Agenten-Gateways konzentrieren die Macht über die gesamte Unternehmens-KI
Es gibt ein Muster, das sich jedes Mal wiederholt, wenn eine Technologie vom Experiment zur kritischen Infrastruktur wird: Irgendwann entsteht eine Kontrollschicht, die niemand formell geplant hatte, die aber letztlich der Ort wird, an dem die wichtigsten Entscheidungen getroffen werden. So geschah es mit Load Balancern im Web, mit Control Planes in der Cloud und mit Service Meshes im Zeitalter der Microservices. Jetzt geschieht es mit KI-Agenten, und der Name, den diese Schicht annimmt, ist der der Agenten-Gateway.
In der ersten Juliwoche 2026 bestätigten zwei verschiedene Unternehmensbewegungen, dass diese Kategorie kein noch im Aufbau befindliches Konzept mehr ist. Arcade stellte seine Autorisierungs- und Tool-Execution-Engine direkt den Microsoft Azure- und AWS-Marktplätzen zur Verfügung und ermöglichte es Unternehmen, sie mit einem einzigen Klick in ihrer eigenen Cloud bereitzustellen. Einen Tag zuvor öffnete Manufact seine MCP-Hosting-Cloud – basierend auf dem Model Context Protocol – um einen Server von einem Code-Repository zu einem überwachten Produktionspunkt zu führen. Keiner der beiden machte eine außergewöhnliche Ankündigung. Aber zusammen deuten sie auf etwas Präzises hin: Der Markt installiert die Governance-Strukturen für agentive KI, bevor die Organisationen vollständig verstanden haben, was sie bereits eingesetzt haben.
Nutanix hatte die Geometrie dieser Kategorie bereits im Mai festgelegt, als es seine Agenten-Gateway innerhalb von Version 2.7 von Nutanix Enterprise AI als allgemein verfügbares Produkt auf den Markt brachte. Die Lösung funktioniert als zentraler Kontrollpunkt, der den Datenverkehr von Agenten zu Sprachmodellen und von Agenten zu den Geschäftstools verwaltet, die diese aufrufen. Sie leitet Anfragen weiter, wendet Authentifizierung an, verwaltet Berechtigungen pro Tool, protokolliert jeden Aufruf für die Prüfung und misst den Token-Verbrauch pro Agent und pro Team. Der Kundenserviceagent kann nur Lesezugriff auf die Datenbank erhalten; der DevOps-Agent kann vollständige Schreibberechtigungen auf GitHub haben. Wenn der primäre Anbieter ausfällt oder ein Limit erreicht, fällt der Datenverkehr automatisch auf den konfigurierten Backup-Anbieter zurück.
Was diesen Moment strategisch bedeutsam macht, ist nicht die Funktionalität an sich. Es ist, dass der Markt zum ersten Mal den Ort benennt und verpackt, an dem sich die Macht über die Unternehmens-KI konzentriert.
Wer im Raum war, als die Governance entworfen wurde
Um die Bedeutung dieser Schicht zu verstehen, lohnt es sich zu beobachten, wie ein KI-Agent in der Produktion ohne sie funktioniert. Ein Agent handelt nie lange allein: Er ruft ein Modell zum Denken auf, dann ruft er Tools auf – GitHub, Stripe, eine Datenbank, eine interne API – zur Ausführung. Häufig erzeugt er Sub-Agenten, die denselben Zyklus wiederholen. Jeder Aufruf verbraucht Token und berührt ein System mit seinen eigenen Berechtigungen. Ohne einen zentralen Kontrollpunkt endet eine Organisation mit Dutzenden von Agenten, die direkt mit Produktionssystemen verbunden sind, ohne einen einzigen Ort, an dem man den Datenverkehr sehen, stoppen oder prüfen kann.
Diese dezentralisierte Architektur ohne Governance ist nicht nur ein operatives Risiko. Sie ist auch eine Frage über Macht und Design. Wenn es keine explizite Control Plane gibt, verschwindet die Governance der Agenten nicht: Sie fragmentiert sich und wird implizit. Die Entscheidungen darüber, welche Tools jeder Agent aufrufen kann, mit welcher Identität, unter welchen Bedingungen und mit welchem Berechtigungsumfang, treffen die Teams, die jeden Agenten separat gebaut haben, mit minimaler Kohärenz zwischen ihnen.
