Dein Team hat in den letzten zwei Wochen KI-Agenten in Notion, Jira und GitHub hochgefahren. Das Onboarding war fast beleidigend einfach — ein API-Key (ein Passwort, mit dem Software mit anderer Software redet), ein paar Klicks, vielleicht eine Kaffeepause. Der Agent liest deine Tickets, pusht Code, postet in Slack. Du hattest das Gefühl, die Zukunft ist endlich da.

Dann war die Pilotphase vorbei. Oder dein Security-Team ist aufgewacht. Oder du hast den Anbieter gewechselt. Und jetzt musst du eine Frage beantworten, die niemand vorher gestellt hat: Wie schaltet man einen Agenten eigentlich wieder ab?

Die Umfrage der Cloud Security Alliance, veröffentlicht erst gestern am 21. April, liefert eine Zahl für die Lücke: Nur 21 % der Unternehmen haben irgendeinen formalen Prozess zur Stilllegung von KI-Agenten. Gleichzeitig hatten 65 % im vergangenen Jahr bereits sicherheitsrelevante Vorfälle mit Agenten. Anthropic hat Managed Agents am 8. April ausgeliefert, OpenAI sein Agents SDK am 15. April aktualisiert, und Google hat seine Agenten-Plattform auf der Cloud Next am 22. April enthüllt — drei produktionsreife Launches in einem einzigen Zwei-Wochen-Fenster. Jede Plattform hat detaillierte Onboarding-Guides veröffentlicht. Keine — buchstäblich null — hat einen Offboarding-Guide veröffentlicht.

Was "Abschalten" eines Agenten wirklich bedeutet

Einen Agenten stillzulegen ist kein Schalter umlegen. Es ist eher so, als würdest du einen Mitarbeiter feuern, der Schlüssel zu jedem Büro hat, sich an jedes Gespräch erinnert und ein Dutzend automatisierte Workflows eingerichtet hat, die kein Mensch sonst versteht.

Hier ist die echte Checkliste, die niemand geschrieben hat:

  • OAuth-Tokens widerrufen — OAuth ist das System, das einem Agenten Zugriff auf deine Tools (GitHub, Jira, Slack) in deinem Namen gewährt. Wenn du einen Agenten mit einem Tool "verbindest", gibst du ihm ein Token — eine digitale Eintrittskarte. Diese Karte läuft nicht ab, wenn du aufhörst, für den Agenten zu zahlen. Sie liegt einfach da. Gültig und vergessen.
  • Memory Stores bereinigen — Agenten haben jetzt persistenten Speicher: Sie erinnern sich an vergangene Gespräche, Entscheidungen und deine Daten. Anthropics Memory Stores API erlaubt es dir, Erinnerungen einzeln zu löschen, bietet aber keinen Bulk-Delete-Endpoint. Alles auf einmal löschen? Jede einzelne Memory aufzählen und einzeln löschen. Viel Spaß.
  • Geplante Aktionen stornieren — Agenten können auf Cron-Schedules laufen (automatisierte wiederkehrende Aufgaben, wie "check dieses Repo jeden Morgen um 9 Uhr"). Diese Schedules laufen unter der Identität des Nutzers, der sie erstellt hat. Der Nutzer verlässt die Firma — der Cron läuft weiter.
  • Offene Arbeit neu zuweisen — Wenn der Agent offene Pull Requests, zugewiesene Tickets oder ausstehende Reviews hatte, gehören die jetzt einem Geist.
  • Abhängige Agenten benachrichtigen — In Multi-Agent-Setups rufen andere Agenten möglicherweise den stillgelegten auf. Sie scheitern dann lautlos oder — schlimmer — hängen für immer.

Keine Plattform automatisiert irgendetwas davon.

Die Zahlen sind schlimmer als du denkst

Laut Token-Security-CEO Itamar Apelblat, interviewt am 9. April: 65,4 % der agentischen Chatbots wurden seit ihrer Erstellung nie benutzt, behalten aber weiterhin aktive Zugangsdaten. Mehr als die Hälfte der externen Agenten-Aktionen basiert auf hart codierten Credentials statt auf OAuth — das heißt, du kannst sie nicht einmal über Standard-Identity-Management widerrufen.

