Cisco stellt neue AI-Sicherheitsarchitektur für agentische KI und verschlüsselten Datenverkehr vor

Cisco nutzt die Cisco Live EMEA 2026 in Amsterdam, um seine Sicherheitsarchitektur konsequent auf agentische KI und hochgradig verschlüsselten Datenverkehr auszurichten. Im Mittelpunkt stehen große Erweiterungen von Cisco AI Defense, neue AI‑bewusste Secure Access Service Edge (SASE)‑Funktionen sowie Netzwerk‑ und Routing‑Komponenten mit vollständiger Post‑Quanten‑Kryptografie. Ziel ist es, autonome KI‑Agenten und deren Werkzeugketten abzusichern und gleichzeitig wieder Sichtbarkeit in zunehmend verschlüsselte, AI‑getriebene Workflows zu bringen.

Für CISOs und IT‑Verantwortliche markiert die Ankündigung einen deutlichen Schritt hin zu AI‑nativen Sicherheitsstacks, die nicht mehr primär menschliches Nutzerverhalten, sondern Maschine‑zu‑Maschine‑Interaktionen überwachen, verstehen und steuern müssen.

Kontext: Was Cisco konkret angekündigt hat

Eckpunkte der neuen Sicherheitsarchitektur

Cisco bündelt mehrere Produktlinien und Architekturen zu einem kohärenten Angebot für die „agentische Ära“:

• Erweiterung von Cisco AI Defense:

- AI BOM (Bill of Materials) zur Verwaltung von AI‑Software‑Lieferketten (Modelle, MCP‑Server, Abhängigkeiten)

- MCP Catalog zur Erkennung und Governance von Model Context Protocol (MCP)‑Servern und ‑Registern in Public‑ und Private‑Umgebungen

- Erweitertes algorithmisches Red‑Teaming für Modelle und Agenten (inkl. Multi‑Turn‑Tests und Mehrsprachigkeit)

- Laufzeit‑Guardrails für agentische Systeme zur kontinuierlichen Überwachung von Tool‑Interaktionen und Erkennung manipulativer oder unsicherer Verhaltensmuster

• AI‑bewusste SASE‑Erweiterungen:

- Erkennung und Optimierung von AI‑Traffic (z. B. Paketduplizierung bei Lastspitzen, Priorisierung für niedrige Latenz)

- MCP‑Sichtbarkeit, Logging und Policy‑Kontrolle für Agent‑zu‑Tool‑Kommunikation

- Intent‑basierte Inspektion von Nachrichten und Tool‑Requests zur Erkennung komplexer Bedrohungen, die sich hinter semantisch scheinbar legitimen Anfragen verbergen

- Vereinheitlichte Richtlinien durch SD‑WAN + SSE für agentische Workloads über Standorte hinweg

• Netzwerk‑ und Routing‑Ebene:

- Neue IOS XE‑Versionen mit durchgängiger Post‑Quanten‑Kryptografie (PQC) für verschlüsselte AI‑Workflows

- „Smart Switching“ und sichere Routing‑Lösungen, ausgelegt auf hohe Bandbreiten und Latenzanforderungen verteilter KI‑Workloads

Cisco positioniert diese Bausteine als integralen Bestandteil seiner bereits etablierten Secure Network Architecture und der Secure AI Factory mit NVIDIA, die Referenzarchitekturen für AI‑Workloads, Datenplattformen und Security Controls bereitstellen.

Was ist neu – und warum es für Unternehmen relevant ist

1. Von Benutzer‑ zu Agent‑Zentrierter Sicherheit

Bisherige Security‑Architekturen fokussieren primär auf menschliche Identitäten, Endgeräte und klassische Applikationen. Mit agentischer KI verschiebt sich dieser Fokus:

• KI‑Agenten werden zu „Erst‑Klasse‑Identitäten“: Sie besitzen eigene Berechtigungen, treffen Entscheidungen, orchestrieren Tools und Services.

• Interaktionen werden komplexer und dichter: Agenten kommunizieren untereinander, mit APIs, SaaS‑Diensten, Datenbanken und Legacy‑Systemen – häufig vollautomatisch.

• Angriffsvektor verschiebt sich: Prompt‑Injection, Tool‑Hijacking, Supply‑Chain‑Risiken in Modellen oder MCP‑Servern treten neben klassische Schwachstellen.

