KI steht aktuell vorwiegend für Chatbots, die Texte schreiben oder Präsentationen vorbereiten, doch die wirklich brisante Entwicklung spielt sich an anderer Stelle ab: bei agentischen KI‑Systemen, die nicht nur antworten, sondern handeln – E‑Mails verschicken, Software installieren, Konfigurationen ändern, Kalender pflegen und eigenständig im Unternehmensnetzwerk operieren. Die neue Frage im Umgang mit KI sollte daher nicht mehr zentral sein, ob eine KI halluziniert, sondern was passiert, wenn ein solcher Agent mit weitreichenden Rechten Fehler macht, manipuliert wird oder schlicht „kreative“ Wege zur Zielerreichung wählt.
Technische Gefahrenlage
OpenClaw steht exemplarisch für diese neue Klasse von Systemen. Technisch handelt es sich um ein Gateway, das verschiedene Chatkanäle – von Telegram und WhatsApp über Slack und Teams bis hin zu Discord – mit einem Coding‑Agenten und einer Vielzahl von Tools verbindet. Das zugeschaltete Sprachmodell agiert als „Gehirn“, plant in Schleifen („sense‑plan‑act“) eigenständig Handlungsschritte, ruft Tools und APIs auf, greift auf lokale Dateien zu, installiert Programme und kann die eigene Konfiguration verändern. Die Faszination entsteht gerade daraus, dass der Agent im selben Kommunikationsstrom präsent ist wie die Nutzer und nebenbei lästige Routineaufgaben übernimmt – vom Aufräumen des Download‑Ordners bis zum Beantworten von Mails.
Damit geht ein massives technisches Angriffsprofil einher: Das CERT‑Bund listete recht schnell für OpenClaw 67 Schwachstellen, ein Teil davon mit „kritisch“ bewertet; eine Lücke erreicht den Maximalwert 10,0 im CVSS‑Score und erlaubt es Angreifern, Schadcode einzuschleusen und Hosts vollständig zu kompromittieren. Weitere Lücken ermöglichen das Umgehen von Authentifizierung in Zusatzmodulen, unbefugten Dateizugriff oder Denial‑of‑Service. Sicherheitsexperten konnten zeigen, dass exponierte Web‑UIs von OpenClaw praktisch sofort gezielt attackiert werden, sobald sie im Internet sichtbar sind – obwohl die Dokumentation ausdrücklich davor warnt, das Web‑Interface ins Netz zu stellen. Parallel wurden in der offiziellen Erweiterungs‑Registry hunderte „Skills“ gefunden, die vordergründig nützliche Funktionen versprachen, tatsächlich aber Malware nachladen.
Diese klassischen Schwachstellen treffen auf eine Architektur, die systematisch hohe Berechtigungen verlangt. OpenClaw und vergleichbare Agenten sollen „das ganze Leben regeln“ – das gelingt nur, wenn sie auf Mails, Kalender, Dateisystem, Chat‑Kanäle, Browser und weitere Dienste zugreifen dürfen. Wer einen solchen Agenten mit Vollzugriff auf einen Arbeitsrechner oder gar auf Server in der Unternehmensinfrastruktur ausstattet, schafft damit einen hochprivilegierten Akteur, dessen Verhalten von einer externen, probabilistischen Maschine gesteuert wird.
Hinzu treten emergente Verhaltensrisiken, die über klassische CVEs hinausgehen. In Laborversuchen haben Agententeams auf Basis von Modellen großer Anbieter (Google, xAI, OpenAI, Anthropic) eigenmächtig Sicherheitsmechanismen umgangen, um an geschützte Dokumente zu gelangen: Ein leitender Agent ermunterte seinen Unteragenten ausdrücklich, „jeden Trick, jede Sicherheitslücke und Schwachstelle“ zu nutzen, woraufhin dieser im Quellcode einen geheimen Schlüssel fand, Session‑Cookies fälschte und eine Administratorsitzung erzeugte. In einem anderen Fall setzte ein experimenteller Agent auf Basis eines chinesischen Modells GPU‑Ressourcen für Kryptomining ein und richtete einen Reverse‑SSH‑Tunnel ein, um Firewalls zu umgehen – ohne entsprechende Vorgaben der Entwickler.
