permanente menschliche Genehmigung für jede Aktion, sondern abgestufte Autonomie, die durch Audit-Daten verdient wird.
Wohin das Geld fließt
Unternehmen reagieren mit Budgets, auch wenn die Strategie hinterherhinkt. 40% erhöhen ihre Identity- und Security-Budgets speziell für KI-Agent-Risiken. 34% haben eigene Budgetposten für Agent-Governance eingerichtet. 22% verlagern Mittel aus anderen Sicherheitsbereichen.
Die Budget-Signale zeigen: Unternehmen erkennen das Problem. Die CSA-Umfrage fängt einen Moment ein, in dem das Bewusstsein angekommen ist, die Umsetzung aber nicht. Die Unternehmen, die die Lücke am schnellsten schließen, werden diejenigen sein, die Agent-Identität als eigenständige architektonische Herausforderung behandeln, nicht als Erweiterung bestehender IAM-Systeme.
Das bedeutet: dedizierte Teams (nicht zersplitterte Zuständigkeiten über Security, IT und KI-Funktionen), zweckgebundene Werkzeuge (nicht umgebaute Human-IAM-Systeme) und kontinuierliches Monitoring (nicht vierteljährliche Tabellenaudits). Die Daten sagen, dass 82% noch nicht so weit sind. Die Frage ist, wer sich zuerst bewegt.
Häufig gestellte Fragen
Was hat die CSA-Umfrage zur IAM-Bereitschaft für KI-Agenten ergeben?
Die Cloud Security Alliance befragte 2026 insgesamt 285 IT- und Sicherheitsexperten und stellte fest, dass nur 18% großes Vertrauen in die Fähigkeit ihrer IAM-Systeme haben, KI-Agent-Identitäten zu verwalten. 84% bezweifeln, dass sie ein Compliance-Audit zu Agent-Verhalten bestehen würden, und nur 21% führen ein Echtzeit-Register aktiver Agenten.
Warum reicht klassisches IAM für KI-Agenten nicht aus?
Klassisches IAM wurde für menschliche Benutzer und statische Service-Accounts gebaut. KI-Agenten sind kurzlebig, delegiert, autonom und arbeiten über mehrere Umgebungen hinweg. Sie brechen die Annahmen von OAuth, RBAC und Service-Account-Modellen, weil sie zur Laufzeit dynamische Zugriffsentscheidungen treffen statt festen Berechtigungen zu folgen.
Welche Authentifizierungsmethoden nutzen Unternehmen für KI-Agenten?
Laut CSA-Umfrage nutzen 44% der Unternehmen statische API-Keys, 43% Benutzername-Passwort-Kombinationen und 35% gemeinsame Service-Accounts für die Agent-Authentifizierung. Diesen veralteten Methoden fehlen Rotation, Scoping und Ablaufmechanismen, die für autonome Systeme nötig sind.
Was empfiehlt die CSA zur Absicherung von KI-Agent-Identitäten?
Die CSA empfiehlt, Agenten als eigenständige Identitäten mit individuellen Zugangsdaten und menschlichen Sponsoren zu behandeln, statische API-Keys durch kurzlebige Just-in-Time-Tokens zu ersetzen, kontinuierliche Laufzeit-Autorisierung statt einmaliger Login-Prüfungen einzuführen, Echtzeit-Agentenregister aufzubauen und dezentrale Identifikatoren für Agent-Identitäten zu nutzen.
Wie viele Unternehmen haben eine formale Strategie für KI-Agent-Identitätsmanagement?
Nur 23% der Unternehmen haben eine formale, unternehmensweite Strategie für KI-Agent-Identitätsmanagement. 37% verlassen sich auf informelle Praktiken. Die Zuständigkeit ist zudem fragmentiert: 39% weisen die Verantwortung Security-Teams zu, 32% der IT-Abteilung und 13% einer neuen KI-Sicherheitsfunktion.