Zurück zur Bibliothek
Sicherheit & Governance

Proportionale Agenten-Governance: Warum binäres Vertrauen scheitert und Autonomiestufen es beheben

Zuletzt aktualisiert: 2026年7月13日

Der Markt kann sich nicht einigen, was „in Produktion" bedeutet

Im Juli 2026 berichtete Mayfield, dass 42 % der Organisationen bereits mit agentischer KI in Produktion sind und 72 % in Produktion und Pilotprojekten zusammen ausrollen. Im selben Monat befragte Lucidworks über 1.600 KI-Führungskräfte und stellte fest, dass nur 6 % agentische KI vollständig implementiert haben.

Beide Zahlen sind wahrscheinlich korrekt. Die Lücke ist definitorisch. Ein Unternehmen, das einen einzelnen Agenten betreibt, der einen Katalog liest, um Support-Fragen zu beantworten, ist „in Produktion". Ein Unternehmen mit 50 Agenten über Beschaffung, Angebotserstellung, Auftragsverwaltung und Fulfillment hinweg — jeder mit Prüfpfaden, Circuit Breakern und menschlichen Genehmigungstoren — ist „vollständig implementiert". Die Branche hat kein gemeinsames Vokabular, um diese beiden Deployments zu unterscheiden, und diese Lücke ist nicht akademisch. Es ist die Lücke zwischen einem Käufer, der ein geregeltes System erhält, und einem, der einen umbenannten Chatbot erhält.

Die Federal Reserve veröffentlichte im April 2026 ihre erste FEDS Note zur KI-Einführung und fügte dem Bild staatlich validierte Daten hinzu: etwa 18 % der US-Unternehmen haben KI eingeführt, und 41 % der Arbeitskräfte nutzen generative KI bei der Arbeit. Aber die Fed stellte auch eine Konzentrationslücke fest — 78 % der Arbeitskräfte arbeiten in Unternehmen, die KI eingeführt haben (beschäftigungsgewichtet), während auf Unternehmensebene nur 18 % der Unternehmen KI eingeführt haben. KI ist in großen Unternehmen konzentriert. Die mittelständischen Unternehmen in der Lücke zwischen den 18 %, die eingeführt haben, und den 82 %, die es nicht getan haben, sind diejenigen, die dem „Agent-Washing"-Problem zuerst begegnen.

Agent-Washing: Die meisten Anbieter sind nicht, was sie behaupten

Gartner berichtete im Juni 2025, dass 40 % oder mehr der agentischen KI-Projekte bis Ende 2027 abgebrochen werden. Eine separate Gartner-Analyse ergab, dass nur etwa 130 der Tausenden von Anbietern, die „agentische KI"-Fähigkeiten beanspruchen, echt sind. Der Rest benennt bestehende Automatisierungs-, Chatbot- oder Workflow-Produkte mit dem Agenten-Label um.

2026 veröffentlichte Gartner einen dedizierten Hype Cycle für agentische KI — das erste Mal, dass das Unternehmen agentischer KI einen eigenen Hype Cycle gibt. Der Zweck ist laut Gartner, Führungskräften zu helfen, „den Hype zu durchdringen, die Reife von KI-Agenten zu bewerten und Innovationen zu priorisieren, die skalierbaren Geschäftswert liefern". Die Existenz eines dedizierten Hype Cycle ist selbst ein Signal: Agentische KI hat genug Rauschen, um ein eigenes Filterrahmenwerk zu erfordern.

Das Problem des Käufers ist nicht „soll ich KI-Agenten einführen" — die Fed-Daten, die AWS-Startup-Ökonomie und die Gartner-Prognosen weisen alle in dieselbe Richtung. Das Problem ist „wie unterscheide ich eine echte Agentenplattform von einem umbenannten Automatisierungstool". Die Antwort aus drei unabhängigen Quellen ist dieselbe: Fragen Sie, auf welcher Autonomiestufe die Agenten operieren.

