Security Through Isolation

📅 Mai 2026 · Letztes Update: 27.05.2026

1. Warum Credential Segmentation?

KI-Agents sind auf dem Vormarsch. Immer mehr Unternehmen und Entwickler setzen autonom arbeitende Agents für Recherche, Analyse und Content-Erstellung ein. Was viele dabei unterschätzen: Diese Agents surfen im Web – und damit potenziell auf Seiten, die nicht vertrauenswürdig sind.

Ein kompromittierter Agent mit Zugriff auf interne Systeme, API-Keys oder Passwörter wäre eine Katastrophe für die Sicherheit. Die Lösung liegt auf der Hand, wird aber oft übersehen: Dem Agent gar keine Secrets geben.

2. Die Bedrohungslage für KI-Agents

Ein KI-Agent ist im Kern ein autonomes Programm mit Internetzugriff. Die typischen Angriffsvektoren:

• Prompt Injection: Eine bösartige Website injiziert versteckte Anweisungen, die den Agenten umsteuern
• Indirect Injection: Schädlicher Content in durchsuchten Dokumenten, der vom Agenten übernommen wird
• Session Hijacking: Angreifer nutzt die Session des Agents für eigene Aktionen
• Data Exfiltration: Der Agent wird manipuliert, gesammelte Daten an Dritte zu senden

Der entscheidende Faktor ist die Blast Radius – der Schaden, den ein kompromittierter Agent maximal anrichten kann. Mit Credential Segmentation reduzieren wir diese auf null.

3. Das Drei-Prinzipien-Modell

Das Setup folgt drei einfachen, aber strikten Prinzipien:

• 🔒 1. Isolierte Umgebung Der Agent läuft in einem dedizierten Profil ohne Netzwerkbrücke zu internen Systemen. Kein VPN, kein interner DNS, kein Dateizugriff auf sensible Bereiche.
• 🌐 2. Nur öffentliche APIs Der Agent kommuniziert ausschließlich über öffentliche Web-Such-APIs und öffentliche Webseiten. Keine DB-Connections, keine internen REST-Endpoints, kein SSH.
• 🚫 3. Null Secrets Das Profil hat keinerlei Zugriff auf Passwörter, API-Keys, Tokens oder Zertifikate. Selbst der Password-Service-Account ist für den Agenten nicht erreichbar.

4. Setup: Der isolierte Research-Agent

Das Setup basiert in diesem Beispiel auf Hermes Agent (Open Source, CLI-basiert), kann aber auch bei anderen KI-Agent-Systemen zur Anwendung kommen. Der Fokus liegt auf der Trennung von Privilegien:

Architektur

Konfiguration (vereinfacht)

# Research-Profil: bewusst ohne Credentials
profile:
  name: content-research
  credentials:
    password: null     # Kein Vault-Zugriff
    api_keys: []        # Keine API-Keys
    env_secrets: []     # Keine Secret-Env-Vars
  toolsets:
    - web              # Nur Web-Suche
    - file             # Output schreiben
  cron:
    schedule: "0 8 * * *"
    prompt: |
      Recherchiere aktuelle Trends in den Themen
      Security, AI und Digital Nomad.

5. Das Research-Profil: Nichts als leere Secrets

Das Herzstück der Credential Segmentation ist das Research-Profil. Ein Blick in die Konfiguration zeigt: Es gibt schlicht keine Credentials.

# content-research/config.yaml (Auszug)
agent:
  max_turns: 90

# Keine Credentials – bewusst leer
# Kein Password-Token
# Keine SSH-Keys
# Keine API-Keys in .env

toolsets:
  - web      # Nur öffentliche Web-Recherche
  - file     # Ergebnisse speichern
  - terminal # Für Skript-Ausführung

6. Automatisierung: Tägliche Research-Pipeline

Der Agent läuft täglich um 08:00 Uhr als Cron-Job und durchläuft folgenden Workflow:

1. Agent startet – Das Research-Profil wird geladen, die Session beginnt
2. Recherche – Der Agent durchsucht vorgegebene Quellen nach aktuellen Trends in Security, AI und Digital Nomad. Für die Websuche nutze ich eine eigene lokale Firecrawl-Instanz, die das Crawling übernimmt (dazu folgt ein separater Artikel).
3. Analyse – Gefundene Ergebnisse werden zusammengefasst, priorisiert und aufbereitet
4. Ausgabe – Das fertige Research-Briefing wird im Output-Kanal bereitgestellt
5. Session endet – Der Agent terminiert. Keine persistenten Verbindungen, keine Hintergrundprozesse

Die gesamte Pipeline ist so designed, dass kein einziger Schritt Secrets benötigt. Der Agent hat genau die Tools, die er zum Recherchieren braucht – er kann nichts anderes tun.

7. Betrieb & Lessons Learned

Was gut läuft

• Kein Security Incident: Seit Inbetriebnahme kein einziger Vorfall – die minimale Angriffsfläche wirkt
• Stabiler Betrieb: Der Cron-Job läuft zuverlässig, keine Ausfälle
• Keine Credential-Rotation nötig: Da es keine Secrets gibt, muss auch nichts getauscht werden
• Einfaches Auditing: Die Konfiguration ist transparent – ein Blick in die YAML zeigt alles

Lessons Learned

🟢 Credential Segmentation ist einfach und wirksam

Der größte Aha-Moment: Das Sicherheitskonzept ist einfacher als der Versuch, einen Agenten mit vielen Rechten abzusichern. Kein komplexes RBAC, kein Network Segmentation mit Firewalls, kein Credential Vaulting – einfach keine Secrets vergeben.

🟡 Die Versuchung, doch Secrets zu geben, ist groß

Immer wieder kommt die Idee: "Der Agent könnte doch auch direkt auf die DB zugreifen" oder "Lass ihn doch die E-Mails auslesen". Genau das gilt es zu vermeiden. Jedes zusätzliche Recht vergrößert die Angriffsfläche.

🟢 Zero Trust für Agents

Der Agent bekommt nichts, was er nicht explizit braucht. Selbst dann bekommt er es nicht, wenn es "praktisch wäre". Das ist Zero Trust für KI-Systeme – und es funktioniert hervorragend.

8. Fazit & Ausblick

Credential Segmentation ist kein spektakuläres Security-Konzept – und genau das macht es so stark. Es braucht keine komplexe Infrastruktur, keine teuren Tools, keine Security-Expert:innen. Es braucht nur die Disziplin, einem Agenten nicht mehr Rechte zu geben, als er braucht.

Für meinen täglichen Research-Agenten bedeutet das: Null Sorgen. Selbst wenn eine bösartige Website versucht, den Agenten zu kompromittieren – es gibt nichts zu holen. Keine Passwörter, keine API-Keys, keine internen Systeme.

TL;DR finale Version: Ein KI-Agent, der keine Passwörter kennt, kann keine Passwörter preisgeben. Klingt banal – ist aber das wirksamste Security-Pattern für autonome Systeme.
→ Mehr auf meinem Blog