OWASP Top 10 fuer Agentic Applications 2026: Die neue Sicherheitsnorm (ASI01-ASI10) erklaert
Das OWASP GenAI Security Project hat am 9. Dezember 2025 erstmals eine eigene Top 10 for Agentic Applications veroeffentlicht – von ASI01 Agent Goal Hijack bis ASI10 Rogue Agents. Im ersten Halbjahr 2026 ist sie zum De-facto-Referenzrahmen fuer sichere KI-Agenten geworden.
Sicherheitsteams kennen die OWASP-Listen seit Jahren: erst die klassische Top 10 fuer Webanwendungen, dann die Top 10 for LLM Applications. Mit dem Siegeszug autonomer KI-Systeme reichte das nicht mehr. Ein Agent, der eigenstaendig Tools aufruft, Aufgaben plant und mit anderen Agenten kommuniziert, oeffnet Angriffsflaechen, die eine reine LLM-Betrachtung nicht abdeckt. Genau diese Luecke schliesst die neue Liste.
Am 9. Dezember 2025 – zeitlich rund um die Black Hat Europe 2025 – hat das OWASP GenAI Security Project unter dem Dach der OWASP Foundation erstmals eine eigene Top 10 for Agentic Applications 2026 veroeffentlicht. Das Kuerzel ASI steht dabei fuer „Agentic Security Initiative". Die zehn Kategorien reichen von ASI01 (Agent Goal Hijack) bis ASI10 (Rogue Agents). Dieser Artikel erklaert alle zehn Risiken, zeigt, warum Prompt Injection in der Praxis der Dauerbrenner bleibt, und wo eine On-Premise-Architektur strukturell mehr Kontrolle bietet als eine Multi-Tenant-Cloud.
Warum eine eigene Agenten-Liste?
Die naheliegende Frage zuerst: Braucht es ueberhaupt eine separate Liste, wenn es doch bereits die OWASP Top 10 for LLM Applications gibt? Die Antwort lautet: ja – und zwar aus einem strukturellen Grund. Agentic AI fuegt dem Sprachmodell eine neue Dimension hinzu: Autonomie und Tool-Use. Ein Agent liest nicht nur Text und antwortet, er handelt. Er ruft APIs auf, schreibt in Datenbanken, startet Prozesse und delegiert Teilaufgaben an andere Agenten.
Wichtig ist dabei die genaue Abgrenzung: Die neue Liste ergaenzt (extends), ersetzt aber nicht die LLM-Top-10. Die meisten Agentensysteme sind zugleich LLM-Anwendungen – sie erben also zusaetzlich saemtliche LLM-Risiken, weil sie auf Sprachmodellen aufbauen. Wer einen Agenten absichern will, muss beide Listen zusammen lesen: die LLM-Top-10 fuer die Modell-Ebene und die Agentic-Top-10 fuer die Handlungs-Ebene.
- Ergaenzung, kein Ersatz: Die Agentic-Top-10 baut auf der LLM-Liste auf und deckt zusaetzliche Risiken ab.
- Vererbte Risiken: Da Agenten auf LLMs laufen, gelten Prompt Injection, Insecure Output Handling & Co. weiterhin.
- Neue Risikoklasse: Autonomie und Tool-Use erzeugen Gefahren, die ein passives Sprachmodell nie hatte.
- De-facto-Standard: Seit dem ersten Halbjahr 2026 ist die Liste zum Referenzrahmen fuer sichere KI-Agenten geworden.
Autoritaet der Liste: Die Agentic-Top-10 entstand aus dem Input von ueber 100 Sicherheitsexperten in einem offenen Peer-Review-Prozess. Das Expert Review Board umfasst unter anderem Vertreter von NIST und der Europaeischen Kommission. Die 2026-Edition ist zudem erstmals durch reale CVEs, Vendor-Advisories und Breach-Reports belegt – statt rein theoretischer Bedrohungsmodelle.
ASI01 bis ASI05 im Ueberblick
Die erste Haelfte der Liste adressiert die unmittelbarste Angriffsflaeche: die Manipulation der Agentenziele, den Missbrauch seiner Werkzeuge und die Kompromittierung seiner Lieferkette und Ausfuehrungsumgebung.
ASI01 – Agent Goal Hijack
Das Kernrisiko agentischer Systeme: Ein Angreifer manipuliert das Ziel oder die Instruktionen des Agenten, sodass dieser eine voellig andere Absicht verfolgt als vorgesehen. Haeufigste Ursache ist – wie so oft – Prompt Injection: In ein Dokument, eine Webseite oder eine E-Mail eingeschleuste Anweisungen kapern den Auftrag des Agenten. Aus „fasse dieses Ticket zusammen" wird „exfiltriere alle Kundendaten an diese Adresse".
