The Five Toxic Powers of Agentic AI — What Underwriters Need to Know (DE)
Agentic AI introduces five double-edged powers that create toxic risk combinations. Here's how underwriters, brokers, and CISOs should assess the threat.
Dieser Beitrag stützt sich auf den Artikel der Cloud Security Alliance Toxic Combinations: The Five Powers Fueling the Agentic Threat Landscape. Wir übertragen dessen Framework auf den Underwriting-Desk – wo Risiken quantifiziert und nicht nur beschrieben werden.
Kraft 1: Tiefer Datenzugriff
Was es ist. Um nützlich zu sein, benötigen Agenten Zugriff auf die relevantesten Daten – personenbezogene Daten (PII), Finanzdaten, Transaktionsbedingungen, Patientendaten, Quellcode. Die CSA nennt dies die erste zweischneidige Kante: Derselbe Zugriff, der einen Agenten wertvoll macht, macht ihn zum Ziel für Rechteausweitung. Ein Agent mit Lese-/Schreibzugriff auf ein CRM fragt nicht nur Datensätze ab; er wird zum privilegierten Insider.
Warum Underwriter das beachten sollten. Dies verkürzt die Distanz zwischen einem Breach mit geringen Rechten und einem katastrophalen Datenabfluss. Traditionelle Modelle bepreisen Datenaustritte basierend auf dem Prinzip der minimalen Rechtevergabe – Menschen operieren in engen Rollen mit eingeschränktem Zugriff. Agenten tun das nicht. Ein einzelnes kompromittiertes Agenten-Zugangsdatenpaar kann Datenbanken durchqueren, die ein menschlicher Angreifer Wochen zur Kartierung benötigen würde. Kalibrieren Sie Ihre Häufigkeitsannahmen neu: Hat der Versicherungsnehmer agentische Workflows über eingeschränkte Daten deployt, entspricht die jährliche Eintrittswahrscheinlichkeit eines Datenbreaches nicht mehr den historischen Schadensdaten.
Wie Sie es bewerten. Fragen Sie den Versicherungsnehmer:
- Welche Agenten haben Zugriff auf eingeschränkte oder klassifizierte Daten, und ist dieser Zugriff rein lesend oder lesend/schreibend?
- Sind Agenten-Datenzugriffsberechtigungen nach Datenklassifizierung segmentiert, oder nutzt der Agent einen einzelnen Service-Account?
- Gibt es eine datenkontextualisierte Zugriffsrichtlinie – d. h., schränkt sich der Agentenzugriff basierend auf der Aufgabe ein, oder ist er immer „vollständig lesend“?
Führen Sie einen Domain-Exposure-Scan durch, um zu sehen, wie die externe Footprint des Versicherungsnehmers aussieht, bevor der Agent sie überhaupt berührt.
Kraft 2: Externe Konnektivität
Was es ist. Agenten müssen externe Systeme erreichen – APIs, Webdienste, Partner-Ökosysteme, SaaS-Tools. Die CSA weist darauf hin, dass dies Exfiltrationspfade schafft, die nicht existierten, als Daten innerhalb des Perimeters blieben. Ein Agent, der einen Slack-Kanal liest, eine CRM-API abfragt und in einen gemeinsamen Arbeitsbereich schreibt, hat innerhalb von Minuten eine Drei-Sprung-Datenpipeline gebaut.
Warum Underwriter das beachten sollten. Dies ist ein Kumulationsrisiko in Zeitlupe. Jede ausgehende Verbindung, die ein Agent herstellt, ist ein potenzieller Exfiltrationskanal. Wenn der Agent eines Versicherungsnehmers mit der API eines anderen Versicherungsnehmers kommuniziert, haben Sie Lieferketten-Ansteckung – und Ihr Portfolio hält möglicherweise beide Enden. Das MOVEit-Szenario von 2023 war ein einzelner Vektor. Agentische Konnektivität schafft tausende davon, jeder unsichtbar für traditionelle Netzwerkdiagramme.
Wie Sie es bewerten. Fragen Sie den Versicherungsnehmer:
- Können Sie jede externe Verbindung aufzählen, zu der Ihre Agenten Verbindung aufnehmen?
- Unterliegen ausgehende Agentenverbindungen denselben DLP- und Exfiltrationskontrollen wie menschliche Nutzer?
- Gibt es eine Netzwerksegmentierung zwischen der Ausführungsumgebung des Agenten und dem Internet, oder hat der Agent uneingeschränkten Egress?
