KI-Agenten: Datenleck-Risiko zeigt, wie schnell Profile offenliegen

Du probierst eine neue Agent-App aus, klickst dich schnell mit einem bestehenden Konto durch und gibst ihr Zugriff auf Kalender, Dateien oder Code-Repos. Zehn Minuten später wirkt alles komfortabel: Der Agent kann Aufgaben planen, E-Mails zusammenfassen oder Tickets in einem Projektboard anlegen. Das Problem: Derselbe Komfort sorgt dafür, dass an einem Ort plötzlich sehr viele persönliche Daten zusammenlaufen. Wenn an dieser Stelle etwas schiefgeht, liegen nicht nur ein Nutzername oder eine E-Mail-Adresse offen, sondern oft ein ganzes Verhaltensprofil.

Bei Plattformen, die wie ein „soziales Netzwerk für KI-Agenten“ funktionieren, kommt ein weiterer Effekt dazu: Profile werden öffentlich oder halböffentlich dargestellt, Agenten teilen Prompts, Vorlagen und „Skills“, und Nutzende verknüpfen mehrere Konten, um ihre Agenten leistungsfähig zu machen. Das ist nützlich für Austausch und Wiederverwendung, erhöht aber die Angriffsfläche für unbeabsichtigte Datenabflüsse.

Statt über mögliche Täter zu spekulieren, schauen wir auf die Mechanik: Welche Datenarten sind in solchen Umgebungen typischerweise betroffen, was bedeutet das unter DSGVO-Perspektive für Menschen in Deutschland und welche praktischen Schritte helfen, die eigenen Spuren zu reduzieren. Grundlage sind offizielle Leitlinien zu LLM-Risiken (OWASP) sowie die EU-Rechtsgrundlagen und Auslegungshilfen zum Auskunftsrecht und zur Löschung (DSGVO und EDPB).

Ein „soziales Netzwerk für KI-Agenten“ ist im Kern eine Plattform, auf der du Agenten nicht nur nutzt, sondern sie auch als Profile präsentierst, teilst oder mit anderen kombinierst. Oft gibt es eine Art „Agenten-Katalog“: Agenten haben Namen, Beschreibungen, Fähigkeiten, Beispielaufgaben und manchmal öffentliche Demonstrationen. Damit das funktioniert, speichern solche Dienste mehr als bei einer klassischen App, die nur eine einzelne Funktion ausführt.

Technisch drehen sich viele Agenten-Plattformen um drei Dinge: Identität (wer du bist), Verbindungen (auf welche Konten/Tools zugegriffen wird) und Protokolle (was Agenten getan und gesehen haben). OWASP warnt in seinem Top-10-Katalog für LLM-Anwendungen besonders vor dem unbeabsichtigten Offenlegen sensibler Informationen und vor System-Prompt-Leaks. Beides ist relevant, weil in Agenten-Setups Prompts, Regeln und Tool-Zugriffe eng zusammenhängen.

OWASP empfiehlt, Ausgaben von Sprachmodellen wie „untrusted input“ zu behandeln und sensible Daten nie als „Prompt-Geheimnis“ zu betrachten.

Das klingt abstrakt, wird aber konkret, sobald Agenten mit „Tools“ arbeiten. Ein Agent, der etwa auf ein Cloud-Konto oder ein Entwickler-Repository zugreifen darf, braucht Berechtigungen. Diese Berechtigungen werden häufig über Tokens oder App-Zugriffe vermittelt. Wenn solche Tokens im falschen Kontext landen (zum Beispiel in Logs, Aufgabenverläufen oder geteilten Vorlagen), ist der Schritt zur Kontoübernahme klein.

Dass Agenten-Plattformen mehr sammeln, ist nicht automatisch „böse Absicht“. Oft ist es eine Nebenwirkung der Produktlogik: Agenten sollen kontextreich arbeiten, also brauchen sie Kontext. Ein soziales Element verstärkt das, weil Profile und Vorlagen besser wirken, wenn sie „echt“ aussehen, und weil Teams nachvollziehen wollen, warum ein Agent eine Entscheidung getroffen hat. Genau hier entstehen Protokolle, die später unerwartet sichtbar werden können.

OWASP unterscheidet mehrere Leckpfade, die in Agenten-Apps zusammenkommen: „Sensitive Information Disclosure“ (sensible Informationen werden ausgegeben), „System Prompt Leakage“ (interne Regeln oder Prompts werden preisgegeben) und Schwächen rund um Retrieval/Embeddings bei RAG. Für dich als Nutzer ist das wichtig, weil viele private Details nicht in einem einzelnen Feld stehen, sondern sich aus dem Zusammenspiel ergeben: Welche Projekte du hast, zu welchen Zeiten du arbeitest, welche Tools du nutzt, welche Kontakte oder Plattformen du verknüpft hast.

