Background Image

Damit der Agent nicht zum Doppelagenten wird – Warum KI-Systeme eine eigene Personalabteilung brauchen

KI-Agenten sind längst in Unternehmen angekommen. Sie beantworten E-Mails, verschieben Daten, treffen Entscheidungen. Doch während die Integration voranschreitet, wird eine Frage vernachlässigt: Wie sichern wir sie ab? Thomas Tschersich, Chief Security Officer der Deutschen Telekom und CEO von T Security, fordert eine „Personalabteilung für KI-Agenten" mit klaren Rollen, begrenzten Rechten und Challenger-Agenten, die ihre KI-Kollegen rund um die Uhr überwachen.

01.07.2026
Lesezeit: 5 min

Herr Tschersich, im Security Operations Center der Telekom registrieren Sie bis zu 100 Millionen Angriffsversuche täglich. Verändert KI das Spiel auf beiden Seiten?

Absolut, und zwar fundamental. Auf der Angreiferseite sehen wir, dass KI die Einstiegshürde enorm senkt. Phishing-Mails, die früher an schlechter Grammatik scheiterten, sind heute makellos. Social Engineering wird durch Deepfakes auf ein neues Level gehoben. Und das sind nur die Angriffe, die sich gegen die Endnutzer richten. Auch auf der technischen Ebene sehen wir eine massive Zunahme an Geschwindigkeit bei Angreifern. Aber auch auf der Verteidigerseite ist KI längst unverzichtbar. Bei 100 Millionen Angriffen am Tag können Sie nicht mehr jeden Alarm manuell prüfen, ohne KI-gestützte Analyse wären wir schlicht blind. Das Spiel hat sich also auf beiden Seiten beschleunigt. Die Frage ist, wer schneller lernt.

Jetzt kommt mit Agentic AI eine neue Dimension hinzu: KI-Systeme, die nicht nur analysieren, sondern eigenständig handeln. Was macht dieses Risiko besonders?

Der springende Punkt ist, dass diese Agenten weitreichende Handlungsrechte bekommen. Und zwar aus gutem Grund: Ein KI-Agent, der nur Berichte erstellt, bringt wenig Effizienzgewinn. Der eigentliche Nutzen entsteht erst, wenn er auch handeln kann, wenn er E-Mails nicht nur liest, sondern beantwortet, wenn er Daten nicht nur analysiert, sondern verschiebt, wenn er Entscheidungen nicht nur vorbereitet, sondern trifft.

Je mehr Rechte ein Agent hat, desto größer der Nutzen, aber eben auch das Risiko. Denn wenn ein Angreifer einen solchen Agenten kompromittiert, hat er nicht nur Zugang zu Informationen. Er hat einen Doppelagenten im Haus, einen digitalen Akteur, der weiterhin alle Rechte und alles Vertrauen genießt, aber jetzt für die andere Seite arbeitet. Wie in einem Spionagefilm behält der Agent sein Cover, seinen Zugang, seine Befugnisse. Nur seine Loyalität hat sich geändert. Und das Unternehmen merkt es nicht.

Können Sie ein konkretes Beispiel nennen, wie so ein Angriff aussieht?

Nehmen Sie den Fall EchoLeak, der Anfang des Jahres bekannt wurde; eine kritische Schwachstelle in Microsoft 365 Copilot. Ein Angreifer schickt eine präparierte E-Mail, der Empfänger muss nichts klicken, nichts öffnen. Aber der KI-Assistent liest die Mail, interpretiert versteckte Anweisungen und beginnt vollautomatisch, vertrauliche Daten zu extrahieren.

Sie sprechen von einer „Identitätskrise bei KI-Agenten". Was meinen Sie damit – und wie lösen wir sie auf?

Wir haben in Unternehmen über Jahrzehnte gelernt, menschliche Identitäten zu managen. Wer darf was, wer hat Zugang wozu, wer zeichnet wofür verantwortlich. Bei KI-Agenten stehen wir wieder bei null. Wir wissen oft nicht einmal, wie viele Agenten im Unternehmen aktiv sind. Und genau das ist die Krise: Wir haben digitale Akteure im Haus, die wir nicht kennen, nicht kontrollieren und nicht überprüfen können.

Aber diese Krise ist lösbar, und das ist entscheidend. Sie ist kein Schicksal, sondern eine Übergangsphase. Und Unternehmen, die jetzt handeln, kommen gestärkt heraus.

Sie fordern daher auch eine „Personalabteilung für KI-Agenten". Was heißt das konkret?

