Das Bedrohungsmodell für den digitalen Handel steht vor einem Paradigmenwechsel. Zwei Jahrzehnte lang war der wichtigste Angriffsvektor der Diebstahl von Zugangsdaten: Kreditkartennummern, Passwörter, Session-Tokens. Bis 2028 wird der wichtigste Angriffsvektor der Diebstahl oder die Manipulation von KI-Agenten sein. Gartner prognostiziert, dass 25 % der Sicherheitsvorfälle in Unternehmen mit der Ausnutzung von KI-Agenten zusammenhängen werden und dass Agenten die Zeit bis zur Ausnutzung von Kontoschwachstellen um 50 % verkürzen. Der digitale Commerce-Stack hat eine Shopping-Schicht, eine Payment-Schicht, und jetzt braucht er dringend eine Vertrauensschicht.
Diese Vertrauensschicht wird gerade aufgebaut, ist aber über konkurrierende Standards fragmentiert und es fehlt ein entscheidendes Stück: rechtliche Klarheit bei der Haftung, wenn ein Agent über sein Mandat hinaus handelt.
Die Vertrauenslücke, die niemand eingeplant hat
KI-Agenten können bereits Produktkataloge durchsuchen, Preise vergleichen und das richtige Produkt auswählen. Googles Universal Commerce Protocol, Stripes Machine Payments Protocol und Coinbases x402 regeln die Shopping- und Zahlungsmechanik. Das fehlende Stück ist die Identität: Wenn ein KI-Agent an der Kasse eines Händlers auftaucht, woher weiß der Händler, dass dieser Agent autorisiert ist, in Ihrem Namen zu handeln, dass er innerhalb der von Ihnen gesetzten Grenzen agiert und dass er tatsächlich der Agent ist, der er vorgibt zu sein?
Eine Umfrage von PYMNTS Intelligence und Trulioo unter 350 globalen Risiko-, Compliance- und Betrugsverantwortlichen ergab, dass 56,3 % der Unternehmen Bedrohungen durch Bots oder Agenten ausgesetzt sind und 58,6 % mit Bot-gestütztem Betrug kämpfen. Fast 90 % der Unternehmen bezeichnen Bot-Management als große Herausforderung. Im Durchschnitt verlieren Unternehmen 3,1 % ihres Jahresumsatzes durch Lücken in digitalen Identitätssystemen, insgesamt 94,9 Milliarden Dollar bei den befragten Firmen.
Der alte Identitäts-Stack aus KYC (Know Your Customer) und KYB (Know Your Business) wurde für Menschen und Unternehmen entworfen. Er verifiziert, dass eine Person die ist, die sie vorgibt zu sein, oder dass ein Unternehmen tatsächlich registriert ist. Keines der beiden Frameworks hat ein Konzept dafür, zu verifizieren, dass ein autonomer Software-Agent berechtigt ist, im Auftrag eines bestimmten Menschen innerhalb bestimmter Parameter zu handeln. Diese Lücke schließt das Know-Your-Agent-Framework.
Know Your Agent: Die dritte Identitätsschicht
Das KYA-Framework, vorgeschlagen von PYMNTS Intelligence und Trulioo im März 2026, fügt dem Identitätsverifizierungsstapel eine dritte Schicht hinzu. Wo KYC eine Person und KYB ein Unternehmen verifiziert, verifiziert KYA einen Agenten. Es beantwortet vier Fragen, die traditionelle Identitätssysteme nicht können:
- Was ist dieser Agent? Feststellung der Identität des Agenten, seines Erstellers, seiner Version und seiner Betriebshistorie.
- Was darf er tun? Bestätigung der spezifischen Berechtigungen, die der Agent hat, und wer sie erteilt hat.
- Wer ist verantwortlich? Aufrechterhaltung einer klaren Verantwortungskette vom Agenten zurück zu einem Menschen oder einer Organisation.
- Agiert er innerhalb der Grenzen? Kontinuierliche Überwachung, ob die Aktionen des Agenten innerhalb genehmigter Parameter bleiben.
Die praktische Umsetzung ist der Digitale Agenten-Pass: ein leichtgewichtiger, fälschungssicherer Identitätsnachweis, der den Agenten über Interaktionen hinweg begleitet. Man kann ihn sich als maschinenlesbares Autorisierungsdokument vorstellen, das Händler, Zahlungsnetzwerke und Plattformen in Echtzeit verifizieren können.
