Veza AI: Neue Sicherheitsplattform gegen unkontrollierte KI-Agenten

Während Unternehmen autonom agierende KI-Systeme in WhatsApp und Microsoft Teams integrieren, eskaliert die Spannung zwischen Innovation und Datenschutz. Heute präsentieren Branchenriesen neue Lösungen – und Regulierer ziehen die Zügel an.

Die Ära der „agentic AI” ist keine Science-Fiction mehr. Autonome KI-Assistenten erledigen Aufgaben eigenständig, greifen auf Datenbanken zu und verschieben Informationen zwischen Anwendungen. Doch was passiert, wenn ein Chatbot in Slack plötzlich auf vertrauliche Personaldaten zugreift? Diese Frage hält Compliance-Verantwortliche 2025 in Atem – und zwingt die Branche zum Handeln.

Das Sicherheitsunternehmen Veza stellte heute auf dem Gartner Identity & Access Management Summit in Texas seine Plattform AI Agent Security vor. Das System nutzt einen sogenannten „Access Graph”, um präzise zu visualisieren, auf welche Daten ein KI-Agent zugreifen kann.

„KI-Agenten agieren autonom – wir müssen ihren Zugriff auf kritische Daten rigoros begrenzen”, erklärt das Unternehmen. Die Lösung soll das Least-Privilege-Prinzip für künstliche Intelligenz durchsetzen: Ein Kundenservice-Bot in WhatsApp Business soll eben nicht versehentlich Finanzdaten einsehen können.

Passend zum Thema KI-Regulierung und Compliance: Die EU-KI-Verordnung stellt klare Anforderungen an Kennzeichnung, Risikoklassifizierung und Dokumentation von KI-Agenten – ein harter Prüfstein für Unternehmen. Der kostenlose Umsetzungsleitfaden erklärt praxisnah, welche Pflichten jetzt gelten, wie Sie Modelle klassifizieren und welche Dokumente Auditoren sehen wollen. Ideal für Datenschutz- und Compliance-Teams, die KI-Agenten sicher in Messaging-Tools betreiben. Jetzt gratis Umsetzungsleitfaden zur KI-Verordnung herunterladen

Hintergrund dieser Entwicklung: Organisationen verlieren zunehmend den Überblick über die „Explosionsradien” ihrer KI-Einsätze. Wenn Agenten eigenständig E-Mails lesen, Meetings planen und CRM-Systeme abfragen, wird automatisierte Governance zur Compliance-Pflicht.

Microsoft rüstet Mittelstand auf

Während Start-ups Governance-Werkzeuge entwickeln, verankert Microsoft den Datenschutz direkt in seinen Massenmarkt-Produkten. Der Konzern erweiterte diese Woche seine Security Copilot-Funktionen für Microsoft 365 E5-Kunden deutlich.

Die Updates, die Ende November starteten und sich diese Woche beschleunigten, führen spezialisierte „Sicherheitsagenten” in Microsoft Defender und Purview ein. Diese Systeme automatisieren die Bewertung von Sicherheitswarnungen – effektiv erhalten Compliance-Teams damit einen KI-Assistenten, der ihre anderen KI-Assistenten überwacht.

Zusätzlich lancierte Microsoft ein neues Microsoft 365 Copilot Business-Angebot für kleine und mittlere Unternehmen. Für 21 Euro pro Nutzer monatlich erhalten KMU Datenschutz auf Unternehmensniveau, der „Sensitivity Labels” respektiert. So soll verhindert werden, dass eine KI beim Zusammenfassen eines Teams-Chats vertrauliche Dokumentendaten in die Unterhaltung einfließen lässt.

„Microsoft Copilot arbeitet innerhalb der bestehenden Sicherheits- und Compliance-Grenzen Ihrer Organisation”, betonte das Unternehmen in einem Dezember-Update – eine Beruhigungspille für europäische Firmen, die DSGVO-Verstöße in Messaging-Umgebungen fürchten.