Cisco reagiert darauf, indem AI Defense und SASE Agenten, Tools und MCP‑Infrastruktur explizit als eigene Objekte des Sicherheitsmodells adressieren. Für Unternehmen bedeutet das: Sie können nun Richtlinien, Monitoring und Governance nicht mehr nur auf Nutzer‑ und Service‑Ebene, sondern gezielt auf Agenten‑Ebene definieren.

2. AI BOM und MCP Catalog: Transparenz in der AI‑Lieferkette

Mit wachsender Zahl von Modellen, MCP‑Servern, Open‑Source‑Bibliotheken und SaaS‑Integrationen steigt das Lieferkettenrisiko erheblich. AI BOM und MCP Catalog adressieren dabei insbesondere:

• Inventarisierung: Zentrale Übersicht über Modelle, MCP‑Server, Abhängigkeiten und deren Versionen.

• Provenienz und Compliance: Woher stammen die Komponenten? Unter welchen Lizenzen werden sie genutzt? Welche regulatorischen Auflagen gelten (z. B. Datenschutz, Exportkontrollen)?

• Risikobewertung: Welche Komponenten sind kritisch (z. B. Zugriff auf sensible Daten, privilegierte Tool‑Anbindung)? Welche bekannten Schwachstellen existieren?

Praktisch entsteht damit ein Software‑Stücklisten‑Konzept speziell für KI‑Ökosysteme. Während klassische SBOMs vor allem Code‑Bibliotheken betrachten, erweitert AI BOM dies um:

• Modelldefinitionen und Checkpoints

• MCP‑Server‑Konfigurationen und Registries

• Agent‑ und Tool‑Metadaten

Für Governance‑Funktionen (CISO‑Office, Risk & Compliance) ist diese Transparenz Voraussetzung, um Regelwerke wie NIST AI RMF, kommende EU‑AI‑Verordnungen oder branchenspezifische Standards überhaupt sinnvoll abbilden zu können.

3. Laufzeit‑Guardrails und intent‑basierte Inspektion

Die Ankündigung geht deutlich über statische Sicherheitsprüfungen hinaus. Cisco positioniert Laufzeit‑Guardrails und intent‑basierte Inspektion als Kernfunktionen:

• Guardrails auf Agent‑Ebene:

- Kontinuierliche Beobachtung, welche Tools ein Agent wann und mit welchem Kontext nutzt

- Erkennung verdächtiger Muster, etwa:

- ungewöhnliche Sequenzen von Tool‑Calls

- Zugriffe auf nicht deklarierte Ressourcen

- Verhaltensabweichungen von den vorgesehenen „Agent Cards“ oder Policies

- Möglichkeit, Aktionen in Echtzeit zu blockieren oder zusätzliche Bestätigungen zu erzwingen

• Intent‑basierte Inspektion in SASE:

- Semantische Analyse von Agent‑Nachrichten und API‑Requests

- Bewertung, ob Aktionen mit Policies, Rollen und Business‑Kontext übereinstimmen

- Verbindung von Netzwerk‑ und Inhaltsanalyse, um Angriffe zu erkennen, die rein syntaktisch unauffällig wären (z. B. fein abgestimmte Prompt‑Injection)

Damit verschiebt sich der Sicherheitsansatz von Signaturen und einfachen Heuristiken hin zu einer verständnisbasierten Betrachtung von Agentenhandlungen. Für Unternehmen ist dies entscheidend, um komplexe, kanalübergreifende Angriffe zu erkennen, bei denen Agenten als Multiplikator fungieren.

4. AI‑bewusste Optimierung von verschlüsseltem Traffic

Gleichzeitig steigt der Anteil von Ende‑zu‑Ende‑verschlüsseltem Traffic (TLS 1.3, QUIC, VPN‑Tunneling), während AI‑Workloads hohe Bandbreiten und niedrige Latenzen fordern.

Cisco adressiert dieses Spannungsfeld mit:

• AI‑Traffic‑Erkennung: Klassifikation von AI‑Datenströmen (z. B. LLM‑Inference, Agent‑zu‑Tool‑Kommunikation) ohne vollständige Entschlüsselung.

• Optimierungstechniken wie Paketduplizierung, Pfadoptimierung und Priorisierung, speziell für „Burst‑artige“ AI‑Lasten.

• Post‑Quanten‑Kryptografie auf Routing‑ und Switching‑Ebene, um langfristige Vertraulichkeit von AI‑Daten zu sichern – ein Aspekt, der insbesondere in regulierten Branchen (Finanz, Gesundheit, öffentliche Verwaltung) zunehmend Gewicht erhält.

