Least Agency
Least Agency ist ein Sicherheitsprinzip für KI-Agenten, das über Least Privilege hinausgeht: Agenten erhalten nicht nur minimale Zugriffsrechte, sondern auch die geringstmögliche Handlungsmacht und Autonomie, um ihre Aufgabe zu erfüllen. Unnötige Fähigkeiten werden architektonisch unterbunden.
Ausführliche Erklärung
Das Prinzip Least Privilege – minimale Berechtigungen für Nutzer und Systeme – ist seit Jahrzehnten ein Grundpfeiler der IT-Sicherheit. Doch für autonome KI-Agenten reicht es nicht mehr aus. Ein Agent kann über die korrekte Zugriffsberechtigung verfügen (etwa DELETE-Rechte auf eine Datenbank), aber trotzdem mehr tun, als beabsichtigt war. Least Agency setzt daher eine Ebene tiefer an: Es beschränkt nicht nur, worauf ein Agent zugreifen darf, sondern auch, welche Handlungen er überhaupt ausführen kann.
Während Least Privilege die Frage beantwortet "Auf welche Ressourcen hat ein System Zugriff?", fragt Least Agency zusätzlich: "Wie viel Autonomie hat dieser Agent, um innerhalb dieser Rechte zu agieren?" Ein Beispiel: Ein Agent, der Rechnungen analysieren soll, erhält nach Least Privilege nur Lesezugriff auf Rechnungsdaten. Nach Least Agency wird ihm zudem das Werkzeug zur Datenbank-Administration gänzlich entzogen – selbst wenn er theoretisch keine Schreibrechte hätte. Die Möglichkeit, überhaupt Schaden anzurichten, wird architektonisch minimiert, nicht nur über Policies eingeschränkt.
Least Agency ist insbesondere von der OWASP Top 10 for Agentic Applications als zentrale Maßnahme gegen "Excessive Agency" empfohlen. Der Grundgedanke: Agenten agieren autonom, treffen eigenständig Entscheidungen über Tool-Kombinationen und arbeiten mit Geschwindigkeit, die menschliche Reaktionszeiten übersteigt. Fehler oder Manipulationen (etwa durch Prompt Injection) können binnen Sekunden zu kaskadierten Schäden führen. Daher ist es essenziell, die Fähigkeit zur Schadensentstehung von vornherein zu begrenzen – etwa durch Entzug nicht benötigter Tools, zeitlich befristete Berechtigungen (Just-in-Time-Tokens), strikte Trennung von Lese- und Schreibzugriff oder Human-in-the-Loop-Mechanismen bei risikoreichen Aktionen.
Für österreichische und deutsche KMU bedeutet Least Agency: Bevor ein KI-Agent produktiv eingesetzt wird, sollte genau definiert werden, welche konkreten Aufgaben er erfüllen soll – und dann darf er ausschließlich auf die dafür notwendigen Werkzeuge und Daten zugreifen. Alles andere wird technisch unterbunden. Das reduziert die Angriffsfläche erheblich und begrenzt das Schadensausmaß bei Fehlfunktionen oder Angriffen.
Praxisbeispiel
Eine Wiener Steuerberatungskanzlei (22 Mitarbeitende) setzt einen KI-Agenten ein, der E-Mails von Mandant:innen kategorisiert und Standard-Antworten vorschlägt. Nach Least Agency erhält der Agent ausschließlich Lesezugriff auf den Posteingang und darf nur vordefinierte Textbausteine verwenden – aber keine Mails versenden oder Kontakte löschen. Selbst wenn ein Angreifer den Agenten über Prompt Injection manipuliert, kann dieser keine Daten exfiltrieren oder Mandant:innen falsch informieren. Die Freigabe erfolgt stets durch Mitarbeitende.