Die Folgen eines Datenlecks sind deshalb oft alltagsnah. Ein paar Beispiele, ohne zu dramatisieren: Aus Profilen und Verläufen können Angreifer Phishing-Mails präziser formulieren, weil sie deine Arbeitskontexte kennen. Tokens oder App-Zugriffe können Kontoübernahmen erleichtern. Und selbst „nur“ geleakte Profile können unangenehm sein, wenn sie Rückschlüsse auf Jobwechsel, Konflikte, Beziehungen oder finanzielle Situationen zulassen. In Deutschland kommt hinzu, dass personenbezogene Daten unter die DSGVO fallen. Damit haben Betroffene Rechte auf Auskunft und in vielen Fällen auf Löschung, aber auch die Frage, ob ein Anbieter Daten angemessen schützt, wird relevanter.

Wichtig ist eine klare Erwartung: Selbst wenn du „nur“ einen Agenten ausprobierst, ist das oft kein isolierter Test. Durch Single Sign-on, verknüpfte Konten und synchronisierte Daten wird aus einem kleinen Experiment schnell ein Konto mit weitreichenden Berechtigungen. Das ist der Grund, warum Agent-Apps im Zweifel mehr Angriffsfläche schaffen als eine klassische To-do-App.

Wenn du eine Agenten-Plattform genutzt hast, geht es jetzt um Schadensbegrenzung mit überschaubarem Aufwand. Der Schlüssel ist, nicht nur Passwörter zu ändern, sondern vor allem bestehende Zugriffe zu entkoppeln. Denn in vielen Fällen sind es weniger die Passwörter als die dauerhaft gültigen App-Zugriffe und Tokens, die Angreifern Zeit geben.

3 Sofort-Checks in 10 Minuten

• Passwortmanager-Check: Nutze für Agenten-Dienste ein einzigartiges Passwort. Wenn du ein Passwort wiederverwendet hast, ändere es zuerst dort und danach bei allen Diensten, die dasselbe Passwort hatten.
• 2FA aktivieren: Schalte Zwei-Faktor-Authentifizierung (2FA) für die wichtigsten Konten ein, vor allem für E-Mail und Identitätsanbieter. Das reduziert das Risiko von Kontoübernahmen deutlich, selbst wenn Zugangsdaten irgendwo auftauchen.
• App-Zugriffe widerrufen: Prüfe die Liste der verbundenen Drittanbieter-Apps in deinem Identitätskonto und entferne Agent-Apps, die du nicht mehr brauchst. Google beschreibt dafür eine zentrale Übersicht über Drittanbieter-Zugriffe sowie Möglichkeiten, Einwilligungen zu entfernen.

Tokens und „App-Zugriff“: der oft übersehene Hebel

Wenn ein Dienst über OAuth angebunden ist, kann der Widerruf der App-Berechtigung entscheidender sein als ein Passwortwechsel. Google dokumentiert dafür sowohl einen Nutzerweg (Drittanbieter-Zugriffe im Google-Konto) als auch einen technischen Widerruf über einen Revocation-Endpunkt. Für dich als Anwender ist der wichtigste Punkt: Entferne ungenutzte Verknüpfungen konsequent. Bei anderen Konten (z. B. Microsoft oder GitHub) gibt es ebenfalls Einstellungen für verbundene Apps und Zugriffe, die du regelmäßig aufräumen solltest. Welche Bezeichnungen genau verwendet werden, variiert je nach Anbieter.

DSGVO konkret: Auskunft und Löschung anstoßen

Wenn du wissen willst, was ein Anbieter über dich gespeichert hat, ist das Auskunftsrecht nach Artikel 15 der DSGVO der formale Weg. Die Europäische Datenschutzaufsicht (EDPB) hat dazu Leitlinien veröffentlicht, die etwa Fristen und den Umfang der Auskunft erläutern. Für die Löschung ist Artikel 17 der DSGVO relevant, allerdings gibt es Ausnahmen, etwa wenn Daten aus rechtlichen Gründen gespeichert werden müssen. Praktisch heißt das: Du kannst anfragen, welche Kategorien personenbezogener Daten gespeichert werden, woher sie stammen, an wen sie weitergegeben wurden und wie lange sie voraussichtlich aufbewahrt werden.

Gerade bei Agenten-Diensten lohnt es sich, in der Anfrage konkret zu sein. Nenne neben Stammdaten (E-Mail, Benutzername) auch Kategorien wie „Chat- und Aufgabenverläufe“, „Logs“, „verknüpfte Konten“, „Tokens/Berechtigungen“ und „hochgeladene Dokumente“. So steigt die Chance, dass du nicht nur eine knappe Profilkopie bekommst, sondern wirklich die Daten, die für Profile und Rückschlüsse entscheidend sind.

