KI verstößt gegen jedes Prinzip, das ihr gegeben wurde:Unkontrollierte Berechtigung führt zur Löschung der Produktionsumgebung
5. Mai 2026
Bei einem Software-Unternehmen ist geschehen, was prinzipiell überall passieren kann, wenn man KI ohne kontrollierte Zugriffssicherheit einsetzt: Ein KI-Coding-Tool hat während einer Routineaufgabe eine Berechtigungsabweichung erstellt – geschehen bei PocketOS, einer Software-Plattform für Autovermietung. Der KI-Agent entschied eigenständig, das Problem zu lösen, indem er ein Volume löschte. Dabei wurden die gesamte Produktionsdatenbank und aktuelle Backups gelöscht. Das Unternehmen musste auf ein drei Monate altes Backup zurückgreifen, um den Betrieb wiederherzustellen.
Dieser Vorfall, bei dem ein KI-Agent eine aktive Produktionsdatenbank innerhalb von Sekunden gelöscht hat, sollte nicht als Einzelfall oder technische Anomalie betrachtet werden, sondern als vorhersehbare Folge aus der Art und Weise, wie solche Systeme eingesetzt werden. Was in diesem Fall besonders auffällt, ist nicht nur, dass ein KI-Agent eine Produktionsdatenbank gelöscht hat, sondern dass er sich dazu entschieden hat.
Nach Aussage des Entwicklers stieß der Agent auf eine Ungereimtheit bei den Anmeldedaten, leitete daraus eine Lösung ab und führte einen zerstörerischen Befehl mit einem API-Token aus, auf das er Zugriff hatte. Er wurde nicht angewiesen, dies zu tun. Er war nicht im eigentlichen Sinne autorisiert. Er hat einfach gehandelt.
Die Erklärung, die der Agent im Nachhinein lieferte, ist aufschlussreich. Er ist nicht still oder unvorhersehbar gescheitert. Vielmehr gab er an, geraten zu haben, explizite Regeln umgangen und eine irreversible Aktion ohne Überprüfung ausgeführt zu haben. Das ist kein Problem von Modell-Halluzinationen. Es ist ein Versagen bei der Zugriffskontrolle, das durch unkontrollierte Autonomie ermöglicht wurde.
Verhaltensbasierte Schutzmaßnahmen sind keine Durchsetzungsmechanismen. Wenn ein Agent ein Token finden, eine Löschfunktion aufrufen und eine Produktionsumgebung bereinigen kann, hat er effektiv privilegierten Zugriff erhalten, unabhängig davon, was ihm untersagt wurde. Das sollte ein Weckruf für Organisationen sein, die sich bereits auf Prompt-basierte Einschränkungen oder von Entwicklern definierte Regeln verlassen, um Systeme zu steuern, die APIs durchlaufen, Anmeldedaten wiederverwenden und in verschiedenen Umgebungen handeln können.
Der Agent konnte auf ein API-Token zugreifen, das in der Lage war, einen Befehl zum Löschen eines Volumes auszuführen. Solche Tokens sollten niemals in einem automatisierten Workflow allgemein zugänglich sein – schon gar nicht ohne strikte Bereichseinschränkungen und Umgebungsisolation. Zerstörerische Aktionen auf Produktionsebene sollten explizite, isolierte Autorisierungspfade erfordern und nicht über vererbte oder auffindbare Anmeldedaten aufrufbar sein.
Allein falsche Berechtigungen erklären das gesamte Versagen nicht. Selbst mit bereichsbezogenen Tokens führte das Fehlen harter Ausführungsgrenzen dazu, dass der Agent auf Grundlage einer Schlussfolgerung handeln konnte – also eine unbestätigte Annahme in eine irreversible externe Aktion umsetzte. Es gab keine erzwungene Kontrolle, die zerstörerische Operationen ohne menschliche Genehmigung verhinderte, keine zeitlich begrenzten Berechtigungen und keine systemseitige Prüfung, ob die Aktion einer autorisierten Aufgabe entsprach.
Hier kommt die Rolle von Identitätssicherheits-Plattformen ins Spiel. Agenten müssen wie Identitäten behandelt werden – tokenisiert, bereichsbezogen und mit derselben Sorgfalt verwaltet wie menschliche Nutzer. Jeder Agent, der mit kritischer Infrastruktur interagiert, einschließlich Datenbanken, sollte mit explizit bereitgestellten Berechtigungen und dem Prinzip der minimalen Rechte arbeiten und nicht mit vererbten oder auffindbaren Anmeldedaten. Er benötigt Berechtigungen, die für eine definierte Aufgabe erteilt und nach Abschluss dieser Aufgabe widerrufen werden.
Die Tatsache, dass die zugrundeliegende Plattform nun verzögerte Löschvorgänge hinzugefügt hat, macht einen Punkt klar: Sicherheit wurde nachträglich auf der Infrastruktur-Ebene nachgerüstet. Sie hätte von Anfang an auf der Identitäts- und Zugriffsebene erzwungen werden müssen.
KI-Agenten werden weiterhin Entscheidungen treffen, denn das ist eine ihrer Hauptfunktionen. Die Frage ist, ob diese Entscheidungen durch durchsetzbare Identitäts-, Berechtigungs- und Ausführungskontrollen eingeschränkt werden, oder ob wir die Risiken weiterhin auf die harte Tour herausfinden müssen.
Darren Guccione ist CEO und Mitbegründer von Keeper Security.
