Ein Chatfenster ist keine Sicherheitsgrenze

Illustration eines Support-Chatfensters, das als unsichere Brücke zwischen öffentlicher Kundenansicht und internen vertraulichen Systemen dient.

Support-Chatbots gelten in vielen Unternehmen noch immer als harmlose Effizienzschicht. Ein bisschen LLM, ein bisschen RAG, ein Chatfenster davor, und schon sollen Kunden schneller Antworten bekommen, Mitarbeiter weniger Tickets schreiben und interne Dokumentation endlich „nutzbar“ werden. Das klingt nach Produktivität. Sicherheitstechnisch ist es oft ein Rückbau. Denn dieselbe Oberfläche hängt plötzlich an verschiedenen Trust-Zonen, und die Trennung soll dann nicht mehr durch Architektur, Berechtigungen und harte Policy-Checks entstehen, sondern durch Sätze wie: Bitte keine internen Informationen an Kunden ausgeben.

Das ist keine belastbare Sicherheitsgrenze. Das ist die Verlagerung einer Autorisierungsfrage in einen Sprachkanal.

Weiterlesen

KI-Agenten sind kein Denkproblem. Sie sind ein Berechtigungsproblem.

Wenn man über KI-Agenten spricht, landet die Diskussion schnell beim Modell. Was darf es sagen? Was darf es nicht sagen? Halluziniert es? Lässt es sich jailbreaken? Ist es aligned, whatever that means this week?

Ein Laptop zeigt ein Sicherheitsdiagramm, in dem Chat-, Mail- und Web-Eingaben über eine Control Plane geprüft werden, bevor privilegierte Systeme wie Infrastruktur, Mail, Finance und Support erreicht werden.
KI-Agenten werden erst dann sicher betreibbar, wenn privilegierte Aktionen über Scope, Freigabe und Logs begrenzt werden.

Das ist nicht alles falsch. Aber bei Agenten mit Tools ist es nicht der entscheidende Bruch.

Gefährlich wird es nicht, wenn ein Modell Unsinn redet. Gefährlich wird es, wenn dieser Unsinn plötzlich Tickets schließt, Mails verschickt, Kundendaten liest, Firewall-Regeln ändert, OAuth-Tokens benutzt oder Bestellungen auslöst.

Dann reden wir nicht mehr über ein Chatproblem. Dann reden wir über Berechtigungen.

Weiterlesen