LLM-Automatisierungen verbinden Prompts, Unternehmensdaten und konkrete Aktionen: E-Mails lesen, ein CRM aktualisieren, ein Ticket öffnen, eine Nachricht senden oder einen Datensatz bearbeiten. Wenn ein Agent auf Unternehmens-SaaS-Anwendungen zugreifen kann, hängt die Sicherheit von Token, Berechtigungen, Triggern, Freigaben und Protokollen ab. Es geht nicht darum, ob KI für die Entwicklung nützlich oder gefährlich ist, sondern darum, welche Kontrollen erforderlich sind, wenn ein automatisierter Workflow mit echten Daten und Unternehmenssystemen arbeitet.

An wen sich dieser Artikel richtet: CTOs, CISOs, Operations- und Automation-Verantwortliche, die Workflows mit Zapier Agents, n8n AI oder ähnlichen Tools verwalten. Der Fokus liegt auf Geheimnissen (Secrets), OAuth-Token, SaaS-Berechtigungen, Datenabfluss (Data Leakage), Agenten, die E-Mails versenden oder Datensätze ändern, sowie dem „Human-in-the-loop“-Prinzip.

Warum ein funktionierender Workflow nicht zwangsläufig sicher ist

KI-Tools verkürzen die Zeit für die Erstellung von Code, Schnittstellen, Workflows und Konfigurationen. Diese Geschwindigkeit kann jedoch Schritte überspringen, die Software normalerweise zuverlässig machen: Threat Modeling, Reviews, Secrets-Management, Rollenkontrollen, Eingabevalidierung und manuelle Tests kritischer Pfade. Eine Demo funktioniert mit einem einzelnen Benutzer, fiktiven Daten und impliziten Berechtigungen. Dieselbe Logik kann jedoch versagen, wenn echte Kunden, mehrere Mandanten (Tenants), unterschiedliche Rollen, öffentliche APIs, personenbezogene Daten oder Automatisierungen mit externen Auswirkungen hinzukommen. Deshalb muss die Sicherheit am tatsächlichen Verhalten des Workflows bewertet werden und nicht am Versprechen des Tools, das ihn generiert hat.

Vom deterministischen Workflow zum Agenten

Ein traditioneller Workflow führt vorhersehbare Schritte aus. Ein Workflow mit LLM kann hingegen klassifizieren, entscheiden, zusammenfassen oder eine Aktion auf nicht-deterministische Weise wählen. Dies führt spezifische Risiken ein: Prompt Injection, unerwartete Ausgaben und die Notwendigkeit von Richtlinien außerhalb des Modells, die steuern, was der Agent tun darf und auf welche Daten er zugreifen kann.

API-Keys, OAuth-Token und Secrets-Management

Zapier, n8n und ähnliche Tools verwalten Anmeldedaten für Gmail, Slack, CRM, Ticketsysteme, Datenbanken und Dateispeicher. Jedes Token muss einen minimalen Scope haben, einen klaren Besitzer besitzen, regelmäßig rotiert werden und über ein Widerrufsverfahren verfügen. Ein Token mit übermäßigen Berechtigungen, das in einem Knoten vergessen oder in ein Log kopiert wurde, wird zu einem Vektor für unkontrollierten Zugriff auf kritische Systeme.

Human-in-the-loop und irreversible Aktionen

Das Versenden von E-Mails, das Ändern von Datensätzen, Löschvorgänge, die Genehmigung von Bestellungen und die Aktualisierung von Kundendaten sind Aktionen, die eine menschliche Bestätigung oder serverseitige Richtlinien vor der Ausführung erfordern. Der Prompt darf nicht die Sicherheitskontrolle sein: Eine böswillige oder falsch formatierte Eingabe darf keine irreversiblen Aktionen ohne explizites Gate auslösen können.

Wichtige Risiken, die kontrolliert werden müssen

• OAuth-Token mit zu weitreichenden Scopes: Überprüfung der Konfiguration, des Laufzeitverhaltens und der Auswirkungen auf echte Daten.
• Prompt Injection durch E-Mails, Tickets oder Dokumente: Eine nicht vertrauenswürdige Eingabe kann ein LLM beeinflussen, das Zugriff auf reale Tools hat.
• Agenten, die Daten an falsche Empfänger senden: Überprüfung der Routing-Logik und der Kontrollen für Zieladressen.
• Workflows, die das CRM ohne Freigabe ändern: Einführung von Bestätigungs-Gates für Vorgänge mit hoher Auswirkung.
• Secrets, die in Knoten, Logs oder Variablen kopiert werden: Verwendung von Secret-Managern und keine Offenlegung von Anmeldedaten im Klartext innerhalb des Workflows.
• Missbrauchbare öffentliche Trigger: Schutz der Endpunkte durch Authentifizierung und Ursprungsvalidierung.
• Fehlende Rate-Limits und Budgets: Definition von operativen Schwellenwerten, um Missbrauch oder unkontrollierte Kosten zu vermeiden.

Diese Risiken müssen mit dem konkreten Perimeter verknüpft werden. Ein interner Workflow erfordert die Kontrolle von Berechtigungen und Anmeldedaten; eine exponierte App erfordert manuelle Anwendungstests; ein agentischer Workflow erfordert Tests von Prompts, Tools und Ausgaben. Die richtige Kombination hängt von der Auswirkung ab, nicht vom Namen des Tools.