Woran du unseriöse Agent-Apps erkennst

• Unklare Berechtigungen: Die App fordert sehr breite Zugriffe, ohne verständlich zu erklären, wofür sie gebraucht werden.
• „Prompts als Geheimtresor“: Der Anbieter suggeriert, sensible Daten seien sicher, solange sie nur im Prompt oder in „Systemregeln“ stehen. OWASP warnt ausdrücklich davor, so zu planen.
• Keine sauberen Lösch- und Exportfunktionen: Du findest keinen Datenexport, keine klaren Löschoptionen und keine Kontaktmöglichkeit für Datenschutzfragen.
• Viel öffentliche Darstellung, wenig Kontrolle: Profile, Agenten oder Verläufe werden „shareable“, ohne dass du granular steuern kannst, was öffentlich ist und was nicht.

Der Hype um KI-Agenten sorgt dafür, dass Plattformen schnell wachsen und Funktionen nachliefern. Sicherheit entsteht dabei nicht automatisch. Ein hilfreicher Kompass sind Standards und Checklisten, weil sie wiederkehrende Fehler benennen. OWASP hat für LLM-Anwendungen genau so einen Katalog veröffentlicht und macht klar: Viele Probleme entstehen nicht „im Modell“, sondern in den angrenzenden Systemen, etwa bei Logik für Tool-Aufrufe, bei Output-Handling und bei Datenpipelines.

Für Agenten-Plattformen lassen sich daraus ein paar robuste Prinzipien ableiten. Erstens: Least Privilege für Tool-Zugriffe. Ein Agent sollte nur die minimal nötigen Berechtigungen erhalten, und idealerweise nur für die Dauer einer Aufgabe. Zweitens: Trenne Identität, Inhalte und Protokolle. Was du öffentlich teilst (Profil/Agenten-Showcase) darf nicht automatisch mit privaten Verläufen oder internen Logs gekoppelt sein. Drittens: Output ist nicht vertrauenswürdig. OWASP nennt „Improper Output Handling“ als eigenständiges Risiko, weil Modell-Ausgaben in nachgelagerte Systeme fließen können. Das betrifft auch Agenten, die automatisch Tickets anlegen, Code verändern oder Dateien verschieben.

Auch Retrieval-Setups (RAG) brauchen klare Leitplanken. Der Vorteil ist nachvollziehbar: Agenten können sich auf hinterlegte Dokumente stützen, statt zu raten. Gleichzeitig wird ein neuer Speicherbereich aufgebaut (Vektor-Datenbanken, Embeddings), der sauber getrennt und berechtigt werden muss. OWASP weist darauf hin, dass Schwächen rund um Vektoren und Embeddings zu ungewollter Offenlegung führen können, wenn Partitionierung oder Zugriffskontrollen nicht stimmen.

Für dich als Nutzer ist das Ergebnis eher UX als Technik: Gute Plattformen machen Berechtigungen sichtbar, erklären sie in normaler Sprache, bieten einen einfachen „Zugriffe zurücksetzen“-Knopf und geben dir ein exportierbares Protokoll darüber, welche Konten verbunden sind. Schlechte Plattformen verstecken das in Einstellungen, die nur mit viel Zeit zu finden sind. In einem Markt, in dem Agenten immer stärker vernetzt werden, ist diese Transparenz kein Luxus, sondern die Grundlage für Vertrauen.

KI-Agenten sind nützlich, weil sie Konten, Tools und Aufgaben in einem Ablauf verbinden. Genau diese Bündelung macht sie aber empfindlich für Datenlecks: Aus ein paar Profilfeldern plus Protokollen werden schnell aussagekräftige Muster über Arbeit, Kontakte und Gewohnheiten. OWASP beschreibt dafür klare Risikoklassen, die vor allem daran erinnern, dass nicht das Sprachmodell allein das Problem ist, sondern die umgebenden Systeme, Logs und Berechtigungen.

Für dich in Deutschland heißt das: Den größten Schutz erreichst du, indem du Zugriffe konsequent klein hältst, Verknüpfungen regelmäßig widerrufst und dir bei Bedarf per DSGVO-Auskunft zeigen lässt, was gespeichert ist. Das ist weniger spektakulär als neue Agent-Funktionen, aber es reduziert das Risiko von Kontoübernahmen, gezieltem Phishing und unangenehmen Profil-Leaks spürbar. Und je normaler Agenten im Alltag werden, desto mehr lohnt sich eine kleine Routine aus Passwortmanager, 2FA und App-Aufräumen.