Am 3. Februar 2026 hat Radware das erste dedizierte Sicherheitsprodukt für KI-Agenten veröffentlicht. Kein Prompt-Filter auf einer bestehenden WAF. Kein LLM-Guardrail als Zusatzmodul. Ein eigenständiges Produkt, das überwacht, was KI-Agenten zur Laufzeit tatsächlich tun, ihre Interaktionen mit anderen Agenten und Systemen kartiert und abweichendes Verhalten erkennt. Der Zeitpunkt war kein Zufall: Radwares eigenes Forschungsteam hatte wenige Wochen zuvor ZombieAgent entdeckt, einen Zero-Click-Angriff, der KI-Agenten über Memory Poisoning übernimmt und Daten vollständig innerhalb der Cloud-Infrastruktur des Anbieters exfiltriert. Die eigene Schwachstellenforschung hatte bewiesen, dass bestehende Security-Tools bei Agenten-Bedrohungen strukturell blind sind.
Gartner prognostiziert für 2026 weltweite KI-Ausgaben von 2,5 Billionen Dollar, davon 51,3 Milliarden für KI-Sicherheit. Gleichzeitig haben nur 6% der Unternehmen eine ausgereifte KI-Sicherheitsstrategie. Für DACH-Unternehmen, die unter dem EU AI Act und der DSGVO operieren, ist diese Lücke besonders kritisch.
Warum klassische Security-Tools KI-Agenten nicht schützen können
Eure Firewall weiß nicht, was ein KI-Agent ist. Euer EDR überwacht keinen LLM-Speicher. Euer SIEM kann nicht unterscheiden, ob ein Agent eine Inbox zusammenfasst oder versteckte Exfiltrations-Anweisungen aus einer E-Mail ausführt. Das ist keine Deckungslücke, die sich patchen lässt. Es ist ein strukturelles Missverhältnis zwischen der Funktionsweise von Agenten und dem, was klassische Security-Tools beobachten können.
KI-Agenten bringen drei Risikokategorien mit, für die bestehende Tools nie konzipiert waren:
Bedrohungen, die im Kontext des Modells leben, nicht im Netzwerk. ZombieAgent hat gezeigt, dass Angreifer persistente bösartige Anweisungen im Langzeitgedächtnis eines Agenten platzieren können. Der Exploit läuft vollständig in OpenAIs Cloud. Keine Endpoint-Logs erfassen ihn. Kein Netzwerkverkehr passiert den Security-Stack des Unternehmens.
Multi-Agenten-Interaktionsketten. Wenn Agent A Agent B aufruft, der Agent C triggert, der auf eine Datenbank zugreift: Wer validiert die Anfrage? Jeder einzelne Aufruf kann legitim aussehen. Die bösartige Absicht wird erst sichtbar, wenn man die gesamte Interaktionskette über Agenten hinweg verfolgt. Kein SIEM und kein XDR-Produkt wurde dafür gebaut.
Tool-Missbrauch durch legitime Berechtigungen. Ein Agent mit Kalenderzugriff kann Meeting-Einladungen lesen. Ein Agent mit E-Mail-Zugriff kann Nachrichten weiterleiten. Das sind autorisierte Aktionen. Die Bedrohung entsteht nicht durch unbefugten Zugriff, sondern durch befugten Zugriff, der durch manipulierte Absicht missbraucht wird. Klassisches Identity und Access Management modelliert das nicht.
Die vier Säulen von Radwares Agentic AI Protection
Radware hat das Produkt um vier Fähigkeiten herum aufgebaut, von denen jede einen spezifischen blinden Fleck aktueller Enterprise-Security-Architekturen adressiert.
Discovery und Sichtbarkeit
Bevor man KI-Agenten schützen kann, muss man wissen, dass sie existieren. Radwares erste Säule liefert Echtzeit-Identifikation aller KI-Agenten in einer Umgebung: selbstentwickelte und SaaS-basierte. Das umfasst Agenten auf internen Frameworks, Microsoft 365 Copilot-Instanzen, AWS Bedrock-Deployments und Drittanbieter-Plattformen.
Das ist relevant, weil Shadow AI bereits ein Problem ist. Mitarbeiter erstellen Copilot-Automatisierungen, Entwickler deployen selbstgebaute Agenten in Staging-Umgebungen, und Anbieter betten Agenten in SaaS-Produkte ein. Wenn das Security-Team nicht inventarisieren kann, was läuft, kann es nicht bewerten, was exponiert ist. Für Unternehmen, die unter dem EU AI Act Transparenzpflichten erfüllen müssen, ist ein vollständiges Agenten-Inventar nicht optional.
