Weil sie häufig eigenständig handeln, auf APIs zugreifen, Entscheidungen vorbereiten und Unternehmensprozesse automatisiert ausführen. Wird ihre Identität kompromittiert, entsteht unmittelbarer wirtschaftlicher Schaden.
Künstliche Intelligenz verlässt das Experimentierstadium und wird operativer Bestandteil von Geschäftsprozessen. Mit Plattformen wie OpenClaw entstehen KI-Agenten, die E-Mails schreiben, Daten analysieren, API-Zugriffe steuern und autonome Entscheidungen vorbereiten. Was wie Effizienzgewinn klingt, entwickelt sich zur neuen Angriffsfläche für Wirtschaftskriminalität und Industriespionage.
Der aktuelle Vorfall rund um einen Infostealer, der OpenClaw-Konfigurationsdateien und Gateway-Tokens exfiltriert, markiert eine strategische Zäsur: Cyberkriminelle greifen nicht mehr nur Zugangsdaten oder Kreditkarten ab. Sie stehlen die Identität und das operative „Betriebssystem“ Ihrer KI-Agenten – inklusive kryptografischer Schlüssel und Governance-Parameter. Wer das kontrolliert, kontrolliert Prozesse.
Laut Berichten von Sicherheitsforschern wurde ein Infostealer – mutmaßlich eine Variante der bekannten Vidar-Malware – eingesetzt, um Konfigurationsdateien einer OpenClaw-Installation zu stehlen. Vidar ist seit Jahren als „Off-the-Shelf“-Malware im Umlauf und wird kontinuierlich weiterentwickelt. Details zu Vidar finden sich in der MITRE ATT&CK-Datenbank
Bemerkenswert ist nicht die Malware selbst, sondern das Ziel: Dateien wie:
Was hier entwendet wird, ist mehr als ein Passwort. Es ist die komplette operative Identität des Agenten – seine Zugriffsrechte, Entscheidungslogik und Integrationspunkte.
Wenn Angreifer einen Gateway-Token besitzen und ein exponierter Port erreichbar ist, können sie sich als legitimer Client ausgeben oder direkt auf die Instanz zugreifen. Die Möglichkeit der Remote Code Execution (RCE) ist in solchen Konstellationen real. Das US-amerikanische CISA erläutert die Tragweite von RCE-Schwachstellen eindrücklich.
Aus Managementperspektive sind drei Aspekte entscheidend:
Wir haben jahrzehntelang gelernt, menschliche Identitäten zu schützen. Nun müssen wir maschinelle Identitäten sichern. Ein kompromittierter KI-Agent kann:
Das Risiko verschiebt sich von „User Account Compromise“ zu „Autonomous Process Compromise“.
2. Supply-Chain-Risiken durch KI-Skill-Marktplätze
Berichte über manipulierte „Skills“ auf Plattformen wie ClawHub zeigen eine neue Variante von Supply-Chain-Angriffen: Schadcode wird nicht direkt eingebettet, sondern extern gehostet und über legitime Mechanismen nachgeladen.
Die US-Behörde CISA weist seit Jahren auf Software-Lieferketten als Hochrisikozone hin:
Was sich nun ändert: Die Lieferkette betrifft nicht nur Software-Bibliotheken, sondern autonome Agenten, die Entscheidungen mit Geschäftsauswirkung treffen.
3. Exponierte Instanzen als Einfallstor für Industriespionage
Analysen zeigen hunderttausende exponierte OpenClaw-Instanzen. Ein frei erreichbarer Agent mit E-Mail-, Cloud- oder ERP-Zugriff ist für staatliche und wirtschaftskriminelle Akteure ein attraktives Ziel.
Die NIST Cybersecurity Framework (CSF) beschreibt klare Leitlinien für Identifizierung, Schutz, Erkennung und Reaktion im Kontext neuer Technologien:
Doch viele KI-Initiativen laufen außerhalb klassischer Governance-Strukturen – häufig pilotgetrieben, ohne vollständige Risikoanalyse.
OpenClaw ist ein Open-Source-Projekt mit enormem Wachstum. Open Source ist kein Risiko per se – im Gegenteil, Transparenz schafft Sicherheit. Doch Offenheit bedeutet auch, dass Angreifer:
Die OWASP Foundation weist mit ihrem Top-10-Ansatz regelmäßig auf typische Web- und API-Risiken hin:
KI-Agenten interagieren massiv über APIs. Damit gelten klassische Schwachstellen – etwa fehlende Authentifizierung oder mangelhafte Zugriffskontrollen – in neuem Kontext.