Damit versucht Cisco, den scheinbaren Zielkonflikt „Sichtbarkeit vs. Verschlüsselung“ zugunsten eines Modells zu verschieben, das Meta‑Informationen, Telemetrie und semantische Analysen nutzt, ohne jede Payload vollständig aufbrechen zu müssen.

Konkrete Einsatzszenarien in Unternehmen

Szenario 1: Agentische Customer‑Service‑Plattform

Ein internationales Unternehmen betreibt ein agentisches System, das:

• Kundenanfragen über verschiedene Kanäle (Chat, E‑Mail, Voice) entgegennimmt

• interne CRM‑, ERP‑ und Wissensdatenbanken abfragt

• eigenständig Tickets erstellt, Rabatte gewährt oder Reklamationen freigibt

Mit der neuen Cisco‑Architektur können Teams:

• Über AI BOM und den MCP Catalog sämtliche Modelle, Agenten und Tool‑Backends inventarisieren, inklusive der genutzten SaaS‑Dienste.

• Mittels Guardrails sicherstellen, dass der Service‑Agent nur innerhalb definierter finanzieller Grenzen Gutschriften erteilen darf und in bestimmten Fällen zwingend eine menschliche Freigabe einholt.

• Über intent‑basierte Inspektion Anomalien erkennen, etwa wenn der Agent plötzlich versucht, Massenexporte sensibler Kundendaten durchzuführen.

• Dank AI‑Traffic‑Optimierung sicherstellen, dass auch in Peaks (z. B. Black Friday, Kampagnenstarts) Antwortzeiten niedrig bleiben, ohne Security‑Kontrollen abzuschalten.

Szenario 2: Agentische IT‑Operations (AgenticOps)

Eine Organisation nutzt agentische KI zur:

• Überwachung von Netzwerken, Logs und Telemetrie

• Automatisierten Incident‑Response‑Schritten (z. B. Isolierung kompromittierter Hosts, Policy‑Anpassungen)

• Orchestrierung von Cloud‑Ressourcen und On‑Prem‑Systemen

Relevante Aspekte der Cisco‑Ankündigung:

• AI Defense kann über Multi‑Turn‑Red‑Teaming testen, wie sich die Operations‑Agenten unter Stress‑ oder Angriffsszenarien verhalten.

• Laufzeit‑Guardrails verhindern, dass ein kompromittierter Ops‑Agent weitreichende Netzwerkänderungen ohne zusätzliche Checks durchführt.

• Unified Policy Enforcement im SASE‑Stack sorgt dafür, dass identische Richtlinien für agentische Aktivitäten gelten – unabhängig davon, ob diese im Rechenzentrum, in der Cloud oder an Edge‑Standorten ausgelöst werden.

Szenario 3: Datensensible Branchen mit PQC‑Anforderungen

Banken, Versicherungen, öffentliche Verwaltung oder Gesundheitswesen müssen davon ausgehen, dass heute abgefangene verschlüsselte Daten in einer Post‑Quanten‑Ära entschlüsselt werden könnten („harvest now, decrypt later“).

Durch Ciscos vollständige Post‑Quanten‑Kryptografie auf Routing‑ und Switching‑Ebene können Organisationen:

• AI‑Workloads und agentische Prozesse bereits heute mit quantenresistenten Verfahren absichern.

• Migrationspfade von klassischer Public‑Key‑Kryptografie hin zu PQC definieren, ohne ihren Betrieb zu unterbrechen.

• Compliance‑ und Audit‑Anforderungen besser adressieren, indem sie nachweislich eine langfristige Vertraulichkeit sensibler Daten anstreben.

Implikationen für Sicherheits‑ und IT‑Strategien

Verschiebung der Verantwortlichkeiten

Mit der neuen Architektur werden AI‑Security‑Teams, MLOps, Netzwerk‑ und Security‑Operations enger verzahnt:

• AI‑Teams liefern Informationen zu Modellen, Agenten, Toolchains und MCP‑Topologie für AI BOM und Kataloge.

• Netzwerk‑ und SASE‑Teams definieren Pfade, Priorisierungen und Optimierungen für AI‑Traffic.

• Security‑Operations konfigurieren Guardrails, Red‑Teaming‑Strategien und Incident‑Response‑Playbooks für agentische Systeme.

Unternehmen, die diese Rollen weiterhin isoliert betrachten, riskieren Schatten‑AI und unkoordinierte Risiken.

