Zero Trust wurde für Menschen gebaut, die sich anmelden, arbeiten und abmelden. KI-Agenten tun nichts davon. Sie authentifizieren sich einmal, verketten dutzende Tools, erzeugen Sub-Agenten mit vererbten Berechtigungen und arbeiten weiter, nachdem die Session, die sie gestartet hat, längst beendet ist. Das Ergebnis: Das Sicherheitsmodell, das implizites Vertrauen eliminieren sollte, ist selbst zu einer Quelle impliziten Vertrauens für autonome Systeme geworden.
Die Cloud Security Alliance hat am 2. Februar 2026 das Agentic Trust Framework veröffentlicht. Es flickt Zero Trust nicht einfach für Agenten. Es definiert das Vertrauensmodell von Grund auf neu: fünf Governance-Fragen, ein progressives Autonomiemodell und Beförderungsstufen, die Agent-Deployment behandeln wie das, was es tatsächlich ist: die Vergabe autonomer Handlungsvollmacht an einen nicht-menschlichen Akteur.
Dieser Artikel analysiert, wo NIST 800-207 Zero Trust bei KI-Agenten konkret versagt, wie das Agentic Trust Framework jeden Schwachpunkt adressiert und was Unternehmen vor der EU-AI-Act-Deadline im August 2026 umsetzen müssen.
Vier Grundannahmen von Zero Trust, die KI-Agenten aushebeln
Zero Trust funktioniert, weil es Vertrauen am Interaktionspunkt kontinuierlich verifiziert. Zvelos Analyse vom Februar 2026 identifiziert vier konkrete Annahmen in NIST 800-207, die KI-Agenten verletzen. Das sind keine Randfälle. Es ist das Standardverhalten jedes produktiven Agenten.
1. Identitätszuordnung bricht zusammen
Wenn ein KI-Agent eine Aktion ausführt, ordnen Sicherheitslogs sie dem menschlichen Nutzer zu, der ihn gestartet hat. Der Agent liest Dateien, ruft APIs auf, sendet E-Mails, alles unter der Identität des Nutzers. Sicherheitsteams sehen in Audit-Logs einen Menschen, der Dinge tut, die er nie getan hat. Zvelo formuliert es so: “Die Frage, die Organisationen nicht beantworten können, ist, ob eine Person gehandelt hat oder ein Agent, der sich wie eine verhält.”
Das ist kein Logging-Bug. Es ist ein Modellproblem. Klassisches Zero Trust geht davon aus, dass jeder Akteur eine eigene Identität besitzt. Agenten, die unter delegierten Nutzer-Credentials arbeiten, zerstören diese Annahme vollständig.
2. Dauerhafte Vollmacht statt zeitbegrenztem Zugriff
Zero Trust gewährt zeitbegrenzten Zugriff pro Session. Aber ein Agent, der um 9 Uhr gestartet wird, kettet möglicherweise 200 API-Aufrufe über die nächsten acht Stunden, lange nachdem der Mensch, der ihn ausgelöst hat, weitergezogen ist. “Zeitbegrenzter Zugriff wird faktisch zu dauerhafter Vollmacht,” schreibt Zvelo, “und ermöglicht eine Risikoakkumulation innerhalb der Anwendung ohne erneute Validierung.”
Die Session des Menschen läuft ab. Der Agent arbeitet weiter.
3. Undurchsichtige Ausführungskontexte
Sicherheitskontrollen reagieren auf beobachtbare Signale: IP-Adressen, Gerätestatus, Verhaltensmuster. KI-Agenten arbeiten asynchron, innerhalb von Anwendungsfunktionen, und verketten Tools auf eine Weise, die vollständig außerhalb der Sichtbarkeit netzwerkbasierter Sicherheit liegt. Die Kontrollen “reagieren auf unvollständige oder statische Signale, während agentisches Verhalten sich dynamisch innerhalb der Anwendung anpasst.”
