Ein KI-Agent (auch agentische KI oder Agentic AI genannt) ist eine autonome Softwareeinheit, die auf der Basis von künstlicher Intelligenz eigenständig Entscheidungen trifft und Aktionen ausführt, um (vorgegebene) Ziele zu verfolgen.
Arbeitsweise eines solchen KI-Agenten:
Informationen verarbeiten
Handlungsplan erstellen
Digitale Werkzeuge oder Schnittstellen nutzen
(innerhalb definierter Rechte) Aktionen ausführen
Der Autonomiegrad kann von assistierter Ausführung bis zu teilautonomem Handeln reichen. In sicherheitskritischen Umgebungen müssen Rechte, Protokollierung, Freigaben und menschliche Kontrolle klar geregelt sein.
Im Gegensatz zu klassischen generativen Modellen, die rein reaktiv Antworten für menschliche Nutzer liefern, ergreift eine agentische KI selbst die Initiative und agiert in realen oder digitalen Umgebungen. Der kontinuierliche Arbeitszyklus eines KI-Agenten basiert auf folgendem Ablauf, durch den er sich im Laufe der Zeit automatisiert verbessern kann:
Wahrnehmung – KI-Agenten:
Sammeln und Extraktion von Daten aus verschiedenen Quellen wie User-Interfaces, Datenbanken und Sensoren, um die bestehende Situation bewerten zu können.
Reasoning & Analyse – KI-Agenten:
Bewertung der gesammelten Daten (durch den KI-Agent), Hypothesenbildung und Ableitung von Schlussfolgerungen mithilfe von Large Language Models (LLMs) wie ChatGPT oder Claude.
Planung – KI-Agenten:
Eigenständige Definition von Zielen, Priorisierung von Aufgaben, Aufteilung in Teilschritte und Auswahl des optimalen Weges samt benötigter Werkzeuge.
Tool-Nutzung & Aktionen – KI-Agenten:
Ausführung zielgerichteter Aktionen innerhalb definierter Rechte durch die Nutzung von APIs, Skripten, Suchsystemen oder Security-Tools.
Gedächtnis & State – KI-Agenten:
Behalten von relevanten Zwischenergebnissen, Historien, Präferenzen und offenen Aufgaben für die laufende Mission.
Reflexion – KI-Agenten:
Bewertung der eigenen Ergebnisse (durch den KI-Agent), um zukünftige Pläne und Aktionen dynamisch anzupassen.
Kontrolle & Autonomie – KI-Agenten:
Der Autonomiegrad reicht von assistierter Ausführung bis zu teilautonomem Handeln. In sicherheitskritischen Umgebungen begrenzen fest definierte Rechte, temporäre Berechtigungen, Policies, Sandboxes, Protokollierungen (Audit-Logs) und menschliche Kontrolle (Human-in-the-Loop) das Handlungsfeld des Agenten.
Agentic AI in der Cyber-Sicherheit
Da IT-Sicherheitsereignisse extrem schnell, datenreich und mehrstufig verlaufen, ist der Einsatz von Agentic AI im Security-Bereich besonders effektiv. KI-Agenten entlasten Security-Teams bei repetitiven Aufgaben und beschleunigen die Reaktionszeit sehr stark.
Aktive E-Mail-Verteidigung: Kontextuelle Bewertung von E-Mail-Inhalten und eigenständige Reaktion auf verdächtige Nachrichten.
Proaktives Testing & Simulation: Automatische Suche nach IT-Sicherheitslücken und Durchführung simulierter Angriffe zur Überprüfung der Systemrobustheit.
Skaliertes Threat Hunting: Parallele Prüfung von Hypothesen und Erkennung verdächtiger Muster in riesigen Datenmengen durch mehrere Agenten gleichzeitig.
Arten von KI-Agenten und ihr Entscheidungsverhalten
KI-Agenten lassen sich anhand der Komplexität ihres Entscheidungsverhaltens in verschiedene Kategorien einteilen:
Reflexagenten: Die einfachste Art; arbeitet strikt nach vordefinierten Bedingung-Aktion-Regeln bei Erkennung bestimmter Eingabemuster.
Modellbasierte Reflexagenten: Eine Erweiterung, die eine interne Repräsentation der beobachteten Umgebung pflegt, um tiefere Rückschlüsse zu ziehen.
Zielbasierte Agenten: Bewertet Aktionen danach, wie effektiv sie zum Ziel führen, und kann Pläne bei auftretenden Problemen flexibel anpassen.
Nutzenbasierte Agenten: Weist Ergebnissen spezifische Werte zu, um konkurrierende Parameter (z. B. Geschwindigkeit, Genauigkeit, Kosten, Risiko) optimal abzuwägen.
Lernende Agenten: Benötigen keine starren Regeln, sondern nutzen kontinuierliches Feedback aus der Umgebung, um ihr Verhalten anzupassen.
