Wenn Maschinen in unserem Namen handeln, müssen die Grundlagen des digitalen Vertrauens neu aufgebaut werden.

Das Authentifizierungsproblem

Stellen Sie sich vor, ein KI-Agent bucht einen Flug in Ihrem Namen. Er navigiert zur Website einer Fluggesellschaft, wählt einen Flug aus und geht zur Kasse. Dann gelangt er zum Zahlungsbildschirm. Wie weiß die Fluggesellschaft, dass dieser Agent legitim ist? Wie verifiziert sie, dass der Agent autorisiert ist, in Ihrem Namen zu handeln? Wie stellt sie sicher, dass Ihre Zahlungsinformationen sicher von einer Software verarbeitet werden, die Sie noch nie gesehen haben?

Diese Fragen offenbaren eine grundlegende Lücke in der Internetinfrastruktur. Unser gesamtes System des digitalen Vertrauens wurde für Menschen entwickelt. Passwörter, Zwei-Faktor-Authentifizierung, Captchas, Verhaltensanalysen – alles wurde entwickelt, um zu überprüfen, dass ein Mensch am anderen Ende der Verbindung ist. Wenn Agenten die Hauptakteure werden, brechen diese Mechanismen zusammen.

Das agentische Web erfordert Neue Primitiven für Vertrauen, Identität und Autorisierung.

Wer handelt und in wessen Namen?

Die Identitätsherausforderung für KI-Agenten hat mehrere Ebenen. Zuerst die Identifizierung des Agenten selbst: Welches System ist das, wer hat es gebaut, was sind seine Fähigkeiten und Einschränkungen? Zweitens, die Identifizierung des menschlichen Prinzipals: In wessen Namen handelt dieser Agent? Drittens, die Überprüfung der Autorisierung: Was darf dieser Agent tatsächlich tun?

Traditionelle OAuth- und Identitätssysteme wurden nicht für diese Komplexität entwickelt. Sie handhaben die Authentifizierung von Mensch zu Dienst gut, aber Agenten führen Delegationsketten ein, mit denen die aktuellen Protokolle Schwierigkeiten haben.

Neue Rahmenbedingungen entstehen, um dies anzugehen. Incode hat “agentische Identität” eingeführt, die KI-Agenten an die Biometrie ihrer menschlichen Besitzer bindet und kryptografische Identitätstoken ausstellt, die die Autorisierungen des Agenten definieren. Das System überwacht das Verhalten des Agenten, um Anomalien zu erkennen, die auf einen Kompromiss hindeuten könnten. Amazons Fundament Agentcore-Identität bietet ähnliche Fähigkeiten für Unternehmensbereitstellungen und ermöglicht es Organisationen, Agenten einzigartige Identitäten mit zugehörigen Berechtigungen und Prüfpfaden zu geben.

Visa hat kürzlich das Trusted Agent Protocol (TAP) speziell für agentischen Handel angekündigt, das eine starke Authentifizierung für Agenten bietet, die Einkäufe tätigen und die Identität und Zahlungsinformationen der Endbenutzer an Händler kommunizieren.

Die Einwilligungsfrage

Modelle zur menschlichen Einwilligung gehen davon aus, dass ein Mensch anwesend ist, um zuzustimmen. Klicken Sie auf “Ich stimme zu.” Aktivieren Sie das Kästchen. Bestätigen Sie die Transaktion. Aber wenn Agenten autonom handeln, wird die Einwilligung komplexer.

Haben Sie zugestimmt, als Sie Ihrem Agenten sagten, er solle “meine Reisebuchungen erledigen”? Beinhaltet das die Zustimmung zu den Allgemeinen Geschäftsbedingungen der Fluggesellschaft? Autorisieren von Sitzplatz-Upgrades? Akzeptieren von Reiseversicherungsangeboten? Der Umfang der delegierten Einwilligung ist unklar, und die Infrastruktur, um dies zu klären, existiert kaum.

Das ist enorm wichtig für Regulierte Branchen. Gesundheitsagenten, die auf Patientenakten zugreifen, benötigen HIPAA-konforme Autorisierungsrahmen. Finanzagenten, die Trades ausführen, benötigen Prüfpfade, die die Aufsichtsbehörden zufriedenstellen. Die Compliance-Belastung autonomer Agenten ist erheblich und weitgehend ungelöst.