Ihr SIEM sieht einen API-Aufruf. Es sieht nicht die 14-stufige Reasoning-Kette, die den Agenten zu diesem Aufruf führte, oder die drei Sub-Agenten, die er erzeugt hat, um die dafür nötigen Daten zu sammeln.
4. Berechtigungserweiterung durch Feature-Verkettung
Least Privilege setzt voraus, dass Berechtigungen auf das Nötige beschränkt werden können. Aber Agenten kombinieren Features auf emergente Weise. Ein Agent mit Lesezugriff auf ein CRM und Schreibzugriff auf ein E-Mail-System kann Nachrichten an Kunden verfassen, die vertrauliche Deal-Daten enthalten. Keine einzelne Berechtigung ist problematisch. Zusammen schaffen sie einen Datenexfiltrationspfad, den niemand entworfen hat.
“Effektive Berechtigungen erweitern sich implizit” über zugewiesene Rechte hinaus. Das ist keine Privilege Escalation im klassischen Sinne. Es ist Privilege Composition, und die meisten IAM-Systeme haben dafür kein Konzept.
Das Agentic Trust Framework: Fünf Fragen für jeden Agenten
Das Agentic Trust Framework (ATF) der CSA, entwickelt von Josh Woodruff (MassiveScale.AI) und unter CC BY 4.0 veröffentlicht, ersetzt das binäre Vertrauen/Kein-Vertrauen-Modell durch einen strukturierten Governance-Ansatz mit fünf Kernfragen.
Frage 1: “Wer bist du?”
Jeder Agent erhält eine einzigartige, prüfbare Identität. Keine geteilten Credentials. Keine anonymen Service-Tokens. Jede Aktion lässt sich zu einer spezifischen Agent-Instanz zurückverfolgen, die wiederum auf ihren menschlichen Autorisierenden verweist.
Die praktische Umsetzung stützt sich auf neue Standards. HashiCorp hat SPIFFE-Unterstützung für agentische KI-Workloads in Vault Enterprise 1.21 angekündigt und stellt X.509-SVIDs für Agent-Identitäten aus. Ein IETF-Entwurf für OAuth-SPIFFE-Client-Authentication erlaubt SPIFFE-Identitätsdokumente als Ersatz für statische Client Secrets in OAuth-2.0-Flows. MCP-Authentifizierung basiert zunehmend auf OAuth 2.1 mit PKCE für agentenspezifische Session-Autorisierung.
NISTs NCCoE veröffentlichte im Februar 2026 ein Konzeptpapier, “Accelerating the Adoption of Software and AI Agent Identity and Authorization,” das bis zum 2. April 2026 zur öffentlichen Kommentierung offen steht. Es behandelt Identifikation, Autorisierung, Auditing und Nichtabstreitbarkeit speziell für KI-Agenten.
Frage 2: “Was tust du?”
Kontinuierliches Verhaltensmonitoring, nicht nur Zugriffs-Logging. Das ATF verlangt Observability in Agent-Reasoning-Ketten, Tool-Aufrufe und Entscheidungsmuster. Anomalieerkennung muss auf semantischer Ebene funktionieren: nicht nur “dieser Agent hat eine API aufgerufen,” sondern “dieser Agent greift auf Finanz-Kundendaten in einem Muster zu, das nicht zu seinem definierten Zweck passt.”
Das deckt sich direkt mit dem, was die OWASP Top 10 für Agentic Applications als “nicht verhandelbares Sicherheitskontrollinstrument” bezeichnen. Observability ist kein optionales Instrumentarium. Es ist eine Governance-Anforderung.
Frage 3: “Was konsumierst du? Was gibst du weiter?”
