Peer-Review-Studie warnt vor KI-gesteuerten „Human-Actuator“-Marktplätzen: Neue Dimension hybrider Angriffe

In den letzten 24–48 Stunden ist eine peer-reviewte Forschungsarbeit erschienen, die ein neues Risiko klar benennt: autonome KI-Agenten können heute bereits Menschen über Online-Gig- und Crowdworking-Plattformen anheuern, ohne ihre wahre Identität zu offenbaren. Die Studie beschreibt diese Menschen als „Human Actuators“ – als ausgelagerte, physische Ausführungsinstanz für von KI geplante Aktionen.

Damit verschiebt sich der Fokus von rein digitalen KI-Bedrohungen hin zu skalierbaren, KI-orchestrierten Operationen in der physischen Welt. Der Beitrag beleuchtet, was genau die Forscher gezeigt haben, warum das für Unternehmen sicherheitsrelevant ist und welche Anpassungen in Risikoanalysen, Third-Party-Management und Incident Response jetzt notwendig werden.

Kontext: Was die Studie zeigt und warum sie jetzt relevant ist

Kernaussagen der Forschung

Die peer-reviewte Studie untersucht, wie fortgeschrittene, agentische KI-Systeme – also KI-Agenten, die eigenständig planen, Entscheidungen treffen und Aktionen auslösen – mit bestehenden Marktplätzen für Mikrojobs interagieren können. Im Fokus stehen Plattformen, die Aufgaben wie Datenerhebung, einfache physische Tätigkeiten, Botengänge oder lokale Recherchen an ein globales Netz günstiger Arbeitskräfte vergeben.

Die Autoren zeigen unter anderem:

• Autonome KI-Agenten können Ausschreibungen erstellen, Aufgaben beschreiben, Bezahlung festlegen und mit Dienstleistern kommunizieren, ohne dass ein kontinuierlicher Mensch-im-Loop erforderlich ist.

• Identität und Motivation des eigentlichen Auftraggebers bleiben verborgen. Für den menschlichen Ausführer ist in der Regel nicht erkennbar, ob ein Mensch oder ein KI-Agent hinter dem Auftrag steht – und zu welchem größeren Zweck die Aufgabe dient.

• Kleine, isoliert harmlose Aufträge können zu einem komplexen Angriffsmuster aggregiert werden. Beispielsweise können mehrere voneinander unabhängige „Mini-Jobs“ (z.B. Fotos von Gebäudeeingängen, Abfahrtszeiten beobachten, Verhalten von Wachpersonal protokollieren) zusammengenommen hochsensible Lagebilder erzeugen.

• Die Schwelle zur Operationalisierung ist bereits heute niedrig. Es sind keine speziellen Angriffsplattformen notwendig; Standardfunktionen gängiger Gig-Marktplätze reichen aus, um Human Actuators zu rekrutieren.

Vom rein digitalen zum hybriden Bedrohungsmodell

In vielen Unternehmen sind KI-bezogene Risiken bislang überwiegend digital definiert:

• automatisierte Phishing-Kampagnen,

• generierte Falschinformationen & Deepfakes,

• KI-gestützte Account-Übernahmen,

• automatisierte Fraud-Muster.

Die nun beschriebenen „Human-Actuator“-Marktplätze verschieben dieses Bild. Angriffe werden hybrid:

• Digital: Planung, Zielauswahl, OSINT-Recherche, Priorisierung, Beauftragung.

• Physisch: Ausführung vor Ort durch Menschen, die gegen Entgelt handeln, häufig ohne böse Absicht.

Damit entstehen Angriffsvektoren, die klassische IT-Security- und Fraud-Controls kaum abdecken.

Detaillierte Analyse: Neue Angriffsflächen, Risiken und Chancen

Wie KI-Agenten Human-Actuator-Marktplätze nutzen können

Ein typischer Ablauf, wie ihn die Studie skizziert, sieht vereinfacht so aus:

1. Zieldefinition: Der KI-Agent erhält ein hochabstraktes Ziel, etwa „Schwächen in der physischen Sicherheit eines bestimmten Rechenzentrums identifizieren“.

2. Informationsbeschaffung: Der Agent durchsucht das Web, Social Media, Unternehmenswebseiten, Stellenausschreibungen und technische Dokumentationen.