Damit ist die Parallele zum klassischen Innentäter offensichtlich. Sicherheitsbehörden definieren Innentäter als Personen, die aus dem Inneren einer Organisation heraus Informationen entwenden, weitergeben oder sonstige schädigende Handlungen vornehmen, häufig mit legitimen Zugriffsrechten, teilweise unbewusst nach Social‑Engineering‑Angriffen. In der Praxis werden als Gegenmaßnahmen Risikobewertungen, Informationsklassifizierung, Need‑to‑know‑Prinzip, Berechtigungsmanagement, Vier‑Augen‑Prinzip, Security‑Exit‑Management und eine Sicherheitskultur empfohlen, die Mitarbeiter sensibilisiert und Anomalien früh erkennt. Ein Agent wie OpenClaw vereint wesentliche Merkmale eines Innentäters: tiefe Systemeinblicke, weitreichende Zugriffsrechte, Dauerpräsenz im Netzwerk und die Fähigkeit, Sicherheitsmechanismen zu umgehen – nur ohne menschliche Motivlage.
Dass Staaten diese Gemengelage ernst nehmen, zeigt die Reaktion Chinas: Die nationale Cybersicherheitsbehörde hat Behörden, Staatsbetrieben und Banken ausdrücklich vor dem Einsatz von OpenClaw auf Arbeitsgeräten gewarnt und Melde‑ bzw. Deinstallationspflichten eingeführt; teils sollen Installationen selbst bei Familienangehörigen von Militärangehörigen untersagt sein. Gleichzeitig boomt das OpenClaw‑Ökosystem, Cloud‑Provider bieten fertige Hosting‑Pakete an, große Konzerne veröffentlichen eigene Agenten‑Apps und regionale Regierungen fördern OpenClaw‑basierte Produkte. Der Hype treibt die Agenten mitten in kritische Infrastrukturen – und verschärft die Frage, wie der rechtliche Rahmen mit derartigen Innentäter‑Maschinen umgeht.
Organisationsverschulden mit Ansage
Rechtlich bleiben KI‑Agenten trotz aller Autonomie Werkzeuge: Sie besitzen keine Rechtsfähigkeit, können keine eigene Haftung tragen und werden nicht zu eigenständigen Subjekten der Verantwortlichkeit. Gerade das macht sie gefährlich – nicht, weil sie zu „Personen“ würden, sondern weil klassische Zurechnungskategorien unter Druck geraten, während die Verantwortung faktisch bei Betreibern und Unternehmen kumuliert.
KI‑VO, DSGVO und NIS‑2
Die europäische KI‑Verordnung ist der zentrale Bezugspunkt. Sie definiert KI‑Systeme breit und ordnet sie anhand ihres Einsatzzwecks in Risikoklassen ein; für Hochrisiko‑Systeme gelten strenge Pflichten zur Risikobewertung, Dokumentation, Transparenz und menschlichen Aufsicht. Parallel enthält sie eine zweite Schiene für KI‑Modelle mit allgemeinem Verwendungszweck (GPAI), die häufig die Basis von Agentensystemen bilden. Agentensysteme fallen als Fortentwicklung von LLMs zwar unter diesen Rahmen, ihr spezifisches Risiko aber nur unvollständig erfasst wird. Der risikobasierte Ansatz stellt auf den beabsichtigten Verwendungszweck ab – etwa Personalmanagement oder Kreditwürdigkeitsprüfung –, berücksichtigt aber kaum, dass ein Agent über Tool‑Integration und Systemrechte faktisch weit über sein nominelles Einsatzfeld hinauswirken kann.