"Viele Organisationen behandeln KI-Agenten immer noch eher wie Wegwerf-Produktivitätsexperimente als wie verwaltete Identitäten", sagte Apelblat gegenüber Help Net Security.

Er ist höflich. Was er meint: Du hast einem Bot Lesezugriff auf deine Produktionsdatenbank gegeben, hattest irgendwann keinen Bock mehr und hast ihn mit steckendem Schlüssel im Zündschloss stehen lassen.

Die echte Bedrohung: Zombie-Credentials

Die Gefahr ist nicht der Zombie-Agent selbst. Ein toter Agent, der nicht laufen kann, ist harmlos. Die Gefahr sind die Zombie-Credentials — die OAuth-Tokens, API-Keys und Service-Account-Berechtigungen, die den Agenten überleben.

Ein Agent, der autorisiert war, dein Jira zu lesen, in dein GitHub zu pushen und in deinem Slack zu posten, verliert diese Berechtigungen nicht, wenn du aufhörst, Anthropic oder OpenAI zu bezahlen. Diese Berechtigungen leben in deinem Identity Provider, deinen SaaS-Apps, deinem Cloud IAM (Identity and Access Management — das System, das kontrolliert, wer auf was zugreifen darf). Die Agenten-Plattform weiß nicht mal, dass sie existieren, weil sie sie nie vergeben hat.

Microsoft hat das Problem vor drei Wochen erkannt und sein Agent Governance Toolkit am 2. April als Open Source veröffentlicht — sieben Pakete, die alle 10 OWASP-Agentic-AI-Risiken abdecken (OWASP ist der Standardkatalog für Anwendungssicherheitsbedrohungen), komplett mit einem Notfall-"Kill Switch" und einem "Trust Decay"-Modell, das Agentenberechtigungen mit der Zeit reduziert. Klingt super. Aber lies die Doku genau: Sie deckt Runtime Security ab — was passiert, solange der Agent lebt. Sie deckt weder Stilllegung noch Credential-Cleanup ab. Das Toolkit hilft dir, den Agenten zu beobachten. Es hilft dir nicht, ihn zu beerdigen.

Die AVP of Research der CSA, Hillary Baron, fasste es am 21. April zusammen: "KI-Agenten-Sicherheit und -Governance umfasst ein vernetztes System aus Sichtbarkeit, Lifecycle-Management, Richtlinien und Monitoring." Übersetzung: Du musst jeden Agenten sehen, sein ganzes Leben von Geburt bis Tod managen, Regeln festlegen und alles überwachen. Unternehmen machen davon aktuell ungefähr gar nichts.

Du warst schon mal hier

Mitarbeiter-Offboarding — der formale Prozess, Zugänge zu entziehen, wenn jemand ein Unternehmen verlässt — hat Unternehmen rund 20 Jahre gekostet, bis es in Standards wie SCIM (ein Protokoll zur automatischen Verwaltung von Benutzerkonten über Dienste hinweg) und JML-Provisioning (Joiners, Movers, Leavers — der HR-zu-IT-Workflow) kodifiziert war. Zwanzig Jahre, und die meisten Firmen bekommen es immer noch nicht hin.

Agenten-Offboarding ist bei Tag null. Aber Unternehmen deployen Agenten schneller, als sie je Menschen eingestellt haben. Die CSA-Umfrage fand 51 % Schatten-Agenten — Agenten, die niemand offiziell genehmigt hat — die aus interner Automatisierung und Scripting entstehen. Deine Entwickler fahren Agenten so hoch, wie sie 2012 EC2-Instanzen hochgefahren haben: schnell, billig und ohne einen einzigen Gedanken daran, wer hinterher aufräumt.

Die Plattform, die als erste Agent Lifecycle Management liefert — einen vollständigen Deploy-to-Decommission-Workflow mit Credential-Kaskade, Memory Purge und Dependency-Benachrichtigung — gewinnt das Enterprise-Procurement. Bis dahin ist jeder stillgelegte Agent eine Tür, die du vergessen hast abzuschließen. Und du hast eine Menge Türen.