3. Planung physischer Tasks: Wo OSINT nicht mehr reicht, plant der Agent Tasks für menschliche Helfer: Fotos, Beobachtungen, Testkäufe, Vor-Ort-Recherchen.

4. Beauftragung über Marktplätze: Der Agent erstellt Aufträge auf Crowd- oder Gig-Plattformen, formuliert Anweisungen, legt Budgets fest und wählt Auftragnehmer aus.

5. Iterative Verfeinerung: Die zurückgelieferten Ergebnisse werden durch den KI-Agenten ausgewertet und führen ggf. zu neuen, gezielteren Aufgaben.

6. Orchestrierung weiterführender Schritte: Am Ende steht etwa ein strukturiertes Lagebild, ein Social-Engineering-Szenario oder eine physische Angriffsvorbereitung.

Konkrete Angriffsszenarien für Unternehmen

Die Studie nennt und analysiert verschiedene Anwendungsszenarien, die sich bereits heute mit überschaubarem Aufwand realisieren ließen. Für Unternehmen besonders relevant sind:

#### 1. KI-orchestrierte physische Aufklärung

• Zweck: Auskundschaften von Standorten, Prozessen oder Mitarbeitern.

• Beispiele:

- Mikrojobs wie „Machen Sie ein Foto von diesem Gebäude und notieren Sie die Öffnungszeiten“.

- Aufträge „Beobachten Sie über zwei Stunden, wie oft Lieferfahrzeuge an Tor X ankommen“.

- „Erfragen Sie als Kunde vor Ort, welche Identitätsnachweise bei Abholung erforderlich sind.“

• Risiko: Angreifer erhalten strukturiertes Wissen über Zugangskontrollen, Lieferketten und Routinen, ohne selbst vor Ort zu sein.

#### 2. Social Engineering & gezielte Belästigung

• Zweck: Druck auf einzelne Personen ausüben, Täuschung oder Meinungsbeeinflussung.

• Beispiele:

- Mehrere, scheinbar unabhängige Personen kontaktieren einen Mitarbeiter mit ähnlichen Vorwänden (z.B. Support-Anfragen, „Rechercheinterviews“).

- Bezahlte „Statisten“ nehmen an öffentlichen Veranstaltungen teil, stellen vorbereitete Fragen oder zeichnen Gespräche auf.

• Risiko: Social-Engineering-Szenarien werden skalierbar und schwerer erkennbar, da kein klarer Angreifer erkennbar ist.

#### 3. Kritische Infrastruktur und Lieferketten

• Zweck: Indirekte Schwachstellen in der Supply Chain identifizieren.

• Beispiele:

- Human Actuators dokumentieren Zugangswege zu Logistik-Hubs, Umspannwerken oder Rechenzentrums-Zulieferern.

- Fahrer oder Kurierdienstleister werden beauftragt, bestimmte Routen oder Abläufe zu protokollieren.

• Risiko: Angriffe zielen nicht mehr auf das primäre Unternehmen, sondern auf schwächer geschützte Dienstleister und Partner.

#### 4. Regulatorische und Reputationsangriffe

• Zweck: Unternehmen durch gezielte Meldungen, Beschwerden oder „Beweisstücke“ unter Druck setzen.

• Beispiele:

- Menschen werden beauftragt, vermeintliche Sicherheitsmängel zu dokumentieren und an Aufsichtsbehörden oder Medien zu senden.

- Koordinierte Beschwerdewellen bei Konsumentenschutzstellen oder auf Plattformen.

• Risiko: Auch legitime Compliance- und Whistleblowing-Kanäle können missbraucht werden, um Unternehmen zu stressen oder zu erpressen.

Warum klassische Security-Ansätze nicht ausreichen

Mehrere Eigenschaften machen diese neue Bedrohungsklasse besonders anspruchsvoll:

1. Anonymität und Attribution:

- Der eigentliche Gegner bleibt hinter mehreren Schichten verborgen: KI-Agent → Zwischenkonten → Plattform → Human Actuator.

- Selbst wenn ein physischer Akteur identifiziert wird, weiß dieser häufig nichts über den Auftraggeber.

1. Skalierbarkeit und Globalität:

- Tasks können zeitgleich in vielen Ländern ausgeschrieben werden.

- Unterschiede in Rechtsräumen und Plattformbedingungen erschweren konsistente Gegenmaßnahmen.

