Least Agency
Least Agency ist ein Sicherheitsprinzip für KI-Agenten, das über Least Privilege hinausgeht: Agenten erhalten nicht nur minimale Zugriffsrechte, sondern auch die geringstmögliche Handlungsmacht und Autonomie, um ihre Aufgabe zu erfüllen. Unnötige Fähigkeiten werden architektonisch unterbunden.
Ausführliche Erklärung
Das Least-Agency-Prinzip stellt eine Weiterentwicklung klassischer IT-Sicherheitsgrundsätze dar, die speziell auf die Herausforderungen autonomer KI-Agenten zugeschnitten ist. Während das etablierte Least-Privilege-Prinzip die Zugriffsrechte von Benutzern und Prozessen auf das notwendige Minimum begrenzt, greift Least Agency weiter: Es beschränkt die gesamte Handlungs- und Entscheidungsbefugnis eines KI-Agenten architektonisch. Ein Agent, der beispielsweise keine Datenbank löschen können muss, erhält nicht nur keine DELETE-Berechtigung – ihm wird der Zugriff auf das Datenbank-Tool vollständig entzogen.
Diese Unterscheidung ist entscheidend, weil autonome KI-Systeme grundlegend anders funktionieren als herkömmliche Software. Sie treffen eigenständig Entscheidungen, wählen Werkzeuge aus und passen ihr Verhalten an Kontexte an – oft in Geschwindigkeiten, die menschliche Kontrollmöglichkeiten übersteigen. Die OWASP Top 10 für Large Language Model Applications identifizieren "Excessive Agency" als eines der zentralen Risiken bei KI-Systemen. Wenn einem Agenten zu viel Autonomie eingeräumt wird, kann er Aktionen ausführen, die über seine vorgesehenen Aufgaben hinausgehen, unbeabsichtigte Systemzugriffe erlangen oder durch Prompt-Injection-Angriffe manipuliert werden.
Für österreichische und deutsche KMU gewinnt das Prinzip an Bedeutung, sobald sie KI-Agenten in produktive Geschäftsprozesse integrieren – etwa zur Automatisierung von Kundenservice, Rechnungsverarbeitung oder Datenanalyse. Die Umsetzung erfordert bewusste Designentscheidungen: Agenten erhalten Zugriff nur auf die konkret benötigten Systeme, ihre Berechtigungen werden zeitlich befristet (Just-in-Time-Token), und kritische Aktionen müssen durch menschliche Freigaben bestätigt werden. Internationale Cybersicherheitsbehörden, darunter die US-amerikanische CISA, empfehlen in gemeinsamen Leitlinien, KI-Agenten schrittweise einzuführen und ihre Autonomie erst nach nachgewiesener Zuverlässigkeit zu erweitern.
Das Prinzip fügt sich in moderne Zero-Trust-Architekturen ein und verlangt, dass jede Agentenidentität authentifiziert, jede Aktion autorisiert und kontinuierlich überwacht wird. Damit wird die potenzielle Angriffsfläche minimiert und der mögliche Schaden bei Fehlverhalten oder Kompromittierung des Agenten begrenzt.
Praxisbeispiel
Ein österreichisches Steuerberatungsunternehmen mit 25 Mitarbeitenden setzt einen KI-Agenten zur Vorsortierung eingehender Belege ein. Nach dem Least-Agency-Prinzip erhält dieser Agent ausschließlich Lesezugriff auf den Eingabeordner und darf Dokumente klassifizieren sowie in vordefinierte Ordnerstrukturen verschieben. Er hat weder Zugriff auf Finanzsysteme noch auf E-Mail-Versand oder Löschfunktionen. Kritische Entscheidungen wie die finale Kontierung bleiben den Mitarbeitenden vorbehalten – der Agent bereitet lediglich vor.