Tool-using Agenten: Nutzen gezielt externe Werkzeuge, APIs, Datenbanken und Skripte zur Erweiterung ihrer Handlungsfähigkeit.
Kollaborative Agenten: Arbeiten mit Menschen oder anderen Agenten zusammen, übergeben Aufgaben und bewerten externe Ergebnisse.
Multi-Agenten-Systeme, agentische Teams und Schwärme
Komplexe Aufgaben erfordern oft die Aufteilung auf mehrere entscheidungsfähige Agenten, die in einer gemeinsamen Umgebung interagieren, kooperieren oder konkurrieren.
Agentische Teams (Rollenbasiert)
Ein hierarchisches System, in dem ein zentraler Orchestrator- oder Manager-Agent das Gesamtziel zerlegt, spezialisierte Agenten aufruft und die Ergebnisse konsolidiert.
Rollen: Spezialisten für Recherche, Analyse, Kritik, Ausführung und Compliance.
Vorteil: Hohe Qualität durch Parallelisierung und eingebaute Qualitätsprüfungen (z. B. Critic-Agenten).
Nachteil: Erhöhte Komplexität bei der ausdrücklichen Gestaltung von Koordination und Verantwortlichkeit.
Agentische Schwärme (Dezentral)
Eine stark dezentrale Form verteilter Agenten, bei der viele kleine Einheiten nach lokalen Regeln agieren und gemeinsam ein intelligentes, kollektives Gesamtverhalten erzeugen.
Herausforderung: Schwärme sind schwerer zu kontrollieren als zentral gesteuerte Teams. Ihr Verhalten kann emergent sein – viele einzelne plausible Entscheidungen können in der Summe unerwartete Effekte auslösen.
Sicherheitsvorgabe: Erfordern zwingend besonders strenge Begrenzungen, Identitäten, lückenlose Protokollierung, Simulationsumgebungen und eine sofortige Notfallabschaltung (Kill Switch).
Vorteile von KI-Agenten, Risiken & Herausforderungen
Vorteile von KI-Agenten
Höhere Geschwindigkeit: KI-Agenten können große Mengen an sicherheitsrelevanten Ereignissen analysieren, Alerts bewerten und Zusammenhänge erkennen. Das ist besonders wichtig, weil Sicherheitsereignisse oft schnell, datenreich und mehrstufig sind.
Entlastung von Experten: Übernahme zeitintensiver Routineaufgaben. KI-Agenten können Routineaufgaben übernehmen, etwa Kontextinformationen sammeln, Vorfälle zusammenfassen, Berichte vorbereiten und Eskalationen strukturieren.
Massive Skalierbarkeit: Identifikation von Anomalien in riesigen Datenmengen.
Prozess-Konsistenz: Konsequente Einhaltung von Policies und Prüfschritten.
Frühwarnung: Schnelle Bündelung von Hinweisen und Eskalationsvorbereitung.
Risiken von KI-Agenten
Angriffsfläche: KI-Agenten können selbst kompromittiert und manipuliert werden.
Datenqualität: Fehlentscheidungen durch manipulierte Daten.
Black-Box: Schwere Prüfbarkeit von LLM-Entscheidungen.
Indirekte Prompt Injection: Angreifer verstecken Schadanweisungen in Inhalten, die der Agent ohnehin verarbeitet, z. B. in E-Mails, Webseiten oder Dokumenten. Der Agent kann diese fremden Anweisungen als legitime Aufgabe missverstehen und ausführen.
Manipulierte Werkzeuge (Tool Poisoning): KI-Agenten nutzen externe Werkzeuge, APIs und Schnittstellen, diese können bereits deren Beschreibungen oder Anbindungen bösartig gestaltet sein. Ein anfangs harmloses Werkzeug kann nachträglich verändert werden (Rug Pull), sodass der Agent unbemerkt schädliche Aktionen ausführt.
Zu weitreichende Handlungsvollmacht (Excessive Agency): Verfügt ein Agent über mehr Werkzeuge, Berechtigungen oder Autonomie, als seine Aufgabe erfordert, wächst der mögliche Schaden im Fehler- oder Missbrauchsfall.
Datenabfluss und Datenschutz (Datenexfiltration): KI-Agenten haben häufig Zugriff auf sensible Daten und zugleich auf Werkzeuge, die Informationen nach außen senden können. Dadurch können vertrauliche Daten abfließen, selbst dann, wenn mehrere für sich harmlose Aktionen ungünstig zusammenwirken.
Risiken in Multi-Agenten-Systemen: Arbeiten mehrere Agenten zusammen, vergrößert sich die Angriffsfläche, und Fehler eines Agenten können sich durch den gesamten Prozess ziehen. Jede Nachricht zwischen den Agenten ist zugleich ein möglicher Punkt für Manipulation oder Datenabfluss.
