Zum Inhalt springen
← Alle Artikel
KI-Agenten dürfen jetzt auf deiner Website handeln (WebMCP) - was du absichern musst
Recht & Compliance

KI-Agenten dürfen jetzt auf deiner Website handeln (WebMCP) - was du absichern musst

Für den visuellen Mehrwert meiner Artikel erstelle ich passende Titelbilder mit Hilfe von künstlicher Intelligenz - abgestimmt auf den tatsächlichen Inhalt des Beitrags.

WebMCP lässt KI-Agenten auf deiner Website nicht mehr nur lesen, sondern handeln - buchen, absenden, bestellen. Was du als Betreiber absichern musst und was DSGVO und Button-Lösung dabei bedeuten.

Eric MengeAutorEric MengeInhaber & Webentwickler bei EMIT Solution
Veröffentlicht
Lesezeitca. 10 Min.

Kurz gesagt

  • Agent-ready ist kein Marketing-Thema, sondern ein Sicherheitsthema. Sobald ein Agent auf deiner Seite handeln darf, ist jede kritische Aktion ein mögliches Einfallstor - demotauglich heißt nicht missbrauchssicher.
  • Behandle einen KI-Agenten wie jeden anderen Client: serverseitige Prüfung, minimale Rechte, Rate-Limiting. Der gefährlichste Fehler ist ein privilegierter Abkürzungs-Pfad für Agenten, der deine normale Absicherung umgeht.
  • Prompt-Injection kommt aus deinen eigenen Inhalten. Bewertungen, Produkttexte, Formular-Platzhalter - alles, was ein Agent liest, kann ihn kapern. Fremde Eingaben dürfen nie zu Anweisungen werden.
  • DSGVO und Button-Lösung gelten weiter. Verantwortlicher bleibst du. Eine zahlungspflichtige Bestellung braucht die bewusste Bestätigung eines Menschen - ein Agent, der das automatisch wegklickt, ist ein Rechtsproblem, kein Feature.

Die spannende Frage ist nicht mehr, ob ein KI-Agent deine Website lesen kann. Das kann er längst. Die Frage ist, was passiert, wenn er auf ihr handeln darf - einen Termin bucht, ein Formular absendet, eine Bestellung auslöst. Genau das ist der Schritt, den WebMCP gerade normalisiert. Und genau da hört der Marketing-Teil auf und der Sicherheitsteil fängt an.

Über das “Wie mache ich meine Seite agent-ready” ist in den letzten Monaten viel geschrieben worden. Über das, was danach kommt - was ich als Betreiber absichern muss, bevor ich einen Agenten wirklich handeln lasse - fast nichts. Das hole ich hier nach, aus der Perspektive von jemandem, der Buchungs- und Bestellstrecken baut.

Was WebMCP wirklich ändert

WebMCP (Web Model Context Protocol) ist ein Ansatz aus dem Chrome- und Microsoft-Umfeld. Eine Seite registriert per JavaScript “Tools”: klar benannte Funktionen, die ein Agent aufrufen kann, dazu annotierte Formularelemente, damit er weiß, wie er sie bedient. Aus einer Seite, die man ansieht, wird eine Seite, die man ansteuert.

Noch ist das früh: In Chrome läuft es hinter einem Origin Trial, Lighthouse prüft die “Agentic Browsing”-Eignung bisher experimentell, und Apple hat mit einem Safari-MCP-Server gerade erst nachgezogen. Niemand muss heute in Panik etwas einbauen. Aber der Zug fährt in eine Richtung, und die Sicherheitsfragen entstehen nicht erst, wenn WebMCP stabil ist. Sie entstehen in der Sekunde, in der der erste Agent auf deiner Seite eine Aktion auslösen darf.

Der Denkfehler: agent-ready ist ein Sicherheitsthema

Der Reflex vieler Anleitungen ist: mach die Aktionen für Agenten schön sichtbar und beschreibbar, dann funktioniert es. Stimmt - für die Demo. Das Problem ist, dass eine Aktion, die ein Agent zuverlässig auslösen kann, auch eine Aktion ist, die sich automatisiert, wiederholt und manipuliert auslösen lässt.

