Eure IT-Abteilung weiß, wo jeder Laptop ist. Jedes SaaS-Abo hat einen Verantwortlichen. Jeder Server lebt in einer Inventar-Tabelle, die irgendjemand vierteljährlich aktualisiert und "Governance" nennt. Zwei Jahrzehnte Enterprise-IT-Management haben diese Disziplin aufgebaut, und sie funktioniert — für Dinge, die auf einer Bestellung auftauchen.
KI-Agenten tauchen nicht auf Bestellungen auf. Sie tauchen in eurer Produktionsumgebung um 2 Uhr nachts auf, authentifiziert als euer Senior Engineer, und committen Code, den euer Security-Team beim nächsten Quartals-Audit entdecken wird — wenn ihr Glück habt.
In den letzten zwei Wochen hat Anthropic Managed Agents veröffentlicht, OpenAI das Agents SDK v0.14 herausgebracht und Google die Cloud Next 2026 eröffnet — mit einer Keynote namens "The agentic cloud". Jeder Teamlead mit API-Credentials kann jetzt an einem Nachmittag autonome Arbeiter deployen, die mit Jira, Slack, GitHub und Gmail verbunden sind. Die Einstiegshürde sank von "ruf deinen Vertriebler an" auf "füll ein Formular aus". Und den Daten nach zu urteilen hat jeder das Formular ausgefüllt, bevor die IT informiert wurde.
Eine Umfrage der Cloud Security Alliance unter 418 Security-Fachleuten, veröffentlicht am 21. April, ergab: 82 % der Unternehmen entdeckten zuvor unbekannte KI-Agenten in ihren Umgebungen. Vier von fünf Organisationen fanden Agenten, die niemand angefordert, niemand genehmigt und niemand überwacht hatte. Gleichzeitig glaubten 68 % derselben Befragten, sie hätten gute Sichtbarkeit. Selbstsicher und falsch — die gefährlichste Kombination in der Security und offenbar die Standard-Haltung im Enterprise-Bereich 2026.
Es wird noch besser. Eine zweite CSA-Umfrage vom 16. April ergab: 53 % der Organisationen erlebten, dass Agenten ihre vorgesehenen Berechtigungen überschritten — also eigenständig Dinge taten, die ihnen niemand aufgetragen hatte. Und wie Fortune am 13. April berichtete, setzen 91 % der Organisationen bereits KI-Agenten ein, aber nur 10 % haben irgendeine Strategie, sie zu managen. Neun von zehn Unternehmen haben den Schlüssel zum Lkw übergeben. Eins von zehn hat geprüft, ob jemand einen Führerschein hat. Dan Mountstephen, SVP beim Identity-Anbieter Okta, brachte es auf den Punkt: Die eigentliche Bedrohung ist nicht, wie intelligent Agenten sind, sondern wie viel Autorität Führungskräfte ihnen delegieren, ohne auch nur eine Sekunde darüber nachzudenken.
Warum das strukturell schlimmer ist als das alte Shadow-IT-Problem, bei dem Mitarbeiter Dropbox an der Firewall vorbeischmuggelten: Diese Agenten authentifizieren sich über OAuth — derselbe "Mit Google anmelden"-Flow, den du bei Consumer-Apps nutzt — und handeln unter echten Mitarbeiter-Identitäten. Wenn ein Agent Code committet, committet er als der Entwickler, der ihn gestartet hat. Wenn er in Slack schreibt, postet er als autorisierte App. Aber kein einziges IT-Asset-Management-Tool — ServiceNow, Intune, Jamf — hat eine Kategorie namens "KI-Agent". Kein Security-Monitoring-System erfasst standardmäßig Agent-Session-Daten. Shadow IT war unautorisierte Software. Shadow Agents sind unautorisierte Arbeiter, die echte Aktionen mit echten Credentials ausführen, die niemand auditieren kann. Gleiche Problemfamilie, böserer Bruder.
Das Ganze nachträglich zu fixen ist die Art von Projekt, bei der Leute anfangen, ihr LinkedIn-Profil zu aktualisieren. Es bedeutet: Jedes OAuth-Grant auditieren, jede MCP-Server-Verbindung, jeden geplanten Agent-Run über drei Vendor-Dashboards hinweg — ohne einheitliche Suche. CrowdStrike und Microsoft haben erste Tools ausgeliefert — Agent Asset Classification bzw. ein Open-Source-Governance-Toolkit für die OWASP-Risikokategorien für agentic AI. Nützlich. Aber ungefähr so, als würde man jemandem einen Wischmop reichen, während das Rohr noch platzt.
Wenn eure Produktionssysteme das nächste Mal um 3 Uhr morgens ausfallen, steht das Incident-Response-Team vor einer Frage, die es vor einem Monat noch nicht gab: "Macht gerade ein KI-Agent irgendwas?" In den meisten Organisationen kann kein Monitoring-Tool das beantworten. Das Team, das eigentlich einen Datenbank-Ausfall triagen sollte, spielt stattdessen Detektiv über drei Cloud-Konsolen hinweg und hofft, dass der Agent, der etwas kaputt gemacht hat, auch ein Log hinterlassen hat. Hoffnung ist keine Incident-Response-Strategie.
Shadow IT brauchte ein Jahrzehnt, um einen Namen und eine Vendor-Kategorie — CASB — zu bekommen. Shadow Agents haben die gleiche Ausbreitung in zwei Wochen erreicht. Der erste IT-Asset-Management-Anbieter, der "KI-Agent" als eigene Asset-Klasse einführt, baut kein Feature. Er baut die nächste Enterprise-Security-Kategorie. Und beim aktuellen Tempo ist er jetzt schon zu spät dran.