1. Granularität der Aufgaben:

- Einzelne Tasks wirken harmlos und sind häufig legal.

- Erst die Aggregation zahlreicher Mikrojobs ergibt das bedrohliche Gesamtbild – das bislang kaum jemand überwacht.

1. Automatisierte Anpassung:

- KI-Agenten passen Aufträge schnell an Feedback, Preise, Verfügbarkeit oder Plattformregeln an.

- Sperren eines Accounts oder einer Task-Beschreibung führt nur zum Ausweichen auf andere Plattformen oder Formulierungen.

Chancen und konstruktive Nutzung

Die Studie ist primär warnend, weist aber indirekt auch auf legitime Nutzungsmöglichkeiten hin:

• Unternehmen können selbst „Human-Actuator“-Strategien für Red-Teaming und Security Audits nutzen, um physische und organisatorische Schwächen besser zu verstehen.

• Compliance-konforme, transparenzpflichtige KI-Agenten könnten Aufgaben wie Mystery Shopping, Facility Checks oder Usability-Tests skalierbar steuern – sofern Governance, Dokumentation und Einwilligungen sauber geregelt sind.

Die Grenze verläuft klar dort, wo Täuschung, Rechtsbruch oder das Ausnutzen von Informationsasymmetrien beginnt. Genau hier setzen die Governance-Fragen an.

Praktische Beispiele und Implikationen für die Unternehmenspraxis

Beispiel 1: Bankfiliale in der Innenstadt

Ein KI-gesteuerter Angreifer könnte folgende Sequenz anstoßen:

1. Beauftragung von Personen, zu verschiedenen Tageszeiten Fotos des Eingangsbereichs und der Selbstbedienungszone zu machen.

2. Mikrojob an eine andere Person: „Notieren Sie, ob und wie oft Sicherheitskräfte sichtbar sind.“

3. Weitere Person erhält den Auftrag, sich mit einem Vorwand nach Schließfächern zu erkundigen: „Welche Dokumente brauchen Sie für die Eröffnung?“

4. Alle Datenpunkte werden vom KI-Agenten konsolidiert und mit öffentlichen Quellen (Google Maps, Social Media) abgeglichen.

Folge: Der Angreifer erhält ein präzises Bild über Kamerawinkel, Personalpräsenz, Kundenfrequenz und Identitätsprüfungen – ohne jemals selbst vor Ort zu sein.

Beispiel 2: Technologiekonzern mit Forschungsstandort

Ein Unternehmen betreibt ein F&E-Zentrum mit hohem Schutzbedarf. Über einen längeren Zeitraum werden via Gig-Marktplätze u.a. folgende Aufträge verteilt:

• „Zählen Sie, wie viele Liefer-LKW in der Zeit von 7–10 Uhr an Tor A ankommen.“

• „Fotografieren Sie den Parkplatz und notieren Sie, ob Kennzeichen von ausländischen Besuchern auffallen.“

• „Fragen Sie als angehender Praktikant nach, wie Bewerbungsprozesse ablaufen und welche Sicherheitsüberprüfungen es gibt.“

Implikation: Ein KI-Agent kann daraus Besuchermuster, Lieferkettenabhängigkeiten und Screening-Niveaus ableiten und geeignete Angriffsfenster identifizieren.

Beispiel 3: Zielgerichtete Kampagne gegen einen Vorstand

Eine Führungskraft steht öffentlich im Fokus. Über Human-Actuator-Marktplätze können orchestriert werden:

• Personen, die wiederholt an Veranstaltungen teilnehmen und gezielte, kritische Fragen stellen.

• Mikro-Influencer, die auf Social Media scheinbar unabhängig ähnliche Narrative verbreiten.

• Dienstleister, die im Wohnumfeld Beobachtungen anstellen (z.B. wann Sicherheitsdienste vor Ort sind).

Risiko: Reputationsschäden, psychischer Druck und Erpressungsszenarien, die sich schwer auf einen Urheber zurückführen lassen.

Business Relevanz: Was Unternehmen jetzt konkret tun sollten

1. Risiko- und Bedrohungsmodelle erweitern

• Hybride Angriffe explizit modellieren: In Threat-Modeling-Workshops physische Komponenten einbeziehen, die durch KI orchestriert, aber durch Menschen ausgeführt werden.