Regulierungsschere öffnet sich

Der Vorstoß für bessere Compliance-Tools wird durch eine zunehmend fragmentierte Regulierungslandschaft befeuert. In den USA sorgte Floridas Gouverneur Ron DeSantis diese Woche für Schlagzeilen: Er schlug eine bundesstaatliche „AI Bill of Rights” vor.

Die Gesetzesinitiative, die heute in einer Pressekonferenz vorgestellt wurde, soll Bürger vor „unkontrolliertem KI-Wachstum” schützen. Kernpunkte: ein Verbot der KI-Nutzung persönlicher Abbilder ohne Zustimmung sowie strikte Verbote für den Verkauf von Daten aus KI-Interaktionen. Unternehmen, die Messaging-Tools für Florida-Kunden nutzen, müssten künftig strikte Data-Fencing-Protokolle implementieren.

Auf der anderen Seite des Atlantiks diskutiert Brüssel den „Digital Omnibus”-Vorschlag. Die Europäische Kommission will damit DSGVO und KI-Verordnung harmonisieren und „Bürokratie” für Unternehmen abbauen.

Doch die Initiative entzweit Datenschützer. Rechtexperten warnen: Der Omnibus könnte es Firmen ermöglichen, „berechtigtes Interesse” als Rechtsgrundlage für das Training von KI-Modellen mit personenbezogenen Daten anzuführen. Das würde die Hürden für KI-Entwickler senken – aber die Compliance-Anforderungen für Datenverantwortliche drastisch erhöhen.

„Der Vorschlag verwirft den relativ simplen Test [für personenbezogene Daten] zugunsten eines variablen”, kritisierten Datenschutzaktivisten die diese Woche kursierenden Entwurfstexte.

Was bedeutet das für deutsche Unternehmen?

Die Ereignisse vom 8. Dezember 2025 markieren einen Wendepunkt: Die experimentelle Phase von 2024 ist vorbei, 2025 dreht sich um Governance und Kontrolle.

Für Firmen im DACH-Raum ergeben sich zwei zentrale Konsequenzen. Erstens: Die Integration von KI-Agenten in Messaging-Tools wie WhatsApp Business oder Microsoft Teams ist keine rein technische Entscheidung mehr – sie wird zur komplexen Identity-Management-Herausforderung. Tools wie Vezas Access Graph oder Microsofts Purview-Agenten dürften bald Standard in Audits werden.

Zweitens: Die regulatorische Divergenz zwischen USA (einzelstaatliche Grundrechte-Kataloge) und EU (zentralisierter Digital Omnibus) erfordert granulare Compliance-Strategien. Ein in Berlin konformer KI-Agent könnte in Miami scheitern – nicht nur wegen Datensouveränität, sondern wegen unterschiedlicher Definitionen von Verbraucherrechten bei KI-Interaktionen.

Wie Meredith Whittaker, Präsidentin der Signal Foundation, bereits warnte: Die Integration von KI-Agenten in die „App-Schicht” von Kommunikationswerkzeugen durchbricht die „Blut-Hirn-Schranke” der Datensicherheit. Mit den diese Woche vorgestellten Lösungen und Gesetzen versucht die Branche endlich, diese Bresche zu schließen.

Experten erwarten für 2026, dass „Non-Human Identity Management” (NHIM) zu einem Hauptbudgetposten wird. Sicherheitsteams werden KI-Agenten künftig mit derselben Sorgfalt behandeln wie menschliche Mitarbeiter.

PS: Seit August 2024 ist der AI-Act in Kraft — viele Übergangsfristen laufen jetzt ab. Wenn Ihre Firma KI-Agenten in WhatsApp, Teams oder CRM nutzt, drohen bei Fehlklassifikation und fehlender Dokumentation Bußgelder und Nachrüstpflichten. Der gratis Leitfaden zur KI-Verordnung fasst die wichtigsten Fristen, Kennzeichnungspflichten und Umsetzungs-Schritte kompakt zusammen, damit Sie rechtssicher planen können. Gratis-Leitfaden zur EU-KI-Verordnung sichern