Autonome KI-Agenten im Red-Teaming

Sophos-Experiment offenbart disruptive Dynamik für die Enterprise-Security – inkl. 4 Handlungsempfehlungen

Bild: Getty Images / Credits: BlackJack3D

Das Cybersicherheitsunternehmen Sophos hat in einem kontrollierten Experiment den autonomen KI-Agenten „OpenClaw“ auf ein eigenes, produktives Legacy-Netzwerk angesetzt. Das Ergebnis bestätigt eine drastische Beschleunigung der Angriffszyklen: In nur drei Stunden identifizierte die KI 23 verwertbare Sicherheitslücken.

Für das manuelle Aufklärungsszenario veranschlagt ein menschliches Red Team üblicherweise rund drei Tage. Für IT-Verantwortliche im Enterprise-Segment markiert dieser Feldversuch einen Wendepunkt. Er zeigt, dass offensive KI-Agenten die herkömmliche Sicherheitsvalidierung grundlegend verändern und neue Governance-Modelle im Risikomanagement erzwingen.

Der Versuchsaufbau: Autonomie unter strikten Guardrails

Das Red Team von Sophos wählte für das Experiment bewusst ein älteres, internes On-Premises-Netzwerk. Diese Infrastruktur wies eine realistische Angriffsfläche durch technologische Altschulden („Technical Debt“) auf, war jedoch ausreichend isoliert, um geschäftskritische Kernsysteme zu schützen. Ausgestattet mit marktüblichen Hacking-Werkzeugen agierte OpenClaw weitgehend autonom.

Der Fokus der Vorbereitung lag auf der Implementierung sogenannter Guardrails (Sicherheitsbarrieren). Um unkontrollierte Schäden wie Datenverlust oder ungewollte Systemverschlüsselungen (Ransomware-Szenarien) zu verhindern, verzichtete das Team auf intransparente, öffentlich verfügbare Skripte und entwickelte eigene Validierungstools. Zudem wurde ein „Human-in-the-Loop“-Modell integriert: Kritische Aktionen – wie das Auslagern eines erbeuteten Passwort-Hashes in eine Cloud-Instanz zum Zweck des Crackens – erforderten die explizite Freigabe durch menschliche Analysten. Neben der strikten Einhaltung dieser Grenzen überzeugte das System durch eine detaillierte, automatisierte Protokollierung aller Schritte, was den manuellen Dokumentations- und Reporting-Aufwand im Nachgang erheblich reduzierte. Die gewonnenen Erkenntnisse konnten direkt zur Validierung von Erkennungsmechanismen und für gemeinsame Übungen von Angriffs- und Verteidigungsteams (Purple Teaming) genutzt werden.

Die neue Bedrohungslage: Der kollabierende Zeitfaktor

Das Experiment von Sophos steht im Kontext einer gravierenden qualitativen Veränderung der globalen Bedrohungslage. Laut dem IBM X-Force Threat Intelligence Index verzeichnen Unternehmen einen signifikanten Anstieg bei Angriffen auf öffentlich zugängliche Anwendungen. Primär ist dies auf den skalierten Einsatz KI-gestützter Werkzeuge zur automatisierten Schwachstellenidentifikationzurückzuführen.

Noch drastischer zeigt sich die algorithmische Beschleunigung bei der eigentlichen Kompromittierung: Analysen von Google Threat Intelligence belegen, dass die durchschnittliche Zeitspanne zwischen dem ersten Eindringen (Initial Access) und der vollständigen Übergabe der Kette an nachgelagerte Schadsoftware oder Akteure in hochentwickelten Kampagnen von rund acht Stunden im Jahr 2022 auf teilweise nur noch 22 Sekunden kollabiert ist.

Angesichts dieser extremen Geschwindigkeiten stoßen rein reaktive, rein menschgesteuerte Incident-Response-Prozesse an ihre physischen Grenzen. Ross McKerchar, CISO bei Sophos, betont, dass das Ignorieren dieser offensiven KI-Werkzeuge keine Option mehr darstellt. IT-Sicherheitsteams müssen operative Erfahrung im Umgang mit Agentic AI sammeln, um die Angreiferperspektive zu verstehen und die richtigen Kontrollpunkte im eigenen Unternehmen zu definieren.