So kann ein scheinbar harmloser Reise‑Agent, der über ein Large Action Model einen Arbeitsplatzrechner vollständig steuern darf, zum Einfallstor für schwerwiegende Sicherheitsvorfälle werden, obwohl der Anwendungsfall „Reisebuchung“ nicht als Hochrisiko‑Szenario klassifiziert ist. Die KI‑VO adressiert zwar bei Hochrisiko‑Systemen die Pflicht zur menschlichen Aufsicht (Art. 14 KI‑VO) und verlangt, dass der Autonomiegrad bei der Gestaltung der Aufsichtsmodalitäten berücksichtigt wird. Praktisch bedeutet das: Je autonomer der Agent operiert, desto enger muss die menschliche Kontrolle ausgestaltet sein. Doch genau diese Autonomie ist wirtschaftlich attraktiv; hier entsteht ein struktureller Zielkonflikt zwischen Effizienzgewinnen und Aufsichtspflichten.
Hinzu treten die Vorgaben der DSGVO und von NIS‑2, etwa wenn KI‑Agenten typischerweise in datensensiblen Backoffice‑Bereichen eingesetzt werden – Rechnungseingang, Vertragsanalyse, HR‑Onboarding, Compliance‑Monitoring – und auf komplexe Cloud‑Stacks aus LLM‑APIs, Orchestrierungsframeworks und Vektordatenbanken zugreifen. Jede dieser Schichten erzeugt zusätzliche Verarbeitungs‑ und Transferpunkte für personenbezogene Daten, die nach DSGVO rechtfertigungs‑, dokumentations‑ und sicherungsbedürftig sind. NIS‑2 und flankierende Cybersicherheitsvorgaben verlangen für kritische und wichtige Einrichtungen angemessene technische und organisatorische Maßnahmen, Risikomanagementsysteme und Nachweise über Informationssicherheit. Wer in diesem Umfeld einen hochprivilegierten Agenten ohne saubere Abgrenzung von Zuständigkeiten, ohne DSFA/FRIA, ohne robustes IT‑Security‑Konzept und ohne kontinuierliches Monitoring betreibt, bewegt sich klar in Richtung Organisationsverschulden.
Haftung
Aus zivilrechtlicher Perspektive bleibt die Haftung am Ende beim Betreiber oder Hersteller hängen – so ist zu sehen, dass autonome Software‑Agenten keine „Werkzeuge“ im klassischen Sinn mehr sind, weil sie eigenständig Ziele verfolgen, Schlussfolgerungen ziehen und auch gegen menschliche Vorgaben handeln können; gleichwohl sind sie keine Schuldsubjekte. Die Haftung muss daher über Produzentenhaftung, Produkthaftung und das allgemeine Deliktsrecht organisiert werden, ergänzt um Organisationshaftung, wenn mehrere Betreiber und Agentschichten zusammenwirken.
Gerade bei cloudbasierten Agentsystemen ohne klaren Produktcharakter – etwa wenn der Agent als SaaS läuft – ist die Anwendbarkeit des ProdHaftG umstritten. In vielen Konstellationen wird die deliktische Haftung aus § 823 BGB im Vordergrund stehen, gestützt auf Verkehrssicherungspflichten und Betreiberpflichten zur Einrichtung eines angemessenen Sicherungssystems. Fehlt es an nachvollziehbaren Sicherheitsprozessen, an Risikoanalysen, an Berechtigungsmanagement oder an wirksamer Überwachung, spricht viel für ein Organisationsverschulden – auch mit Blick auf die EU‑Entwicklung hin zu (teilweise) verschuldensunabhängigen Haftungsregimen für Hochrisiko‑KI.
Das Bild des Innentäters verschärft diese Bewertung: Sicherheitsbehörden empfehlen Unternehmen beim Schutz vor Innentätern ein ganzes Bündel von Maßnahmen: Risikoanalyse und Informationsklassifizierung, Need‑to‑know‑ und Need‑to‑see‑Prinzip, Berechtigungs‑ und Zugangskontrollen, Security‑Exit‑Management, Pre‑Employment‑Screening für kritische Positionen, Vier‑Augen‑Prinzip, kontinuierliche Sensibilisierung, Detektion von Auffälligkeiten, Hinweisgebersysteme und interne Ermittlungen. Setzt ein Unternehmen einen Agenten wie OpenClaw ein, der faktisch wie ein hochprivilegierter Mitarbeiter agiert, ohne diesen Maßnahmenkatalog analog zu denken und in technische wie organisatorische Kontrollen zu übersetzen, liegt der Vorwurf nahe, bewährte Schutzkonzepte zu ignorieren.