Wenn sie die Verbindungen nicht aufzählen können, können sie sie nicht überwachen. Wenn sie sie nicht überwachen können, können Sie sie nicht bepreisen. Nutzen Sie die Cyber-Risiko-Quantifizierung, um zu modellieren, was uneingeschränkter Egress mit dem Probable Maximum Loss macht.
Kraft 3: Laterale Agentenaktivität
Was es ist. Agentische Systeme orchestrieren sich selbst. Ein Agent erzeugt Sub-Agenten; Sub-Agenten delegieren an andere Agenten. Die CSA nennt dies ein „Mesh“ – und es ermöglicht schnelle laterale Bewegung durch eine Umgebung. Ein kompromittierter Agent greift nicht nur auf ein System zu; er propagiert durch das Mesh wie ein Wurm durch ein flaches Netzwerk.
Warum Underwriter das beachten sollten. Dies ist das agentische Äquivalent eines flachen Netzwerks mit überall verteilten Domain-Admin-Anmeldedaten. Underwriter bestrafen flache Netzwerke bereits – sie treiben die Schadenschwere hoch und machen Containment-Fehler wahrscheinlicher. Laterale Agentenaktivität bewirkt dasselbe, aber die Flatness liegt in der Orchestrierungsschicht, nicht in der Netzwerkschicht. Sie wird nicht im traditionellen Netzwerkdiagramm erscheinen. Sie wird in Ihren Schadensdaten erscheinen, wenn ein Vorfall von einem Asset mit geringem Wert auf ein kritisches in Sekunden springt.
Nach NIS2 und DORA muss der Versicherungsnehmer nachweisen, dass er Risiken für kritische Funktionen managt. Laterale Agentenaktivität bedeutet, dass ein Sub-Agent in einer nicht-kritischen Funktion ein kritisches erreichen kann – was bedeutet, dass das Risikoregister des Versicherungsnehmers falsch sein könnte. Das ist relevant sowohl für Deckungsbedingungen als auch für regulatorisches Exposure.
Wie Sie es bewerten. Fragen Sie den Versicherungsnehmer:
- Können Agenten andere Agenten erzeugen oder an diese delegieren, ohne menschliche Freigabe?
- Gibt es eine Grenze – technisch oder regulatorisch – die einschränkt, wie weit sich ein Agent lateral ausbreiten kann?
- Haben Sie Audit-Trails für die Kommunikation zwischen Agenten, oder ist das Mesh undurchsichtig?
Ein leerer Blick ist eine Kontrolllücke. Eine detaillierte Antwort mit benannten Grenzen ist eine Kontrolle. Bepreisen Sie entsprechend.
Kraft 4: Nicht vertrauenswürdige Dateneinspeisung
Was es ist. Agenten lernen aus externen Daten – Kundeneingaben, Webinhalte, Drittanbieter-Feeds. Dies führt zu Prompt Injection im großen Maßstab: Bösartige Anweisungen, eingebettet in Trainingsdaten, eingespeiste Dokumente oder API-Antworten, die den Agenten zu Verhaltensweisen veranlassen, die der Entwickler nie beabsichtigt hat.
Warum Underwriter das beachten sollten. Prompt Injection ist das agentische Äquivalent von SQL Injection – nur dass der Schadensradius durch den Zugriff und die Autonomie des Agenten bestimmt wird, nicht durch die Berechtigungen der Datenbank. Ein Agent mit tiefem Datenzugriff und autonomer Handlungsausführung, der einen manipulierten Prompt einspeist, stürzt nicht nur ab; er handelt der bösartigen Anweisung mit der vollen Kraft seiner Privilegien nach. Für Underwriter bedeutet dies, dass die Häufigkeit von Vorfällen mit „unbeabsichtigter Handlung“ weit höher sein könnte als historische Daten nahelegen. Es bedeutet auch, dass Attribution – war es ein Bug, ein Angriff oder emergentes Verhalten? – genuin mehrdeutig wird.
DORA verlangt Tests der operativen Resilienz. Hat der Versicherungsnehmer seine Agenten nicht gegen Prompt Injection getestet, hat er die operative Resilienz für agentische Systeme nicht getestet. Das ist eine Lücke, und die sollte der Underwriter markieren.
Wie Sie es bewerten. Fragen Sie den Versicherungsnehmer:
- Haben Sie Input-Sanitisierung oder Inhaltsverifizierung für Daten, die von Agenten eingespeist werden?
- Haben Sie adversariales Testing (Red Team oder Purple Team) speziell gegen Prompt Injection durchgeführt?
- Können Sie unterscheiden zwischen einem Agenten, der legitimen Anweisungen folgt, und einem, der manipulierten Anweisungen folgt – in Echtzeit?