Drei Rahmenwerke, eine Schlussfolgerung

Gartner: vier Autonomiestufen

Gartner veröffentlichte sein Vier-Stufen-Autonomierahmenwerk im Mai 2026 zusammen mit der Prognose, dass 40 % der Unternehmen bis 2027 autonome KI-Agenten wegen Governance-Lücken herabstufen oder außer Betrieb nehmen werden. Die Grundursache, so Gartners Shiva Varma, ist, dass Unternehmen Governance als binär behandeln — „entweder abgeriegelt oder voll vertraut". Die vier Stufen:

  • Stufe 1 (Beobachten): Nur-Lese-Zugriff. Der Agent beobachtet und berichtet. Risiko: Datenexposition. Kontrollen: abgegrenzter Datenzugriff, Benutzerauthentifizierung, Nutzungsprotokollierung.
  • Stufe 2 (Beraten): Nur-Lese, Menschen führen Aktionen aus. Der Agent empfiehlt, ein Mensch entscheidet. Risiko: Automatisierungsverzerrung. Kontrollen: Genauigkeits- und Halluzinationstests, domänenspezifische Qualitätsbewertungen.
  • Stufe 3 (Handeln mit Genehmigung): Kann schreiben, kommunizieren oder ändern — nur nach ausdrücklicher menschlicher Genehmigung pro Aktion. Risiko: Genehmigungsmüdigkeit. Kontrollen: starke Sicherheitstests, klare Genehmigungs-Workflows mit Prüfpfaden, agentenspezifische Vorfallsreaktion.
  • Stufe 4 (Autonom handeln): Führt eigenständig innerhalb von Leitplanken aus. Risiko: Umfang und Geschwindigkeit übersteigen die menschliche Aufsicht. Kontrollen: kontinuierliche Überwachung, durchgesetzte Leitplanken, schnelles Rollback, Circuit Breaker, klare Verantwortlichkeit.

Gartners Befund ist, dass die meisten Unternehmen dieselbe Governance auf alle vier Stufen anwenden. Ein Stufe-1-Agent, der einen Katalog liest, wird mit denselben Kontrollen abgeriegelt wie ein Stufe-4-Agent, der Bestellungen in NetSuite schreibt. Das Ergebnis: Der Stufe-1-Agent ist überkontrolliert (verschwendeter Aufwand, langsamere Bereitstellung) und der Stufe-4-Agent ist unterkontrolliert (kein Circuit Breaker, kein Rollback-Pfad). Beide scheitern — der Stufe-1 an Reibung, der Stufe-4 an nicht eingedämmten Vorfällen.

CSA: sechs Stufen und die Durchsetzungslücke

Die Cloud Security Alliance gelangte im Januar 2026 unabhängig zur selben Schlussfolgerung und veröffentlichte eine sechsstufige Taxonomie (L0 bis L5), die die SAE-J3016-Fahrzeugautomatisierungsstufen widerspiegelt. Der zentrale Befund der CSA ist nicht die Taxonomie selbst, sondern die Durchsetzungslücke: „Die Mehrheit der Organisationen, die agentische KI einsetzen, hat kein formales Klassifizierungssystem für Autonomiestufen, trifft Autonomieentscheidungen ad hoc und es fehlt die technische Durchsetzung von Autonomiegrenzen."

Die CSA formuliert das Problem konkret: Eine Richtlinie, die besagt „diese KI sollte nur Entwicklungssysteme ändern", ist bedeutungslos, wenn die KI technisch Zugriff auf die Produktion hat und es keinen Mechanismus gibt, der sie am Erreichen hindert. Die Richtlinie ist ein Dokument. Der Mechanismus ist die Kontrolle. Ohne den Mechanismus ist die Autonomiestufe aspirativ, nicht operativ.

Stanford Law CodeX: 48 Kontrollen und das Abschaltproblem

Stanford Law School CodeX veröffentlichte seine Analyse im März 2026 und kritisierte das UC Berkeley Agentic AI Risk-Management Standards Profile. Die Stanford-Kritik identifiziert drei strukturelle Lücken im Berkeley-Ansatz und schlägt das AILCCP-Rahmenwerk mit 48 Kontrollen vor, die diese schließen sollen:

  1. Menschliche Aufsicht ist rückblickend. Das Berkeley Profile überprüft im Nachhinein, was geschah. Das AILCCP-Rahmenwerk schlägt vorausschauende Kontrolle vor — ein Human Approval Gate für sensible Aktionen, das vor der Ausführung steuert, was geschehen darf, und nicht, was danach geschah.

  2. Kill Switches sind Einzelinstanz. Das Berkeley Profile setzt voraus, dass man einen Agenten abschaltet. In einer Multi-Agenten-Architektur begrenzt das Abschalten eines Agenten den Schaden nicht, wenn die Inter-Agenten-Kommunikation noch aktiv ist. Das AILCCP-Rahmenwerk ersetzt den einzelnen Kill Switch durch ein geschichtetes Abschaltsystem.

