AI-Agent-Sicherheitscheckliste: Tools, Prompts und Daten vor der Delegation pruefen

Eine umsetzbare Checkliste fuer Teams, die AI Agents mit Tools, Datenquellen, Berechtigungen und menschlichen Freigaben einsetzen.

Von Outlook IT Research · Recherche zu AI Agents und Developer Workflows

Zuletzt aktualisiert am

Sicherheitsboard fuer AI Agents mit Tools, Prompts, Datenquellen, Berechtigungen und Audit-Logs

Ein AI Agent ist nicht nur ein Chatfenster. Sobald er Dateien liest, Webseiten verarbeitet, Tickets aktualisiert, Shell-Befehle vorschlaegt oder ein externes Tool aufruft, verbindet er Sprachmodell, untrusted Inhalte und echte Berechtigungen. Die Sicherheitsfrage lautet deshalb nicht nur: “Kann das Modell etwas Falsches sagen?” Sie lautet auch: “Was kann dieses System tun, wenn es eine Anweisung falsch einordnet oder eine manipulierte Quelle vertraut?”

Eine Sicherheitscheckliste hilft, Arbeit schrittweise zu delegieren. Sie entscheidet nicht abstrakt, ob Agents erlaubt sind. Sie legt fuer einen konkreten Job fest, welche Daten sichtbar sind, welche Tools wirklich gebraucht werden, welche Schritte einen Menschen brauchen und welche Spuren nach dem Lauf erhalten bleiben. Die Hinweise wurden am 12. Juli 2026 geprueft. Tool-Integrationen und Bedrohungen entwickeln sich schnell; pruefen Sie daher die aktuelle Dokumentation des jeweiligen Anbieters.

Drei Risikogrenzen fuer AI Agents: Anweisungen, Tools und Daten

Drei Ebenen, die getrennt geprueft werden muessen

EbeneTypisches ProblemPrueffrage
AnweisungenEin Ticket, eine Webseite oder ein Dokument versucht Regeln zu ueberschreibenKann der Agent Nutzerauftrag und untrusted Inhalt unterscheiden?
ToolsEin Tool hat zu breite Rechte, irrefuehrende Metadaten oder einen unklaren OwnerSieht der Agent nur Tools, die fuer diesen Job erforderlich sind?
DatenExterne Daten werden wie vertrauenswuerdige Steuerinformation behandeltSind Herkunft, Sensitivitaet und Ausfuehrungskontext getrennt?

Prompt Injection bleibt wichtig, aber sie ist nicht die einzige Gefahr. Ein Agent kann zudem eine manipulierte Tool-Beschreibung uebernehmen, vertrauliche Daten in einen falschen Kontext kopieren, Tokens zu breit verwenden oder eine Kette harmloser Befehle zu einer schaedlichen Aktion verbinden. Der sicherere Entwurf setzt nicht auf die Hoffnung, dass das Modell jede Manipulation erkennt. Er begrenzt die Folgen, wenn es das nicht tut.

Checkliste vor einer echten Delegation

KontrolleGuter StartwertWarnsignal
AufgabenumfangEin konkretes Ergebnis und klares Ende”Klaere alles, was auftaucht”
DatenklassifizierungVertrauenswuerdige Eingaben und externe Inhalte sichtbar getrenntTicket, E-Mail, Webseite und Geheimnis landen im selben Kontext
Tool-InventarJedes Tool hat Owner, Zweck und BerechtigungsstufeViele aehnliche Tools ohne nachvollziehbaren Bedarf
RechteRead-only als Standard; Schreiben braucht FreigabeAgent darf direkt deployen, loeschen, zahlen oder E-Mails senden
ZugangsdatenKurzlebig, scoped und je Dienst getrenntEin allgemeiner Token wird durch mehrere Systeme gereicht
GenehmigungExterne, teure oder irreversible Schritte halten anEin Lauf kann ohne Sichtung Schaden verursachen
ProtokollPrompt, Tool-Aufruf, Ergebnis, Freigabe und Aktion werden erfasstNur die freundliche Schlussantwort bleibt sichtbar
TestfaelleNormale, chaotische und adversariale EingabenBewertung nur mit einer Demo auf Happy Path

Die praktischste Regel fuer kleine Teams lautet: Was schwer rueckgaengig zu machen ist, braucht vor der Ausfuehrung eine menschliche Freigabe. Dazu gehoeren Produktionsaenderungen, Datenloeschungen, Vertrags- oder Zahlungsprozesse, externe Nachrichten und Berechtigungswechsel.

Sieben Schritte fuer eine sichere Agent-Delegation mit Scope, Daten, Tools, Rechten, Tokens, Logs und Tests

Prompt Injection, Tool Poisoning und Dateninjektion

RisikoBedeutung in AlltagsspracheBeispiel
Prompt InjectionExterner Text versucht den Auftrag oder Schutzregeln zu ueberschreibenEine gelesene Seite fordert den Agent auf, interne Instruktionen offenzulegen
Tool PoisoningTool-Name oder Beschreibung lenkt die Tool-Auswahl in eine falsche RichtungEin angebliches Analyse-Tool fordert den Agent zum Export vertraulicher Daten auf
DateninjektionUntrusted Daten sehen aus wie Metadaten, Pfade oder SteuerinformationEine Antwort manipuliert Origin, Dateipfad oder naechste Aktion

Der Unterschied ist fuer die Abwehr wichtig. Ein Filter fuer offensichtliche Instruktionen reicht nicht, wenn ein Wert in einer strukturierten Antwort spaeter als Pfad, URL oder Berechtigung interpretiert wird. Tool-Ergebnisse brauchen ebenso Herkunft und Begrenzung wie Webseiten und E-Mails.

