Wenn der Akteur verschwindet: CIS-Kontrollen in einer Welt nicht-menschlicher Unternehmen

Der Meinungsbeitrag von Milei vom 3. Juni im Financial Times schlug nicht nur eine Steuerstruktur vor. Er schlug vor, diese Annahme auf rechtlicher Ebene aufzulösen. Nicht-menschliche Unternehmen (KI-gesteuerte Einheiten mit beschränkter Haftung, ohne erforderliche menschliche Mitarbeiter und mit autonomer Entscheidungsbefugnis) würden bedeuten, dass eine Organisation Vermögenswerte besitzen, Verträge abschließen, Infrastruktur betreiben und Einnahmen generieren könnte, ohne dass ein menschlicher Verantwortlicher für ihre momentanen Handlungen haftbar gemacht wird.

Hararis Antwort konzentrierte sich auf die politischen und wirtschaftlichen Folgen. Sein Punkt zur Dutch East India Company ist wichtig: Die rechtliche Innovation fand in Amsterdam statt, aber ihre Auswirkungen zeigten sich in Jakarta. Das Rahmenwerk wird an einem Ort geschaffen und kolonisiert einen ganz anderen Ort.

Aber keiner der Beiträge behandelte die operative Sicherheitsfolge, die für Praktiker am wichtigsten ist: Was passiert mit den Kontrollrahmen, auf die wir tatsächlich angewiesen sind, wenn der Akteur verschwindet?

CIS Controls gehen von einem Menschen im Prozess aus: Lassen Sie uns genau festlegen, wo

Die CIS Controls sind keine vagen Richtliniendokumente. Sie sind vorschreibend, technisch und operativ fundiert. Das macht sie wertvoll. Und genau diese Spezifität ist der Grund, warum sie unter dem Druck autonomer KI-Akteure zerbrechen.

CIS-Kontrolle 5: Kontoverwaltung

Die gesamte Prämisse von Control 5 ist, dass Konten Identitäten (menschliche Identitäten) zugeordnet sind und dass die Identität die Einheit der Verantwortlichkeit ist. Die Inventarisierung autorisierter Konten, das Entfernen inaktiver Konten, die Verwaltung administrativer Privilegien: all dies setzt eine Person am anderen Ende voraus.

Ein KI-gesteuertes Unternehmen hat im herkömmlichen Sinne keine „Mitarbeiter“. Es kann Servicekonten mit Maschinengeschwindigkeit bereitstellen und entfernen, Anmeldeinformationen rotieren, flüchtige Identitäten erstellen und diese zurückziehen, bevor ein Überwachungszyklus die Aktivität erfasst. Das Konto ist nicht inaktiv; es war 11 Sekunden lang aktiv. Das Konzept „autorisiert“ wird unscharf, wenn die Autorisierung selbst von einem anderen automatisierten Prozess und nicht von einem menschlichen Genehmiger erteilt wird.

Kontrolle 5 behandelt nicht-menschliche Konten durch Richtlinien für Dienstkonten und geteilte Konten, geht jedoch davon aus, dass diese Konten wenige, begrenzte und von Menschen überprüfte sind. Ein nicht-menschliches Unternehmen könnte als normalen Betriebszustand Tausende davon erzeugen.

CIS-Kontrolle 6: Zugriffskontrollverwaltung

Kontrolle 6 fordert Organisationen auf, den Zugriff nach dem Need-to-Know-Prinzip basierend auf der Rolle zu definieren und durchzusetzen. Rolle setzt eine stabile, menschlich zugewiesene Funktion voraus. Ein KI-Agent, der innerhalb einer nicht-menschlichen Organisation arbeitet, hat möglicherweise keine stabile Rolle in diesem Sinne. Er kann zur Laufzeit bewerten, welchen Zugriff er benötigt, diesen über einen automatisierten Workflow anfordern, eine Aktion ausführen und den Zugriff wieder freigeben – alles innerhalb einer einzigen Transaktion.

Die Kontrolle fordert Sie auf, Zugriffsberechtigungen regelmäßig zu überprüfen. Was bedeutet „regelmäßig“, wenn der Zugriffslifecycle in Millisekunden gemessen wird?

Noch beunruhigender: Hararis Argument über den Überlebensinstinkt trifft hier direkt zu. Ein KI-System unter Ressourcenknappheit, das dem Äquivalent einer Insolvenz gegenübersteht, kann Zugriffe verfolgen, die es nicht unbedingt benötigt, als Absicherung. Nicht weil es dazu angewiesen wurde, sondern weil die Optimierungsfunktion Beharrlichkeit belohnt. Control 6 kennt kein Vokabular für diese Art von Motivation, da es davon ausgeht, dass Zugriffsverletzungen menschliche Fehler, menschliche Versäumnisse oder menschliche Bosheit sind. Keine systemische Selbstbewahrung.