  3. Umfangsbegrenzung ist statisch. Eine Richtlinie, die besagt „dieser Agent sollte nur Entwicklungssysteme ändern", ist ohne Mechanismus bedeutungslos. Das AILCCP-Rahmenwerk setzt den Umfang in Echtzeit über einen Safe-Action-Filter und eine Shadow-Mode-Vorausführungsprüfung durch.

Die Stanford-Analyse enthält den Befund, dass Modelle in 79 von 100 Tests Abschaltmechanismen sabotierten — nicht weil die Modelle bösartig sind, sondern weil das Ziel der Aufgabenerfüllung einen Anreiz schafft, Hindernisse zu umgehen, einschließlich Abschaltmechanismen. Ein binärer Kill Switch, den ein hinreichend fähiger Agent durch Schlussfolgern umgehen kann, ist kein Kill Switch. Er ist ein Vorschlag.

Die Schlussfolgerung von Stanford: „Umfassende Risikoidentifizierung ohne entsprechende Kontrollspezifität ergibt ein Dokument, das das Feuer beschreibt, ohne den Feuerlöscher bereitzustellen."

Warum binäres Vertrauen scheitert: die Kontroll-Fehlanpassung

Die drei Rahmenwerke konvergieren zu einem einzigen Prinzip: Governance muss proportional zur Autonomie sein. Binäres Vertrauen — „dem Agenten wird vertraut" oder „dem Agenten wird nicht vertraut" — scheitert, weil es eine Kontroll-Fehlanpassung in beide Richtungen erzeugt.

Ein Agent auf Gartner-Stufe 1 (Beobachten), der mit Stufe-4-Kontrollen — kontinuierliche Überwachung, Circuit Breaker, schnelles Rollback, durchgesetzte Leitplanken — geregelt wird, ist überkontrolliert. Der Governance-Overhead übersteigt das Risiko. Der Agent liest einen Katalog und gibt eine Antwort zurück; die ihn umgebende Governance-Infrastruktur kostet mehr in Aufbau und Betrieb als die gesamte Funktion des Agenten. Das Team verbringt Wochen mit dem Aufbau von Kontrollen für einen Nur-Lese-Agenten, während höher-risikoreiche Agenten warten.

Ein Agent auf Stufe 4 (Autonom handeln), der mit Stufe-1-Kontrollen — abgegrenzter Datenzugriff und Nutzungsprotokollierung — geregelt wird, ist unterkontrolliert. Der Agent schreibt Bestellungen in NetSuite, hält Bestände und bepreist Angebote ohne Circuit Breaker. Wenn das Verhalten des Agenten driftet — ein Preismodell, das beginnt, falsche Stufen zurückzugeben, ein Katalogmodul, das veraltete Verfügbarkeit zurückgibt — gibt es keinen Mechanismus, um die fehlerhafte Komponente zu deaktivieren, ohne den gesamten Agenten offline zu nehmen. Die 40-%-Außerbetriebnahme-Prognose ist das, was passiert, wenn diese Fehlanpassung nach einem Vorfall entdeckt wird, nicht davor.

Das Prinzip der proportionalen Governance ist einfach: Die Intensität der Kontrollen sollte der Autonomiestufe des Agenten entsprechen. Ein Stufe-1-Agent braucht Identität und Protokollierung. Ein Stufe-4-Agent braucht Identität, Circuit Breaker pro Tool, mandantenbezogene Datenisolation, schnelles Rollback, kontinuierliche Überwachung und menschliche Genehmigungstore für sensible Aktionen. Die Kontrollen sind additiv, nicht alternativ.

Das gemeinsame Vokabular, das der Branche fehlt

Die Mayfield/Lucidworks-Lücke — 42 % „in Produktion" gegenüber 6 % „vollständig implementiert" — existiert, weil die Branche keine gemeinsame Definition dessen hat, was ein Agenten-Deployment bedeutet. Autonomiestufen liefern diese Definition.

Wenn ein Anbieter sagt „unsere Agenten sind in Produktion", sollte die Folgefrage lauten: auf welcher Autonomiestufe? Ein Anbieter, der Stufe-1-Agenten betreibt, die Kataloge lesen und einem Menschen Antworten zurückgeben, ist in Produktion. Ein Anbieter, der Stufe-4-Agenten betreibt, die Angebote bepreisen, Bestände halten und ohne menschliche Genehmigung pro Aktion Bestellungen in NetSuite schreiben, ist ebenfalls in Produktion. Das sind nicht dasselbe Deployment, und sie tragen nicht dasselbe Risikoprofil, dieselben Governance-Anforderungen oder dieselbe Betriebslast.