Regulatorische Vorbereitung

Mit Blick auf EU‑Regulierung (AI‑Gesetzgebung, NIS2, DORA etc.) gewinnen Funktionen wie AI BOM, Governance‑Mapping auf etablierte Frameworks (NIST, OWASP, MITRE) und Post‑Quanten‑Kryptografie an Bedeutung. Die Cisco‑Architektur erleichtert:

• Nachweis der Kontrolle über AI‑Assets und deren Lieferkette

• Dokumentation von Sicherheitsmaßnahmen für agentische Systeme

• Auditierbarkeit von Entscheidungen und Aktionen von KI‑Agenten

Ökosystem‑Integration

Cisco öffnet AI Defense u. a. über Integrationen mit NVIDIA NeMo Guardrails und offenen Frameworks. Für Unternehmen bedeutet das:

• Bestehende Investitionen in AI‑Stacks können besser eingebunden werden.

• Sicherheits‑Mechanismen lassen sich konsistenter über verschiedene Technologie‑Stacks hinweg ausrollen.

Was Unternehmen jetzt konkret tun sollten

1. Bestandsaufnahme agentischer KI

• Welche Agenten, Modelle, MCP‑Server und Tools sind heute bereits im Einsatz (Produktiv, Pilot, Shadow‑IT)?

• Welche Daten‑ und Systemzugriffe besitzen diese Agenten faktisch?

Ein strukturiertes AI‑Asset‑Register ist die Grundlage, um überhaupt von AI BOM und Governance‑Funktionen profitieren zu können.

2. Zielbild für AI‑Security‑Architektur definieren

• Welche Rolle sollen AI Defense, SASE und Secure Network Architecture im eigenen Stack spielen?

• In welchen Domänen (Customer Service, IT‑Ops, Business‑Prozesse) ist der Einsatz agentischer KI kurz‑ bis mittelfristig geplant?

Auf Basis dieser Analyse lässt sich eine Roadmap entwickeln, welche Cisco‑Bausteine (oder vergleichbare Lösungen) in welcher Reihenfolge eingeführt werden.

3. Guardrails und Policies auf Agent‑Ebene entwerfen

• Definition zulässiger und unzulässiger Aktionen für Agenten (z. B. maximale Transaktionsvolumina, Datenexport‑Limits, kritische Systemänderungen).

• Festlegung, wann zwingend menschliche Freigabe erforderlich ist.

• Übersetzung dieser Regeln in technische Policies innerhalb von AI Defense und SASE.

4. Red‑Teaming und kontinuierliches Testing etablieren

• Nutzung von Multi‑Turn‑Red‑Teaming, um realistische Angriffsszenarien auf Agenten zu simulieren.

• Laufende Aktualisierung der Testszenarien anhand neuer Bedrohungen und Frameworks (NIST, OWASP, MITRE).

5. Netzwerk und Kryptografie modernisieren

• Bewertung, ob aktuelle Routing‑ und Switching‑Infrastruktur KI‑Workloads (Latenz, Bandbreite, Verschlüsselung) genügt.

• Planung der schrittweisen Einführung von PQC‑fähigen Komponenten und AI‑bewusster Traffic‑Optimierung.

Fazit: AI‑native Sicherheit wird zum Wettbewerbsfaktor

Mit der neuen Sicherheitsarchitektur für agentische KI und verschlüsselten Traffic setzt Cisco ein klares Signal: klassische, rein nutzerzentrierte Security‑Modelle reichen für autonome Agentensysteme nicht mehr aus. Sichtbarkeit, Governance und Schutz müssen direkt an Agenten, Tools, Datenpfade und verschlüsselte Workloads anknüpfen.

Für Unternehmen, die agentische KI skalieren wollen, entsteht damit eine neue Generation von Sicherheits‑ und Netzwerk‑Infrastruktur, die gleichermaßen auf Vertrauen, Resilienz und Performance ausgelegt ist.

Kernaussagen für Entscheider:

• Agentische KI verschiebt den Sicherheitsfokus von Benutzern zu autonomen Agenten und ihren Toolchains.

• Ciscos AI Defense‑Erweiterungen (AI BOM, MCP Catalog, Guardrails, Red‑Teaming) schaffen erstmals durchgängige Governance von der AI‑Lieferkette bis zur Laufzeit.

• AI‑bewusste SASE‑Funktionen verbinden Intent‑basierte Inspektion mit Traffic‑Optimierung für latenzkritische, verschlüsselte AI‑Workflows.