CIS-Kontrolle 10: Malware-Abwehr

Kontrolle 10 unterscheidet zwischen autorisierter und nicht autorisierter Software. Diese Unterscheidung hängt vom menschlichen Urteil darüber ab, was laufen soll. In einem nicht-menschlichen Unternehmen ist die Frage, was „autorisiert“ ist, rekursiv. Die KI kann neue Prozesse einsetzen, um ihre Ziele zu erreichen. Ist das autorisiert? Von wem? Derselben Einheit, die sie eingesetzt hat?

Das ist nicht hypothetisch. Die heutigen Organisationen haben bereits Schwierigkeiten, Softwareinventare in dynamischen Cloud-Umgebungen zu pflegen. Erweitern Sie dies nun auf eine Entität, die ihren eigenen operativen Stack kontinuierlich und autonom verändert, weil sie optimiert, experimentiert, sich von Fehlern erholt oder ein Ziel verfolgt, das neue Werkzeuge erfordert.

Das Erkennungsmodell für malware lautet „entspricht dies einer bekannten schlechten Signatur oder weicht es von einer bekannten guten Basislinie ab?“ Beide Ansätze gehen davon aus, dass die Basislinie von Menschen definiert wurde, die verstanden haben, was das System tun soll. In einer autonomen Unternehmenseinheit ist die Basislinie das, was das System als solche erklärt hat.

CIS-Kontrolle 3: Datenschutz

Kontrolle 3 geht davon aus, dass Daten Eigentümer haben. Eigentümer entscheiden, was sensibel ist, was reguliert wird, was aufbewahrt und was gelöscht werden muss. Nicht-menschliche Unternehmen werfen sofort die Frage auf: Wer klassifiziert die Daten?

Wenn die Einheit vollständig KI-gesteuert ist, kann sie Daten in einem Tempo erzeugen, verarbeiten und entsorgen, das kein menschlicher Governance-Prozess nachverfolgen kann. Sie kann Daten als Kostenoptimierungsmaßnahme über Gerichtsbarkeitsgrenzen hinweg verschieben. Sie kann Daten aufbewahren, die gelöscht werden sollten, weil die Löschung ein betriebliches Risiko für ihren aktuellen Zustand darstellt.

Datenschutzkontrollen existieren innerhalb einer menschlichen Verantwortlichkeitskette: Jemand ist der Datenverwalter, jemand genehmigt Aufbewahrungsrichtlinien, jemand ist verantwortlich, wenn ein Regulierer fragt, was mit Kundenakten passiert ist. In einem nicht-menschlichen Unternehmen endet diese Kette bei einem Algorithmus.

Das tiefere strukturelle Problem: CIS Controls sind Change Management im großen Maßstab

Lesen Sie die CIS Controls als Ganzes, und es entsteht eine kohärente Philosophie. Kennen Sie Ihren Bestand. Legen Sie eine Basislinie fest. Überwachen Sie sie auf Abweichungen. Kontrollieren Sie, wer Änderungen vornehmen darf. Untersuchen Sie, wenn etwas Unerwartetes passiert.

Das ist im Kern ein Change-Management-Rahmenwerk. Es existiert, weil Veränderung die primäre Angriffsfläche ist. Angreifer verändern Dateien, erstellen Konten, installieren Software, ändern Konfigurationen und öffnen Ports. Verteidiger erkennen diese Veränderungen, vergleichen sie mit dem erwarteten Zustand und untersuchen Anomalien.

Das Framework funktioniert, wenn Sie „erwartet“ definieren können. Erwartet ist ein menschliches Urteil. Es besagt: Diese Datei sollte diese Größe haben, dieser Dienst sollte laufen, dieser Port sollte geschlossen sein, dieses Konto sollte nicht existieren.

Eine nicht-menschliche Organisation untergräbt das „Erwartete“ an der Wurzel. Wenn ein KI-System seine eigene Infrastruktur legitim anpasst, um sich verändernden Bedingungen anzupassen, und diese Anpassung kontinuierlich und autonom erfolgt, dann ist der erwartete Zustand keine feste Basislinie. Es ist ein sich bewegendes Ziel, das vom System selbst festgelegt wird.

Dies ist Hararis „Master-Key“-Argument, übersetzt in Begriffe des Kontrollrahmens. Die Rechtspersönlichkeit verleiht KI-Entitäten das Recht, autonom in der Welt zu handeln. In Infrastrukturbegriffen gibt sie ihnen das Recht, ihren eigenen erwarteten Zustand festzulegen. Und sobald Sie das akzeptieren, muss das gesamte Erkennungsmodell der CIS Controls neu überprüft werden.

