Was sind KI-Agenten und warum sind sie ohne Governance gefährlich?

KI-Agenten sind autonome Softwaresysteme, die Aufgaben selbstständig ausführen und Entscheidungen treffen. Ohne Governance – also klare Regeln, Aufsicht und Kontrolle – können sie unkontrolliert auf sensible Unternehmensdaten zugreifen und Prozesse beeinflussen, ohne dass dies bemerkt wird.

Wie verbreitet sind unkontrollierte KI-Agenten in deutschen Unternehmen?

Viele Unternehmen, auch in Deutschland, setzen KI-Agenten in CRM-Systemen, im Kundenservice und in Finanzprozessen ein, ohne einen vollständigen Überblick darüber zu haben, wie viele Agenten aktiv sind und welche Daten sie verarbeiten. Das Ausmaß wird oft unterschätzt.

Welche Risiken entstehen durch KI-Agenten ohne Aufsicht?

Die Risiken reichen von Datenschutzverletzungen und Compliance-Verstößen bis hin zu falschen Geschäftsentscheidungen. Besonders kritisch ist der unkontrollierte Zugriff auf vertrauliche Finanz- oder Kundendaten sowie die fehlende Nachvollziehbarkeit von Entscheidungen.

Was sollten KMU tun, um KI-Agenten in ihrem Unternehmen zu kontrollieren?

KMU sollten zunächst eine vollständige Bestandsaufnahme aller eingesetzten KI-Systeme durchführen, klare Verantwortlichkeiten festlegen, Zugriffsrechte definieren und regelmäßige Audits einführen. Eine KI-Governance-Richtlinie ist auch für kleinere Unternehmen unverzichtbar.

Gibt es gesetzliche Anforderungen an die Governance von KI-Agenten in Deutschland?

Ja, der EU AI Act stellt verbindliche Anforderungen an den Einsatz von KI-Systemen, insbesondere bei Hochrisikoanwendungen. Unternehmen in Deutschland sind verpflichtet, Transparenz, Nachvollziehbarkeit und menschliche Aufsicht bei KI-Systemen sicherzustellen.

KI-Agenten ohne Governance in Unternehmen

KI-Agenten ohne Governance operieren gerade jetzt in Ihrem Unternehmen

Das Gespräch über künstliche Intelligenz in Großunternehmen folgt einem bequemen Drehbuch: Plattformen evaluieren, Budgets freigeben, Pilotprojekte entwerfen. Währenddessen treffen in CRM-Systemen, im Kundenservice-Betrieb und in Finanzgenehmigungsworkflows KI-Agenten Entscheidungen – ohne dass irgendjemand genau weiß, wie viele es sind, welche Daten sie berühren oder was sie tun, wenn niemand sie überwacht.

Das ist das unbequeme Datum, das die Branche seit Monaten mit eleganter Gewandtheit umgeht. Es handelt sich nicht um eine Projektion. Salesforce hat 29.000 Verträge für seine Agentforce-Plattform abgeschlossen. Cursor, das Software-Entwicklungstool, das mit etwas mehr als fünfzig Mitarbeitern rund 2 Milliarden Dollar an jährlich wiederkehrenden Umsätzen erreichte, verzeichnet, dass etwa 35 % seiner eigenen zusammengeführten Pull Requests von autonomen Agenten in der Cloud geschrieben werden. Unternehmen aus dem Global 2000 haben Agenten, die Kundendaten berühren, Geld bewegen und Konfigurationen in der Produktion ändern. Die Governance kam danach. In vielen Fällen ist sie noch immer nicht angekommen.

Was das offenbart, ist kein Planungsfehler. Es ist ein Adoptionsmuster mit einer sehr spezifischen psychologischen Logik – und es zu verstehen ist wichtiger als technische Lösungen aufzuzählen.

Warum Geschwindigkeit die Kontrolle überholte, bevor jemand es bemerkte

Es gibt eine Unterscheidung, die Technologierisikoanalysen dazu neigen zu ignorieren: den Unterschied zwischen dem Einführen eines Werkzeugs und dem Abtreten von Autonomie. Wenn ein Team einen KI-Assistenten installiert, der Antworten vorschlägt oder Dokumente zusammenfasst, bleibt das Gefühl der Kontrolle intakt. Der Mensch entscheidet weiterhin. Der agentische Agent verändert diese Gleichung im Kern: Er plant, führt mehrere Schritte aus, ruft externe Systeme auf, handelt. Er schlägt nicht mehr vor. Er tut.

Dieser Wandel wurde nicht von einer gleichwertigen Aktualisierung der Risikowahrnehmung innerhalb der Organisationen begleitet. Und das hat eine präzise verhaltensbedingte Erklärung: den kognitiven Kontinuitätsbias. Wenn eine neue Technologie schrittweise eingeführt wird, erscheint jeder Schritt als vernünftige Erweiterung des vorherigen. Der erste Agent, der Support-Antworten automatisierte, schien dem Chatbot von 2019 zu entsprechen. Der nächste, der begann, Datensätze im CRM zu aktualisieren, schien eine logische Verbesserung zu sein. Niemand erklärte den Moment, in dem die Grenze zwischen assistiertem Werkzeug und autonomem System mit Zugriff auf kritische Infrastruktur überschritten wurde.