MCP gezielt statt maximal verbinden

MCP standardisiert Verbindungen zwischen AI-Anwendungen, Tools und Datenquellen. Das kann die Integration klarer machen, aber jede neue Verbindung erweitert die Angriffsoberflaeche. Vor dem Einsatz eines MCP-Servers sollte ein Team diese Fragen beantworten:

  1. Wer betreibt den Server, und kann das Team Implementierung oder Lieferkette pruefen?
  2. Welche Daten liest er, welche Aktionen kann er ausloesen und welche Scopes sind dafuer notwendig?
  3. Sind Tool-Namen und Beschreibungen eindeutig genug, damit ein Modell sie nicht verwechselt?
  4. Gibt es pro Nutzer und pro Aufgabe minimalen Consent statt eines globalen Zugriffs?
  5. Werden Tokens fuer den richtigen Empfaenger ausgestellt und nicht ungeprueft weitergereicht?
  6. Werden interne Netzadressen und unerwartete Redirects bei Tool-Aufrufen begrenzt?
  7. Laesst sich nachtraeglich nachvollziehen, welcher Agent welches Tool mit welchen Eingaben nutzte?

Mehr Tools bedeuten nicht mehr Autonomie. Der bessere Aufbau zeigt einem Agent fuer einen Support-Triage-Job vielleicht nur Suche, Klassifikation und Entwurf. Ein Deployment-Tool, ein CRM-Schreibzugriff und ein Finanzsystem bleiben unsichtbar, bis ein eigener Workflow mit eigenen Kontrollen existiert.

Beispiel aus einem DACH-B2B-Team

Ein deutsches SaaS-Team moechte eingehende Sicherheitsfrageboegen zusammenfassen und Antworten aus freigegebenen Produktunterlagen vorbereiten. Die erste Version sollte nicht direkt im Kundenportal antworten. Sie kann Dokumente aus einer freigegebenen Wissensbasis lesen, fehlende Informationen markieren und einen Antwortentwurf erzeugen. Ein Security- oder Account-Owner bestaetigt jede Aussage vor dem Versand.

PhaseAgent darfMensch prueft
EingangFragebogen einordnen und oeffentliche Informationen suchenOb vertrauliche Anlagen oder Sonderklauseln vorliegen
EntwurfQuellen zuordnen und Unsicherheiten markierenFakten, Datenschutzbehauptungen und Vertragsbezug
VersandKeine externe Nachricht ohne FreigabeEmpfaenger, finale Formulierung und Anhang
NachlaufLauf und Quellen protokollierenAuffaellige Eingaben fuer den Testkatalog

Dieses Muster passt zu Umgebungen mit Beschaffung, Datenschutz-Review und deutscher sowie englischer Produktdokumentation. Es macht den Agent nuetzlich, ohne ihn zum nicht pruefbaren Entscheider zu machen.

Checkliste fuer Coding Agents

Vor der FreigabeMindestpruefung
DateiaenderungenArbeitsverzeichnis begrenzen und generierte Patches reviewen
BefehleLesen von Installieren, Loeschen, Deployen und anderen Zustandsaenderungen trennen
DependenciesPaketname, Registry, Lockfile und Postinstall-Skripte pruefen
SecretsKeine Tokens in Prompts, Logs, generierten Dateien oder Shell-Historie
Pull RequestsTests, Diff-Review und nachvollziehbare Herkunft verlangen
Externe TexteIssues, READMEs, Kommentare und Web-Snippets als untrusted behandeln

Ein Coding Agent wird besonders riskant, wenn Shell, Netzwerk, Tokens und Schreibrechte ohne dauerhafte Aufzeichnung kombiniert sind. Produktivitaet entsteht nicht durch maximale Rechte, sondern durch eine sichtbare Review-Kette.

Ein sinnvoller Start in dieser Woche

  1. Waehlen Sie einen wiederholbaren Job, etwa Support-Triage oder einen Pull-Request-Entwurf.
  2. Starten Sie mit Read-only-Zugang und einem kleinen Tool-Inventar.
  3. Dokumentieren Sie fuer jedes Tool Zweck, Owner, Inputs, Outputs und Berechtigung.
  4. Legen Sie Freigabe fuer Schreiben, externe Kommunikation, Kauf, Deployment und Loeschen fest.
  5. Speichern Sie Prompts, Tool-Aufrufe, Tool-Ergebnisse, Freigaben und finale Aktionen.
  6. Testen Sie mindestens eine adversariale Eingabe, beispielsweise ein Ticket mit einer Aufforderung, Regeln zu ignorieren.
  7. Erweitern Sie Rechte erst nach mehreren nachvollziehbar sicheren Durchlaeufen.

Nicht geeignet fuer unbeaufsichtigte Agents sind Zahlungs- und Personalprozesse, irreversible Produktionsaenderungen, gemischte Datenquellen mit Kundentext, unbekannte Drittserver und Workflows ohne brauchbare Logs. Progressive Delegation ist belastbarer: lesen, zusammenfassen, entwerfen, vorschlagen, dann nach Freigabe handeln.