Gleichzeitig erweitert sich die Bedrohungsdimension:
Ein kompromittierter Agent ist nicht nur ein System – er handelt im Namen Ihres Unternehmens.
Stellen wir uns ein realistisches Szenario vor:
Ein KI-Agent ist autorisiert, Lieferantenanfragen zu beantworten und Bestellungen auszulösen. Ein Angreifer übernimmt die Identität dieses Agenten und:
Das ist kein klassischer Hack – das ist automatisierte Wirtschaftskriminalität.
Die Grenze zwischen Cyberangriff und Bilanzdelikt verschwimmt. Für Vorstände bedeutet das konkret:
Und vor allem: Vertrauensverlust bei Investoren und Partnern.
Ein unterschätztes Thema ist Ownership.
Ist der KI-Agent:
Viele Unternehmen haben dafür noch kein Operating Model.
Die ISO verweist mit ISO/IEC 27001 auf Anforderungen an Informationssicherheits-Managementsysteme:
Doch KI-Agenten sind häufig nicht explizit Bestandteil des ISMS. Sie laufen in Piloten oder Innovationsumgebungen – ohne vollständige Risiko-Integration.
Das ist strategisch gefährlich.
Remote Code Execution bedeutet vereinfacht: Ein Angreifer bringt das System dazu, eigenen Code auszuführen.
Wenn ein KI-Agent Zugriff auf interne Ressourcen hat, wird er zum Pivot-Punkt. Angreifer benötigen keinen zusätzlichen seitlichen Zugang – der Agent ist bereits legitim autorisiert.
CISA warnt regelmäßig vor öffentlich erreichbaren Systemen ohne Härtung:
Übertragen auf KI-Agenten heißt das:
Unternehmen, die KI-Agenten produktiv einsetzen, müssen diese Systeme als Teil ihrer geschäftskritischen Infrastruktur bewerten.
Fragen, die auf Vorstandsebene gestellt werden sollten:
Wenn die Antwort lautet „Das prüft gerade jemand im Innovationsteam“, ist das ein Governance-Defizit.
Die Bedrohung ist real – aber beherrschbar.
Wesentliche strategische Maßnahmen:
Besonders relevant ist die klare Abgrenzung von Verantwortlichkeiten zwischen IT, Security, Legal und Business.
ProSec begleitet Unternehmen genau in dieser Transformationsphase.
Unsere Leistungen im Kontext KI- und Agentensicherheit umfassen:
Wir denken nicht nur technisch. Wir denken an wirtschaftliche Auswirkungen, regulatorische Anforderungen und Reputationsschutz.
KI darf kein Experiment bleiben. Sie muss geführt werden – strategisch, sicher und resilient.
Der Angriff auf OpenClaw-Konfigurationen ist kein Einzelfall. Er ist ein Vorbote einer neuen Angriffsära.
Cyberkriminelle stehlen nicht mehr nur Daten.
Sie übernehmen Prozesse.
Sie infiltrieren digitale Identitäten.
Sie weaponisieren Automatisierung.
Für Unternehmen bedeutet das: Wer KI-Agenten produktiv einsetzt, übernimmt Verantwortung für deren Sicherheit.
Die Frage lautet nicht, ob Angriffe stattfinden.
Die Frage lautet, ob Ihr Unternehmen vorbereitet ist.
Ein Infostealer ist eine Malware-Art, die darauf spezialisiert ist, sensible Informationen wie Zugangsdaten, Tokens oder Konfigurationsdateien automatisiert zu stehlen und an Angreifer zu übertragen.
RCE beschreibt eine Schwachstelle, durch die ein Angreifer eigenen Programmcode auf einem fremden System ausführen kann. Das ermöglicht die vollständige Kontrolle über betroffene Systeme.
Ein Gateway-Token ist ein digitaler Zugangsschlüssel, der einem System oder Agenten erlaubt, sich gegenüber einer Plattform oder API zu authentifizieren. Wird er gestohlen, kann sich der Angreifer als legitimer Nutzer ausgeben.
Dabei wird nicht das Zielunternehmen direkt attackiert, sondern ein vorgeschalteter Dienstleister, eine Plattform oder ein Modul. Über diese Lieferkette gelangt Schadcode in das eigentliche Zielsystem.
Weil sie häufig eigenständig handeln, auf APIs zugreifen, Entscheidungen vorbereiten und Unternehmensprozesse automatisiert ausführen. Wird ihre Identität kompromittiert, entsteht unmittelbarer wirtschaftlicher Schaden.
