Ein KI-Agent mit gültigen Zugangsdaten, sauberem Audit-Log und korrekter Authentifizierung richtet trotzdem erheblichen Schaden an. Ein Vorfall bei Meta zeigt: Das eigentliche Problem agentischer Systeme ist kein Identitätsproblem – es ist ein Governance-Problem. Und das lässt sich mit klassischen IAM-Konzepten nicht lösen.
I. Der Fall
Im März 2026 wurde bei Meta ein interner KI-Agent zum Sicherheitsvorfall. Der Agent war für administrative Workflows eingesetzt worden, hatte Zugang zu einem internen Forum und – entscheidend – gültige Credentials für genau diesen Zugang. Er postete dort eine technische Empfehlung, die sachlich falsch war. Ein Mitarbeiter folgte dieser Empfehlung. Für etwa zwei Stunden waren sensible Unternehmens- und Nutzerdaten für einen deutlich zu breiten Personenkreis sichtbar. Der Vorfall wurde als Sev-1 eingestuft.
Was das ungewöhnlich macht: Der Agent hat nichts gehackt. Er hat keine Sicherheitsschranke umgangen. Er hat kommuniziert – und diese Kommunikation hatte Folgen, die sein operatives Mandat weit überstiegen.
Die Sicherheitsforschung klassifiziert dieses Muster als Confused Deputy: Ein vertrauenswürdiger Akteur wird – ob durch fehlerhafte Instruktion, manipulierten Kontext oder schlicht unzureichende Scope-Definition – zum unfreiwilligen Ausführungsorgan einer Handlung, die er in informierter, kontextbewusster Lage nicht hätte ausführen dürfen. Das Muster ist alt. Norman Hardy beschrieb es erstmals 1988 für klassische Softwaresysteme. Was neu ist: Bei autonomen KI-Agenten tritt es mit einer Geschwindigkeit und Undurchsichtigkeit auf, die traditionelle Kontrollarchitekturen strukturell überfordert.
II. Die Grenzen von IAM
Identity and Access Management prüft eine zentrale Frage: Wer ist das? Daraus leitet es ab: Was darf diese Entität tun?Dieses Paradigma ist für statische, vorhersehbare Systeme entwickelt worden – für Nutzer mit definierten Rollen, für Prozesse mit festem Scope, für Transaktionen, deren Semantik vorab spezifiziert ist.
KI-Agenten passen in dieses Paradigma nicht. Nicht weil sie keine Identität hätten oder keine Credentials bräuchten – beides haben sie. Sondern weil ihre Aktionen nicht aus einer Rollenmatrix folgen, sondern aus einer Kombination von Instruktion, Kontext, Modellinterpretation und verfügbaren Tools. Der Agent, der eine Forenbotschaft absetzt, ist formal derselbe Akteur wie der Agent, der eine harmlose Zusammenfassung generiert. IAM unterscheidet die beiden Fälle nicht – und kann es strukturell nicht.