Proves Verified Agent System
Das Identitätsverifizierungsunternehmen Prove hat sein Verified-Agent-Produkt im Oktober 2025 eingeführt und zielt auf das, was es als “1,7-Billionen-Dollar-Marktchance im Agentic Commerce” bezeichnet. Das System kombiniert Ausstellung und Verifizierung von Credentials, Token-Bereitstellung, prüfbare Transaktionsprotokolle mit co-signierten Aufzeichnungen und ein gemeinsames Vertrauensregister. Statt SMS-Einmalpasswörtern (die ein Agent nicht empfangen kann) setzt Prove auf passive Multi-Faktor-Authentifizierung, sitzungsbezogene Autorisierungsgrenzen und kryptografischen Nachweis. Prove wird von 19 der 20 größten US-Banken und über 1.500 Marken genutzt.
Die World-ID-Integration
Sam Altmans World-Projekt ging einen anderen Weg. Im März 2026 integrierte World Coinbases AgentKit, damit Agenten kryptografische Beweise mitführen können, dass ein verifizierter Mensch sie autorisiert hat. Das Ganze funktioniert über Zero-Knowledge-Proofs. Das Ziel: verhindern, dass eine einzelne Person Tausende von Agenten einsetzt, um gebührenbasierte Systeme auszunutzen, ohne die tatsächliche Identität des Menschen preiszugeben.
Wie tokenisiertes Vertrauen konkret funktioniert
Tokenisierung ist nicht neu. Ihr Smartphone tokenisiert Ihre Kreditkarte für Apple Pay seit 2014. Die Innovation für Agentic Commerce besteht darin, Tokenisierung von “Kartennummer schützen” auf “Identität und Absicht eines Agenten authentifizieren” auszuweiten. In den letzten sechs Monaten sind drei konkurrierende Ansätze entstanden.
Visas Trusted Agent Protocol
Visa hat sein Trusted Agent Protocol im Oktober 2025 mit über 10 Startpartnern eingeführt. Jeder Agent erhält eine agentenspezifische kryptografische Signatur, die drei Dinge bündelt: Informationen über die Absicht des Agenten, Verbrauchererkennungsdaten und Zahlungsinformationen. Der Händler bekommt ein einziges Paket, das “Was will dieser Agent?” und “Steht ein echter Verbraucher dahinter?” in einem Verifikationsschritt beantwortet.
Bis Dezember 2025 wurden Hunderte sichere, von Agenten initiierte Transaktionen abgeschlossen. Visa hat jetzt über 100 Partner im gesamten Commerce-Ökosystem, davon 30+ aktiv in der VIC-Sandbox und 20+ Agenten-Plattformen in der Integration. Für den DACH-Raum besonders relevant: Visa hat bereits 21 europäische Banken in sein Agentic-Ready-Programm aufgenommen, darunter Commerzbank, DZ Bank und Raiffeisen Bank International.
Mastercards Agentic Tokens und Verifiable Intent
Mastercards Agent Pay geht einen anderen architektonischen Weg. Statt eines neuen Credential-Typs gibt Mastercard Agentic Tokens aus: dynamische, kryptografisch gesicherte Nachweise, die auf derselben Tokenisierungstechnologie basieren wie mobile kontaktlose Zahlungen, sichere Card-on-File-Systeme und Payment Passkeys. Die Tokens verwenden einen Dynamic Token Verification Code, der für Standard-Kartenfelder formatiert ist. Händler müssen ihre Zahlungsinfrastruktur nicht ändern. Kein neuer Code nötig.
Der interessantere Teil ist Verifiable Intent, entwickelt mit Google. Es erstellt einen fälschungssicheren Nachweis darüber, was ein Nutzer autorisiert hat, im Vergleich zu dem, was der Agent tatsächlich getan hat. Wenn Ihr Agent die Anweisung “Kaufe Laufschuhe unter 120 Euro” hatte und stattdessen ein Paar für 300 Euro gekauft hat, liefert Verifiable Intent den kryptografischen Beweis, dass der Agent sein Mandat überschritten hat. Dieser Beweis könnte in einem Streitfall oder bei einer Rückbuchung entscheidend sein.