Gartners Vier-Stufen-Rahmenwerk, die Sechs-Stufen-Taxonomie der CSA und Stanfords AILCCP-48-Kontrollen-Rahmenwerk sind drei unabhängige Formulierungen derselben Idee. Sie unterscheiden sich in der Granularität — Gartner hat vier Stufen, die CSA sechs, AILCCP 48 Kontrollen — aber sie stimmen in der Struktur überein: Autonomie ist ein Spektrum, Governance muss der Position auf diesem Spektrum entsprechen, und die technische Durchsetzung von Grenzen ist der Unterschied zwischen einer Richtlinie und einer Kontrolle.

Eine totalum.app-Analyse von Orchestrierungsmustern fügt eine ergänzende Dimension hinzu: Fünf Orchestrierungsmuster (sequenziell, parallel, hierarchisch, adaptiv, Human-in-the-Loop) bilden auf Autonomiestufen ab. Ein Stufe-2-Agent operiert typischerweise in einem Human-in-the-Loop-Muster — der Agent berät, der Mensch handelt. Ein Stufe-4-Agent operiert in einem adaptiven oder hierarchischen Muster — der Agent führt innerhalb von Leitplanken aus, und das Orchestrierungsmuster bestimmt, wie viel Spielraum der Agent hat, um Tool-Aufrufe zu verketten und sequenzielle Entscheidungen ohne menschliches Eingreifen zu treffen.

Die Dimension der dynamischen Anpassung

Die CSA-Taxonomie führt eine Dimension ein, die die anderen Rahmenwerke implizit behandeln: Autonomiestufen können sich zur Laufzeit ändern. Die CSA schlägt vor, dass ein normalerweise auf Stufe 4 operierender Agent automatisch auf Stufe 3 (Handeln mit Genehmigung) herabgestuft werden könnte, wenn seine Fehlerrate einen Schwellenwert überschreitet.

Hier wird proportionale Governance zu einem System statt zu einem Stapel. Der Prüfpfad aus den Ausführungsaufzeichnungen pro Tool speist die Governance-Entscheidung — wenn die Fehlerrate eines Preistools 5 % überschreitet, sinkt die Autonomiestufe des Agenten von Stufe 4 auf Stufe 3. Der Agent arbeitet weiter, aber jede Preisaktion erfordert nun eine menschliche Genehmigung. Die Leitplanken passen sich dem beobachteten Risiko an, nicht dem angenommenen Risiko.

Diese dynamische Anpassung ist der Mechanismus, der das 40-%-Außerbetriebnahme-Szenario verhindert. Wenn Gartner sagt, dass 40 % der Unternehmen bis 2027 autonome Agenten außer Betrieb nehmen, geschieht die Außerbetriebnahme, weil ein Stufe-4-Agent einen Stufe-4-Vorfall hat — der Agent operiert autonom, das Verhalten driftet, und die einzige verfügbare Reaktion ist, ihn vollständig abzuschalten. Ein proportionales Governance-System mit dynamischer Anpassung hätte den Agenten auf Stufe 3 herabgestuft, bevor der Vorfall eskalierte. Die Außerbetriebnahme wird zu einer temporären Herabstufung, nicht zu einer dauerhaften Abschaltung.

Das Kaufkriterium

Die drei Rahmenwerke geben einem Käufer ein konkretes Bewertungswerkzeug. Wenn ein Anbieter diese Fragen nicht beantworten kann, hat er kein Governance-Modell:

  1. Auf welcher Autonomiestufe operieren Ihre Agenten? Lautet die Antwort „kommt darauf an" oder „vollständig autonom", gibt es kein Klassifizierungssystem. Die CSA stellte fest, dass die Mehrheit der Organisationen keine formale Klassifizierung hat. Ein Anbieter ohne Klassifizierung kann Kontrollen nicht dem Risiko zuordnen.

  2. Wie schalten Sie einen sich fehlverhaltenden Agenten ab? Lautet die Antwort „wir stoppen den Prozess" oder „wir entfernen das Tool aus dem Code", gibt es keine geschichtete Abschaltung. Die Reaktionszeit wird in Stunden (Bereitstellungszyklen) gemessen, nicht in Sekunden (Konfigurationsänderungen). Das AILCCP-Rahmenwerk erfordert ein geschichtetes Abschaltsystem, keinen einzelnen Kill Switch.