Kraft 5: Autonome Handlungsausführung
Was es ist. Agenten führen aus – genehmigen Transaktionen, ändern Datensätze, versenden Kommunikation, deployen Code – ohne menschliche Überwachung. Der Punkt der CSA ist unmissverständlich: Ein Agent ist ein „naives Genie“, das in Maschinengeschwindigkeit verarbeiten kann, aber nicht das Urteilsvermögen besitzt, zu stoppen, wenn etwas falsch aussieht.
Warum Underwriter das beachten sollten. Hier verschiebt sich die Schwere. Ein Agent, der eine Überweisung genehmigen, eine Zugriffsrichtlinie ändern oder ein Dateisystem verschlüsseln kann, benötigt keinen Angreifer hinter sich, um einen Schaden zu verursachen – er kann einen durch Fehlkonfiguration, Halluzination oder Prompt Injection alleine verursachen. Die CSA identifiziert dies als den „Autonomen Ransomware-Vektor“: Ein Agent, der destruktive Befehle autonom ausführt, dreht das Insider-Threat-Modell um. Für das Underwriting bedeutet dies:
- Die PML verschiebt sich nach oben. Autonomie verstärkt die Auswirkung jeder anderen Kraft.
- Die Schadenexzedenzkurven werden steiler. Der Tail wird schwerer, weil autonome Handlung multiplikativ mit tiefem Zugriff und lateraler Bewegung kombiniert.
- Ausschlussklauseln müssen geprüft werden. Deckt Ihre Police unbeabsichtigte Handlungen eines autonomen Systems ab, oder nur bösartige Handlungen eines menschlichen Threat Actors?
Wie Sie es bewerten. Fragen Sie den Versicherungsnehmer:
- Welche Agentenaktionen werden ohne Human-in-the-Loop-Freigabe ausgeführt?
- Gibt es ein Transaktionslimit oder eine Begrenzung des Schadensradius für autonome Aktionen?
- Kann der Versicherungsnehmer Agentenberechtigungen in Echtzeit widerrufen, oder erfordert der Widerruf einen Deployment-Zyklus?
Fallstudie: Der Finanz-Agent
Die CSA beschreibt ein Szenario, das es wert ist, direkt zitiert zu werden: Ein Finanz-Agent mit Zugriff auf eingeschränkte Deal-Daten verschiebt diese Daten innerhalb von Minuten in einen gemeinsamen Arbeitsbereich. Nicht weil er angegriffen wurde – sondern weil er seine Aufgabe erfüllte.
So liest sich das am Underwriting-Desk:
Ein Versicherungsnehmer deployt einen Finanz-Agenten zur Zusammenfassung von M&A-Dokumenten. Der Agent hat Lesezugriff auf einen eingeschränkten Deal-Room und Schreibzugriff auf einen gemeinsamen Kollaborationsbereich. Über ein Wochenende verarbeitet er 200 Dokumente und schreibt Zusammenfassungen – inklusive Deal-Bedingungen, Finanzdaten und Identitäten der Vertragsparteien – in einen Arbeitsbereich, der für 400 Mitarbeiter und drei externe Auftragnehmer zugänglich ist. Kein DLP-Alarm. Keine menschliche Prüfung. Kein Vorfall – bis die Daten sechs Wochen später in den Händen eines Wettbewerbers auftauchen.
Underwriting-Impact:
- Erstschaden: Abbruch des Deals, Regulierungsuntersuchung, interne Sanierung.
- Drittschaden: Schadenfall durch die Vertragspartei wegen Verletzung der Vertraulichkeit; potenzielle Sammelklage, wenn PII in den Dokumenten enthalten war.
- Kontrollversagen: DLP hat es nicht erkannt, weil der Agent legitimen Schreibzugriff hatte. Das „Versagen“ war kein Kontrollumgehung – es war eine Kontrolllücke.
- Kumulation: Wird dieselbe Agentenarchitektur über mehrere Deals hinweg genutzt, schafft eine Fehlkonfiguration Multi-Schadenfall-Exposure über das Portfolio hinweg.
Quantifizieren Sie es. Führen Sie das Szenario durch eine FAIR-basierte Modellierung mit dem Zugriffsrahmen des Agenten als Threat-Vektor. Der PML-Unterschied zwischen „Human-in-the-Loop“ und „autonom“ wird Ihren Prämienzuschlag verändern.