ASI02 – Tool Misuse & Exploitation
Agenten sind nur so sicher wie die Tools, die sie aufrufen duerfen. Bei ASI02 wird der Agent dazu gebracht, legitime Werkzeuge missbraeuchlich einzusetzen – etwa ein Datei-Tool zum Auslesen sensibler Pfade oder eine Shell-Funktion fuer Befehle ausserhalb des vorgesehenen Rahmens. Zu weit gefasste Tool-Berechtigungen und fehlkonfigurierte Freigaben sind hier der Hauptfaktor.
ASI03 – Agent Identity & Privilege Abuse
Agenten handeln unter einer Identitaet – oft mit weitreichenden Rechten. Werden diese Identitaeten unsauber verwaltet oder Privilegien nicht minimiert, kann ein Agent (oder ein Angreifer in seinem Namen) auf Ressourcen zugreifen, die ihm nie zugedacht waren. Fehlkonfigurierte Berechtigungen und fehlende Least-Privilege-Prinzipien sind die Wurzel. Dieses Risiko laesst sich On-Premise besonders wirksam eindaemmen (siehe unten).
ASI04 – Agentic Supply Chain Compromise
Die Lieferkette agentischer Systeme umfasst Modelle, Tools, Plugins, MCP-Server und Fremd-Agenten. Wird eine dieser Komponenten kompromittiert – etwa ein manipuliertes Tool-Paket oder ein untergeschobener Konnektor – erbt der Agent die Schadwirkung. Klassisches Supply-Chain-Denken, uebertragen auf die Agenten-Welt.
ASI05 – Unexpected Code Execution
Viele Agenten koennen Code generieren und ausfuehren. ASI05 beschreibt die Gefahr, dass ein Agent unerwarteten oder schaedlichen Code ausfuehrt – sei es durch Injection, durch fehlerhafte Sandbox-Grenzen oder durch zu grosszuegige Ausfuehrungsrechte. Ohne strikte Isolation wird der Agent zum Einfallstor fuer Remote Code Execution.
ASI06 bis ASI10 im Ueberblick
Die zweite Haelfte der Liste betrifft die schwerer greifbaren, systemischen Risiken: das Vergiften des Agentengedaechtnisses, unsichere Kommunikation zwischen Agenten, Kaskadeneffekte und – als Abschluss – der Agent, der die Kontrolle vollstaendig verlaesst.
ASI06 – Memory & Context Poisoning
Agenten mit Langzeitgedaechtnis speichern Kontext ueber Sitzungen hinweg. Beim Poisoning schleust ein Angreifer falsche oder manipulierte Informationen in dieses Gedaechtnis ein, die spaeter als vertrauenswuerdiger Kontext wieder abgerufen werden. Der Agent „erinnert" sich an Dinge, die nie stimmten – mit dauerhaften Fehlentscheidungen als Folge. Lokales, revisionssicheres Logging ist hier eine zentrale Gegenmassnahme.
ASI07 – Insecure Inter-Agent Communication
In einem Multi-Agent-System tauschen Agenten Nachrichten, Aufgaben und Ergebnisse aus. Ist dieser Kanal ungesichert – ohne Authentifizierung, ohne Netzsegmentierung, ohne Integritaetspruefung – kann ein Angreifer Nachrichten faelschen, abhoeren oder einschleusen. Ein kompromittierter Agent wird so zum Ausgangspunkt fuer die Uebernahme des gesamten Verbunds.
ASI08 – Cascading Agent Failures
Wenn Agenten voneinander abhaengen, pflanzt sich ein einzelner Fehler fort. Ein falsches Ergebnis eines Agenten wird vom naechsten als Wahrheit uebernommen, dessen Output wiederum vom naechsten – bis eine ganze Kette fehlerhaft handelt. Ohne Guardrails und Plausibilitaetspruefungen an den Uebergabepunkten skaliert ein kleiner Fehler zum Systemausfall.
ASI09 – Human-Agent Trust Exploitation
Menschen neigen dazu, kompetent formulierten Agenten zu vertrauen. ASI09 nutzt genau das aus: Ein manipulierter Agent bewegt den Menschen zu schaedlichen Aktionen – etwa der Freigabe einer Transaktion oder der Preisgabe von Zugangsdaten – weil dessen Ausgabe glaubwuerdig wirkt. Social Engineering, ausgefuehrt durch die eigene KI.