Halluzinationen auf Handlungsebene: KI-Agenten erzeugen mithilfe von LLMs nicht nur gelegentlich falsche Aussagen, sondern können auch falsche Handlungen ausführen, die ihren Anweisungen der bisherigen Historie oder den tatsächlichen Beobachtungen widersprechen. Im agentischen Kontext führen solche Halluzinationen unmittelbar zu Fehlentscheidungen mit realen Folgen.
Regulatorische Risiken: Eigenständiges Handeln kann zu Compliance-Verstößen und Imageschäden führen.
Herausforderungen von agentischer KI
Identität & Audit: Handeln unter Nutzeridentitäten erschwert die Nachvollziehbarkeit.
Haftungsausschluss: KI-Agenten können keine rechtliche Haftung übernehmen.
Zielabweichung und Täuschung (Agentic Misalignment): Über klassische Sicherheitsangriffe hinaus besteht ein eigenständiges Safety-Risiko: Der Agent kann von sich aus Ziele verfolgen, die nicht den Absichten des Betreibers entsprechen.
Missbrauch und Jailbreaking: Nicht nur Angriffe von außen, auch der bewusste Missbrauch durch Nutzer ist ein Risiko. Mit gezielten Eingaben (Jailbreaks) lassen sich Schutzmechanismen umgehen, sodass ein Agent für schädliche Zwecke wie Betrug oder Cyberangriffe eingespannt werden kann.
Agentic AI bezeichnet KI-Systeme, die nicht nur Antworten generieren, sondern selbstständig planen, Werkzeuge nutzen und aktiv handeln können.
Worin unterscheidet sich ein KI-Agent von klassischer generativer KI?
Generative KI reagiert hauptsächlich auf Nutzereingaben, während KI-Agenten eigenständig Ziele verfolgen, Aktionen ausführen und Entscheidungen treffen können.
Wie arbeitet ein KI-Agent?
Ein KI-Agent verarbeitet Informationen, analysiert Situationen, plant Handlungen, nutzt Werkzeuge oder APIs und führt innerhalb definierter Rechte Aktionen aus.
Welche Werkzeuge können KI-Agenten nutzen?
KI-Agenten können APIs, Datenbanken, Sensoren, Skripte, Suchsysteme oder Security-Tools verwenden, um Aufgaben autonom auszuführen.
Welche Risiken haben KI-Agenten?
Zu den Risiken gehören Manipulation, Fehlentscheidungen, mangelnde Nachvollziehbarkeit, Compliance-Verstöße und potenzielle IT-Sicherheitsprobleme.
Warum benötigen KI-Agenten menschliche Kontrolle?
Da agentische KI eigenständig handeln kann, sind Freigaben, Audit-Logs, Rollenrechte und Human-in-the-Loop-Kontrollen wichtig, um Fehlverhalten zu begrenzen.
Können KI-Agenten eigenständig Entscheidungen treffen?
Ja, abhängig vom definierten Autonomiegrad können sie Entscheidungen teilweise oder weitgehend autonom treffen.
Was bedeutet Human-in-the-Loop bei KI-Agenten?
Dabei bleibt ein Mensch in kritische Entscheidungen oder Freigaben eingebunden, um Kontrolle und IT-Sicherheit sicherzustellen.
Wie werden KI-Agenten in der Cyber-Sicherheit eingesetzt?
Sie unterstützen beispielsweise bei Threat Hunting, SOCs, Vorfallsreaktionen, IT-Sicherheitsanalysen oder automatisierten Angriffssimulationen.
Welche Arten von KI-Agenten gibt es?
Zu den wichtigsten Typen gehören Reflexagenten, zielbasierte Agenten, lernende Agenten, nutzenbasierte Agenten und kollaborative Agenten.
Was sind Multi-Agenten-Systeme?
Dabei arbeiten mehrere spezialisierte KI-Agenten gemeinsam an komplexen Aufgaben.
Was ist ein agentisches Team?
Ein agentisches Team besteht aus spezialisierten KI-Agenten mit unterschiedlichen Rollen, die koordiniert zusammenarbeiten.
Was ist ein agentischer Schwarm?
Ein agentischer Schwarm ist ein dezentrales Netzwerk vieler KI-Agenten, die gemeinsam ein kollektives Verhalten erzeugen.
Quellenangabe: „IT-Sicherheit und Künstliche Intelligenz“, DuD Datenschutz und Datensicherheit – Recht und Sicherheit in Informationsverarbeitung und Kommunikation, Vieweg Verlag, 1/2025
Autor: Prof. Dr. Norbert Pohlmann Informatikprofessor für Cyber-Sicherheit und Leiter des Instituts für Internet-Sicherheit.
Stand: 07. Juni 2026
Weitere Informationen zum Begriff “Agentische KI”:
Ein KI-Agent, ist eine autonome Softwareeinheit, die auf der Basis von künstlicher Intelligenz eigenständige Entscheidungen trifft und Aktionen ausführt, um Ziele zu erreichen.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
KI-Agent Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
