Drei Millionen KI-Agenten sind aktuell in Unternehmen in den USA und Großbritannien im Einsatz. Die Hälfte davon wird nicht überwacht, nicht geprüft und hat keinen verantwortlichen Besitzer. Laut dem State of AI Agent Security 2026 Report von Gravitee (über 900 befragte Führungskräfte und Fachleute) arbeiten 47% aller eingesetzten Agenten außerhalb jeglicher Governance-Struktur. Das sind mehr KI-Agenten als Walmart weltweit Mitarbeiter hat, und sie laufen mit weniger Kontrollen als die meisten Unternehmen für einen Netzwerkdrucker vorsehen.
Das ist kein theoretisches Risiko. 88% der Unternehmen haben im vergangenen Jahr bereits einen Sicherheitsvorfall durch KI-Agenten erlebt oder vermutet. Die Frage ist nicht mehr, ob unkontrollierte Agenten Probleme verursachen. Sondern ob Ihr Unternehmen diese Probleme entdeckt, bevor es ein Auditor, ein Kunde oder eine Datenschutzbehörde tut.
Wie Agent-Wildwuchs entsteht
Agent-Wildwuchs entsteht nach dem gleichen Muster wie Cloud-Sprawl vor zehn Jahren: Teams starten Ressourcen schneller, als die IT sie erfassen kann. Das Marketing-Team verbindet einen KI-Agenten mit dem CRM. Ein Entwicklerteam setzt einen Code-Review-Agenten auf. Die Finanzabteilung automatisiert die Rechnungsverarbeitung. Jede Einzelentscheidung ist nachvollziehbar. Keine davon lief über einen zentralen Freigabeprozess, und niemand pflegt ein einheitliches Inventar.
Die Gravitee-Studie zeigt: Nur 14,4% der Unternehmen haben eine vollständige Sicherheits- und IT-Freigabe für alle produktiven KI-Agenten. Der Rest bewegt sich in einer Grauzone, in der Agenten live gehen, bevor jemand aus der IT-Sicherheit ihre Berechtigungen, Datenzugriffe oder Fehlermodi geprüft hat.
Warum es diesmal schlimmer ist
Cloud-Sprawl war problematisch. Agent-Wildwuchs ist gefährlicher, und zwar aus drei Gründen.
Erstens handeln Agenten autonom. Eine unkontrollierte virtuelle Maschine sitzt untätig herum, bis sich jemand einloggt. Ein unkontrollierter Agent führt weiter Aufgaben aus, greift auf APIs zu und trifft Entscheidungen. David Shipley von Beauceron Security bringt es auf den Punkt: “100% aller KI-Agenten haben das Potenzial, außer Kontrolle zu geraten.”
Zweitens erzeugen Agenten weitere Agenten. Gravitee fand heraus, dass 25,5% der eingesetzten Agenten andere Agenten erstellen und beauftragen können. Ein unkontrollierter Agent bleibt nicht lange einer. Er wird zur Kette unkontrollierter Agenten, die alle die Berechtigungen des Eltern-Agenten erben oder sogar erweitern.
Drittens skalieren klassische Freigabeprozesse nicht. Info-Tech Research Group prognostiziert, dass es bis 2028 weltweit mehr KI-Agenten als menschliche Mitarbeiter geben wird. Freigabe-Workflows mit zwei Wochen Durchlaufzeit können nicht mithalten, wenn Teams durchschnittlich 37 Agenten pro Unternehmen betreiben.
Die Vertrauenslücke: Führungskräfte wiegen sich in falscher Sicherheit
Der gefährlichste Befund der Gravitee-Studie: 82% der Führungskräfte glauben, dass ihre bestehenden Richtlinien vor unautorisierten Agentenaktionen schützen. In der Praxis werden aber nur 47% der Agenten tatsächlich überwacht.
Diese Vertrauenslücke ist kein Messproblem. Sie ist ein Haftungsrisiko. Wenn ein Vorfall eintritt, ist “wir dachten, unsere Richtlinien reichen aus” keine Verteidigung. IDC prognostiziert, dass bis 2030 bis zu 20% der 1.000 größten Unternehmen mit Klagen, Bußgeldern oder der Entlassung von IT-Verantwortlichen rechnen müssen, weil ihre KI-Agent-Kontrollen unzureichend waren.
Der Preis von Schatten-KI
Das finanzielle Argument gegen Wildwuchs ist konkret. IBMs Cost of a Data Breach Report 2025 zeigt: Datenschutzverletzungen mit Beteiligung von Schatten-KI kosten Unternehmen im Schnitt 670.000 Dollar mehr als normale Vorfälle: 4,63 Millionen statt 3,96 Millionen Dollar. Etwa jedes fünfte Unternehmen ist betroffen.
Warum der Aufschlag? Schatten-KI-Vorfälle werden später erkannt (weil niemand überwacht), betreffen mehr Systeme (weil Berechtigungen nie eingegrenzt wurden) und sind schwerer einzudämmen (weil kein Inventar existiert, auf was der Agent zugreifen konnte).