Intent-basierte Sicherheit
Diese Säule unterscheidet Radwares Ansatz von Prompt-Filtern und Guardrails. Statt einzelne Prompts oder Outputs zu inspizieren, nutzt das Produkt patentierte Verhaltensalgorithmen zur Erkennung bösartiger oder abnormaler Absicht in Agenten-Interaktionen zur Laufzeit.
Der Unterschied ist wesentlich. Ein Prompt-Filter prüft, ob Eingabetext bekannte Angriffsmuster enthält. Intent-basierte Sicherheit überwacht die Abfolge von Aktionen, die ein Agent ausführt, und bewertet, ob das Verhaltensmuster zu legitimem Gebrauch passt. Ein Agent, der eine E-Mail liest, Kontaktdetails im Speicher ablegt und dann eine Antwort entwirft, sieht normal aus. Ein Agent, der eine E-Mail liest, eine versteckte Anweisung im Speicher ablegt und dann systematisch vorbereitete URLs aufruft, sieht nach ZombieAgent aus.
Diese Laufzeit-Verhaltensanalyse läuft extern zum Agenten, sie ist nicht abhängig vom Safety Training oder den Guardrails des Agenten selbst. Sie beobachtet, was Agenten tun, nicht was sie sagen, dass sie tun.
Tiefe Integration
Das Produkt schützt Agenten auf mehreren Plattformen: eigene Frameworks, Microsoft 365 Copilot, Microsoft 365 Copilot Studio, AWS Bedrock und weitere. Die Verfügbarkeit über den AWS Marketplace signalisiert, dass Radware Cloud-native Deployments adressiert, nicht On-Premise-Installationen.
Tiefe Integration bedeutet auch, dass das Produkt Tool-Aufrufe und API-Interaktionen von Agenten überwachen kann, nicht nur den generierten Text. Wenn ein Agent eine Datenbank-API aufruft, eine E-Mail über Microsoft Graph sendet oder einen anderen Agenten über ein Service Mesh invoziert, erfasst Radwares Produkt diese Telemetrie für die Verhaltensanalyse.
Kontinuierliches AI Security Posture Management
Die vierte Säule führt eine dynamische Risk Graph Map ein, die kontinuierlich die Sicherheitslage der agentischen KI-Landschaft eines Unternehmens bewertet. Der Graph visualisiert Multi-Agenten-Risikopfade: Ketten von Agenten-Interaktionen, die bei Ausnutzung zu Datenexposition oder unbefugten Aktionen führen könnten.
Die Risk Graph Map orientiert sich am OWASP Top 10 für Agentic AI und nutzt das AI Vulnerability Scoring System (AIVSS) zur Priorisierung. Statt einer statischen Compliance-Checkliste liefert sie einen Echtzeit-Überblick über die Schwachstellen im Agenten-Ökosystem. Für DACH-Unternehmen, die unter dem EU AI Act High-Risk-KI-Systeme kontinuierlich überwachen müssen, könnte diese Funktion besonders wertvoll sein.
Von ZombieAgent zum Produkt: Schwachstellenforschung als Produktstrategie
Die Vorgeschichte ist relevant für die Bewertung von Radwares Glaubwürdigkeit. Im Januar 2026 veröffentlichte Radware-Forscher Zvika Babo ZombieAgent, eine Zero-Click-Indirect-Prompt-Injection, die sich im Langzeitgedächtnis von ChatGPT festsetzt und Daten über vorab konstruierte statische URLs exfiltriert. Die Schwachstelle umging OpenAIs Post-ShadowLeak-Verteidigung, indem sie dynamische URL-Konstruktion komplett vermied.
Die zentrale Erkenntnis aus ZombieAgent war nicht der spezifische Exploit. Es war die architektonische Einsicht, dass Bedrohungen durch KI-Agenten in einer Schicht operieren, die traditionelle Security-Tools nicht erreichen. Endpoint Detection überwacht keinen LLM-Speicher. Network Security inspiziert kein In-Cloud-Agentenverhalten. Data Loss Prevention erkennt keine zeichenweise URL-Exfiltration, die innerhalb der Infrastruktur des Modellanbieters stattfindet.
