JobsKontakt

    Zero Trust für KI: Sicherheitsarchitektur für Agenten und Automatisierung

    KI-Agenten, semantische Suche und Automatisierung verändern, wie auf Unternehmensdaten zugegriffen wird. Zero Trust liefert das Sicherheitsmodell, mit dem jeder Zugriff – ob Mensch, Maschine oder KI – kontinuierlich verifiziert wird.

    Zero Trust für KI: Sicherheitsarchitektur für Agenten und Automatisierung

    Warum Zero Trust für KI nicht optional ist

    Mit dem Einzug von KI-Agenten, semantischer Suche und Automatisierung verändert sich, wer und was in einem Unternehmen auf Daten zugreift. Klassische Perimeter-Sicherheit – Firewall außen, Vertrauen innen – funktioniert in dieser Welt nicht mehr. Ein KI-Agent kann in Sekunden tausende Dokumente lesen, eine semantische Suche kann Inhalte aus Quellen kombinieren, die nie für eine Zusammenführung gedacht waren, und automatisierte Workflows handeln im Namen von Nutzern, ohne dass diese aktiv eingreifen.

    Zero Trust beantwortet diese Realität mit drei Grundprinzipien: explizit verifizieren, least-privilege access und assume breach. Jeder Zugriff – egal von wem oder was – wird zur Laufzeit geprüft, mit minimal nötigen Rechten ausgestattet und unter der Annahme behandelt, dass ein Teil der Umgebung bereits kompromittiert ist. Für Unternehmen, die KI produktiv einsetzen wollen, ist das kein Sicherheits-Add-on, sondern die Voraussetzung dafür, dass Agenten und Automatisierung überhaupt skalieren dürfen.

    Die sieben Schutzschichten von Zero Trust

    Zero Trust ist kein einzelnes Produkt, sondern ein Architekturansatz, der über mehrere Ebenen hinweg greift. Jede Schicht hat eigene Kontrollen, die unabhängig voneinander wirken – damit ein Angreifer, der eine Schicht überwindet, nicht automatisch Zugriff auf alles erhält.

    • Identitäten – Menschen, Service Accounts, KI-Agenten

    • Endpoints – Laptops, Mobilgeräte, Server, in denen KI-Workloads laufen

    • Netzwerk – Segmentierung statt flachem Trust-Zone-Modell

    • Daten – Klassifizierung, Verschlüsselung, Sensitivitätslabels

    • KI-Ressourcen – Modelle, Prompts, Indizes, Embeddings

    • Anwendungen – APIs, SaaS, Eigenentwicklungen

    • Infrastruktur – Cloud-Workloads, Container, Konfigurationen

    Entscheidend ist: Diese Schichten werden kontinuierlich bewertet. Ein gültiges Token von vor einer Stunde reicht nicht. Risiko-Signale aus dem Endpoint, dem Netzwerk und dem Datenfluss fließen laufend in die Zugriffsentscheidung ein.

    Identitäten als neuer Perimeter

    Die Identitätsebene ist der wichtigste Hebel – und der mit dem größten Wandel durch KI. Drei Identitätsarten müssen heute gleich behandelt werden:

    • Menschliche Nutzer – mit Phishing-resistenter MFA, conditional access und risikobasierter Authentifizierung

    • Workload-Identitäten – Service Principals, Managed Identities, API-Keys mit klaren Lebenszyklen

    • KI-Agenten – jeder Agent ist eine eigene, namentlich bekannte Identität mit auditierbaren Berechtigungen

    In der Praxis heißt das: Ein Agent, der für die Buchhaltung Rechnungen klassifiziert, darf nicht dieselben Rechte haben wie der Mitarbeiter, der ihn nutzt. Er bekommt einen eigenen Account, scoped permissions auf den Rechnungs-Index und keinerlei Zugriff auf HR- oder M&A-Daten – auch dann nicht, wenn der nutzende Mensch diesen Zugriff hätte.

    Daten und KI-Ressourcen schützen

    Die kritischste Schicht für KI-Projekte sind Daten und KI-Ressourcen. Hier entscheidet sich, ob ein Agent versehentlich vertrauliche Inhalte in eine Antwort, einen Report oder eine Aktion ziehen darf.

    Daten klassifizieren und labeln

    Sensitivitätslabels (z.B. „intern", „vertraulich", „streng vertraulich") müssen vor der KI-Nutzung an Dokumente, Mails und Datensätze angebracht werden. Erst dann kann ein semantischer Index oder ein Agent diese Labels respektieren und Inhalte ausschließen, die für den anfragenden Kontext nicht freigegeben sind.