Wie IT-Verantwortliche mit Agentic AI ihre Angriffsfläche minimieren

Um dieser Dynamik effektiv zu begegnen, müssen Enterprise-Unternehmen KI-Agenten aus der rein defensiven Beobachterrolle in die proaktive Härtung ihrer Infrastruktur überführen. IT-Verantwortliche können Agentic AI gezielt einsetzen, um ihr Attack Surface Management (ASM) zu automatisieren und Risiken effizienter zu minimieren:

  1. Übergang zu Continuous Automated Red Teaming (CART): Klassische, punktuelle Penetrationstests spiegeln lediglich eine Momentaufnahme wider und sind im Zeitalter agiler Software-Deployments und dynamischer Cloud-Infrastrukturen schnell veraltet. Durch den defensiven Einsatz autonomer Agenten können Unternehmen kontinuierliche Angriffs- und Erkennungssimulationen im Hintergrund laufen lassen. Da Agenten die Aufklärungsphase drastisch verkürzen, lassen sich Sicherheitsüberprüfungen im laufenden Betrieb skalieren, ohne interne personelle Ressourcen dauerhaft zu binden.
  2. Automatisierte Erkennung von Schatten-IT und Legacy-Systemen: Große Enterprise-Infrastrukturen weisen oft unzureichend dokumentierte Altsysteme auf. Agentic AI ist in der Lage, eigenständig komplexe Netzwerkabhängigkeiten zu analysieren, verwaiste Cloud-Instanzen oder vergessene On-Premises-Server aufzuspüren und diese unmittelbar einer Schwachstellenprüfung zu unterziehen. Die Erkennung erfolgt hierbei nicht über rein statische Signatur-Scans, sondern über das zielorientierte, logische Kombinieren von Abfragewerkzeugen durch den Agenten.
  3. Echtzeit-Härtung von SIEM- und EDR-Systemen: Die Protokolle und Angriffsdaten, die ein autonomer Testagent generiert, sollten direkt zur Kalibrierung der Verteidigungssysteme herangezogen werden. IT-Verantwortliche können so überprüfen, ob die internen Security Information and Event Management (SIEM)- und Endpoint Detection and Response (EDR)-Systeme die Verhaltensmuster von KI-Angreifern (wie laterale Bewegungen oder das automatisierte Auslesen von Active-Directory-Strukturen) rechtzeitig melden.
  4. Absicherung des eigenen „Agentic Loop“ (Governance): Werden KI-Agenten intern für IT- oder Business-Prozesse produktiv geschaltet, entsteht eine neue, kritische Angriffsfläche. Das Risiko der sogenannten „Lethal Trifecta“ – die fatale Kombination aus Zugriff auf sensible interne Daten, der Fähigkeit zur externen Kommunikation und der Verarbeitung unvertrauenswürdiger Inhalte (z. B. eingehende E-Mails oder Support-Tickets) – macht Agenten zu primären Zielen für Prompt-Injection- und Memory-Poisoning-Angriffe. IT-Entscheider müssen produktive KI-Agenten daher wie privilegierte menschliche Mitarbeiter behandeln: nach dem Prinzip der minimalen Rechtevergabe (Least Privilege), gekoppelt mit einer strikten Isolation der Credentials und einer lückenlosen Überwachung aller API-Aufrufe.

Fazit

Der Feldversuch von Sophos belegt, dass die Trennlinie zwischen menschlicher und maschineller Effizienz in der offensiven Cybersicherheit fließend geworden ist. Für das Enterprise-Sicherheitsmanagement bedeutet dies: Der technologische Vorsprung von Angreifern lässt sich nicht mehr durch Personalaufstockung ausgleichen, sondern nur durch den strategischen, kontrollierten Einsatz spiegelbildlicher defensiver KI-Agenten. IT-Verantwortliche, die jetzt die Infrastruktur für autonome Sicherheitsüberprüfungen schaffen und gleichzeitig die Governance-Risiken eigener KI-Systeme minimieren, sichern sich den notwendigen Zeit- und Präventionsvorteil.