Radware hat das Agentic AI Protection-Produkt gebaut, um diese architektonische Lücke zu schließen. Der Launch erfolgte genau vier Wochen nach der ZombieAgent-Veröffentlichung, was darauf hindeutet, dass Schwachstellenforschung und Produktentwicklung parallel liefen. Dieses Muster kennt man in der Security-Branche: Ein Anbieter entdeckt eine neue Angriffsklasse, beweist, dass bestehende Tools sie nicht erkennen, und liefert dann ein Produkt, das es kann.
Relevanz für den DACH-Markt
Für Unternehmen im deutschsprachigen Raum stellt sich neben der technischen Bewertung auch die regulatorische Frage. Der EU AI Act verlangt für Hochrisiko-KI-Systeme kontinuierliche Überwachung und Risikomanagement. KI-Agenten, die autonom Entscheidungen treffen und mit Unternehmensdaten arbeiten, fallen potenziell in diese Kategorie. Die BSI-Empfehlungen zur KI-Sicherheit betonen ebenfalls die Notwendigkeit von Runtime-Monitoring für autonome Systeme.
Radwares Risk Graph Map und die kontinuierliche Sicherheitsbewertung adressieren genau diese regulatorischen Anforderungen. Ein dynamisches Risikoscoring, das Multi-Agenten-Pfade kartiert, liefert die Art von Dokumentation, die Auditoren und Aufsichtsbehörden erwarten. Die OWASP-Alignment und das AIVSS-Scoring bieten eine standardisierte Sprache für die Risikokommunikation zwischen Security-Teams, Compliance-Abteilungen und Geschäftsführung.
Die Verfügbarkeit über den AWS Marketplace vereinfacht die Beschaffung für Unternehmen, die bereits auf AWS setzen. Ob das Produkt auch über europäische Cloud-Regionen mit Datenhaltung in der EU verfügbar ist, sollten DACH-Unternehmen vor dem Einsatz klären.
Häufig gestellte Fragen
Was ist Radware Agentic AI Protection?
Radware Agentic AI Protection ist das erste speziell für KI-Agenten entwickelte Sicherheitsprodukt, vorgestellt am 3. Februar 2026. Es überwacht Agentenverhalten zur Laufzeit mit patentierter Verhaltensanalyse, bietet Echtzeit-Agenten-Discovery, kartiert Multi-Agenten-Risikopfade über eine dynamische Risk Graph Map und integriert sich mit Microsoft 365 Copilot, AWS Bedrock und eigenen Agenten-Frameworks.
Wie unterscheidet sich Radwares Ansatz von Prompt-Filtern und Guardrails?
Prompt-Filter inspizieren einzelne Ein- und Ausgaben auf bekannte Angriffsmuster. Radwares intent-basierte Sicherheit überwacht die Abfolge von Aktionen, die ein Agent zur Laufzeit ausführt, und bewertet, ob das Verhaltensmuster zu legitimem Gebrauch passt. Sie läuft extern zum Agenten und ist nicht vom Safety Training des Agenten abhängig. So werden Angriffe wie ZombieAgent erkannt, die über legitime Agenten-Aktionen statt über bösartige Prompts funktionieren.
Welche Plattformen unterstützt Radware Agentic AI Protection?
Radware Agentic AI Protection integriert sich mit selbstentwickelten Agenten-Frameworks, Microsoft 365 Copilot, Microsoft 365 Copilot Studio, AWS Bedrock und weiteren Drittanbieter-Plattformen. Es ist über den AWS Marketplace für Cloud-native Deployments verfügbar.
Ist Radware Agentic AI Protection relevant für den EU AI Act?
Ja. Der EU AI Act verlangt für Hochrisiko-KI-Systeme kontinuierliche Überwachung und Risikomanagement. Radwares Risk Graph Map und das kontinuierliche AI Security Posture Management liefern die Art von Echtzeit-Risikobewertung und Dokumentation, die für die Compliance mit dem EU AI Act und BSI-Empfehlungen relevant ist.
Was ist der Zusammenhang zwischen ZombieAgent und Radwares Produkt?
Radwares Forschungsteam entdeckte ZombieAgent, einen Zero-Click-Memory-Poisoning-Exploit gegen ChatGPT, im Januar 2026. Die Schwachstelle bewies, dass traditionelle Security-Tools Bedrohungen nicht erkennen können, die im Speicher und in der Cloud-Infrastruktur von KI-Agenten operieren. Radware veröffentlichte Agentic AI Protection vier Wochen später, um genau diese architektonischen Blind Spots zu adressieren.