Mindestkontrollen vor dem Go-Live

• Benutzer, Rollen, echte Daten, Integrationen, Umgebungen und Service-Besitzer abbilden.
• Identifizieren, welche Teile mit KI generiert oder geändert wurden und wer diese überprüft hat.
• Serverseitige Autorisierungen, Mandantentrennung (Tenant Isolation) und administrative Funktionen verifizieren.
• Nach Geheimnissen in Code, Prompts, Logs, Umgebungsvariablen, Builds und Repository-Historien suchen.
• Abhängigkeiten, Lizenzen, Pakete, Vorlagen, Plugins und generierte Komponenten prüfen.
• Feindliche Eingaben, Fehlerbehandlung, Logging, Rate-Limits und nicht vorgesehene Pfade testen.
• Blockierende Fixes, geplante Sanierungen und akzeptierte Restrisiken trennen.
• Tests nach Korrekturen wiederholen, die kritische Abläufe betreffen.

Wann eine unabhängige Überprüfung erforderlich ist

Eine unabhängige Überprüfung ist notwendig, wenn der Workflow echte Daten, externe Benutzer, Rollen, APIs, Unternehmensintegrationen, Zahlungen, Speicher oder kritischen, mit KI generierten Code verarbeitet. Sie ist auch dann erforderlich, wenn das Team nicht nachweisen kann, welche Teile überprüft wurden und welche Kontrollen Regressionen oder Missbrauch verhindern.

In diesen Fällen umfasst der von ISGroup empfohlene Perimeter: Vulnerability Assessment, Risk Assessment und Secure Architecture Review. Die nützlichste Überprüfung ist nicht generisch: Sie muss reproduzierbare Ergebnisse, Prioritäten für die Sanierung, Angaben zum Restrisiko und bei Bedarf einen Retest nach den Korrekturen liefern.

Operative Fragen für Gründer, CTOs und Sicherheitsteams

• Welche echten Daten gelangen in das System und wo werden sie gespeichert, protokolliert oder gesendet?
• Welche Rollen existieren und welche Aktionen sind serverseitig blockiert, nicht nur in der Benutzeroberfläche?
• Welche Geheimnisse, Token, Webhooks oder Anmeldedaten würden Zugriff auf kritische Systeme ermöglichen?
• Welche Teile wurden von der KI generiert oder geändert und welche wurden von einer kompetenten Person überprüft?
• Welche Tests decken Missbrauch, Fehler, verschiedene Rollen und verschiedene Mandanten ab, nicht nur den „Happy Path“?
• Welche Nachweise können Kunden, Audits, dem Einkauf oder der Geschäftsführung vorgelegt werden?

Nützliche weiterführende Informationen

• Risiken von MCP-Servern und Coding-Agenten: Vertieft die spezifischen Risiken von MCP-Servern und Entwicklungs-Agenten, ergänzend zum Fokus dieses Artikels auf Workflows.
• API-Keys und Token in KI-generiertem Code: Praktischer Leitfaden zur sicheren Verwaltung von Anmeldedaten in Code, der mit KI-Tools erstellt wurde.
• Sicherheit agentischer Anwendungen: Analyse der Risiken und Kontrollen für Anwendungen, die Entscheidungen an einen KI-Agenten delegieren.

FAQ

• Was ist das Hauptrisiko von KI-Workflows?
• Eine nicht vertrauenswürdige Eingabe kann ein LLM beeinflussen, das Zugriff auf reale Tools hat – E-Mail, CRM, Tickets, Datenbanken oder Dateien – und unbeabsichtigte oder schädliche Aktionen auslösen.
• Wie schützt man API-Keys und OAuth-Token?
• Minimale Scopes anwenden, dedizierte Konten verwenden, Rotation und Widerruf planen, Umgebungen trennen, einen Secret-Manager einsetzen und ein aktuelles Inventar der Workflows führen.
• Wann ist ein „Human-in-the-loop“ erforderlich?
• Bei externen, irreversiblen Aktionen oder Vorgängen mit hoher Auswirkung: E-Mail-Versand, Änderung von Kundendaten, Zahlungen, Löschungen und Genehmigungen. Das menschliche Gate muss serverseitig sein, nicht nur in der Benutzeroberfläche.
• Eliminiert ein selbst gehostetes n8n das Risiko?
• Nein. Es reduziert einige Risiken im Zusammenhang mit dem Hosting, aber Anmeldedaten, Plugins, Workflows, Daten, Updates, Netzwerk-Exposition und die Verwaltung von Berechtigungen bleiben bestehen.
• Was prüft eine Secure Architecture Review?
• Abläufe, Vertrauensgrenzen (Trust Boundaries), Konnektoren, Token, Daten, Logging, Freigaben, Fehlerbehandlung und Isolierung zwischen Umgebungen, mit konkreten Empfehlungen und Prioritäten für die Sanierung.

[Callforaction-SAL-Footer]

Quellen und Referenzen

• OWASP Top 10 2021
• OWASP ASVS
• OWASP Code Review Guide
• NIST SP 800-218 SSDF
• OWASP Top 10 for LLM Applications 2025
• OWASP Agentic AI Security
• OpenAI MCP risks and safety
• Zapier security
• n8n security