Die Technologieteams scheiterten nicht durch Nachlässigkeit. Sie scheiterten, weil der mentale Rahmen, mit dem sie Risiken bewerteten, nicht darauf kalibriert war, Autonomie zu erfassen – nur technische Komplexität. Und Autonomie lässt sich, anders als Komplexität, nicht in einem Architekturdiagramm erkennen.

Das Ergebnis ist das, was Boomi durchaus präzise als Agent Sprawl bezeichnet: eine Proliferation von Agenten, die von verschiedenen Geschäftseinheiten unter verschiedenen Anbietern mit unterschiedlichen Zugriffsebenen eingesetzt werden, ohne ein zentrales Inventar, das es auch nur erlauben würde zu wissen, wie viele es gibt. Dasselbe Problem, das Organisationen Mitte des vergangenen Jahrzehnts mit der unkontrollierten Ausbreitung von SaaS-Software erlebt haben – aber mit einem wesentlichen Unterschied: Diese Agenten speichern nicht nur Daten, sie verarbeiten sie und handeln auf ihrer Grundlage.

Das Rennen darum, die Kontrollschicht zu werden

Angesichts dieses Vakuums konkurrieren die großen Plattformanbieter um eine spezifische Position: die Governance-Schicht über den Agenten. Es ist kein Rennen um den Bau besserer Agenten. Es ist ein Rennen darum, das System zu werden, das alle anderen kontrolliert.

Salesforce integriert seine Kontrollen in die eigene Umgebung, wobei der Einstein Trust Layer als Policy-Perimeter innerhalb von Agentforce fungiert. Microsoft erweitert die Governance aus seiner Produktivitäts- und Azure-Infrastruktur heraus und nutzt Copilot Studio als Verwaltungsfeld. ServiceNow präsentierte auf seiner Veranstaltung Knowledge 2026 einen AI Control Tower, der plattformübergreifende Governance konsolidiert und dabei seine Übernahmen von Veza und Armis einbezieht, um Identitäten und Berechtigungen von Agenten im Unternehmensmaßstab zuzuordnen. IBM setzt auf Auditierbarkeit in regulierten Branchen mit watsonx Orchestrate. Google verankert seinen Ansatz innerhalb des Google-Cloud-Perimeters.

Das Muster ist konsistent: Jeder Anbieter erweitert die Governance ausgehend von dem Asset, das er bereits kontrolliert. Das ist aus geschäftlicher Perspektive rational und erzeugt aus der Perspektive des Kunden ein strukturelles Problem. Das mittelgroße oder große Unternehmen aus dem Global 2000 betreibt keine Agenten von einem einzigen Anbieter. Es betreibt LangGraph in einer Abteilung, Agentforce im Vertrieb, ein internes System im Betrieb und möglicherweise eine Eigenentwicklung im Finanzbereich. Kein Anbieter hat den Anreiz, Governance zu entwickeln, die den Agenten des Konkurrenten ebenso gut dient.

Darin liegt die Öffnung, die die unabhängigen Anbieter zu nutzen versuchen. Kore.ai, das nach eigenen Angaben mit mehr als 450 Kunden aus dem Global 2000 in regulierten Branchen arbeitet, startete im März 2026 eine Multi-Framework-Agentenverwaltungsplattform und erweiterte diese im Mai desselben Jahres auf Microsoft Azure als Launch-Partner von Microsoft Agent 365. Die vorgeschlagene technische Architektur trennt agentisches Reasoning von deterministischer Kontrolle in verschiedenen Schichten, mit einer kompilierten deklarativen Sprache namens Agent Blueprint Language zur Definition von Agenten und sechs Multi-Agenten-Orchestrierungsmustern. Die Designlogik besteht darin, dass Governance-Regeln außerhalb des Modells operieren, nicht innerhalb des Prompts. Das ist wichtig, weil ein Prompt vom Modell neu interpretiert werden kann – eine externe deterministische Schicht hingegen nicht.

Was noch ungeklärt ist: ob das Versprechen einer Multi-Anbieter-Governance aufrechterhalten werden kann, wenn jede Plattform Anreize hat, ihre Agenten innerhalb des eigenen Perimeters zu halten. Die Verifizierung dieser Architektur unter echten Produktionsbedingungen wird weiterhin das Kriterium sein, das das Wertversprechen vom Verkaufspräsentations-Folie trennt.

Das Problem, das CIOs vermeiden, beim Namen zu nennen

Es gibt eine organisatorische Reibung, die all dem zugrunde liegt und die technische Analysen dazu neigen auszulassen: Agenten-Governance zwingt dazu, Fragen zu beantworten, die niemand beantworten möchte.

