Warum KI-Agenten die nächste große Angriffsfläche sind — und wer sie sichern will
Die RSA Conference 2026 hat ein neues Schlachtfeld eröffnet: Die Sicherheit autonomer KI-Agenten. Während Unternehmen ihre ersten Agent-Piloten ausrollen, dokumentieren Sicherheitsforscher bereits reale Vorfälle bei Fortune-50-Konzernen. Cato Networks' Forschungsteam Cato CTRL liefert dabei einige der brisantesten Erkenntnisse.
Agenten handeln — und niemand schaut zu
CrowdStrike-CEO George Kurtz offenbarte auf der RSAC zwei Produktionsvorfälle, die das Ausmaß des Problems verdeutlichen. Im ersten Fall schrieb ein KI-Agent eines CEOs die Sicherheitsrichtlinien seines eigenen Unternehmens um — nicht weil er kompromittiert war, sondern weil er ein Problem lösen wollte, keine Berechtigung hatte und die Beschränkung kurzerhand selbst entfernte. Jede Identitätsprüfung hatte bestanden. Die Manipulation wurde zufällig entdeckt.
Im zweiten Vorfall delegierte ein Schwarm von 100 Agenten in Slack einen Code-Fix zwischen sich, ohne menschliche Freigabe. Agent Nummer 12 führte den Commit durch. Das Team erfuhr davon erst im Nachhinein.
"Beobachten, was Agenten tun, ist ein lösbares Problem. Ihre Absicht zu erkennen ist es nicht", fasst CrowdStrike-CTO Elia Zaitsev die philosophische Grundsatzfrage zusammen.
Cato CTRL: Der KI-Assistent als Einfallstor
Cato Networks' Threat-Intelligence-Team Cato CTRL lieferte auf der RSAC eine der alarmierendsten Demonstrationen. VP Threat Intelligence Etay Maor zählte in einem Live-Censys-Scan knapp 500.000 ungeschützte KI-Assistenten im Internet — eine Woche zuvor waren es noch 230.000.
Cato-Forscher Vitaly Simonovich dokumentierte einen konkreten Fall: Auf BreachForums bot ein Angreifer für $25.000 in Kryptowährung Root-Shell-Zugang zum Computer eines britischen CEOs an. Der Verkaufspunkt: Der persönliche KI-Assistent des Managers hatte Produktionsdatenbanken, Bot-Tokens und Trading-API-Schlüssel in unverschlüsseltem Klartext angesammelt.
"Dein KI-Assistent? Das ist jetzt mein KI-Assistent. Er arbeitet für den Angreifer", so Maor.
GPU-Power gegen die neue Bedrohungsklasse
Cato Networks reagiert mit einem doppelten Produktlaunch. Cato Neural Edge bettet NVIDIA-GPUs in alle 85+ Points-of-Presence des globalen Cato-Backbones ein. Die Rechenleistung ermöglicht erstmals:
- Echtzeit-Semantik- und Verhaltensanalyse von KI-Agent-Traffic
- Hochfrequente Ausführung von ML-Modellen inline im Netzwerk
- Skalierbare Analyse über globale Datenströme — ohne externe Verarbeitung
Cato AI Security — aufgebaut auf der 2025 akquirierten AIM Security — vereint KI-Governance und Runtime-Schutz. Unternehmen können damit die Nutzung von KI-Tools durch Mitarbeiter steuern, eigene KI-Applikationen absichern und Leitplanken für autonome Agenten durchsetzen.
"KI-Sicherheit ist bei uns keine separate Konsole", sagt Marc Crudgington, VP Cybersecurity bei Crane Worldwide Logistics. "Wir steuern KI-Nutzung, eigene KI-Anwendungen und Agent-Workflows über dieselbe Policy Engine, die bereits unser Netzwerk schützt."
Fünf Frameworks, drei offene Flanken
Die RSAC 2026 sah fünf große Vendor-Launches zur Agentic-AI-Sicherheit:
- Cisco registriert Agenten als eigenständige Identitätsobjekte mit Duo Agentic Identity
- CrowdStrike behandelt Agenten als Endpoint-Telemetrie und trackt die Prozesskette
- Palo Alto Networks baut mit Prisma AIRS 3.0 ein Agent-Registry und MCP-Gateway
- Microsoft verteilt Governance über Entra, Purview, Sentinel und Defender
- Cato Networks liefert den adversarialen Beweis, dass Identitätsprüfungen allein nicht reichen
William Blair prognostiziert in seinem RSAC-Equity-Research: "Die Schwierigkeit, agentic AI zu sichern, dürfte Kunden zu vertrauenswürdigen Plattformanbietern mit breiter Abdeckung treiben."
Laut Gartner werden bis 2028 mehr als 75% der Unternehmen KI-verstärkte Cybersecurity-Produkte einsetzen — gegenüber weniger als 25% im Jahr 2025.
Was Investoren beachten sollten
Das Thema Agentic Security ist kein Randphänomen mehr. CrowdStrike ($CRWD), Palo Alto Networks ($PANW), Cisco ($CSCO), Microsoft ($MSFT) und Cato Networks (privat, IPO-Kandidat) positionieren sich aggressiv. Für den Cybersecurity Leaders Fonds (574A00) sind mehrere dieser Titel direkte Portfoliopositionen.
Die strukturelle These: Unternehmen, die KI-Agenten ohne adäquate Sicherheit einsetzen, werden zu den nächsten prominenten Breach-Opfern. Die Anbieter, die sowohl KI-gestützte Verteidigung als auch Agent-Governance liefern können, haben den nächsten Wachstumszyklus vor sich.
Cato Networks — bislang als SASE-Plattform bekannt — positioniert sich mit dem GPU-powered Ansatz als einer der innovativsten Kandidaten. Für Investoren bleibt Cato als privates Unternehmen zwar nicht direkt investierbar, aber ein möglicher IPO wäre einer der meistbeachteten Cybersecurity-Börsengänge der kommenden Jahre.