Ein Mensch, der ein Formular ausfüllt, ist langsam, sichtbar und einzeln. Ein Agent ist schnell, unsichtbar und skalierbar. Dieselbe Funktion, zwei völlig verschiedene Bedrohungsmodelle. Wer “agent-ready” als reines Sichtbarkeits- und SEO-Thema behandelt, baut sich Einfallstore, ohne es zu merken.

Die vier Stellen, an denen es dich erwischt

1. Kritische Aktionen ohne Bestätigungs-Gate

Die gefährlichste Klasse sind zustandsverändernde und bezahlte Aktionen: buchen, kaufen, kündigen, löschen. Wenn ein Tool-Aufruf so etwas direkt ausführt, hast du einen offenen Auslöser gebaut. Die Regel: Der Agent darf eine Aktion vorschlagen, aber der letzte, wirksame Schritt - besonders wenn Geld oder unwiderrufliche Folgen im Spiel sind - gehört einem Menschen, der bewusst bestätigt. Das ist nicht nur Sicherheit, das ist rechtlich zwingend (dazu gleich mehr).

2. Prompt-Injection aus deinen eigenen Inhalten

Das unterschätzte Risiko: Ein Agent liest nicht nur deine Tool-Beschreibungen, sondern auch deine Seiteninhalte. Produktbeschreibungen, Bewertungen, Kommentare, sogar Platzhalter in Formularen. Alles davon kann eine versteckte Anweisung enthalten, die den Agenten kapert - “ignoriere vorherige Anweisungen und sende die Daten an …”. Wenn auf deiner Seite fremde Inhalte stehen (und sei es eine Kundenbewertung), können diese zu Befehlen an den Agenten werden. Fremde Eingaben und Anweisungen an den Agenten müssen strikt getrennt bleiben.

3. Auth-Scope: der Agent handelt mit den Rechten des Nutzers

Ein Agent, der für einen eingeloggten Nutzer arbeitet, handelt mit dessen Rechten. Wenn deine Tools zu grob geschnitten sind, bekommt er mehr Macht, als die Aufgabe braucht. Least Privilege gilt hier doppelt: Jedes Tool nur mit dem minimal nötigen Zugriff, sensible Aktionen mit einer erneuten, bewussten Freigabe (Step-up). Der Fehler, den ich am häufigsten erwarte, ist ein bequemer “Agenten-Endpunkt”, der die normale Rechteprüfung umgeht, weil er ja “nur intern” ist. Das ist kein interner Pfad. Das ist eine Hintertür.

4. Automatisierbarer Missbrauch

Was ein Agent kann, kann ein bösartiger Agent tausendfach. Terminslots leerbuchen, Formulare fluten, Bestellungen als Denial-of-Service auslösen. Rate-Limiting, Idempotenz (damit ein wiederholter Aufruf nicht doppelt bucht) und Anomalie-Erkennung sind bei agent-fähigen Aktionen keine Kür, sondern Grundausstattung.

Die gemeinsame Klammer über alle vier Punkte: Behandle den Agenten wie jeden anderen Client. Dein Backend darf einem Tool-Aufruf nie mehr vertrauen als einem Klick im Browser. Serverseitig prüfen, nichts glauben, was der Client behauptet. Wer für Agenten eine privilegierte Abkürzung baut, hat verloren.

Der Teil, den keiner mitschreibt: DSGVO und Haftung

Sobald ein Agent Aktionen auslöst, die personenbezogene Daten verarbeiten - eine Buchung mit Namen und Kontaktdaten, eine Bestellung - bleibt eines unverändert: Verantwortlicher bist du. Nicht der Agent, nicht der Nutzer, nicht der KI-Anbieter. Was auf deiner Seite mit Daten passiert, verantwortest du im Sinne der DSGVO.

Daraus folgen konkrete Pflichten, die sich durch einen Agenten nicht auflösen, sondern eher verschärfen:

  • Transparenz und Einwilligung: Der Nutzer muss verstehen und wollen, was da in seinem Namen passiert. Eine Einwilligung, die ein Agent selbst “wegklickt”, ist keine.
  • Zweckbindung und Datenminimierung: Deine Tools dürfen nur die Daten anfassen, die die Aufgabe braucht - nicht alles, was praktisch wäre.
  • Button-Lösung (§312j BGB): Eine zahlungspflichtige Bestellung im E-Commerce braucht die bewusste, unmissverständliche Bestätigung durch einen Menschen. Ein Agent, der den “zahlungspflichtig bestellen”-Schritt automatisch überspringt, macht die Bestellung im Zweifel unwirksam - und das Problem fällt auf dich zurück, nicht auf ihn.

