Veröffentlicht am 21. Juni 2026 | Aktualisiert am 21. Juni 2026 | 9 Min. Lesezeit
Die Architekturkarte als Angriffsfläche: KI-Agenten und das neue Exfiltrationsrisiko
Eine EA-Karte ist ein nahezu vollständiger Bauplan der Organisation. In dem Moment, in dem ein KI-Agent sie durchqueren kann, haben Sie einen neuen Exfiltrationspfad — und bekannte Kontrollen, um ihn einzudämmen.
Suchen Sie eine Software für Unternehmensarchitektur? Lesen Sie unseren Leitfaden zur Bewertung von EA-Tools und starten Sie das EA-Reifegrad-Assessment.
Kernaussagen
Inhaltsverzeichnis
- Die Karte war immer sensibel — nur der Zugriff hat sich geändert
- Was ein Agent extrahieren kann — und warum es sich von einem Menschen unterscheidet
- Prompt Injection und überberechtigte Agenten
- Die Souveränitätsdimension: wohin die Antwort geht
- Kontrollen, die es eindämmen — bekannt, nicht exotisch
- Die Entscheidung eines CISO: das Tor regeln, nicht den Agenten verbieten
Die Karte war immer sensibel — nur der Zugriff hat sich geändert
Jeder CISO weiß bereits, dass das Enterprise-Architecture-Repository sensibel ist. Es kommt einem vollständigen Bauplan der Organisation nahe: das vollständige Systeminventar, die Abhängigkeitsketten, die das Geschäft tragen, die einzelnen Ausfallpunkte, die veralteten und ungepatchten Komponenten, die Datenflusspfade, die regulierte Informationen berühren, und manchmal genau die Sicherheitsmaßnahmen, die sie schützen. Das gilt seit Jahren.
Was sich geändert hat, sind nicht die Daten — es ist, wer oder was sie erreichen kann. In dem Moment, in dem ein KI-Agent dieses Repository abfragen kann, hört die Karte auf, ein Dokument zu sein, das einige wenige berechtigte Personen Sicht für Sicht lesen, und wird zu einer abfragbaren Oberfläche, die ein automatisiertes System von Ende zu Ende durchqueren kann. Der Wert davon ist real: über lebendige Architektur zu schlussfolgern ist wirklich nützlich. Aber eine neue Fähigkeit zur Traversierung ist auch eine neue Angriffsfläche, und sie als weniger zu behandeln ist Wunschdenken.
Was ein Agent extrahieren kann — und warum es sich von einem Menschen unterscheidet
Ein menschlicher Architekt, der das Repository liest, sieht ein Diagramm nach dem anderen, mit menschlicher Geschwindigkeit, und hinterlässt eine menschlich sichtbare Spur. Ein Agent, der den gesamten Graphen durchqueren kann, tut etwas kategorisch anderes: er verknüpft Sichten, die kein einzelner Leser verknüpfen würde, mit Maschinengeschwindigkeit, und gibt sie in einer einzigen strukturierten Antwort zurück.
Stellen Sie die falsche Frage — oder lassen Sie einen zu breiten Prompt laufen — und der Agent kann die Aufklärung zusammenstellen, die ein Angreifer sonst wochenlang von Hand aufbauen würde. Die Gefahr ist nicht allein Bosheit; eine ehrliche, aber überberechtigte Abfrage kann denselben Bauplan zutage fördern. Dies sind die Artefakte, die eine Traversierung zusammensetzen kann:
- Abhängigkeitsketten: welche Systeme fallen, wenn eine vorgelagerte Komponente ausfällt
- Einzelne Ausfallpunkte über kritische Geschäftsfunktionen hinweg
- Veraltete und ungepatchte Komponenten, abgebildet auf die von ihnen gestützten Dienste
- Sensible Datenflusspfade, einschließlich dort, wo regulierte Daten Grenzen überschreiten
- Die Gestalt der Sicherheitskontrollen — und daraus abgeleitet die Lücken zwischen ihnen
Prompt Injection und überberechtigte Agenten
Zwei Fehlermodi verwandeln einen nützlichen Agenten in einen Exfiltrationspfad. Der erste ist der überberechtigte Agent: einer, dem breiter, dauerhafter Zugriff auf das gesamte Repository gegeben wurde, weil das Begrenzen sich wie Reibung anfühlte. Was auch immer ein Angreifer diesen Agenten zu tun überreden kann, kann er über die gesamte Karte hinweg tun.