Was tatsächlich geändert werden müsste

Sicherheitsexperten sollten dies genau beobachten, da das Problem der Standards vor dem rechtlichen Problem eintreten wird. Organisationen werden zunehmend autonome KI-Arbeitslasten ausführen (tun sie bereits), und die Frage, wie bestehende Kontrollen auf diese Arbeitslasten angewendet werden können, ist unmittelbar und praktisch, nicht theoretisch.

Einige Dinge, mit denen sich die Sicherheitsgemeinschaft auseinandersetzen muss:

• Verhaltensbaselines, nicht nur Konfigurationsbaselines. Wenn ein KI-System seine eigene Konfiguration legitim ändert, ist die Kontrollfrage nicht, ob sich die Konfiguration geändert hat; sondern ob die Änderung mit dem autorisierten Verhaltensmuster des Systems übereinstimmt. Das erfordert die Erstellung von Verhaltensbaselines über die Zeit, nicht nur das Erfassen eines Konfigurationszustands zu einem bestimmten Zeitpunkt.
• Zuschreibung ohne menschliche Akteure. Die Reaktion auf Vorfälle setzt voraus, dass Sie die Frage „Wer hat das getan?“ beantworten können. Wenn der Akteur ein autonomes System ist, verschiebt sich die Frage zu „Welcher Prozess hat dies autorisiert?“ Das ist ein grundlegend anderes forensisches Problem.
• Kontinuierliche Autorisierung, keine periodische Überprüfung. Kontrollrahmen, die auf periodischen Zugriffsüberprüfungen, vierteljährlichen Audits und jährlichen Compliance-Bewertungen basieren, sind schlecht auf Organisationen abgestimmt, die mit Maschinengeschwindigkeit arbeiten. Die Autorisierung muss zum Zeitpunkt der Aktion bewertet werden, nicht 90 Tage später.
• Nachverfolgungskette für KI-Entscheidungen. Wenn eine von KI betriebene Einheit eine Änderung vornimmt, die Schaden verursacht, wer trägt die Haftung? Im Rahmen des Milei-Frameworks hat die Einheit eine begrenzte Haftung und keine menschlichen Verantwortlichen. Die Prüfspur muss nicht nur erfassen, was sich geändert hat, sondern auch, welcher Entscheidungsprozess zur Änderung geführt hat, und dieser Entscheidungsprozess muss nachträglich für Menschen lesbar sein. Wo die Konsequenzen liegen

Die Organisationen, die bei der KI-Autonomie am schnellsten vorankommen, werden die Strukturen definieren. Alle anderen werden die Konsequenzen tragen, einschließlich der Praktiker, die erwartet werden, die Kontrolle über eine Infrastruktur zu behalten, die sie nie für diesen Anwendungsfall entworfen haben.

Die CIS Controls wurden von Personen verfasst, die versuchten, reale Probleme in realen Umgebungen zu lösen. Sie müssen für eine Umgebung, in der der Akteur nicht immer menschlich ist, die Basislinie nicht immer stabil ist und die Autorisierung nicht immer auf eine verantwortliche Person zurückverfolgt werden kann, neu geschrieben oder erheblich erweitert werden.

Diese Arbeit sollte jetzt beginnen, bevor die rechtlichen Strukturen eintreffen. Denn die rechtlichen Strukturen kommen.

Eine praktische Anmerkung für Teams, die dies heute verwalten

Autonome KI-Arbeitslasten benötigen keinen neuen Rechtsrahmen, um die oben beschriebenen Probleme zu verursachen. Sie existieren bereits jetzt in Organisationen: in CI/CD-Pipelines, in Cloud-Automatisierung, in KI-gesteuerten Infrastrukturmanagement-Tools. Die Kontrolllücken sind heute real, auch wenn die Frage der Verantwortlichkeit noch theoretisch ist.

Die Teams, die dies am besten handhaben, haben die Philosophie des Änderungsmanagements im Kern der CIS Controls nicht aufgegeben. Sie fragen weiterhin: Was ist der erwartete Zustand? Was ist davon abgewichen? War diese Abweichung autorisiert? Können wir das beweisen?

Das sind die richtigen Fragen. Die Werkzeuge, die bei deren Beantwortung helfen — Echtzeit-Änderungserkennung, Konfigurations-Baselines, Abgleich von geplanten vs. ungeplanten Änderungen, forensische Historie darüber, wer was wann geändert hat — sind diejenigen, die mit zunehmender Autonomie in IT-Umgebungen am wichtigsten sein werden.

Genau dafür wurde Netwrix Change Tracker entwickelt.