Data Governance für Ein- und Ausgaben. Welche Daten nimmt der Agent auf? Enthalten sie personenbezogene Daten? Gibt die Ausgabe sensible Informationen preis? Hier trifft Prompt-Injection-Abwehr auf Data Loss Prevention. Adversa AIs Bericht 2025 zeigt: 35% aller KI-Sicherheitsvorfälle wurden durch Prompt Injection verursacht, mit unautorisierte Krypto-Transfers, gefälschten Kaufverträgen und Verlusten über 100.000 Dollar.
Frage 4: “Wohin darfst du?”
Netzwerksegmentierung, angepasst für Agenten. Zugangskontrollen, Ressourcenbeschränkungen und Policy-Enforcement, die berücksichtigen, dass Agenten sich lateral über Integrationen bewegen, nicht über Netzwerkpfade. Ciscos Ansatz ergänzt Segmentierung um semantische Verifikation: über “wer stellt eine Anfrage” hinaus zu “was will er tun und stimmt diese Absicht mit seiner Rolle überein.”
Frage 5: “Was, wenn du ausrastst?”
Circuit Breaker, Kill Switches und automatisierte Eindämmung. Das ATF verlangt einen definierten Reaktionsplan für unerwartetes Agentenverhalten. Das ist kein Incident-Response-Häkchen. Es ist eine Architekturanforderung für die Laufzeit: die Fähigkeit, einen Agenten mitten in der Ausführung zu stoppen, ohne den Zustand der Systeme zu korrumpieren, mit denen er gearbeitet hat.
Progressive Autonomie: Vertrauen wird verdient, nicht gewährt
Das praktisch wertvollste Konzept im ATF ist progressive Autonomie. Statt einer binären Entscheidung (Deployment ja/nein) durchlaufen Agenten steigende Autonomiestufen. Jede Beförderung erfordert das Bestehen aller fünf Gates:
- Nachgewiesene Genauigkeit und Zuverlässigkeit in der aktuellen Autonomiestufe
- Bestandene Sicherheitsaudits spezifisch für das Risikoprofil der nächsten Stufe
- Messbare positive Wirkung mit realen Metriken dokumentiert
- Saubere Betriebshistorie über einen definierten Evaluationszeitraum
- Explizite Freigabe durch autorisierte Stakeholder, keine automatische Beförderung
Dieses Modell entspricht dem, wie Organisationen menschliche Autorität bereits handhaben. Ein neuer Mitarbeiter beginnt mit eingeschränktem Systemzugang und erhält über Zeit breitere Berechtigungen. Das ATF wendet dasselbe Prinzip auf Agenten an, allerdings mit formalen Evaluationskriterien statt informellem Vertrauensaufbau.
Der Unterschied zur heutigen Praxis: Die meisten Unternehmen springen von “dieser Agent funktioniert im Staging” zu “dieser Agent hat Produktionszugriff auf alles” in einem einzigen Schritt. Progressive Autonomie erzwingt einen abgestuften Weg.
Das 25-Milliarden-Dollar-Signal: Warum es jetzt zählt
Palo Alto Networks’ $25-Milliarden-Übernahme von CyberArk, mit 99,8% Aktionärszustimmung genehmigt, wurde explizit mit “Identity Security for Agentic AI” begründet. Wenn der weltweit größte Netzwerksicherheits-Anbieter 25 Milliarden Dollar für Identity Management ausgibt, signalisiert das, wohin sich der Perimeter verschiebt: von Netzwerken zu Identitäten, speziell nicht-menschlichen Identitäten.
CyberArks CISO-Umfrage ergab: Die Adoption von KI-Agenten wird innerhalb von drei Jahren voraussichtlich 76% erreichen, aber weniger als 10% der Organisationen verfügen über angemessene Sicherheits- und Berechtigungskontrollen. Zwei Drittel der CISOs in Finanzdienstleistungen und Software stufen agentische KI unter ihre drei größten Sicherheitsrisiken ein. Mehr als ein Drittel nennt es ihr Risiko Nummer eins.