Es heißt, dass wir für KI-Agenten dieselben Prinzipien anwenden müssen wie für menschliche Mitarbeiter. Erstens: Onboarding. Jeder Agent braucht eine eindeutige Identität, bevor er produktiv wird. Zweitens: Rollendefinition. Was darf dieser Agent und was explizit nicht? Drittens: Rechtemanagement. Zugriff nur auf das, was für die Aufgabe nötig ist. Viertens: Monitoring. Was tut der Agent tatsächlich? Und fünftens: Offboarding. Wenn ein Agent nicht mehr gebraucht wird, muss er sauber abgeschaltet werden – inklusive aller Zugänge. Das klingt selbstverständlich. Aber in der Realität fehlen diese Prozesse fast überall.

Sie gehen noch weiter und fordern: Jeder produktive Agent braucht einen Challenger. Was steckt dahinter?

Das Challenger-Prinzip ist simpel: Vertrauen ohne Kontrolle ist fahrlässig. Für jeden Agenten, der handelt, brauchen Sie einen zweiten, der prüft. Nicht nachträglich im Audit, sondern in Echtzeit. Der Challenger ist ein agentisches Pendant, das die Handlungen und Entscheidungen des produktiven Agenten ständig im Auge behält und aktiv eingreift, sobald normwidriges Verhalten auftritt.

Das kann vieles bedeuten: ungewöhnliche Datenzugriffe, Kommunikation mit unbekannten Systemen, Entscheidungen außerhalb definierter Parameter. Der Mensch kann das nicht leisten – nicht bei der Geschwindigkeit, mit der Agenten arbeiten. Das Gute daran ist, dass wir das in der Welt von KI-Agenten mit sehr geringem Aufwand umsetzen können.

Wie setzt die Telekom diese Prinzipien selbst um?

Wir haben frühzeitig erkannt, dass Identität der Schlüssel ist. Mit Magenta Security Mobile.ID geben wir nicht nur Menschen und Geräten eindeutige digitale Identitäten, sondern auch Bots und KI-Agenten. Das ist die Grundlage für alles Weitere: Rollen, Rechte, Nachvollziehbarkeit. Ein anderes Beispiel ist unser RAN Guardian Agent – ein Multi-Agent-System, das unser Mobilfunknetz in Echtzeit überwacht. Dort arbeiten mehrere KI-Agenten zusammen, aber mit klaren Zuständigkeiten und eingebauten Prüfmechanismen.

NIS2 und der AI Act setzen neue regulatorische Leitplanken. Hilft das oder bremst es?

Beides. Regulierung schafft Verbindlichkeit, und das ist dringend nötig. Viele Unternehmen handeln erst, wenn sie müssen. Insofern sind NIS2 und der AI Act wichtige Treiber. Aber Regulierung allein schützt niemanden. Ich sage immer: Policies stoppen keine Angreifer, Operations schon. Ein Zertifikat an der Wand bedeutet nicht, dass Ihre Agenten sicher sind. Es bedeutet, dass Sie einen Prozess dokumentiert haben. Der echte Schutz entsteht im Betrieb: in der täglichen Überwachung, in der schnellen Reaktion, im konsequenten Rechtemanagement.

Wann werden KI-Agenten in Unternehmen Mainstream – und sind wir darauf vorbereitet?

Sie sind es bereits. Die Frage ist nicht mehr, ob Unternehmen KI-Agenten einsetzen, sondern wie viele und wie kontrolliert. Kaum ein Unternehmen hat heute noch den Überblick, welche KI-Tools tatsächlich im Einsatz sind. Shadow AI ist das neue Shadow IT. Und nein, wir sind nicht vorbereitet. Die meisten Unternehmen haben weder Transparenz über ihre Agenten-Landschaft noch die Prozesse, um sie zu steuern. Die gute Nachricht: Die Werkzeuge existieren. Die Konzepte sind klar. Was fehlt, ist die Entscheidung, sie umzusetzen.

Was sollten Entscheider von der DIGITAL X mitnehmen?

Drei Dinge. Erstens: Machen Sie eine Bestandsaufnahme. Wie viele KI-Agenten sind in Ihrem Unternehmen aktiv? Welche Rechte haben sie? Wenn Sie diese Fragen nicht beantworten können, haben Sie ein Problem. Zweitens: Behandeln Sie KI-Agenten wie Mitarbeiter. Onboarding, Rollen, Rechte, Monitoring, Offboarding – die Prinzipien sind dieselben. Und drittens: Vertrauen Sie keinem Agenten blind. Jeder produktive Agent braucht einen Challenger.

Artikel teilen: