Eine Studie von Gravitee zeigt eine Entwicklung: Agenten haben sich von Tools zu Infrastruktur entwickelt. 81% der Teams sind über die Planungsphase hinaus und setzen diese Systeme ein. Doch diese Einführung bringt Herausforderungen mit sich.

Die Realität der Agent-Adoption

Die Zahlen: 88% der Organisationen melden Sicherheitsvorfälle mit Agenten im vergangenen Jahr. Im Gesundheitswesen liegt diese Quote bei 92,7%. Diese Entwicklung zeigt, dass diese Systeme zur Infrastruktur geworden sind.

Die Diskrepanz zwischen Einführung und Governance: Während 37 Agenten pro Organisation im Einsatz sind, haben nur 14,4% eine Sicherheitsfreigabe erhalten.

Vier Herausforderungen

1. Schatten-Implementierungen werden zur Norm

Die Mehrheit der Agenten wird auf Abteilungsebene eingesetzt - oft ohne Wissen der Sicherheitsteams. Nur 47,1% der Agenten werden überwacht, was zu Intransparenz führt.

2. Identitätsverwaltung versagt bei Systemen

Nur 21,9% der Organisationen behandeln Agenten als Identitäten. Stattdessen nutzen 45,6% API-Schlüssel für Agent-zu-Agent-Kommunikation und 44,4% verwenden Tokens.

3. Autorisierungskonzepte

27,2% der Teams verlassen sich auf fest programmierte Logik für Agent-Interaktionen. 25,5% der Agenten können andere Agenten erstellen und instruieren, während nur 24,4% Sichtbarkeit in Agent-zu-Agent-Kommunikation haben.

4. Überwachung

Während Agenten hunderte Aufgaben pro Sekunde ausführen können, prüfen nur 7,7% der Organisationen deren Aktivitäten täglich. 37,5% führen nur monatliche Reviews durch.

Lösungsansätze für Organisationen

Diese Herausforderungen erfordern Lösungen, die über IT-Sicherheitsansätze hinausgehen:

Lokale Infrastrukturen ermöglichen es Organisationen, Daten innerhalb ihrer Grenzen zu verarbeiten. Installationen bieten Kontrolle über Datenflüsse und erfüllen Compliance-Anforderungen.

Identitätsverwaltung behandelt Agenten als Identitäten mit Berechtigungskontrollen. LDAP/OIDC-Integration ermöglicht Anbindung an bestehende Identity-Provider.

Agent-Orchestrierung verhindert durch strukturierte Datenarchitekturen Fehlinformationen und setzt Berechtigungsrichtlinien durch. Vordefinierte Prozesse schaffen Transparenz.

Überwachung mit Echtzeit-Protokollierung und Compliance-Berichten ermöglicht Sicherheitskontrolle.

Branchenspezifische Anforderungen

Gesundheitswesen: Mit einer Incident-Rate von 92,7% bei Agenten mit Patientendaten benötigen Kliniken DSGVO-konforme Lösungen mit MDR-Compliance-Vorbereitung.

Öffentlicher Sektor: Bürgerdaten und Verschlusssachen erfordern VS-NfD-konforme Installationen mit isoliertem Betrieb.

Finanzsektor: Strenge Regulierung erfordert BaFin-konforme Datenverarbeitung mit integrierter Risikokontrolle.

Was CIOs jetzt tun sollten

Die meisten Unternehmen stehen vor der gleichen Situation: Sie haben bereits Agenten im Einsatz, aber keine Kontrolle darüber.

Drei Schritte sind notwendig:

1. Inventar erstellen: Alle produktiven Agenten identifizieren

2. Risiken bewerten: Kritikalität nach Datentypen und Compliance-Anforderungen

3. Kontrolle etablieren: Migration auf kontrollierte, lokale Infrastrukturen

Experimentieren ist vorbei - jetzt geht es um Kontrolle

Viele Unternehmen haben in den letzten Monaten verschiedene Tools ausprobiert. Diese Phase ist beendet. Agenten sind jetzt Teil der produktiven Infrastruktur und müssen entsprechend verwaltet werden.

Für regulierte Organisationen ist die Diskrepanz zwischen Adoption und Sicherheit besonders problematisch, da Compliance-Verstöße existenzbedrohend sein können.

Die Frage ist nicht mehr, ob Agenten Teil Ihrer Infrastruktur werden - sie sind es bereits. Die Frage ist, ob Sie die Kontrolle behalten.

Quelle: The State of AI Agent Security 2026 report by Gravitee