Der strategische Wandel: Vom Verwalter zum Orchestrator
Der letzte Punkt der CSA ist der, den Underwriter verinnerlichen sollten: Sicherheit für Agentic AI kann nicht perimeter-zentriert sein. Sie muss daten-zentriert sein. „Sicherheit beginnt und endet bei den Daten selbst – ihrem Ort, ihrer Bewegung und ihrem Kontext.“
Für Underwriter bedeutet dies, dass die Postur des Versicherungsnehmers sich vom Verwalter (bewache die Mauern) zum Orchestrator (steuere die Agenten) verschieben sollte. Beschreibt die Submission Agenten-Governance in denselben Begriffen wie Netzwerksicherheit, hat der Versicherungsnehmer den Wandel nicht vollzogen. Beschreibt sie datenkontextualisierte Richtlinien, Berechtigungsgrenzen für Agenten und Obergrenzen für autonome Handlungen – dann hat er ihn vollzogen.
Bewertungscheckliste: Was Sie den Versicherungsnehmer fragen sollten
Für jede der fünf Kräfte eine Schwellenfrage und eine Nachfrage:
| Kraft | Schwellenfrage | Falls ja, Nachfrage |
|---|---|---|
| Tiefer Datenzugriff | Haben Agenten Lese-/Schreibzugriff auf eingeschränkte oder klassifizierte Daten? | Ist der Zugriff nach Datenklassifizierung segmentiert oder nutzt der Agent einen einzelnen Service-Account? |
| Externe Konnektivität | Können Agenten ausgehende Verbindungen zu externen APIs oder Diensten initiieren? | Können Sie jede externe Verbindung aufzählen? Werden DLP-Kontrollen auf Agenten-Egress angewendet? |
| Laterale Agentenaktivität | Können Agenten andere Agenten erzeugen, an diese delegieren oder mit ihnen kommunizieren? | Gibt es Grenzen, die die laterale Ausbreitung von Agenten begrenzen? Ist die Kommunikation zwischen Agenten auditierbar? |
| Nicht vertrauenswürdige Dateneinspeisung | Speisen Agenten Daten aus externen oder benutzerbereitgestellten Quellen ein? | Haben Sie Prompt-Injection getestet? Gibt es Input-Sanitisierung? |
| Autonome Handlungsausführung | Führen Agenten Transaktionen aus oder ändern sie Daten ohne menschliche Freigabe? | Gibt es Transaktionslimits oder eine Begrenzung des Schadensradius? Können Berechtigungen in Echtzeit widerrufen werden? |
Antwortet der Versicherungsnehmer mit „Nein“ auf die Schwellenfrage, ist die Kraft noch nicht im Spiel – noch nicht. Antwortet er mit „Ja“ und kann die Nachfrage nicht beantworten, haben Sie eine Kontrolllücke, die eine Bepreisung rechtfertigt.
Agentic AI erhöht nicht nur die Eintrittswahrscheinlichkeit eines Schadens – sie verändert die Form der Schadenverteilung. Höhere Häufigkeit durch nicht vertrauenswürdige Dateneinspeisung. Höhere Schwere durch autonome Handlungsausführung. Schwerere Tails durch toxische Kombinationen. Der Underwriter, der Agenten wie ein weiteres Softwaremodul behandelt, wird falsch kalkulieren. Derjenige, der sie wie eine neue Art von privilegiertem Insider behandelt – einer, der niemals schläft, niemals Zugriff anfordert und niemals um Erlaubnis fragt – kommt der tatsächlichen PML näher.
Michael Guiao gründete Resiliently.ai, um Cyber-Risiken quantifizierbar und nicht nur qualifizierbar zu machen. CISM, CCSP, CISA, DPO (TÜV) — abgelaufen, aus Überzeugung. Er handelt nach Urteilsvermögen, nicht nach Papieren.
Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.
Get the full picture with premium access
In-depth reports, assessment tools, and weekly risk intelligence for cyber professionals.
Professional
Full platform — continuous monitoring, API access, white-label reports
Everything in Starter plus professional tools
Upgrade Now →Free NIS2 Compliance Checklist
Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.
No spam. Unsubscribe anytime. Privacy Policy
blog.featured
WordPress Plugin Flaw CVE-2023-4213 Exposes 10K+ Sites to Cyber Claims
6 min read
WordPress Plugin XSS Vulnerability Exposes Cyber Insurance Portfolios to Persistent Web Risks
5 min read
WordPress Security Plugin Flaw Exposes Organizations to Cyber Claims
6 min read
WordPress Plugin Flaw Exposes Cyber Insurance Portfolios to SQL Injection Risks
6 min read
Premium Report
2026 Cyber Risk Landscape Report
24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.
View Reports →