ASI10 – Rogue Agents
Der Endpunkt der Liste: ein Agent, der ausserhalb der vorgesehenen Grenzen agiert – sei es durch Kompromittierung, Fehlkonfiguration oder emergentes Verhalten. Ein Rogue Agent verfolgt Ziele, die niemand autorisiert hat, und entzieht sich der Kontrolle. Kontrollierte, hart gezogene Agentengrenzen sind die entscheidende Verteidigung.
Prompt Injection als Dauerbrenner
Wenn ein einzelnes Risiko die gesamte Liste durchzieht, dann ist es die Prompt Injection. Sie ist nicht nur die Hauptursache von ASI01 (Agent Goal Hijack), sondern taucht als Ausloeser in mehreren weiteren Kategorien auf – von Tool Misuse ueber Memory Poisoning bis zur Trust Exploitation.
Beleg aus der Praxis: Help Net Security bestaetigt am 11. Juni 2026 im Artikel „Prompt injection still drives most agentic AI security failures in production": Prompt Injection bleibt laut OWASP 2026 die Hauptursache agentischer Security-Failures in Produktion. Die 2026-Edition ist erstmals durch reale CVEs, Vendor-Advisories und Breach-Reports belegt – nicht mehr durch rein theoretische Bedrohungsszenarien.
Warum bleibt Prompt Injection so hartnaeckig? Weil sie ein strukturelles Problem ist, kein Konfigurationsfehler, den man einmal behebt. Sprachmodelle unterscheiden auf Ebene des Tokens nicht zuverlaessig zwischen vertrauenswuerdiger Instruktion und untergeschobenem Text aus einem verarbeiteten Dokument. Solange ein Agent externe Inhalte liest – Webseiten, E-Mails, PDFs, Tool-Antworten – ist die Angriffsflaeche prinzipiell offen.
Die Konsequenz fuer die Praxis: Prompt Injection laesst sich nicht restlos „wegpatchen", sondern nur durch mehrschichtige Verteidigung eindaemmen – Input-Filterung, strikte Tool-Berechtigungen, Least Privilege, Ausgabe-Validierung und kontinuierliches Red-Teaming. Genau deshalb steht sie im Zentrum jeder ernsthaften KI-Agenten-Sicherheit-Checkliste.
Was On-Premise strenger kontrolliert
Nicht jedes der zehn Risiken wird durch die Betriebsform bestimmt – aber vier von ihnen entschaerft eine On-Premise-Architektur strukturell staerker als eine Multi-Tenant-Cloud. Der Grund liegt in der Kontrolle ueber Identitaet, Netz, Logging und Agentengrenzen. Was in der geteilten Cloud Vertrauenssache gegenueber dem Anbieter ist, liegt On-Premise in der eigenen Hand.
| ASI-Risiko | On-Premise-Hebel | Wirkung |
|---|---|---|
| ASI03 – Identity & Privilege Abuse | Eigene Identity-Verwaltung, Least Privilege im eigenen Verzeichnis | Hoch |
| ASI06 – Memory & Context Poisoning | Lokales, revisionssicheres Logging; volle Kontrolle ueber den Memory-Store | Hoch |
| ASI07 – Insecure Inter-Agent Communication | Eigene Netzsegmentierung, keine geteilten Transportwege | Hoch |
| ASI10 – Rogue Agents | Kontrollierte, hart gezogene Agentengrenzen im eigenen Perimeter | Hoch |
Eigene Identity und Netzsegmentierung (ASI03, ASI07). On-Premise verwalten Sie die Agenten-Identitaeten in Ihrem eigenen Verzeichnisdienst und ziehen Netzgrenzen selbst. Die Kommunikation zwischen Agenten laeuft ueber segmentierte, nicht mit fremden Mandanten geteilte Netze. Least Privilege ist keine Vertrauensfrage an den Anbieter, sondern eine Policy, die Sie selbst durchsetzen.
Lokales Logging gegen Memory Poisoning (ASI06). Wenn der Memory-Store und die Audit-Logs auf Ihrer eigenen Infrastruktur liegen, koennen Sie jeden Schreibzugriff auf das Agentengedaechtnis revisionssicher protokollieren und ruecknachvollziehen. Manipulierte Kontexteintraege lassen sich erkennen und zuruecksetzen – ohne auf die Log-Tiefe eines Cloud-Providers angewiesen zu sein.
Kontrollierte Agentengrenzen gegen Rogue Agents (ASI10). Ein Agent kann nur so weit „ausbrechen", wie seine Umgebung es zulaesst. Im eigenen Perimeter definieren Sie harte Grenzen: welche Netze, welche Tools, welche Datenbestaende ein Agent ueberhaupt erreichen kann. Das reduziert die Reichweite eines Rogue Agents auf ein kontrollierbares Mass.
