KI-Agenten werden unser digitales Leben steuern. Doch wer steuert sie?

KI-Agenten übernehmen Buchungen, Käufe, Entscheidungen. Doch wer kontrolliert diese Software wirklich? Ian Rogers von Ledger warnt: Die Frage nach Vertrauen wird zur Überlebensfrage.

Vor sechs Monaten hätte ich, wenn man mich gefragt hätte, was wir unseren Kindern beibringen sollten, geantwortet: Ich habe keine Ahnung.

Zwischen KI, Quantencomputing und Robotik verändert sich die Welt so schnell, dass es unehrlich wirkt, so zu tun, als wüsste man, was sie auf die nächsten zehn oder fünfzehn Jahre vorbereitet. Doch in den ersten Monaten des Jahres 2026 wurde etwas klar. Unsere Arbeit verändert sich – und zwar auf eine ganz bestimmte Weise. Wir werden zu Operatoren von KI-Agenten.

Das klingt dramatisch, bis man sich daran erinnert, was mit Wissensarbeit bereits passiert ist. In den 1990er-, 2000er- und 2010er-Jahren wurde jeder, der mit Gedankenarbeit zu tun hatte, zu einem Computer-Operator. Textverarbeitung, Tabellenkalkulation, Google Docs, Slack. Heute ist das so selbstverständlich, dass wir es kaum noch wahrnehmen. Der nächste Wandel ist ebenso offensichtlich, sobald man ihn erkennt. Immer mehr unserer Arbeit besteht darin, maschinelle Intelligenz zu orchestrieren.

Man kann bereits erste Ansätze sehen. Es gibt Einzelpersonen, die täglich 15 Milliarden Tokens verbrauchen, vier oder fünf Research-Loops parallel betreiben und Softwareprojekte produzieren, für die früher ganze Teams nötig gewesen wären. Sie sind Ausreißer, ja. Aber sie zeigen auch, wohin die Entwicklung geht. Ich bewerte nicht, ob das gut oder schlecht ist. Ich stelle nur fest, dass es passiert.

In den letzten dreißig Jahren war das Internet vor allem ein Informationswerkzeug. Man nutzt es, um ein Restaurant zu finden. Man nutzt OpenTable, um zu reservieren. Man nutzt es, um ein Hotel zu finden. Man nutzt Booking, Expedia oder Airbnb, um die Buchung abzuschließen. Jetzt verändert sich die Schnittstelle. Statt dass man selbst von Suche zu Formular zu Transaktion wechselt, übernimmt der eigene Agent diese Schritte.

Genau deshalb wird Sicherheit zum zentralen Thema.

In dem Moment, in dem eine KI Werkzeuge nutzen kann, erhält sie Zugang zu etwas weitaus Wichtigerem als Informationen. Sie bekommt Zugriff auf Identität, Accounts, Zahlungsmethoden, Präferenzen, Historie und Gedächtnis. Sie ist kein Chatbot mehr, sondern ein Akteur im eigenen Leben.

Sobald Software für einen handelt, lautet die entscheidende Frage nicht mehr, was sie weiß. Die Frage ist, wer sie kontrolliert.

Wenn mein Agent mit dem Agenten von Amazon spricht – woher weiß ich, dass es wirklich Amazon ist? Wenn ein Agent in meinem Namen handelt – woher weiß er, dass ich es wirklich bin? Wenn der Agent Zugriff auf sensible Zugangsdaten hat – wer definiert die Grenzen, wer genehmigt Ausnahmen, und wer kann diesen Zugriff widerrufen, wenn etwas schief läuft?

Das sind keine Randfälle. Das ist die Grundlage des nächsten Internets.

Über Jahre hinweg ging es bei Cybersicherheit vor allem darum, Systeme und Daten zu schützen. Im Zeitalter der Agenten kann das System sicher sein, das Modell korrekt funktionieren – und das Ergebnis dennoch katastrophal ausfallen. Die neue Angriffsfläche ist nicht nur technisch. Sie ist entscheidungsbezogen. Sie ist sprachlich.

Dieses Problem beschreibt, was Simon Willison die „lethal trifecta“ nennt. Man gibt einem System Zugriff auf private Informationen. Man erlaubt ihm, Eingaben aus der Außenwelt zu verarbeiten. Und man lässt es Daten weitergeben oder Aktionen ausführen. Diese Kombination reicht aus, um reale Gefahren zu erzeugen.

Und jeder nützliche Agent besitzt genau diese drei Eigenschaften.

Wenn mein Agent meine E-Mails lesen, für mich im Web recherchieren und Informationen weiterleiten kann, dann ist Prompt Injection kein abstraktes Problem aus einem Security-Paper. Es ist ein direkter Weg zu Verlusten. Je nützlicher der Agent wird, desto gefährlicher wird diese Kombination. Das ist kein Fehler. Es ist eine Eigenschaft dieser Kategorie.