Cloudflares Web Bot Auth
Cloudflares Web Bot Auth arbeitet auf der Infrastrukturebene statt auf der Zahlungsebene. Das Protokoll nutzt HTTP Message Signatures mit Public-Key-Kryptografie, um jedem Agenten eine stabile, überprüfbare Kennung zu geben. Jede Anfrage ist zeitbasiert und nicht wiederholbar, das heißt eine abgefangene Anfrage kann nicht wiederverwendet werden. Cloudflare hat mit Visa, Mastercard und American Express zusammengearbeitet, damit Agenten, die mit dem Cloudflare Agents SDK gebaut werden, autonom bei Millionen von Händlern weltweit einkaufen können.
Das ist wichtig, weil Authentifizierung vor der Zahlung stattfinden muss. Wenn ein Händler auf HTTP-Ebene einen legitimen KI-Agenten nicht von einem bösartigen Bot unterscheiden kann, hilft die beste Tokenisierung auf Zahlungsebene nicht weiter. Cloudflares Position vor etwa 20 % des gesamten Web-Traffics macht dies zu einem natürlichen Kontrollpunkt für die Agentenverifizierung.
Die Haftungslücke, über die niemand reden will
Die Vertrauensinfrastruktur wird aufgebaut. Die rechtliche Infrastruktur nicht. Keine Rechtsordnung hat bisher Vorschriften erlassen, die sich gezielt mit autonomen KI-Käufen befassen. Wenn ein KI-Agent einen nicht autorisierten oder schädlichen Kauf tätigt: Wer haftet? Der Verbraucher, der den Agenten eingesetzt hat? Das Unternehmen, das den Agenten gebaut hat? Das Zahlungsnetzwerk, das die Transaktion verarbeitet hat? Der Händler, der sie akzeptiert hat?
Clifford Chance hat eine “Haftungslücke” identifiziert, die bestehende Verträge möglicherweise nicht abdecken. In der EU überschneiden sich der AI Act, PSD3, die DSGVO und die Verbraucherrechterichtlinie, ohne klar zu beantworten, wer verantwortlich ist, wenn ein KI-Agent einen nicht autorisierten Kauf tätigt. Zac Cohen, Chief Product Officer bei Trulioo, bringt es auf den Punkt: “Das ist der große Knackpunkt, damit viele dieser Transaktionen wirklich abheben.”
Visa hat seine Null-Haftungsgarantie auf von KI-Agenten initiierte Transaktionen ausgeweitet. Karteninhaber werden für nicht autorisierte Belastungen nicht verantwortlich gemacht, unabhängig davon, ob ein Mensch oder ein Agent den Kauf getätigt hat. Das schützt Verbraucher, verschiebt die Haftungsfrage aber auf Händler und Agenten-Anbieter. Wenn ein kompromittierter Agent betrügerische Käufe tätigt, muss jemand anderes als der Karteninhaber die Kosten tragen. Die Branche hat sich nicht darauf geeinigt, wer das sein soll.
Die Fiserv-Mastercard-Partnerschaft deutet ein Modell an. Fiservs Integration prüft, ob ein KI-Agent berechtigt ist, im Namen eines Nutzers zu handeln, und ob die Transaktion innerhalb vordefinierter Parameter liegt, bevor sie verarbeitet wird. Überschreitet der Agent seine Autorisierung, wird die Transaktion gesperrt, bevor sie das Zahlungsnetzwerk erreicht. Das verschiebt das Haftungsmanagement von nachträglichen Streitigkeiten zu Prä-Transaktions-Kontrollen.
Für den DACH-Raum ist die Situation besonders komplex. Der EU AI Act stuft KI-Agenten, die eigenständig Finanztransaktionen ausführen, potenziell als Hochrisiko-KI ein. In Kombination mit der PSD3 (die ab 2026 die Zahlungsdiensterichtlinie aktualisiert) und den strengen DSGVO-Anforderungen an automatisierte Entscheidungsfindung entsteht ein regulatorisches Dreieck, das Unternehmen im deutschsprachigen Raum besonders sorgfältig navigieren müssen.
Was das für Unternehmen im DACH-Raum bedeutet
Die Unternehmen, die am meisten von der Vertrauensschicht profitieren, sind nicht die, die KI-Agenten verkaufen. Es sind die, deren Infrastruktur zwischen Agenten und Transaktionen sitzt: Zahlungsabwickler, Identitätsverifizierungsanbieter und Web-Infrastrukturunternehmen. Fiserv, Prove, Trulioo und Cloudflare positionieren sich als Torwächter des Agentic Commerce, nicht weil sie die Agenten bauen, sondern weil sie sie verifizieren.