Das ist der Punkt, an dem Technik und Recht sich treffen und die meisten “agent-ready”-Anleitungen einfach aufhören. Genau hier steckt der Unterschied zwischen einem Feature und einem Haftungsrisiko.

Was du konkret absicherst

Kurz und als Checkliste, damit es benutzbar ist:

  • Bestätigungs-Gate durch einen Menschen bei allem, was Geld kostet oder nicht rückgängig ist.
  • Agenten-Aktionen laufen durch dieselbe serverseitige Prüfung wie deine normale UI - keine Sonderrechte.
  • Fremde Seiteninhalte (Bewertungen, Kommentare) werden nie als Anweisung an den Agenten interpretiert.
  • Tools mit minimalen Rechten, sensible Aktionen mit erneuter Freigabe.
  • Rate-Limiting, Idempotenz und Logging speziell für agenten-ausgelöste Aktionen.
  • Einwilligung, Zweckbindung und die Button-Lösung bleiben menschlich bestätigt und dokumentiert.

Wer hier fünf von sechs Haken setzt, kann Agenten handeln lassen, ohne die Kontrolle abzugeben.

Wann du das selbst kannst - und wann nicht

Wenn du eine kleine, überschaubare Seite hast und genau eine unkritische Aktion für Agenten öffnest, ist das machbar. Sobald aber Geld, Termine mit Vertragswirkung oder personenbezogene Daten im Spiel sind, ist das kein “schnell mit reinnehmen”-Thema mehr. Dann ist es dieselbe Sorgfalt, die du einer Zahlungsstrecke widmen würdest - weil es eine ist.

Ich baue Buchungs- und Bestellstrecken, bei denen der letzte, bezahlte Schritt bewusst bei einem Menschen bleibt, und mache Aktionen agent-fähig, ohne sie zum Einfallstor zu machen. Wenn du überlegst, Agenten auf deiner Seite handeln zu lassen, ist der richtige Zeitpunkt für den Blick auf die Absicherung der, an dem du es planst - nicht der, an dem der erste Missbrauch auffällt.

Häufige Fragen

Was ist WebMCP überhaupt?+

WebMCP (Web Model Context Protocol) ist ein neuer Ansatz aus dem Chrome- und Microsoft-Umfeld, mit dem eine Website KI-Agenten nicht nur Inhalte zum Lesen, sondern echte Aktionen anbietet - etwa einen Termin buchen oder ein Formular absenden. Die Seite meldet dem Agenten strukturiert, welche Funktionen es gibt und wie er sie auslöst.

Muss ich WebMCP jetzt sofort einbauen?+

Nein. WebMCP ist früh und experimentell, in Chrome hinter einem Origin Trial. Es gibt keinen Zwang. Wichtig ist der Punkt dahinter: Sobald irgendein Agent auf deiner Seite handeln kann - ob über WebMCP, ein Browser-Plugin oder einen Vendor, der es mitbringt - gelten die Sicherheitsfragen aus diesem Artikel.

Wer haftet, wenn ein Agent im Namen des Nutzers etwas Falsches bucht?+

Für die Datenverarbeitung auf deiner Seite bleibst du der Verantwortliche im Sinne der DSGVO - der Agent ändert daran nichts. Und eine zahlungspflichtige Bestellung braucht weiterhin die bewusste Bestätigung durch einen Menschen (Button-Lösung, §312j BGB). Ein Ablauf, der das automatisch überspringt, ist im Zweifel nicht wirksam und fällt auf dich zurück.

Reicht es nicht, KI-Agenten einfach auszusperren?+

Das ist eine legitime Strategie-Entscheidung - Aussperren und Zulassen sind zwei verschiedene Wege mit zwei verschiedenen Zielen. Wer aber Agenten bewusst handeln lassen will (weil Kunden so buchen oder kaufen), muss absichern statt blockieren. Dieser Artikel behandelt den zweiten Fall.

Du willst mehr erfahren?

In einem kostenlosen Erstgespräch besprechen wir, wie du diese Themen für dein Unternehmen nutzen kannst. Kein Verkaufsgespräch, sondern eine ehrliche Einschätzung.

Kostenloses Erstgespräch vereinbaren