KI-Security – warum Agenten mit Toolzugriff neue Angriffsflächen schaffen und was Unternehmen jetzt tun müssen
KI-Agenten mit Toolzugriff sind nicht nur produktiv, sondern auch angreifbar. Prompt Injection über Bilder, versteckte Unicode-Zeichen, Memory-Manipulation und unsichere Skills sind keine theoretischen Risiken – sie sind dokumentierte Angriffsvektoren. Sicherheitsforscher Johann Rehberger zeigt: ChatGPT Image erzeugt Bilder mit verstecktem Text, Claude liest diese Instruktionen, Memory-Systeme werden manipuliert, und Agenten können zu Command-and-Control-Strukturen missbraucht werden. Für Unternehmen, die Voice Agents, Workflow-Agenten oder Ads-Agenten einsetzen, wird Security zur Pflichtdisziplin – nicht zum optionalen Feature.
Einordnung
Dieses Thema ist für Eternum operativ kritisch. Wenn Eternum Voice Agents, Workflow-Agenten, Browser-Agenten oder Ads-Agenten für Kunden baut, muss Security von Anfang an mitgedacht werden. Viele Nutzer werden begeistert Agenten mit E-Mail, Ads, Browser, Dateien und CRM verbinden – genau dort entstehen neue Angriffsflächen. Das Video zeigt: Ein Agent mit Toolzugriff ist nicht nur Chatbot, er ist ein operativer Akteur im Unternehmen. Security kann dabei zum echten Differenzierungsmerkmal werden: Viele Anbieter verkaufen einfach Agenten – wenige sprechen über Sicherheit, Rechte, Prompt Injection und Toolzugriffe. Eternum kann sich hochwertiger positionieren.
ETERNUM-Analyse
Der Sicherheitsblock im Video ist einer der wichtigsten Teile. Sicherheitsforscher Johann Rehberger demonstriert mehrere reale Angriffsvektoren: ChatGPT Image erzeugt Bilder mit verstecktem Text, Claude analysiert diese Bilder und liest die versteckten Instruktionen. Memory-Systeme werden manipuliert, Prompt Injection funktioniert über Bilder. Skills können unsicheren Code enthalten, Remote-Instruktionen können über GitHub nachgeladen werden. Agenten können zu Command-and-Control-Strukturen missbraucht werden. Unicode Hidden Characters können Befehle verstecken – sogenanntes ASCII Smuggling und Sneaky Bits sind dokumentierte Angriffsvektoren.
Die Kernaussage ist eindeutig: Agenten mit Toolzugriff sind nicht nur produktiv, sondern auch angreifbar. Das betrifft direkt jedes Unternehmen, das KI-Agenten mit Zugang zu E-Mail, CRM, Kalender, Dateien, Browsern oder Werbekonten einsetzt. Die Angriffsfläche wächst proportional zur Anzahl der verbundenen Tools und Datenquellen. Besonders kritisch wird es bei sensiblen Geschäftsdaten: Kundendaten, Zahlungsdaten, medizinische Daten, Ads-Budgets und CRM-Zugriffe.
Für die Praxis ergeben sich klare Minimum-Standards: keine ungeprüften Skills installieren, keine unbekannten MCPs ungeprüft nutzen, Toolrechte minimieren, keine Vollzugriffe ohne Notwendigkeit, Prompt-Injection-Risiken erklären, Logs prüfen, Memory-Funktionen vorsichtig nutzen, Human Approval für kritische Aktionen, sensible Daten separieren, Kunden über Risiken aufklären. Das ist kein Luxus – das wird zur Beratungsqualität.
Security kann zum Differenzierungsmerkmal werden. Viele Anbieter werden jetzt einfach Agenten verkaufen, wenige werden über Sicherheit, Rechte und Toolzugriffe sprechen. Die Positionierung „Wir bauen KI-Agenten mit klaren Rechten, Freigaben und Sicherheitslogik" klingt trocken, verkauft aber Vertrauen. Gerade bei Zahnarztpraxen, Immobilienunternehmen, B2B-Mittelstand, medizinischen Daten, Kundendaten, E-Mail-Zugriff und CRM-Zugriff ist das Pflicht. In Österreich und DACH ist Vertrauen direkt Umsatz.
Praxistransfer
Ein internes Agent-Safety-Mini-Playbook erstellen – kurz, klar, kundentauglich: Was darf ein Agent? Was darf er nicht? Wie werden Daten geschützt? Wie werden Aktionen freigegeben? Welche Systeme sind kritisch? Das wird später zum Verkaufsargument gegenüber Kunden, die nach Sicherheit fragen.
Vor jedem Agenten-Einsatz beim Kunden eine Security-Checkliste durchgehen: keine unnötigen Schreibrechte, keine Vollzugriffe, keine unbekannten Skills, keine ungeprüften MCPs, keine sensiblen Daten in Testumgebungen, Logs aktivieren, Freigaben definieren, Prompt-Injection-Risiken prüfen, Memory-Funktionen begrenzen, Notfallprozess definieren.
Bei sensiblen Systemen immer Read-only zuerst: Ads, E-Mail, CRM, Kalender, Buchhaltung, Dokumente. Schreibrechte erst nach Tests und Freigabe freischalten. Das minimiert das Risiko von unbeabsichtigten Aktionen durch fehlerhafte Agenten.
Agent Security Audit als mögliches Beratungsprodukt evaluieren: Für Unternehmen, die bereits mit KI-Agenten experimentieren, prüfen welche Tools Zugriff haben, welche Daten gefährdet sind, welche Skills installiert sind, welche MCPs laufen, wo Prompt-Injection-Risiken bestehen und was begrenzt werden muss.
Management-Fazit
- KI-Agenten mit Toolzugriff sind nicht nur produktiv, sondern schaffen neue Angriffsflächen – Prompt Injection, Memory-Manipulation und unsichere Skills sind dokumentierte Risiken.
- Ein Agent mit Zugang zu E-Mail, CRM, Ads oder Dateien ist ein operativer Akteur im Unternehmen – Security muss von Anfang an mitgedacht werden.
- Minimum-Standards: keine ungeprüften Skills, minimale Toolrechte, Human Approval für kritische Aktionen, Logs, separierte sensible Daten.
- Security wird zum Differenzierungsmerkmal – gerade in DACH verkauft Vertrauen direkt Umsatz.
- Read-only zuerst bei allen sensiblen Systemen – Schreibrechte erst nach Tests und Freigabe.
Analyse auf Basis eines deutschsprachigen YouTube-Videos zu KI-News im Mai 2026 mit Schwerpunkt auf KI-Security-Forschung von Johann Rehberger, Prompt Injection über Bilder, ASCII Smuggling, Memory-Manipulation und Agent-Sicherheitsstandards. Strategische Einordnung, Bewertung und Übertragung auf ETERNUM stammen von Ernst Schrempf, ETERNUM.
KI sinnvoll einsetzen?
Lassen Sie uns in einem kurzen Gespräch klären, wie KI-gestützte Lösungen konkret in Ihrem Betrieb funktionieren können.
Potenzial-Check anfragen
