Zum Inhalt springen
AI Agent Security
29.03.2026Aktualisiert 29.03.2026

Best Practice

Budget Control für KI-Agenten

Budget Control begrenzt Tokenverbrauch, Tool-Aufrufe, Laufzeiten und Kosten, damit Agenten nicht in teure Schleifen, Missbrauchsmuster oder Denial-of-Wallet-Szenarien geraten.

Budget Control begrenzt, wie viel Rechenzeit, Tokenvolumen, Tool-Nutzung und Geld ein Agent pro Aufgabe, Session oder Nutzer verbrauchen darf. Diese Grenzen sind nicht nur ein FinOps-Thema. Sie sind eine direkte Sicherheitskontrolle gegen eskalierende Schleifen, Missbrauch und unkontrollierte Folgeaktionen.

Warum Budget Control sicherheitsrelevant ist

Ein kompromittierter oder fehlkonfigurierter Agent muss nicht sofort Daten löschen, um Schaden zu verursachen. Schon exzessive Tool-Aufrufe, endlose Retry-Ketten oder massenhafte Modellanfragen können Systeme stören, Kosten explodieren lassen und andere Agenten mit in die Eskalation ziehen.

Budget Control hilft gegen:

  • Denial-of-Wallet-Angriffe
  • Endlosschleifen und Retry-Stürme
  • ungebremste Delegationsketten in Multi-Agent-Systemen
  • überraschende Kostenanstiege durch fehlerhafte Planung oder Missbrauch

Welche Limits sinnvoll sind

Wirksam ist Budget Control nur, wenn Grenzen auf mehreren Ebenen gesetzt werden:

  • maximale Tokenzahl pro Anfrage, Task oder Session
  • maximale Anzahl an Tool-Calls und Iterationen
  • Zeitlimits für Planung, Ausführung und Gesamtworkflow
  • Kosten- oder Verbrauchsbudgets pro Nutzer, Tenant oder Agentenklasse

Zusatzlich sollten Agenten bei Grenzwerten nicht einfach still scheitern, sondern kontrolliert abbrechen, eskalieren oder auf einen sicheren Degradationspfad wechseln.

Was zur Architektur dazugehort

Budget Control sollte serverseitig erzwungen werden. Ein Hinweis im Prompt wie “arbeite sparsam” ist keine wirksame Schutzmassnahme. Sinnvoll sind:

  • harte Abbruchkriterien für Iterationen, Retries und Subagenten
  • Rate Limits für besonders teure oder riskante Tools
  • Circuit Breaker bei Kostenanstiegen, Fehlerketten oder unerwarteter Aktivität
  • enge Kopplung mit Monitoring und Observability, damit Abweichungen früh sichtbar werden

Gerade in Systemen mit mehreren Agenten muss zusätzlich klar sein, ob ein Worker sein eigenes Budget hat oder das Budget des auslösenden Agents mitverbraucht.

Typische Fehler

  • nur Modellkosten werden begrenzt, nicht aber Tool-Ausführung und Laufzeit
  • Limits gelten pro Call, nicht für die gesamte Aufgabe
  • Budgetüberschreitungen führen zu endlosen Retries statt zu sauberem Abbruch
  • Alerts werden erst nach der Rechnungsstellung sichtbar

Kurz gesagt

Budget Control macht Agentenbetrieb berechenbarer und sicherer. Wer Kosten, Laufzeit und Tool-Nutzung hart begrenzt, reduziert Missbrauch, Störungen und teure Eskalationspfade deutlich.

Operativer Start

Bei Budget Control zählt weniger das einzelne Policy-Dokument als die Frage, wie schnell Teams die Kontrolle im Alltag nachvollziehbar machen. Der praktische Einstieg besteht deshalb darin, einen klaren Schutzpfad gegen Denial of Wallet, Endlosschleifen und kostenintensive Fehlpfade zu definieren und diesen mit einer benachbarten Kontrolle wie Kill Switch zu verbinden. Erst diese Kombination macht aus einer guten Idee einen belastbaren Betriebsstandard.

Sinnvoll ist ein begrenzter Rollout mit wenigen Agenten, klaren Escalation Paths und einem kleinen Set prüfbarer Regeln. So lässt sich erkennen, ob die Maßnahme nur auf dem Whiteboard funktioniert oder ob sie reale Planänderungen, Tool-Aufrufe, Freigaben und Zwischenfälle tatsächlich beeinflusst. Der schnellste Weg zu mehr Reife ist meist ein enger Feedback-Loop zwischen Produkt, Plattform und Security.

  • Budgets pro Auftrag, Session, Nutzer und Tool-Klasse getrennt definieren
  • Limits nicht nur für Tokens, sondern auch für Retries, API-Calls und Laufzeit setzen
  • harte Abbruchpfade für Budgetverletzungen inklusive Nutzerfeedback und Eskalation einbauen
  • Alerts mit Kosten-, Latenz- und Erfolgsdaten koppeln statt nur Rechnungen auszuwerten

Woran du Reife erkennst

Reife zeigt sich nicht an möglichst vielen Regeln, sondern daran, dass kritische Aktionen konsistent begrenzt, Ausnahmen sauber dokumentiert und Fehlmuster früh sichtbar werden. Gute Teams beobachten deshalb sowohl technische Signale als auch operative Folgeeffekte wie Freigabequalität, Incident-Häufigkeit oder die Zeit bis zur Eindämmung.

Messbar wird die Kontrolle, wenn dieselben Fragen in Review, Betrieb und Incident Response beantwortbar bleiben: Wann griff die Maßnahme, wann wurde sie umgangen und wo fehlt noch technische Durchsetzung? Genau dort entstehen belastbare Kennzahlen und wiederkehrende Anti-Patterns, die in Backlog und Architekturentscheidungen zurückfließen sollten.

Wichtige Kennzahlen

  • Anteil der Aufgaben, die innerhalb definierter Kosten- und Laufzeitgrenzen bleiben
  • Zahl der abgebrochenen oder eskalierten Runs wegen Budgetverletzungen
  • Verhältnis von erfolgreichen Ergebnissen zu Retry- und Loop-Kosten

Häufige Fehlmuster

  • nur Modell-Token zählen und teure Tool-Folgekosten ignorieren
  • Budgetüberschreitungen stillschweigend tolerieren, weil der Use Case wichtig wirkt
  • für alle Agenten dieselben Limits nutzen, obwohl Risiko und Wirkung stark variieren