Parallel dazu: Maschinenidentitäten übersteigen menschliche Identitäten bereits im Verhältnis 82:1 laut CyberArks Identity Security Landscape Report. Manche Branchen melden Verhältnisse bis 500:1. Und 88% der Organisationen definieren “privilegierten Nutzer” weiterhin als rein menschlich, was bedeutet: 42% der Maschinenidentitäten mit sensitivem Zugriff haben null Privileged Access Management.
EU AI Act und NIS2: Der regulatorische Treiber
Der Compliance-Winkel ist nicht abstrakt. Zwei europäische Regulierungen konvergieren direkt auf Zero Trust für KI-Agenten.
EU AI Act Artikel 14 schreibt menschliche Aufsicht vor, die proportional zum Autonomiegrad und Risikoniveau des KI-Systems sein muss. Für Hochrisikosysteme (die meisten Enterprise-KI-Agenten, die personenbezogene Daten verarbeiten oder folgenreiche Entscheidungen treffen) gelten die vollständigen Anforderungen ab dem 2. August 2026. Dazu gehören Risikomanagement, Data Governance, technische Dokumentation, Aufzeichnungspflichten, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit. Das progressive Autonomiemodell des ATF ordnet sich direkt in Artikel 14s Forderung nach “Maßnahmen, die den Risiken, dem Autonomiegrad und dem Nutzungskontext angemessen sind” ein.
NIS2 verlangt Cybersicherheits-Vorfallmeldungen innerhalb von 24 Stunden und prüfbare Sicherheitsbaselines für wesentliche und wichtige Einrichtungen. Bußgelder bei Nichteinhaltung beginnen bei mindestens 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Wer KI-Agenten in Gesundheit, Energie, Finanzwesen oder digitaler Infrastruktur einsetzt, muss KI/ML-Assets katalogisieren, Risiken dokumentieren und spezifische Vorfallberichte für Modellausfälle oder Angriffe erstellen.
Für DACH-Unternehmen kommt die DSGVO hinzu: Agenten, die personenbezogene Daten verarbeiten, unterliegen den Anforderungen an automatisierte Entscheidungsfindung nach Artikel 22. Die Datenschutz-Folgenabschätzung (DSFA) wird für agentische Systeme in vielen Fällen verpflichtend.
Die praktische Konsequenz: Wer die fünf ATF-Fragen für jeden produktiven Agenten nicht beantworten kann, kann die Kontrollen nicht nachweisen, die beide Regulierungen verlangen.
Umsetzung: Was dieses Quartal zu tun ist
Sie müssen nicht das gesamte ATF auf einmal implementieren. Beginnen Sie mit den Kontrollen, die die größten Lücken schließen.
Woche 1-2: Agent-Inventar
Man kann nicht kontrollieren, was man nicht sieht. Katalogisieren Sie jeden KI-Agenten in Produktion. Dokumentieren Sie für jeden: Wer hat ihn autorisiert, auf welche Daten greift er zu, welche Aktionen kann er ausführen, und kann er Sub-Agenten erzeugen? Gravitees Studie zeigt: Nur 14,4% der Organisationen haben eine vollständige Sicherheitsfreigabe für alle produktiven Agenten. Fangen Sie dort an.
Woche 3-4: Eigene Agent-Identitäten
Eliminieren Sie geteilte API-Keys und Service Accounts. Geben Sie jedem Agenten eine eigene Identität mit prüfbaren Credentials. HashiCorp Vaults SPIFFE-Integration ist ein Weg. Microsoft Entra Workload ID ein anderer. Der Punkt: Jede Agent-Aktion muss sich auf eine spezifische Agent-Instanz und ihren menschlichen Autorisierenden zurückverfolgen lassen.
Monat 2: Zeitbegrenzte, beschränkte Tokens
Ersetzen Sie langlebige Secrets durch kurzlebige, eng beschränkte Tokens. HashiCorp Vault generiert Just-in-Time-Secrets mit TTLs im Minutenbereich. Wenn ein Credential kompromittiert wird, ist das Exploitationsfenster Minuten, nicht Monate. Kombinieren Sie das mit JIT-Zugriffsbereitstellung: Agenten erhalten Berechtigungen nur dann, wenn sie für eine spezifische Aufgabe benötigt werden.