• Post‑Quanten‑fähige Routing‑ und Switching‑Komponenten adressieren frühzeitig das Risiko „harvest now, decrypt later“ für sensible AI‑Daten.

• Unternehmen sollten jetzt AI‑Assets inventarisieren, Agent‑Policies definieren, Red‑Teaming etablieren und eine Roadmap hin zu AI‑nativer Sicherheits‑ und Netzwerkarchitektur entwickeln.

Häufig gestellte Fragen (FAQ)

Was versteht Cisco unter einer neuen AI-Sicherheitsarchitektur für agentische KI?

Die neue AI-Sicherheitsarchitektur von Cisco richtet sich speziell an autonome KI-Agenten und stark verschlüsselten Unternehmensverkehr. Sie kombiniert erweiterte Cisco-AI-Defense-Funktionen, AI-bewusste SASE-Services und post-quantenkryptografische Netzwerkkomponenten zu einem durchgängigen Sicherheitsstack für die „agentische Ära“.

Wie funktionieren AI BOM und MCP Catalog in Cisco AI Defense?

AI BOM (Bill of Materials) erstellt eine detaillierte Stückliste aller KI-Komponenten wie Modelle, MCP-Server, Abhängigkeiten und Agenten. Der MCP Catalog ergänzt dies um Erkennung, Inventarisierung und Governance von Model-Context-Protocol-Servern und -Registern, sodass Unternehmen Transparenz und Compliance in ihrer gesamten AI-Lieferkette erhalten.

Welche Vorteile bieten Laufzeit-Guardrails und intent-basierte Inspektion für agentische KI?

Laufzeit-Guardrails überwachen kontinuierlich das Verhalten von KI-Agenten, ihre Tool-Aufrufe und Zugriffe und können riskante Aktionen in Echtzeit blockieren oder zusätzliche Freigaben erzwingen. Die intent-basierte Inspektion im SASE-Stack analysiert die semantische Absicht von Nachrichten und API-Calls, um komplexe Angriffe wie Prompt-Injection zu erkennen, die in rein syntaktischen Prüfungen unauffällig wären.

Welche Auswirkungen hat die neue Cisco-Architektur auf verschlüsselten AI-Traffic?

Ciscos Ansatz ermöglicht es, AI-spezifischen Traffic auch bei durchgängiger Verschlüsselung zu erkennen, zu priorisieren und zu optimieren, ohne jede Payload vollständig zu entschlüsseln. Zugleich sorgt der Einsatz post-quantenkryptografischer Verfahren auf Routing- und Switching-Ebene für langfristige Vertraulichkeit sensibler AI-Daten, etwa in Finanz-, Gesundheits- oder Regierungsumgebungen.

Worin unterscheidet sich die agentenzentrierte Sicherheit von klassischen nutzerzentrierten Security-Modellen?

Klassische Security-Modelle fokussieren hauptsächlich auf menschliche Identitäten, Endgeräte und Anwendungen, während agentenzentrierte Sicherheit KI-Agenten als eigene, erstklassige Identitäten behandelt. Policies, Monitoring und Governance werden explizit auf Agenten, ihre Toolchains und MCP-Infrastruktur ausgerichtet, um neue Angriffsvektoren wie Tool-Hijacking oder modellbasierte Supply-Chain-Risiken adressieren zu können.

Wie können Unternehmen die Cisco-Lösungen in ihre bestehende AI- und IT-Landschaft integrieren?

Unternehmen sollten zunächst ein AI-Asset-Register aufbauen und erfassen, welche Agenten, Modelle, MCP-Server und Tools im Einsatz sind. Darauf aufbauend lässt sich ein Zielbild für die AI-Sicherheitsarchitektur definieren, in dem Cisco AI Defense, SASE und Secure Network Architecture gezielt in priorisierten Domänen wie Customer Service, IT-Ops oder regulierten Geschäftsprozessen ausgerollt werden.

Was sollten Unternehmen jetzt konkret tun, um sich auf agentische KI und die Cisco-Architektur vorzubereiten?

Organisationen sollten AI-Assets inventarisieren, Agent-Policies und Guardrails definieren sowie Red-Teaming-Programme für KI-Agenten etablieren. Parallel ist zu prüfen, ob Netzwerk- und Kryptografie-Infrastruktur für latenzkritische AI-Workloads und den schrittweisen Umstieg auf post-quantenfähige Komponenten geeignet ist, um eine Roadmap zu einer AI-nativen Sicherheitsarchitektur zu entwickeln.