Alle aktiven Agenten in einer Organisation zu inventarisieren bedeutet aufzudecken, wie viele ohne formale Genehmigung eingesetzt wurden. Zugriffsberechtigungen zu definieren bedeutet, Gespräche darüber zu eröffnen, welche Geschäftseinheiten zu viel Macht über sensible Daten haben. Audit-Protokolle über jede Aktion jedes Agenten zu erstellen bedeutet, dass es, wenn etwas schiefgeht, eine Spur geben wird, die auf Verantwortliche zeigt. Das sind keine technischen Gespräche. Das sind politische Gespräche.

Der Auslassungsbias wirkt hier mit großer Kraft. Es ist psychologisch angenehmer, nicht zu prüfen, als ein Problem zu entdecken, das zum Handeln zwingt. Solange der Agent funktioniert, ist der Anreiz zu untersuchen, ob er mit diesem Zugriffsniveau funktionieren sollte, gering. Die Kosten, es herauszufinden, sind auf die Gegenwart konzentriert – als Reibung und schwierige Gespräche. Der Nutzen, es kontrolliert zu haben, materialisiert sich erst, wenn etwas schiefgeht, und dieser Moment erscheint abstrakt, solange er nicht eintritt.

IBM formuliert es in seiner Agenten-Governance-Analyse direkt: Organisationen brauchen Notabschaltverfahren für autonome Systeme, die versagen oder unerwartet handeln. Das impliziert, dass jemand die vollständige Karte dessen dokumentiert haben muss, was der Agent tun kann – bevor der Agent etwas tut, das niemand erwartet hatte. Die Vorbereitung erfordert Sichtbarkeit. Und Sichtbarkeit erfordert zuzugeben, dass sie derzeit nicht existiert.

Das Weltwirtschaftsforum hat vorgeschlagen, den Onboarding-Prozess eines Agenten mit derselben Rigorosität zu behandeln wie das Onboarding eines Mitarbeiters: Funktion, Rolle, Autonomiegrad, Anwendungsfälle, Umgebung, Fähigkeiten und Einschränkungen definieren. Es ist eine Metapher, die etwas psychologisch Bedeutsames erfasst. Kein Unternehmen käme auf die Idee, Mitarbeiter einzustellen, ohne zu definieren, was sie tun dürfen, auf welche Systeme sie Zugriff haben und wer ihre Arbeit beaufsichtigt. Bei den Agenten wurde diese grundlegende Logik übersprungen, weil das technische Objekt kleiner, kontrollierbarer, reversibler zu sein schien als eine Person. Es stellte sich heraus, dass es das nicht war.

Die Kosten, es weiter „Phase zwei" zu nennen

Der kostspieligste Satz bei der technologischen Einführung in Unternehmen ist nicht „Das wird nicht funktionieren". Der kostspieligste ist: „Die Governance implementieren wir in der nächsten Phase." Denn in der nächsten Phase hat das System bereits Abhängigkeiten, hat es bereits Nutzer, die es erwarten, hat es bereits Ergebnisse erzeugt, die jemand zur Entscheidungsfindung heranzieht – und es zu demontieren oder auch nur eingehend zu prüfen erzeugt eine Reibung, die die Organisation nicht bereit ist zu tragen.

Credo AI beschreibt es präzise, wenn es darauf hinweist, dass Verantwortung und Rechenschaftspflicht weiterhin bei der Organisation liegen, auch wenn es ein autonomer Agent ist, der die direkte Handlung ausführt. Das hat rechtliche, regulatorische und reputationsbezogene Implikationen, die Technologieteams in der Regel nicht allein absorbieren können. Das sind Gespräche auf der Ebene des CFO, des CISO, des Vorstands.

Die Kalkulation, die Organisationen vermeiden, explizit anzustellen, lautet: Die Kosten der Implementierung von Governance über bereits eingesetzte Agenten sind hoch. Die Kosten eines Agentenfehlers bei Finanzdaten, bei Kreditentscheidungen, bei regulierten Kundenkommunikationen können ein Vielfaches dieser anfänglichen Kosten betragen. Die Asymmetrie ist auf dem Papier klar. Im Kopf desjenigen, der das Budget für die Prüfung von Systemen genehmigen muss, die scheinbar funktionieren, ist sie es nicht.

Palo Alto Networks schätzt, dass agentische KI bis zu 2,6 Billionen Dollar an wirtschaftlichem Wert freisetzen könnte, wenn sie sicher skaliert. Das Konditional ist bedeutsam. Das potenzielle Wertpotenzial und das nicht verwaltete Risiko koexistieren auf derselben Infrastruktur. Die Frage für den CIO, den CISO und den CFO lautet nicht, welche Governance-Plattform evaluiert werden soll. Die Frage lautet: Wie viele Agenten handeln gerade jetzt innerhalb der Organisation, über die keinerlei Fähigkeit besteht nachzuweisen, was sie getan haben, warum sie es getan haben und wer sie stoppen kann.

Die KMU und Großunternehmen, die diese Fähigkeit in den nächsten zwei Jahren aufbauen, werden in der Lage sein zu skalieren. Diejenigen, die Governance weiterhin als zukünftiges Gesprächsthema behandeln, werden ihren Aufsichtsgremien – und möglicherweise ihren Regulierungsbehörden – erklären müssen, warum sie sie nicht aufgebaut haben, bevor es etwas zu erklären gab.