Für Händler ist die Handlungsempfehlung klar: Integrieren Sie vor der Weihnachtssaison 2026 mindestens ein Agenten-Authentifizierungssystem. Visa, Mastercard und Cloudflare bieten alle Integrationsprogramme an. Händler, die keine verifizierten Agenten-Transaktionen akzeptieren können, werden Umsatz an Händler verlieren, die es können. Dasselbe Muster wie vor zehn Jahren, als Händler ohne Mobile-Payment-Akzeptanz den Anschluss verloren.
Für Unternehmen, die selbst KI-Agenten einsetzen, liefert das KYA-Framework eine nützliche Checkliste: Können Sie jeden Agenten in Ihrer Umgebung identifizieren? Haben Sie definiert, was jeder Agent tun darf? Können Sie jede Agenten-Aktion zu einem menschlichen Auftraggeber zurückverfolgen? Überwachen Sie das Agentenverhalten in Echtzeit? Wenn eine Antwort “Nein” lautet, haben Sie eine Vertrauenslücke.
Häufig gestellte Fragen
Wie authentifizieren sich KI-Agenten für digitale Handelstransaktionen?
KI-Agenten nutzen tokenisierte Authentifizierungssysteme wie Visas Trusted Agent Protocol oder Mastercards Agentic Tokens. Diese Systeme stellen kryptografische Nachweise aus, die die Identität des Agenten, seinen Autorisierungsumfang, Verbrauchererkennungsdaten und Zahlungsinformationen in einem einzigen überprüfbaren Paket bündeln. Infrastrukturanbieter wie Cloudflare ergänzen HTTP-Level-Authentifizierung mit Message Signatures und Public-Key-Kryptografie.
Was ist das Know-Your-Agent-Framework (KYA)?
KYA ist eine dritte Identitätsverifizierungsschicht, vorgeschlagen von PYMNTS Intelligence und Trulioo, die neben KYC (Know Your Customer) und KYB (Know Your Business) steht. Sie verifiziert vier Dinge über einen KI-Agenten: was der Agent ist, was er tun darf, wer für seine Aktionen verantwortlich ist und ob er innerhalb genehmigter Parameter agiert. Die praktische Umsetzung umfasst Digitale Agenten-Pässe und kontinuierliche Verhaltensüberwachung.
Wer haftet, wenn ein KI-Agent einen nicht autorisierten Kauf tätigt?
Das ist rechtlich ungeklärt. Visa hat seine Null-Haftungsgarantie auf KI-Agenten-initiierte Transaktionen ausgeweitet und schützt damit Karteninhaber. Aber die Haftung für Händler, KI-Agenten-Anbieter und Plattformen ist nicht definiert. Keine Rechtsordnung hat bisher Vorschriften erlassen, die sich gezielt mit autonomen KI-Käufen befassen. Die Kanzlei Clifford Chance hat eine Haftungslücke identifiziert, die bestehende Verträge möglicherweise nicht abdecken.
Was ist der Unterschied zwischen tokenisierten Zahlungen und tokenisiertem Vertrauen für KI-Agenten?
Tokenisierte Zahlungen ersetzen sensible Kartennummern durch sichere Tokens, um Datendiebstahl bei Transaktionen zu verhindern. Tokenisiertes Vertrauen geht weiter: Es authentifiziert die Identität des KI-Agenten, verifiziert seinen Autorisierungsumfang und zeichnet kryptografisch auf, was der Agent tun sollte im Vergleich zu dem, was er tatsächlich getan hat. Mastercards Verifiable-Intent-System erstellt zum Beispiel fälschungssichere Aufzeichnungen über Agenten-Mandate.
Wie können sich Unternehmen im DACH-Raum auf KI-Agenten-Handel vorbereiten?
Unternehmen sollten vor der Weihnachtssaison 2026 mindestens ein Agenten-Authentifizierungssystem integrieren (Visa Trusted Agent Protocol, Mastercard Agent Pay oder Cloudflare Web Bot Auth). Intern eingesetzte KI-Agenten brauchen ein KYA-Framework: jeden Agenten identifizieren, Berechtigungen definieren, menschliche Verantwortungsketten aufrechterhalten und Agentenverhalten kontinuierlich überwachen. Besondere Aufmerksamkeit gilt den regulatorischen Anforderungen aus EU AI Act, PSD3 und DSGVO.