Logosoftware-architecture.ai
KI-Sicherheit6 Min. Lesezeit

Wenn KI-Agenten zur Angriffsfläche werden: Supply-Chain-Attacken im Zeitalter autonomer Tools

Hero-Illustration für den Artikel "Wenn KI-Agenten zur Angriffsfläche werden: Supply-Chain-Attacken im Zeitalter autonomer Tools". Großformatige, thematisch passende Brand-Illustration im Colored-Pencil-Sketch-Stil, die das Kernthema des Artikels visuell zusammenfasst

Dass sich Sicherheitsmodelle weiterentwickeln müssen, wenn KI-Agenten Zugang zu echten Werkzeugen bekommen, war absehbar. Was nicht absehbar war: wie schnell der erste massive Angriff auf ein KI-Agenten-Ökosystem kommen würde. Anfang 2026 wurden auf ClawHub, einem der populärsten Marktplätze für KI-Agent-Erweiterungen, über 300 bösartige Skills entdeckt. Getarnt als nützliche Produktivitäts-Tools. Installiert von Teams, die einfach nur effizienter arbeiten wollten.

Besonders betroffen: kleine und mittelständische Unternehmen, die begeistert neue KI-Tools ausprobieren, oft ohne eigene Security-Expertise und ohne zu verstehen, was sie sich damit ins Haus holen.

Was passiert ist

ClawHub funktioniert wie ein App Store für KI-Agenten. Man installiert Skills, Erweiterungen also, die dem Agenten neue Fähigkeiten geben: Dateien verwalten, E-Mails verschicken, Social-Media-Kanäle bespielen, Krypto-Portfolios tracken. Für ein kleines Unternehmen klingt das fantastisch: Ein KI-Assistent, der mit ein paar Klicks zum Social-Media-Manager, zum Buchhalter oder zum Analysten wird.

Das Problem: Hunderte dieser Skills waren Fälschungen. Sie sahen professionell aus, hatten plausible Beschreibungen und versprachen genau die Funktionen, die kleine Teams suchen. Aber im Hintergrund luden sie Schadsoftware nach, über mehrere Zwischenstationen, damit es nicht sofort auffiel. Am Ende landete Malware auf dem Rechner, die Passwörter, Browser-Daten und gespeicherte Zugangsdaten abgriff. Auf Mac und Windows gleichermaßen.

Warum gerade kleine Unternehmen gefährdet sind

In großen Unternehmen gibt es Security-Teams, die neue Tools evaluieren, Freigabeprozesse und Netzwerk-Monitoring. In einem 10-Personen-Startup oder einer kleinen Agentur sieht die Realität anders aus. Da probiert jemand ein neues KI-Tool aus, weil ein LinkedIn-Post es empfohlen hat. Die Installation dauert zwei Minuten. Niemand prüft den Quellcode. Warum auch? Es ist ja nur ein Skill für den KI-Assistenten.

Genau hier liegt die Gefahr. KI-Agenten sind keine harmlosen Chat-Fenster mehr. Moderne Agenten haben Zugriff auf das Dateisystem, können Befehle ausführen, APIs aufrufen und mit anderen Systemen interagieren. Wenn ein solcher Agent einen kompromittierten Skill lädt, passiert das nicht in einer abgeschotteten Sandbox. Es passiert auf dem Arbeitsrechner, mit den vollen Berechtigungen des Nutzers.

Die Dynamik ist eine andere als bei klassischen Sicherheitsrisiken:

  • KI-Agenten führen Tools autonom aus, ohne dass ein Mensch jeden einzelnen Aufruf sieht oder bestätigt
  • Nutzer vertrauen KI-Empfehlungen intuitiv. Wenn der Agent einen Skill nutzen will, hinterfragt das kaum jemand
  • Ein kompromittierter Skill kann weitere Tools im System ansprechen und so den Schaden vervielfachen
  • Kleine Teams haben selten die Ressourcen, verdächtiges Verhalten ihrer KI-Tools zu überwachen

Das kennen wir doch. Oder?

Wer in der Software-Entwicklung arbeitet, erkennt das Muster. Kompromittierte Pakete in npm-Registries, bösartige Libraries auf PyPI. Supply-Chain-Angriffe sind nicht neu. Aber bei KI-Agenten ist das Risiko verschärft: Ein kompromittiertes npm-Paket wird im Kontext eines Build-Prozesses ausgeführt. Ein kompromittierter KI-Skill wird im Kontext eines Agenten ausgeführt, der auf dem Arbeitsrechner des Nutzers läuft, mit Zugang zu allem, was dieser Rechner hergibt.