Das strukturelle Ergebnis ist vorhersehbar: die periphere Intelligenz bleibt unsichtbar. Die Teams, die an den Rändern des Systems arbeiten – diejenigen, die die atypischen Anwendungsfälle kennen, diejenigen, die mit sensiblen Kundendaten arbeiten, diejenigen, die die Zweitrundeneffekte der Automatisierungen sehen – haben keine Vertretung im Design dessen, was Agenten tun können und was nicht. Entscheidungen über Berechtigungen, Umfang und Zugang werden einmalig, zum Zeitpunkt der Erstbereitstellung, vom technischen Team getroffen, das den Agenten gebaut hat, ohne Mechanismen für eine zentralisierte Überprüfung oder die Einbeziehung unterschiedlicher Perspektiven.
Die Agenten-Gateway ändert das, zumindest potenziell. Sie zentralisiert die Governance an einem einzigen Punkt, an dem Zugangsrichtlinien, Authentifizierung und Prüfung konsistent überprüft, aktualisiert und angewendet werden können. Aber die Frage, die dieses Design aufwirft, ist keine technische: Sie lautet, wer diesen zentralen Punkt kontrolliert und nach welchen Kriterien.
Die Konsolidierung, die bereits stattfindet
Der Markt gibt zwei gleichzeitige und gegensätzliche Antworten auf diese Frage, und beide offenbaren eine grundlegende Spannung darüber, wer der Hüter der Kontrollschicht sein sollte.
Die erste Antwort ist die Integration in proprietäre Sicherheitsplattformen. Palo Alto Networks schloss im Mai 2026 die Übernahme von Portkey ab, einer autonomen KI-Gateway, die auf Agenten-Governance ausgerichtet ist, um sie in seine Sicherheitsplattform zu integrieren. Das Argument ist schlüssig: Wenn Agenten mit erhöhten Privilegien der neue Unternehmensrisikovektor sind, ist die Kontrolle darüber, was sie tun können, eine natürliche Erweiterung des Sicherheitsperimeters. Die Governance der Agenten wird so Teil des Zero-Trust- und Privileged-Access-Portfolios, das die großen Cybersicherheitsanbieter bereits verwalten.
Die zweite Antwort ist offene Governance. Solo.io spendete sein Agentgateway-Projekt der Agentic AI Foundation unter der Schirmherrschaft der Linux Foundation und machte es zum vierten gehosteten Projekt der Gruppe. Das in Rust geschriebene Projekt verarbeitet MCP-, Agent-zu-Agent-, HTTP- und gRPC-Datenverkehr über eine einzige Datenebene und hat bereits mehr als 300 Mitwirkende aus 60 Organisationen, darunter CoreWeave, Red Hat, Adobe, Salesforce und Microsoft. Die Logik hier ist ebenfalls schlüssig, zeigt aber in die entgegengesetzte Richtung: Wenn die Agenten-Gateway die zentrale Infrastruktur der gesamten Unternehmens-KI ist, sollte kein einzelner Anbieter ihr Eigentümer sein.
Diese beiden Bewegungen sind nicht einfach unterschiedliche Handelsstrategien. Es sind zwei verschiedene Theorien darüber, wo die Macht über die KI-Infrastruktur angesiedelt sein sollte. Die erste verortet diese Macht im Sicherheitsperimeter großer Technologieunternehmen. Die zweite verteilt sie an eine Mitwirkenden-Gemeinschaft unter neutraler Governance.
Was die Strukturanalyse offenbart, ist, dass die Wahl zwischen diesen beiden Optionen in erster Linie keine technische oder finanzielle ist: Es ist eine Entscheidung über Machtarchitekturen. Ein Unternehmen, das seine Gateway in die Plattform eines Sicherheitsanbieters integriert, delegiert das Design seiner Agenten-Governance-Richtlinien an die Roadmap dieses Anbieters. Ein Unternehmen, das das Projekt unter der Linux Foundation übernimmt, übernimmt mehr technische Verantwortung, behält aber die Fähigkeit, kollektiv zu beeinflussen, wie sich die Kontrollschicht weiterentwickelt.
Die drei blinden Flecken, die der Markt noch nicht löst
Der ursprüngliche Forbes-Artikel formuliert drei Sorgfaltspflicht-Fragen für Unternehmenskäufer, und alle drei haben eine gemeinsame Eigenschaft: Sie sind in ihrer Formulierung technisch, aber in dem, was sie offenbaren, organisatorisch.
Die erste Frage ist die nach dem Eigentum: welche Teile der Governance dem Anbieter gehören und welche dünne Hüllen über AWS- oder Azure-Primitiven sind, für die das Unternehmen bereits bezahlt. Diese Frage scheint finanzieller Natur zu sein, ist aber in ihrem Kern eine Frage über Design-Abhängigkeit. Wenn die Agenten-Governance in Schichten ausgelagert wird, die das interne Team weder prüfen noch modifizieren kann, kontrolliert die Organisation ihre eigene KI nicht, auch wenn sie sie nominell betreibt.