Der zweite ist Prompt Injection. Agenten lesen im Rahmen ihrer Arbeit nicht vertrauenswürdige Inhalte — Tickets, Dokumente, Modellannotationen, externe Seiten. Tragen diese Inhalte versteckte Anweisungen, können sie den Agenten umlenken. Kombinieren Sie eine injizierte Anweisung mit einem breit berechtigten Agenten, und eine Routineabfrage wird zu einer gezielten Traversierung Ihrer sensibelsten Struktur. Die Lehre lautet: dem Prompt nicht zu vertrauen und Berechtigungen nie über die Aufgabe hinausgehen zu lassen.
Sobald ein KI-Agent Ihr EA-Repository abfragen kann, wird dieses Repository zu einer neuen Angriffsfläche. Die Sicht eines CISO auf das Exfiltrationsrisiko — und die Kontrollen, die es eindämmen.
Die Souveränitätsdimension: wohin die Antwort geht
Exfiltration betrifft nicht nur, was ein Agent liest — sie betrifft, wohin die Antwort reist. Ist der Agent ein universeller Assistent, der von einem US-Cloud-Modell gestützt wird, verlässt der Bauplan, den er zusammenstellt, Ihre Kontrolle in dem Moment, in dem er zur Inferenz gesendet wird. Für eine regulierte EU-Institution ist das ein DORA-, CSSF-, DSGVO- und EU-AI-Act-Anliegen, nicht bloß eine Hygienepräferenz.
Deshalb formulieren wir das Ziel als Sovereign Context Layer statt nur als Zugriffskontrolle. Es geht nicht nur darum, wer abfragen darf, sondern wohin die Daten gehen — ein data-residency-aware MCP, der den Egress regelt und regulierten Kontext innerhalb eines von Ihnen kontrollierten Perimeters hält. Um klar zu sein, wo wir stehen: dieser Sovereign Layer ist der Ansatz, auf den wir hinarbeiten, Überzeugung und Roadmap, keine ausgelieferte Fähigkeit. Was heute existiert, ist die Haltung, auf der er ruht — EU-Region- oder On-Premise-Hosting unter Ihrer Kontrolle und ein vernetztes EA-Modell, das um Governance herum gestaltet ist.
Kontrollen, die es eindämmen — bekannt, nicht exotisch
Die ehrliche Lesart ist, dass der Wert real und die Kontrollen bekannt sind. Nichts von dem Folgenden ist neuartige Sicherheitsforschung; es ist die disziplinierte Anwendung von Least Privilege, Egress-Kontrolle und Monitoring auf eine neue Art von Konsument. Eindämmung ist ein Ingenieurproblem mit etablierten Antworten, kein Grund, KI über Architektur zu verbieten.
- Least-Privilege, permission-aware Zugriff: der Agent erreicht nur den Ausschnitt, den eine Aufgabe braucht, niemals den ganzen Graphen standardmäßig
- Redaction und Scoping: die sensibelsten Attribute entfernen oder maskieren, bevor irgendeine Antwort zusammengesetzt wird
- Egress- und Residenzkontrolle: regeln, wohin jede Antwort reisen darf; regulierten Kontext innerhalb eines von Ihnen kontrollierten Perimeters halten
- Vollständige Abfrageprotokollierung: jede Traversierung aufgezeichnet, zuordenbar und für einen Auditor überprüfbar
- Anomalieerkennung bei Abfragen: die breite, strukturkartierende Frage markieren, die keine legitime Aufgabe stellen würde
Die Entscheidung eines CISO: das Tor regeln, nicht den Agenten verbieten
Die falsche Schlussfolgerung ist, KI-Schlussfolgern über Architektur zu verbieten; die Fähigkeit ist zu wertvoll und die Kontrollen sind zu gut verstanden für ein pauschales Nein. Die richtige Schlussfolgerung ist, das EA-Repository als genau das zu behandeln, was es geworden ist — ein hochwertiges Asset hinter einem geregelten Tor — und bewusst zu entscheiden, was es durchquert, an wen und wohin.
Beginnen Sie dort, wo Ihre Praxis tatsächlich steht. Ein nützlicher erster Schritt ist, die eigene Exposition zu kennen: wie aktuell Ihre Karte ist, wie der Zugriff heute begrenzt ist und wohin regulierte Daten fließen. Das kostenlose EA-Reifegrad-Assessment von ArchiLU bewertet zehn Dimensionen und liefert in etwa zehn Minuten einen priorisierten Aktionsplan — ein konkreter Ausgangspunkt, bevor Sie irgendeinen Agenten anbinden. Behandeln Sie dies wie immer als Dokumentations- und Nachweisunterstützung für die DORA/CSSF-Prüfung, nicht als Konformitätsgarantie.
Sobald ein KI-Agent Ihr EA-Repository abfragen kann, wird dieses Repository zu einer neuen Angriffsfläche. Die Sicht eines CISO auf das Exfiltrationsrisiko — und die Kontrollen, die es eindämmen.