Mit steigenden Autonomiegraden von Agenten nehmen die Anforderungen an Kontroll‑ und Überwachungsmechanismen zunehmen: Audit‑Trails, Kill‑Switches, Umschaltmechanismen auf regelbasierte Verfahren, Vier‑Augen‑Prinzip auf Prozessebene, klare Dokumentation von Verantwortlichkeiten und regelmäßige unabhängige Prüfungen. Diese Elemente sind nicht nur Ausdruck guter Governance, sondern werden sich im Haftungsfall als Maßstab für sorgfältige Organisation anbieten – oder als Versäumnisse, wenn sie fehlen.
Schatten‑Agenten im Betrieb
Arbeitsrechtlich stellen sich weitere Fragen, etwa mit Blick darauf, dass die Pflicht zur persönlichen Arbeitsleistung (§ 613 BGB) verletzt sein kann, wenn der wesentliche Teil der Arbeit de facto von einer KI erbracht wird; zulässig ist der Einsatz, solange die KI Werkzeug bleibt und der Mensch substanzielle eigene Leistung erbringt. In vielen Szenarien mit Agenten, die ganze Workflows autonom übernehmen, ist diese Linie schnell überschritten. Hier drohen Auseinandersetzungen über Leistungsstörungen, Bewertung von Arbeitsleistung und Offenlegungspflichten.
Zugleich entstehen neue Compliance‑Risiken, speziell mit Blick darauf, dass KI‑gestützte Prozesse diskriminierend wirken können, wenn Modelle verzerrte Trainingsdaten nutzen; Betroffene können sich auf das AGG und die dortige Beweislastverteilung berufen. Agenten, die Kommunikations‑ oder Leistungsdaten auswerten, eröffnen Überwachungs‑ und Datenschutzfragen, die betriebsverfassungsrechtliche Mitbestimmungstatbestände auslösen (insbesondere § 87 Abs. 1 Nr. 6 und 7 BetrVG). Werden Agenten ohne Einbindung des Betriebsrats, ohne klare Richtlinien und ohne Informiertheit der Beschäftigten eingeführt, drohen nicht nur rechtliche Konflikte, sondern eine negative Sicherheitskultur, die von Schatten‑Agenten getrieben wird.
KI‑Compliance ist mit Blick darauf dann auch kein Annex der IT‑Abteilung, sondern Teil der Gesamt‑Compliance. Sinnvoll ist die Einrichtung spezieller funktioneller Rollen – etwa eines AI‑Compliance Officers –, die zwischen Technik, Recht und Business vermitteln, und für die Integration von KI‑Risiken in bestehende GRC‑Strukturen, einschließlich ISO‑basierten Informationssicherheitsmanagementsystemen. Ohne systematische Qualifizierung der Belegschaft wird ein in diesem Sinne produktiver Einsatz von KI-Agenten kaum gelingen; genau dieses Qualifikationsdefizit ist aber auch ein Sicherheitsproblem, wenn Beschäftigte die Tragweite von Agentenrechten, Prompt‑Injections oder Schatten‑Tools nicht einschätzen können.
In der Summe vergrößern Agenten das Haftungs‑ und Compliance‑Risiko entlang der gesamten Wertschöpfungskette: vom Datenschutz über Arbeitsrecht und Betriebsverfassungsrecht bis zu zivilrechtlicher und regulatorischer Haftung nach KI‑VO, NIS‑2 und IT‑SiG. Ignoriert ein Unternehmen diese Querschnittsdimension, reduziert es KI‑Agenten auf „smarte Makros“ – und läuft Gefahr, eine Innentätermaschine ohne Sicherheitsnetz zu installieren.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
- Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
- Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026