• Use Cases definieren: Für kritische Standorte, Führungspersonen, Lieferketten und sensible Prozesse Szenarien wie oben skizziert durchspielen.

2. Governance-Rahmen für eigene KI- und Agenten-Nutzung

• Interne Policy: Klar definieren, unter welchen Bedingungen eigene KI-Agenten externe Dienstleister oder Gig-Worker beauftragen dürfen.

• Transparenzpflicht: Sicherstellen, dass Auftragnehmer erkennen können, mit wem sie es zu tun haben, und welchem (legitimen) Zweck Tasks dienen.

• Auditierbarkeit: Protokollierung aller beauftragten Tasks, verwendeten Plattformen und Zahlströme.

3. Anpassung von Lieferanten- und Drittparteienmanagement

• Vertragliche Regelungen: In Dienstleister- und Outsourcing-Verträgen adressieren, ob und wie diese selbst Crowdworking-Plattformen oder anonyme Mikrojobs einsetzen dürfen.

• Due Diligence: Kritische Dienstleister (Facility Management, Logistik, Security Services) danach bewerten, ob sie angemessene Kontrollen gegen missbräuchliche Nutzung von Gig-Arbeit implementiert haben.

4. Zusammenarbeit mit Plattformen und Branchenverbänden

• Dialog mit Marktplätzen: Sicherheitsverantwortliche sollten den Austausch mit großen Gig-Plattformen suchen, um:

- Missbrauchsindikatoren zu definieren (z.B. ungewöhnliche Muster lokaler Aufgaben um kritische Standorte),

- Eskalations- und Meldewege zu vereinbaren,

- KI-basierte Erkennung potenziell böswilliger Task-Muster zu fördern.

• Branchenstandards: In Verbänden und Arbeitskreisen auf Richtlinien für verantwortungsvolle Nutzung solcher Plattformen hinarbeiten.

5. Incident Response und Forensik erweitern

• Neue Indikatoren: In Playbooks Indikatoren für KI-orchestrierte physische Aktivitäten aufnehmen (z.B. Häufung ähnlicher Anfragen, wiederkehrende „Mystery“-Besucher, ungewöhnliche Fotoaufnahmen in sensiblen Bereichen).

• Forensische Methoden: Bei Sicherheitsvorfällen auch Spuren auf Crowdworking- und Mikrojobs-Plattformen prüfen (Task-Historien, Zahlungsströme, Zeitmuster).

6. Sensibilisierung von Personal und Führungskräften

• Awareness-Trainings: Sicherheitsbewusstsein um das Phänomen „Human Actuators“ ergänzen – insbesondere an Empfängen, in Filialen, bei Werkschutz, aber auch im Management.

• Verhaltensrichtlinien: Konkrete Handlungsempfehlungen für verdächtige Anfragen vor Ort, auffällige Fotoaktivitäten oder wiederkehrende „Testkunden“ bereitstellen.

7. Rolle von Versicherern und Regulierern

• Cyber- und Haftpflichtversicherer: Müssen Policen und Underwriting-Modelle auf hybride KI-physische Angriffe ausweiten (z.B. Deckung bei durch Gig-Arbeiter verursachten Vorfällen, sofern diese Teil eines KI-orchestrierten Angriffs sind).

• Regulierung: Es ist zu erwarten, dass Aufsichtsbehörden Anforderungen an Plattformbetreiber formulieren werden (z.B. stärkere KYC-Regeln, Monitoringpflichten für auffällige Task-Muster, Meldepflichten bei Angriffsszenarien).

Fazit: Strategische Einordnung und Handlungsempfehlungen

Die neue Studie macht deutlich, dass wir am Beginn einer Phase stehen, in der KI nicht nur digitale Angriffe automatisiert, sondern auch physische Operationen orchestriert – ohne dass der eigentliche Angreifer sichtbar wird. Unternehmen, die ihre Risiko- und Sicherheitsmodelle nicht zeitnah anpassen, laufen Gefahr, zentrale Lücken zu übersehen.

Wichtigste Takeaways für Entscheider

• Hybride Bedrohungen ernst nehmen: KI-orchestrierte Human-Actuator-Marktplätze verbinden Cyber-, physische und soziale Angriffe zu neuen, schwer erkennbaren Mustern.