FAQ
Schafft der Zugriff eines KI-Agenten auf unser EA-Repository eine neue Angriffsfläche?
Ja. Das Repository selbst war immer sensibel, aber ein Mensch liest ein Diagramm nach dem anderen. Ein Agent kann den gesamten Graphen in Sekunden durchqueren, Abhängigkeitsketten verknüpfen, einzelne Ausfallpunkte und ungepatchte Komponenten zutage fördern und alles in einer einzigen strukturierten Antwort zurückgeben. Diese Geschwindigkeit und Vollständigkeit sind die neue Angriffsfläche — nicht weil sich die Daten geändert hätten, sondern weil sich der Zugriff darauf geändert hat. Die Exposition ist real; die Kontrollen, die sie eindämmen, sind gut verstanden.
Was könnte ein Angreifer tatsächlich aus einer Architekturkarte extrahieren?
Eine EA-Karte kommt einem Bauplan der Organisation nahe: das vollständige Systeminventar, kritische Abhängigkeitsketten, einzelne Ausfallpunkte, veraltete oder ungepatchte Komponenten, sensible Datenflusspfade und manchmal die Sicherheitsmaßnahmen, die sie schützen. Ein zu breiter Prompt — nicht nur ein bösartiger — kann all das in eine einzige Antwort ziehen. Aufklärungsarbeit, die einen Angreifer früher Wochen des Sondierens kostete, kann von einem überberechtigten Agenten in einer Abfrage zurückgegeben werden.
Was ist Prompt Injection in diesem Kontext?
Prompt Injection liegt vor, wenn nicht vertrauenswürdige Inhalte, die der Agent liest — ein Ticket, ein Dokument, eine Modellannotation —, versteckte Anweisungen tragen, die den Agenten umlenken. Ist dieser Agent gegenüber Ihrem EA-Repository überberechtigt, kann eine injizierte Anweisung eine Routineabfrage in einen Exfiltrationsversuch verwandeln. Die Verteidigung besteht darin, dem Prompt nicht zu vertrauen: begrenzen Sie, was der Agent erreichen kann, regeln Sie, wohin jede Antwort gehen darf, und protokollieren Sie jede Abfrage, damit Anomalien sichtbar werden.
Wie unterscheidet sich das von einem Menschen, der ein Diagramm liest?
Ein Mensch, der ein Diagramm liest, sieht eine Sicht, mit menschlicher Geschwindigkeit, und hinterlässt eine menschlich sichtbare Spur. Ein Agent, der den gesamten Graphen durchqueren kann, verknüpft Sichten, die der Leser nie verknüpfen würde, mit Maschinengeschwindigkeit, und kann durch injizierte Anweisungen gesteuert werden. Das Risiko ist nicht, dass KI-Schlussfolgern über Architektur falsch wäre — unter Kontrolle ist es wirklich wertvoll —, sondern dass ungeregelte Traversierung eine nützliche Fähigkeit in einen Exfiltrationspfad verwandelt.
Beseitigt Archilus Sovereign Context Layer dieses Risiko heute?
Kein Werkzeug beseitigt es, und wir werden nichts anderes behaupten. Der Sovereign Context Layer und ein data-residency-aware MCP sind der Ansatz, auf den wir hinarbeiten — Überzeugung und Roadmap, kein ausgeliefertes Produkt. Real ist heute die Haltung: EU-Region- oder On-Premise-Hosting unter Ihrer Kontrolle, ein vernetztes EA-Modell und ein Design, das auf Governance ausgerichtet ist. ArchiLU hilft, Kontrollen für die DORA/CSSF-Prüfung zu dokumentieren und nachzuweisen; es macht Sie nicht von sich aus konform.
Strategische Links
Enterprise-Architecture-Plattformen vergleichen
Verwandte Artikel
Archilu vs Avolution ABACUS : EA transparent et souverain vs modélisation et analytique poussées
Une comparaison honnête : là où le prix transparent, la souveraineté UE et le time-to-value d'Archilu gagnent, et là où la modélisation mature et riche en analytique d'Avolution ABACUS convient mieux.
Archilu vs Orbus : EA souverain et transparent vs suite Microsoft
Une comparaison honnête : là où le prix transparent et la souveraineté UE d'Archilu gagnent, et là où l'intégration Microsoft 365 et la profondeur reconnue par Gartner d'Orbus conviennent mieux.
LeanIX vs Ardoq : deux philosophies EA, et une troisième voie souveraine
LeanIX mise sur la visibilité du portefeuille et un onboarding rapide ; Ardoq sur un modèle en graphe piloté par la donnée. Voici comment ils diffèrent — et un troisième profil souverain.