Die zweite Frage ist über das Kostenverhalten: was mit der Rechnung passiert, wenn das Volumen der Tool-Aufrufe sich verdoppelt oder wenn die eingesetzten Agenten die Annahmen des Anbieters nicht erfüllen. Gartner prognostizierte, dass mehr als 40% der agentiven KI-Projekte vor 2027 aufgrund steigender Kosten und unzureichender Risikokontrollen abgebrochen werden. Die strukturelle Ironie besteht darin, dass dieselben Gateways, die sich als Lösung für dieses Risiko positionieren, zu einer undurchsichtigen Kostenschicht werden können, wenn ihr Preismodell zusammen mit dem Agentenvolumen skaliert.
Die dritte Frage ist über die Konsistenz der Kontrolle: ob die Authentifizierung für jedes Tool und jede Methode des MCP-Protokolls verlangt wird oder nur für die offensichtlichsten. CyCognito hat systematisch dokumentiert, dass der häufigste Fehler in Produktionsumgebungen nicht das vollständige Fehlen von Kontrollen ist, sondern die inkonsistente Anwendung der bestehenden. Ein Agent, der nicht authentifizierten Zugang zu einem exponierten MCP-Server hat, ist in den Begriffen von CyCognito ein öffentlicher Katalog von Geschäftsoperationen.
Aber es gibt einen vierten blinden Fleck, den keine dieser Fragen direkt erfasst, und er ist derjenige, der aus einer Perspektive des organisatorischen Designs am meisten interessiert. Agenten-Gateways zentralisieren die Governance, garantieren aber nicht, dass diese Governance intelligent ist. Ein zentraler Kontrollpunkt kann dieselben Vorurteile und blinden Flecken, die die Teams hatten, die die ursprünglichen Richtlinien entworfen haben, replizieren und skalieren, jetzt mit größerer Geschwindigkeit und Reichweite. Zentralisierte Governance ohne Diversität der Perspektiven im Richtliniendesign ist keine Governance: Es ist Homogenität mit besserer Abdeckung.
Die Control Plane ist auch eine Machtebene
Der historische Vergleich, den Analysten häufig anstellen, ist der der Service Meshes im Zeitalter der Microservices. Als Envoy und Istio als Control Planes für den Datenverkehr zwischen Services auftauchten, transformierten sie die Unternehmensnetzwerkarchitektur und definierten, wer die Kommunikation zwischen Komponenten beobachten und steuern konnte. Die Parallele zu Agenten-Gateways ist technisch präzise, lässt aber eine Dimension aus, die im Fall der agentiven KI bedeutsamer ist.
Microservices bewegten Daten und Geschäftslogik. KI-Agenten treffen Entscheidungen, führen Aktionen aus und erzeugen Konsequenzen in Produktionssystemen mit oder ohne direkte menschliche Aufsicht. Die Control Plane, die jetzt gebaut wird, verwaltet nicht nur Datenverkehr: Sie definiert, was die KI einer Organisation tun kann, mit welcher Autorität, über welche Systeme und unter welchen Überprüfungsbedingungen. Das ist nicht nur eine Infrastrukturentscheidung.
Wenn Nutanix, Arcade oder Manufact über Tool-Filterung, zentralisierte Authentifizierung und Prüfprotokollierung sprechen, beschreiben sie den technischen Mechanismus. Aber die Richtlinie, die über diesen Mechanismus läuft – wer was aufrufen kann, mit welchem Umfang, unter welchen Override-Bedingungen – ist eine organisatorische Entscheidung, die in den meisten Unternehmen noch ohne einen expliziten Governance-Rahmen getroffen wird, von den Teams, die zum Zeitpunkt der Bereitstellung technischen Zugang zum System haben.
Die Agenten-Gateway ist die Infrastruktur, die eine zentralisierte Governance der agentiven KI ermöglicht. Wenn Organisationen sie als technische Lösung übernehmen, ohne zu überprüfen, wer die darauf laufenden Richtlinien entwirft, werden sie eine sehr effiziente Control Plane gebaut haben, um dieselben blinden Flecken zu automatisieren, die sie hatten, bevor sie sie installierten.
Die Machtarchitektur, die dieser Markt aufbaut, ist ausgereift und reift schnell. Was noch nicht gelöst ist, ist die Frage, ob die Organisationen, die sie übernehmen, ihre Governance-Richtlinien mit ausreichender Perspektivenvielfalt gestalten werden, damit diese Kontrolle mehr ist als nur hinzugefügte Geschwindigkeit zu bestehenden Vorurteilen.