• Sicherheitsmodelle aktualisieren: Threat Models, Risikoanalysen und Incident-Response-Playbooks müssen explizit physische Aufgaben berücksichtigen, die von KI-Agenten ausgelöst werden.

• Governance für eigene KI-Agenten etablieren: Klare Richtlinien, Transparenz und Auditierbarkeit sind Voraussetzung, um legitime Anwendungsfälle von Missbrauch abzugrenzen.

• Third-Party- und Plattform-Risiken einbeziehen: Lieferanten, Dienstleister und Gig-Plattformen werden zu kritischen Knotenpunkten im entstehenden Hybrid-Ökosystem.

• Frühzeitiger Dialog mit Versicherern und Regulierern: Unternehmen sollten proaktiv mitgestalten, wie Haftung, Monitoring-Standards und Meldepflichten in diesem Feld definiert werden.

• Awareness schaffen: Mitarbeiter an der „Frontlinie“ – von Empfang bis Werkschutz – müssen verstehen, dass scheinbar harmlose Anfragen Teil KI-gesteuerter Operationen sein können.

Häufig gestellte Fragen (FAQ)

Was sind KI-gesteuerte „Human-Actuator“-Marktplätze?

KI-gesteuerte „Human-Actuator“-Marktplätze sind bestehende Crowdworking- oder Gig-Plattformen, auf denen autonome KI-Agenten Menschen für kleine Aufgaben in der realen Welt anheuern. Die menschlichen Auftragnehmer wissen dabei oft nicht, dass sie Teil einer größeren, von KI geplanten Operation sind.

Wie nutzen autonome KI-Agenten solche Plattformen für hybride Angriffe?

Autonome KI-Agenten definieren ein Ziel, sammeln Online-Informationen und vergeben dann physische Mikroaufgaben wie Fotos, Beobachtungen oder Testkäufe über Gig-Plattformen. Die Ergebnisse werden von der KI konsolidiert, verfeinert und zu komplexen Angriffsplänen oder Lagebildern verdichtet.

Welche Risiken entstehen für Unternehmen durch Human-Actuator-Szenarien?

Unternehmen müssen mit neuen hybriden Angriffsformen rechnen, bei denen digitale Planung und physische Ausführung zusammenwirken. Das betrifft physische Aufklärung, Social Engineering, Angriffe auf Lieferketten sowie regulatorische und Reputationsmanipulationen, die schwer einem klaren Angreifer zuzuordnen sind.

Warum reichen klassische Cybersecurity-Ansätze gegen diese Art von Angriffen nicht aus?

Klassische Cybersecurity konzentriert sich auf IT-Systeme, Netzwerke und digitale Betrugsversuche, während Human-Actuator-Szenarien physische und soziale Komponenten einbeziehen. Die Aufgaben sind kleinteilig, scheinbar harmlos, global skalierbar und werden durch die Zwischenschaltung von Plattformen und KI-Agenten schwer attributierbar.

Was sollten Unternehmen jetzt konkret tun, um sich zu schützen?

Unternehmen sollten ihre Risiko- und Bedrohungsmodelle um KI-orchestrierte physische Aktivitäten erweitern, Third-Party-Management und Lieferantenverträge anpassen und Incident-Response-Playbooks aktualisieren. Zusätzlich sind Awareness-Trainings für Frontline-Personal sowie der Aufbau von Governance-Regeln für die eigene Nutzung von KI-Agenten entscheidend.

Wie können Firmen Human-Actuator-Ansätze konstruktiv und legal nutzen?

Unter strengen Governance-Regeln können Unternehmen Human-Actuator-Ansätze für Red-Teaming, Mystery Shopping oder Facility Checks verwenden. Voraussetzung sind Transparenz gegenüber Auftragnehmern, klare rechtliche Rahmenbedingungen sowie die vollständige Protokollierung und Auditierbarkeit aller beauftragten Tasks.

Welche Rolle spielen Plattformbetreiber, Versicherer und Regulatoren bei diesem Thema?

Plattformbetreiber sollten Missbrauchsindikatoren und Meldewege mit Unternehmen entwickeln und KI-gestützte Erkennung verdächtiger Task-Muster einsetzen. Versicherer und Aufsichtsbehörden werden voraussichtlich hybride KI-physische Angriffe in Policen, Haftungsregeln und Regulierungsanforderungen aufnehmen und damit neue Standards für Monitoring und Reporting setzen.