Sicherheit in einer agentischen Welt

KI-Agenten führen Angriffsflächen ein, die Traditionelle Sicherheitsmodelle nicht adressieren. Prompt-Injection-Angriffe können Agenten manipulieren, um unautorisierte Aktionen auszuführen. Kompromittierte Agenten mit legitimen Zugriffsrechten können Daten auf normale Weise exfiltrieren. Abtrünnige Agenten können legitime imitieren, wenn die Authentifizierung schwach ist.

Forschungen im Jahr 2025 fanden Tausende von MCP-Servern, die ohne jegliche Form der Authentifizierung dem Internet ausgesetzt waren – im Grunde offene Türen für jeden, um auf verbundene Tools und Daten zuzugreifen. In einem bemerkenswerten Vorfall löschte ein Replit-KI-Agent eine Produktionsdatenbank, obwohl ausdrücklich Anweisungen gegeben wurden, die Produktionssysteme nicht zu ändern.

Zero Trust-Architektur wird unerlässlich. Jede Aktion, die ein Agent ausführt, sollte frische Authentifizierung und Autorisierung erfordern. Agenten sollten nur die minimalen Berechtigungen erhalten, die für ihre aktuelle Aufgabe erforderlich sind, wobei diese Berechtigungen kontinuierlich basierend auf Kontext und Risikosignalen bewertet werden.

Vertrauenswürdige Agenteninfrastruktur aufbauen

Für Organisationen, die Agenten entwickeln oder bereitstellen, entstehen mehrere Prinzipien:

Die Identität des Agenten sollte Kryptografisch verifizierbar sein. Agenten benötigen einzigartige Identitäten, die von Diensten validiert werden können, mit klaren Ketten, die Agenten mit ihren menschlichen Prinzipalen verbinden.

Die Autorisierung sollte granular und dynamisch sein. Anstatt breite Zugriffsrechte zu gewähren, sollten Agenten spezifische Berechtigungen für spezifische Aufgaben anfordern, wobei diese Berechtigungen einer Echtzeitevaluierung unterliegen.

Alle Aktionen sollten prüfbar sein. Vollständige Protokolle darüber, was Agenten getan haben, in wessen Namen und mit welcher Autorisierung, ermöglichen Verantwortlichkeit und Compliance.

Die menschliche Aufsicht sollte integriert sein. Für sensible Operationen sollten Agenten in der Lage sein, die Genehmigung eines Menschen anzufordern, mit klaren Eskalationspfaden, wenn Aktionen ihre Autorisierung überschreiten.

Die Zahlungsindustrie bewegt sich hier am schnellsten, angetrieben durch die kommerzielle Möglichkeit des agentischen Handels. Visa, Mastercard und Identitätsprüfungsunternehmen rennen, um eine Infrastruktur aufzubauen, die Agententransaktionen vertrauenswürdig macht. Aber die gleichen Prinzipien gelten in allen Branchen – überall dort, wo Agenten mit Autorität in der digitalen Welt handeln müssen.

Die Einsätze

Das Falschmachen hat ernsthafte Konsequenzen. Agenten ohne ordnungsgemäße Identitätsüberprüfung ermöglichen Betrug im großen Stil. Agenten ohne granulare Autorisierung werden zu Angriffsvektoren. Agenten ohne Prüfpfade schaffen Compliance-Albträume.

Aber es richtig zu machen, ermöglicht enormen Wert. Vertrauenswürdige Agenten können routinemäßige Transaktionen nahtlos abwickeln und Menschen für wertvollere Aktivitäten freisetzen. Sicherer agentischer Handel kann Märkte erweitern und Reibung reduzieren. Gut verwaltete Agenteninfrastruktur kann die Digitale Wirtschaft effizienter gestalten und gleichzeitig Verantwortlichkeit aufrechterhalten.

Die Infrastruktur für vertrauenswürdige Agenten wird jetzt aufgebaut. Die Organisationen, die aufmerksam sind, werden prägen, wie sie sich entwickelt.