Zugangsdaten auf dem Stand von 2015
Der Gravitee-Report offenbart: 45,6% der Unternehmen nutzen weiterhin geteilte API-Schlüssel für die Agent-zu-Agent-Authentifizierung. Weitere 27,2% verwenden selbst geschriebene, hartcodierte Autorisierungslogik. Nur 21,9% behandeln KI-Agenten als eigenständige Identitäten mit eigenen Zugangsdaten.
Geteilte API-Schlüssel sind das Software-Äquivalent davon, jedem neuen Mitarbeiter denselben Gebäudeschlüssel zu geben und zu hoffen, dass niemand eine Kopie macht. Wird ein Agent kompromittiert, sind alle Agenten mit demselben Schlüssel betroffen.
Was der EU AI Act fordert (Stichtag: August 2026)
Der EU AI Act tritt am 2. August 2026 vollständig in Kraft. Artikel 49 verpflichtet Anbieter von Hochrisiko-KI-Systemen, diese vor der Inbetriebnahme in der EU-Datenbank zu registrieren. Auch öffentliche Stellen, die solche Systeme nutzen, müssen sich registrieren.
Das ist, praktisch betrachtet, eine Pflicht zur KI-Systeminventarisierung. Unternehmen, die nicht beantworten können “Wie viele KI-Agenten betreiben wir und was tun sie?”, sind schon vom Konzept her nicht konform.
Die Bußgelder sind erheblich: bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für die schwersten Verstöße. Selbst mittlere Compliance-Verletzungen werden mit bis zu 15 Millionen Euro oder 3% des Umsatzes geahndet.
Über die Registrierung hinaus: Rückverfolgbarkeit
Die Registrierung ist die Mindestanforderung, nicht die Obergrenze. Der EU AI Act verlangt darüber hinaus Risikomanagementsysteme (Artikel 9), technische Dokumentation (Artikel 11) und Mechanismen zur menschlichen Aufsicht (Artikel 14) für Hochrisikosysteme. Ein Agent, der Bewerbungen verarbeitet, Kreditwürdigkeit bewertet oder mit kritischer Infrastruktur interagiert, fällt unter diese Regeln.
Für DACH-Unternehmen kommt hinzu: Die Bundesnetzagentur als zuständige Marktüberwachungsbehörde in Deutschland wird die Einhaltung prüfen. Wer nicht nachverfolgen kann, was ein Agent getan hat, warum er es getan hat und wer ihn dazu autorisiert hat, hat keine Compliance, sondern eine offene Flanke.
Ein Governance-Framework, das skaliert
Der Markt für Governance-Werkzeuge bildet sich gerade in Echtzeit. Unternehmen, die “KI-Agent-Inventar” so ernst nehmen wie vor fünf Jahren “Cloud-Asset-Management”, werden diejenigen sein, die den von IDC prognostizierten Klagen und Abberufungen entgehen.
Das Agent-Register: Wissen, was man hat
Jedes Governance-Framework beginnt mit einem Register. Man kann nicht steuern, was man nicht sieht. Microsofts Agent 365 bietet über Microsoft Entra ein zentrales Agent-Register, inklusive Plänen zur Erkennung von Schatten-Agenten, die ohne Wissen der IT bereitgestellt wurden.
Ein minimales Register erfasst fünf Attribute pro Agent: Identität (wer oder was hat ihn erstellt), Zweck (was tut er), Berechtigungen (worauf kann er zugreifen), Abstammung (welche weiteren Agenten kann er erzeugen) und Verantwortlicher (wer haftet, wenn etwas schiefgeht).
Richtlinienbasierte Zugriffskontrolle
Statische Berechtigungslisten funktionieren nicht für Agenten, die je nach Kontext unterschiedlich handeln. Gravitees AI Agent Management Platform setzt kontextsensitive Leitplanken und richtlinienbasierte Zugriffskontrolle in Echtzeit um, sodass Berechtigungen eines Agenten je nach Aufgabe, betroffenen Daten und Risikolevel variieren können.
Googles Vertex AI Agent Builder bietet ähnliche Governance-Funktionen, darunter eine erweiterte Tool-Governance, die einschränkt, welche externen Werkzeuge ein Agent aufrufen darf.
Lifecycle-Management: Bereitstellen, Überwachen, Stilllegen
Agenten sind keine “einmal bereitstellen und vergessen”-Assets. Boomis AI Agent Governance Framework beschreibt einen Lifecycle-Ansatz: Bereitstellung (mit Freigabe), aktive Überwachung (mit Alarmierung), periodische Überprüfung (mit Rezertifizierung) und Stilllegung (mit Widerruf der Zugangsdaten).
Die Stilllegung wird häufig vergessen. Aufgegebene Agenten, die noch mit gültigen Zugangsdaten laufen, aber keinen aktuellen Zweck mehr erfüllen, sind das KI-Äquivalent einer vergessenen AWS-Instanz mit offenem S3-Bucket. Sie akkumulieren Risiko im Stillen.