    Berechtigungen vor dem Index

    Ein häufiger Fehler in frühen RAG- und Copilot-Projekten: Inhalte werden in einen zentralen Vektorindex geladen, ohne die ursprünglichen ACLs zu übernehmen. Ergebnis: Mitarbeiter sehen über die KI plötzlich Inhalte, auf die sie im Quellsystem nie Zugriff hätten. Zero Trust verlangt, dass die ursprünglichen Berechtigungen bis in den Index und bis in die Antwort getragen werden – inklusive Audit-Trail.

    KI-Ressourcen wie Produktionssysteme behandeln

    Modelle, Prompts, Tools und Embeddings sind keine Spielwiese, sondern produktive Assets. Sie brauchen versionierte Repositories, signierte Deployments, Zugriffskontrolle auf Prompt-Templates und Monitoring auf ungewöhnliche Nutzung – etwa massenhafte Anfragen, untypische Tool-Aufrufe oder verdächtige Output-Muster.

    Netzwerk, Endpoints und Infrastruktur

    Zero Trust hört nicht bei Identität und Daten auf. Mikrosegmentierung im Netzwerk verhindert, dass ein kompromittierter Agent lateral durch die Umgebung wandert. Endpoints, auf denen KI-Clients laufen, müssen compliant sein: aktueller Patchstand, EDR aktiv, Disk-Encryption an. Und in der Infrastruktur gilt: Konfigurationen werden als Code versioniert, Drift wird erkannt, und privilegierte Operationen laufen über Just-in-Time-Zugriff statt über statische Admin-Rechte.

    Für KI-Workloads heißt das konkret: Inferenz-Endpunkte sind nicht öffentlich erreichbar, sondern liegen hinter privaten Endpoints. Trainings- und Fine-Tuning-Jobs laufen in isolierten Subnetzen mit definierten Egress-Regeln. Modell-Artefakte werden signiert und nur aus vertrauenswürdigen Registries deployed.

    Continuous Risk Assessment statt Stichproben

    Ein zentrales Element von Zero Trust ist die kontinuierliche Risikobewertung. Statt einmal pro Quartal in einem Audit zu prüfen, ob Rechte stimmen, fließen Signale in Echtzeit in die Zugriffsentscheidung ein:

    • Ungewöhnlicher Standort oder unbekannter Endpoint?

    • Atypisches Volumen an Anfragen aus einem Agenten-Account?

    • Zugriff auf Daten außerhalb des bisherigen Nutzungsmusters?

    • Auffällige Kombination aus Quellen in einer einzelnen Antwort?

    Solche Signale können den Zugriff abstufen, MFA erzwingen oder die Session beenden – ohne dass ein Mensch eingreifen muss. Genau das macht Zero Trust kompatibel mit der Geschwindigkeit, mit der KI-Agenten arbeiten.

    Was Unternehmen jetzt konkret tun sollten

    Zero Trust für KI ist kein Big-Bang-Projekt. Drei Schritte, die in den nächsten 90 Tagen realistisch sind:

    • Inventar erstellen: Welche KI-Agenten und Copilots laufen heute? Welche Identitäten nutzen sie? Auf welche Datenquellen greifen sie zu?

    • Daten klassifizieren: Sensitivitätslabels für die Top-Datenquellen ausrollen, bevor diese in semantische Indizes wandern.

    • Least Privilege für Agenten: Jeder produktive Agent bekommt eine eigene Identität mit minimal nötigen Rechten – inklusive Audit-Logging.

    Wer diese drei Schritte sauber umsetzt, hat die Grundlage, um KI sicher zu skalieren – und vermeidet, dass ein einzelner kompromittierter Agent Zugriff auf das halbe Unternehmen bekommt.

    Fazit: Sicherheit wird zur Voraussetzung für KI-Skalierung

    KI verschiebt das Sicherheitsmodell vom Perimeter zur Identität, vom Stichproben-Audit zur kontinuierlichen Bewertung und vom impliziten Vertrauen zur expliziten Verifikation. Unternehmen, die Zero Trust ernst nehmen, gewinnen doppelt: Sie reduzieren das Risiko unkontrollierter Datenabflüsse und schaffen gleichzeitig die Grundlage, KI-Agenten in produktiven Prozessen einzusetzen – mit Governance, Auditierbarkeit und Geschwindigkeit.

    Die Frage ist nicht mehr, ob Zero Trust für KI nötig ist, sondern wie schnell die eigene Architektur dorthin kommt.

    Beitrag teilen