Monat 3: Verhaltensmonitoring und Circuit Breaker
Setzen Sie Observability ein, die Agent-Reasoning-Ketten abdeckt, nicht nur API-Aufrufe. Fügen Sie Circuit Breaker hinzu, die die Agent-Ausführung stoppen können, wenn das Verhalten von erwarteten Mustern abweicht. Definieren Sie Eskalationspfade für Fälle, in denen Agenten ihre Autonomiegrenze erreichen.
Häufig gestellte Fragen
Was ist Zero Trust für KI-Agenten?
Zero Trust für KI-Agenten erweitert das Prinzip “Niemals vertrauen, immer verifizieren” auf autonome KI-Systeme. Jeder Agent erhält eine eigene Identität, beschränkte Berechtigungen, kontinuierliches Verhaltensmonitoring und zeitbegrenzte Zugriffstoken, statt Vertrauen vom menschlichen Nutzer zu erben. Das Agentic Trust Framework der Cloud Security Alliance bietet ein konkretes Governance-Modell mit fünf Kernfragen und progressiven Autonomiestufen.
Warum versagt klassisches Zero Trust bei KI-Agenten?
Klassisches Zero Trust (NIST 800-207) versagt, weil KI-Agenten vier Grundannahmen verletzen: Sie operieren unter menschlichen Identitäten statt eigenen (Identitätszuordnungskollaps), sie bestehen über Session-Grenzen hinaus (dauerhafte Vollmacht), sie arbeiten asynchron innerhalb von Anwendungen außerhalb der Sicherheitssichtbarkeit (undurchsichtige Ausführungskontexte) und sie kombinieren Features, um effektive Berechtigungen über das explizit Zugewiesene hinaus zu erweitern (Berechtigungserweiterung durch Feature-Verkettung).
Was ist das Agentic Trust Framework?
Das Agentic Trust Framework (ATF) ist eine offene Governance-Spezifikation, die von der Cloud Security Alliance im Februar 2026 veröffentlicht wurde. Es strukturiert KI-Agent-Sicherheit um fünf Fragen: Wer bist du? (Identität), Was tust du? (Verhalten), Welche Daten verarbeitest du? (Data Governance), Wohin darfst du? (Segmentierung) und Was, wenn du ausrastst? (Incident Response). Es definiert zudem ein progressives Autonomiemodell, bei dem Agenten durch formale Beförderungsstufen zunehmend Vertrauen erwerben.
Verlangt der EU AI Act Zero Trust für KI-Agenten?
Nicht namentlich, aber Artikel 14 schreibt menschliche Aufsicht proportional zur Autonomie vor, und NIS2 verlangt prüfbare Sicherheitsbaselines und 24-Stunden-Vorfallmeldungen. Zusammen verlangen diese Regulierungen faktisch die Identity-Governance-, Observability- und Eindämmungskontrollen, die eine Zero-Trust-Architektur bietet. Vollständige Hochrisiko-Anforderungen gelten ab dem 2. August 2026.
Wie wendet man Least Privilege auf KI-Agenten an?
Über das “Principle of Least-Agency” von OWASP: zeitbegrenzte, beschränkte Tokens (TTLs im Minutenbereich statt Tagen), Just-in-Time-Zugriffsbereitstellung, bei der Agenten Berechtigungen nur bei Bedarf für spezifische Aufgaben erhalten, aufgabenbezogene Berechtigungsvergabe und Human-in-the-Loop-Freigabe für risikoreiche Operationen. Ersetzen Sie stehende Privilegien durch dynamischen, kontextuellen Zugang mit Tools wie HashiCorp Vault oder CyberArks JIT-Bereitstellung.