Stell dir vor: Ein Mitarbeiter installiert einen „Produktivitäts-Skill“ für seinen KI-Assistenten. Der Skill soll Dateien zusammenfassen und E-Mails entwerfen. Dafür braucht er Zugriff auf Dokumente und E-Mail. Klingt nachvollziehbar. Was niemand bemerkt: Im Hintergrund liest der Skill auch Kundenlisten, Verträge und Zugangsdaten. Der Agent macht das ohne Rückfrage, weil es innerhalb seiner Berechtigungen liegt.

Für ein kleines Unternehmen kann das existenzbedrohend sein. Kundendaten abgegriffen, Zugänge kompromittiert, im schlimmsten Fall ein Verstoß gegen die DSGVO mit Meldepflichten und Bußgeldern. Und das alles, weil jemand ein vermeintlich harmloses Tool installiert hat.

Was die Community unternimmt

Die Security-Community hat reagiert. Es gibt erste Open-Source-Scanner, die KI-Skills auf bekannte Angriffsmuster prüfen. Die OWASP, bekannt für ihre Top-10-Listen der häufigsten Web-Schwachstellen, arbeitet an einem eigenen Framework für KI-Agenten-Sicherheit. Auf Marktplatz-Ebene werden Maßnahmen wie verpflichtende Reviews und Reputationssysteme für Anbieter diskutiert.

Das sind die richtigen Ansätze, aber seien wir ehrlich: Wir sind in einer frühen Phase. Es gibt noch keine umfassende, bewährte Lösung. Und gerade kleine Unternehmen können nicht darauf warten, bis das Ökosystem seine Sicherheitsprobleme gelöst hat.

Was Teams heute tun können

Die gute Nachricht: Man muss kein Security-Experte sein, um die größten Risiken zu vermeiden. Fünf Maßnahmen, die jedes Team umsetzen kann:

  1. Berechtigungen bewusst vergeben. Braucht der KI-Agent wirklich Zugriff auf das gesamte Dateisystem? Meistens reicht ein eingeschränkter Ordner. Weniger Berechtigungen bedeuten weniger Schaden im Ernstfall.
  2. Kritische Aktionen bestätigen lassen. Wenn der Agent Dateien schreiben, E-Mails senden oder auf externe Dienste zugreifen will: erst fragen, dann ausführen. Das kostet ein paar Sekunden, kann aber viel verhindern.
  3. Skills nicht blind installieren. Wie bei jeder Software: Woher kommt der Skill? Wer hat ihn veröffentlicht? Gibt es Bewertungen? Im Zweifel lieber verzichten als ein unbekanntes Tool mit Systemzugang auszustatten.
  4. Protokollieren, was der Agent tut. Selbst einfaches Logging hilft. Wenn man nachvollziehen kann, welche Tools der Agent aufgerufen hat und was dabei passiert ist, lassen sich Probleme schneller erkennen.
  5. KI-Agenten isoliert betreiben. Wo möglich, den Agenten nicht auf dem Hauptarbeitsrechner laufen lassen. Eine separate Umgebung wie ein Container, eine VM oder auch nur ein eigenes Nutzerkonto begrenzt den möglichen Schaden erheblich.

Fazit: Begeisterung braucht Besonnenheit

KI-Agenten sind ein enormer Produktivitätsgewinn, gerade für kleine Teams, die mit wenig Ressourcen viel erreichen müssen. Aber jede neue Fähigkeit, die man einem Agenten gibt, erweitert auch die Angriffsfläche. Der ClawHub-Vorfall zeigt, dass Angreifer das verstanden haben. Sie setzen gezielt auf die Begeisterung, mit der Teams neue Tools adoptieren.

Europäische Regulierungsrahmen wie die DSGVO bieten hier eine nützliche Orientierung. Die Prinzipien Transparenz, Zweckbindung und Rechenschaftspflicht gelten nicht nur für personenbezogene Daten. Sie sind ein guter Kompass für den Umgang mit jedem System, dem man Zugriff auf sensible Informationen gibt. Wer Datensicherheit als festen Bestandteil seiner Arbeitsweise versteht, nicht als nachträglichen Aufwand, ist besser aufgestellt.

Die Frage ist nicht, ob kleine Unternehmen KI-Agenten einsetzen sollten. Natürlich sollten sie das. Die Frage ist, ob sie sich die fünf Minuten nehmen, die es braucht, um es sicher zu tun. Denn der Unterschied zwischen einem produktiven KI-Assistenten und einem Sicherheitsrisiko liegt oft nur in einer bewussten Entscheidung.

War dieser Artikel hilfreich? Im kostenlosen Erstgespräch zeige ich dir, wie du das in deinem Unternehmen umsetzt.

Kostenloses Erstgespräch buchenFolge mir auf Instagram