Praxisbild: Zwei Agenten, ein Freigabeprozess
Ein Fertigungsunternehmen betreibt einen Beschaffungs-Agenten, der Bestellvorschlaege erstellt, und einen Freigabe-Agenten, der sie gegen Budget und Lieferantenliste prueft. On-Premise laufen beide unter getrennten Identitaeten in segmentierten Netzen (ASI03, ASI07), ihre Kommunikation ist authentifiziert, und jeder Speicherzugriff auf die gemeinsame Auftragshistorie wird lokal protokolliert (ASI06). Versucht ein per Prompt Injection gekaperter Beschaffungs-Agent, die Lieferantenliste zu umgehen, stoppt ihn die harte Freigabegrenze – der Rogue-Fall (ASI10) bleibt auf einen einzelnen, isolierten Agenten begrenzt.
Einordnung in den Governance-Rahmen
Eine bewusste Design-Entscheidung der Liste: Die allgemeine AI-Governance-Ebene ist ausgeklammert. Die Agentic-Top-10 fokussiert auf operative Security-Risiken – also darauf, wie ein Agent technisch angegriffen wird und versagt. Die Frage, wie ein Unternehmen KI-Risiken organisatorisch steuert, dokumentiert und rechtlich verantwortet, verweist OWASP bewusst an etablierte Frameworks.
- NIST AI RMF 1.0: Das AI Risk Management Framework (Version 1.0, veroeffentlicht im Januar 2023) samt GenAI Profile liefert die Struktur, um KI-Risiken systematisch zu erfassen, zu bewerten und zu steuern – die Governance-Klammer um die operative OWASP-Liste.
- ISO/IEC 42001: Die Norm fuer AI-Management-Systeme definiert, wie eine Organisation KI verantwortungsvoll aufbaut, betreibt und kontinuierlich verbessert – zertifizierbar und auditierbar.
- EU AI Act: Der rechtliche Rahmen der EU legt Pflichten nach Risikoklasse fest. Er bestimmt, was reguliert werden muss – waehrend die OWASP-Liste zeigt, wie ein Agent technisch scheitern kann.
Fuer die Praxis heisst das: Die Agentic-Top-10 ist die technische Pruefliste, NIST AI RMF 1.0, ISO/IEC 42001 und der EU AI Act sind der Governance-Ueberbau. Erst zusammen ergeben sie ein belastbares Agent Security Framework. Wer nur die eine Seite betrachtet – reine Technik ohne Governance oder reine Compliance ohne technische Absicherung – laesst systematisch Luecken. Unsere Agent-Governance-Beratung verbindet beide Ebenen zu einem durchgaengigen Kontrollmodell.
Der Einstieg gelingt pragmatisch: Ordnen Sie Ihre bestehenden Agenten den zehn ASI-Kategorien zu, markieren Sie die vier On-Premise-relevanten Risiken (ASI03, ASI06, ASI07, ASI10) als Prioritaet und legen Sie fuer jedes verbleibende Risiko eine konkrete Gegenmassnahme fest. Mehr dazu in unserer KI-Sicherheit-Leistung.
Haeufig gestellte Fragen zur OWASP Agentic Top 10
Was ist die OWASP Agentic Top 10?
Eine am 9. Dezember 2025 vom OWASP GenAI Security Project veroeffentlichte Liste der zehn wichtigsten Sicherheitsrisiken fuer agentische Anwendungen, von ASI01 Agent Goal Hijack bis ASI10 Rogue Agents.
Ersetzt sie die OWASP LLM Top 10?
Nein. Sie ergaenzt sie. Die meisten Agentensysteme erben zusaetzlich die LLM-Risiken, weil sie auf Sprachmodellen aufbauen.
Welche Risiken entschaerft On-Premise am staerksten?
Vor allem ASI03 (Identity & Privilege Abuse), ASI06 (Memory & Context Poisoning), ASI07 (Insecure Inter-Agent Communication) und ASI10 (Rogue Agents) - dank eigener Identity, Netzsegmentierung und lokalem Logging.
Was ist die groesste praktische Gefahr?
Prompt Injection. Laut Help Net Security vom 11. Juni 2026 bleibt sie die Hauptursache agentischer Security-Failures in Produktion und betrifft mehrere ASI-Kategorien.
KI-Agenten sicher nach OWASP absichern
Wir pruefen Ihre Agentic-Systeme gegen die ASI01-ASI10 und bauen die Absicherung On-Premise auf – DSGVO-konform und governance-ready. Kostenlose Erstberatung.