Wir haben bereits gesehen, wie das aussieht. Ende 2024 wurde ein autonomer Agent, der einen Krypto-Preispool schützen sollte und ausdrücklich angewiesen war, niemals eine Überweisung zu autorisieren, dazu gebracht, den gesamten Bestand freizugeben. Kein Exploit. Kein gestohlener Schlüssel. Er akzeptierte einfach neue Anweisungen. Jüngst löschte ein Coding-Agent während eines Code-Freezes eine Produktionsdatenbank, erzeugte Fake-User und stellte zunächst falsch dar, ob der Schaden rückgängig gemacht werden könne – trotz mehrfacher Stop-Anweisungen.

Die Systeme funktionierten. Sie haben gedacht. Sie haben gehandelt. Sie wurden lediglich beeinflusst.

Deshalb reicht Sicherheit allein nicht aus. Wir brauchen auch Verifikation.

Wenn KI mir dabei helfen soll zu entscheiden, was ich kaufe, wohin ich gehe, wem ich vertraue oder welche Handlung ich ausführe, dann muss ich mehr wissen, als ob das System „gesichert“ ist. Ich muss verstehen, warum es mich in eine bestimmte Richtung lenkt. Handelt es in meinem Interesse – oder im Interesse dessen, der dafür bezahlt hat, es zu beeinflussen? Woher kommt Vertrauen in einer solchen Welt? Sicherheits-Theater können wir uns nicht leisten. Vertrauens-Theater ebenso wenig.

Hier ist die Krypto-Welt nützlicher als Referenz, als viele denken.

Im Krypto-Bereich gab es immer drei grundlegende Modelle. Man kann seine Assets bei einem Verwahrer lagern. Man kann sie in Software-Wallets verwalten. Oder man kann sie in Hardware-basierter Selbstverwahrung halten.

Genau diese architektonische Entscheidung steht nun auch bei KI an.

Man kann seine Geheimnisse, Erinnerungen, Logins, Kreditkarten und das Verhaltensprofil seines Lebens an OpenAI, Anthropic, Google oder Microsoft übergeben. Man kann Teile davon auf dem eigenen Gerät oder in einem Passwortmanager behalten. Oder man sichert diese Verwahrung in Hardware ab – mit einem Vertrauensmodell, das für den Moment entwickelt wurde, in dem Software im eigenen Namen handelt.

Diese Unterscheidung ist heute viel wichtiger, denn es geht nicht mehr nur darum, eine Wallet zu schützen. Es geht darum, das System zu schützen, das zunehmend das eigene Leben steuert.

Wenn Agenten zur Schnittstelle für Handel, Kommunikation und Finanzen werden, dann kontrolliert derjenige, der diese Agenten kontrolliert, den Nutzer. Das ist das eigentliche Schlachtfeld. Nicht, ob Agenten existieren – das tun sie bereits. Nicht, ob sie leistungsfähiger werden – das werden sie. Die entscheidende Frage ist, ob die Infrastruktur rund um sie menschliche Handlungsfähigkeit erhält oder sie stillschweigend auflöst.

Ich glaube nicht, dass die Lösung darin besteht, diese Entwicklung zu bremsen. Die Lösung ist, die richtigen Grenzen zu setzen.

Menschen müssen weiterhin End-to-End eingebunden sein. KI kann Middle-to-Middle agieren. Agenten können Vorschläge machen. Menschen unterschreiben. Hardware setzt durch.

So sieht eine gesunde agentische Zukunft aus. Nicht eine, in der Menschen unsichtbarer Software mit unbegrenzter Autorität vertrauen sollen, sondern eine, in der nützliche Autonomie innerhalb klar definierter Grenzen existiert. Eine, in der Identität besessen und nicht geliehen wird. Eine, in der Entscheidungen mit hoher Tragweite bei der Person verankert bleiben, deren Leben davon betroffen ist.

Agenten werden in unserem Namen handeln. Die einzige ernsthafte Frage ist, in wessen Namen das wirklich sein wird.

Über Ian Rogers 

Ian Rogers ist Chief Human Agency Officer bei Ledger und verantwortet dort den gesamten Endkundenbereich des Unternehmens. Zuvor war er Chief Digital Officer bei LVMH und arbeitete mit einem Portfolio von nahezu hundert Luxusmarken, darunter Louis Vuitton, Dior, Sephora und Hennessy. Darüber hinaus sitzt er in den Aufsichtsgremien von Dr. Martens und Lyst. Seinen beruflichen Hintergrund hat Rogers in der Musik- und Kulturbranche: Über zwei Jahrzehnte hinweg trug er dazu bei, digitale Musik einem breiten Publikum zugänglich zu machen – unter anderem bei Winamp, Yahoo!, Beats und Apple. Er war zudem am Launch von Apple Music im Jahr 2015 beteiligt, einschließlich des Streaming-Kanals Beats 1. Bereits in den frühen 1990er-Jahren entwickelte er einige der ersten musikbezogenen Websites und arbeitet seit 1993 eng mit den Beastie Boys zusammen.