Fünf Schritte gegen den Agent-Wildwuchs
Wenn Ihr Unternehmen mehr als eine Handvoll KI-Agenten betreibt, hier ein praktischer Ausgangspunkt:
1. Alles inventarisieren. Führen Sie einen Discovery-Scan über alle Cloud-Umgebungen, API-Gateways und Orchestrierungsplattformen durch. Tools wie Microsoft Entra, Gravitee und Apigee können Agenten aufspüren, von denen Sie nichts wussten. Versehen Sie jeden Agenten mit einem Verantwortlichen, einem Zweck und einem Ablaufdatum.
2. Geteilte Zugangsdaten eliminieren. Migrieren Sie jeden Agenten von geteilten API-Schlüsseln auf kurzlebige, begrenzte Token. OAuth 2.0 Client Credentials Flow mit individuellen Client-IDs pro Agent ist das Minimum. Das ist kein Projekt für 2027, sondern für dieses Quartal.
3. Spawn-Kontrollen einführen. Wenn ein Agent andere Agenten erstellen kann, braucht diese Fähigkeit eine explizite Freigabe und harte Grenzen. Legen Sie maximale Spawn-Tiefen fest, fordern Sie Eltern-Agent-Nachverfolgung und stellen Sie sicher, dass Kind-Agenten die Governance-Richtlinien des Eltern-Agenten erben (nicht nur dessen Berechtigungen).
4. Compliance-Checks automatisieren. Verknüpfen Sie Ihr Agent-Register mit der Risikoeinstufung nach EU AI Act. Hochrisiko-Agenten lösen obligatorische Dokumentations-, Aufsichts- und Registrierungs-Workflows aus. Niedrigrisiko-Agenten bekommen ein leichteres Verfahren, erscheinen aber trotzdem im Inventar.
5. Regelmäßige Stilllegungsprüfungen einplanen. Überprüfen Sie alle 90 Tage Ihr Agent-Inventar. Jeder Agent, der nicht aktiv genutzt, aktualisiert oder rezertifiziert wurde, bekommt seine Zugangsdaten widerrufen und seine Ressourcen freigegeben. Ohne Ausnahme.
Shivanath Devinarayanan, Chief Digital Labor and Technology Officer bei Asymbl, fasst die Dringlichkeit zusammen: “Es reicht eine einzige Frage: ‘Was tun unsere KI-Agenten gerade wirklich?’ Wenn der IT-Verantwortliche das nicht beantworten kann, ist er erledigt.”
Häufig gestellte Fragen
Was ist KI-Agent-Wildwuchs?
KI-Agent-Wildwuchs (Agent Sprawl) bezeichnet die unkontrollierte Verbreitung von KI-Agenten in einem Unternehmen, die von verschiedenen Teams ohne zentrales Inventar, Monitoring oder Governance bereitgestellt werden. Laut Gravitees Report 2026 arbeiten 47% aller eingesetzten Agenten ohne aktive Überwachung, und Unternehmen betreiben durchschnittlich 37 Agenten. Der Wildwuchs erzeugt Sicherheitslücken, Compliance-Defizite und fehlende Verantwortlichkeiten.
Wie viele KI-Agenten laufen ohne Aufsicht?
Gravitees State of AI Agent Security 2026 Report fand rund 1,5 Millionen KI-Agenten ohne aktives Monitoring oder Sicherheitsmaßnahmen in Unternehmen in den USA und Großbritannien, von insgesamt 3 Millionen eingesetzten Agenten. Nur 14,4% der Organisationen hatten eine vollständige Sicherheits- und IT-Freigabe für alle produktiven Agenten.
Welche Tools helfen bei der KI-Agent-Governance?
Mehrere Plattformen bieten KI-Agent-Governance-Funktionen. Microsoft Agent 365 stellt über Microsoft Entra zentrale Agent-Register bereit. Gravitee bietet richtlinienbasierte Zugriffskontrolle und Echtzeit-Monitoring. Googles Vertex AI Agent Builder umfasst erweiterte Tool-Governance-Funktionen. Boomi und AvePoint liefern Frameworks für das Agent-Lifecycle-Management. Die Kategorie ist neu, entwickelt sich aber schnell.
Verlangt der EU AI Act eine Inventarisierung von KI-Agenten?
Ja. Artikel 49 des EU AI Act verpflichtet Anbieter und bestimmte Nutzer von Hochrisiko-KI-Systemen, diese vor dem Einsatz in der EU-Datenbank zu registrieren. Das schafft faktisch eine Pflicht zur KI-Systeminventarisierung. Der Stichtag für die volle Durchsetzung ist der 2. August 2026. Bußgelder bei Nichteinhaltung reichen bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes.
Was kostet unkontrollierte Schatten-KI?
Laut IBMs Cost of a Data Breach Report 2025 kosten Datenschutzverletzungen mit Schatten-KI-Beteiligung im Schnitt 670.000 Dollar mehr als normale Vorfälle: 4,63 Millionen statt 3,96 Millionen Dollar. IDC prognostiziert zudem, dass bis 2030 bis zu 20% der 1.000 größten Unternehmen mit Klagen oder der Entlassung von IT-Verantwortlichen rechnen müssen, weil KI-Agent-Kontrollen unzureichend waren.