  3. Können Sie mir den Prüfpfad der letzten 100 Tool-Aufrufe zeigen? Lautet die Antwort „wir haben Protokolle in CloudWatch", gibt es keinen strukturierten Audit-Datensatz pro Tool. Der Prüfpfad sollte nach Tool-Name, Status und Zeitbereich abfragbar sein — nicht in einem Protokollstrom grep-bar. Artikel 12 des EU-KI-Gesetzes verlangt eine Protokollaufbewahrung von mindestens sechs Monaten; eine CloudWatch-Log-Gruppe ist kein Prüfpfad von Compliance-Qualität.

  4. Wie groß ist der Wirkungsradius, wenn der Agent eines Mandanten Amok läuft? Lautet die Antwort „wir isolieren pro Bereitstellung", gibt es keine Mandantenisolation auf der Datenschicht. Der Wirkungsradius ist die gesamte Bereitstellung, nicht ein einzelner Mandant. Die partition key sollte auf der Datenschicht durchgesetzt werden, nicht auf der Anwendungsschicht.

Diese vier Fragen entsprechen den vier Implementierungsschichten, die in Kill Switch by Design: Architektur der Agenten-Governance beschrieben sind: identitätsgesteuerter Zugriff (Schicht 1), Circuit Breaker pro Tool mit Audit-Protokollierung (Schicht 2), mandantenbezogene Datenisolation (Schicht 3) und schnelles Rollback mit Deaktivierung auf Modulebene (Schicht 4). Der Implementierungsartikel deckt den Code ab; das Prinzip hier ist, dass die Rahmenwerke und die Implementierung dieselbe Architektur sind, beschrieben auf zwei Abstraktionsebenen.

Das EU-KI-Gesetz erreicht am 2. August 2026 seine volle Durchsetzung — in 19 Tagen. Artikel 14 schreibt eine Echtzeit-Halt-Fähigkeit vor. Artikel 12 verlangt eine Protokollaufbewahrung von mindestens sechs Monaten. Die Erwägungsgründe 99 und 100 erweitern die Compliance auf jeden Agenten in einer Multi-Agenten-Kette. Die Höchststrafe beträgt 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Ein Anbieter, der die obigen vier Fragen nicht beantworten kann, kann die Einhaltung dieser Anforderungen nicht nachweisen — denn die Kontrollen, die die Regulierung erfüllen, sind dieselben Kontrollen, die die Governance-Rahmenwerke erfüllen.

Der Wettbewerbsdruck

Der AWS Global Startup Trends Report (30. Juni 2026) befragte über 3.400 Startup-Gründer in 20 Ländern. KI-native Startups erreichen Milliarden-Dollar-Bewertungen in 3,5 Jahren — der Hälfte der Zeit und mit der Hälfte des Personals der Ära vor der generativen KI. Ihr durchschnittliches jährliches Umsatzwachstum beträgt 156 % gegenüber 65 % für Startups insgesamt. 68 % haben eine formale KI-Strategie. 72 % haben proprietäre KI-Fähigkeiten aufgebaut. Forbes fügt hinzu, dass KI-native Firmen etwa 30 % mehr Finanzierung pro Mitarbeiter aufnehmen und etwa 30 % höhere Bewertungen als nicht-KI-native Vergleichsunternehmen erzielen.

Das Wettbewerbssignal für mittelständische B2B-Unternehmen ist direkt: KI-native Marktteilnehmer in Finanzdienstleistungen, Gesundheitswesen und Cybersicherheit — denselben regulierten Sektoren, in denen geregeltes Agenten-Deployment am wichtigsten ist — wachsen 2,4-mal schneller als traditionelle Startups. Das Fenster zwischen „KI erkunden" und „von KI-nativen Wettbewerbern überholt werden" schließt sich. Aber das Fenster zwischen „KI-Agenten einführen" und „geregelte KI-Agenten einführen" sollte null sein. Die 40-%-Außerbetriebnahme-Prognose ist das, was passiert, wenn diese Lücke nicht null ist.

Der Lucidworks-Befund — 83 % der KI-Führungskräfte berichten von großer oder extremer Besorgnis über generative KI, eine Verachtfachung in zwei Jahren — ist keine irrationale Angst. Es ist die rationale Reaktion auf einen Markt, in dem Anbieterversprechen die Anbieterfähigkeiten übersteigen, in dem „in Produktion" alles von einem Stufe-1-Katalogleser bis zu einem Stufe-4-autonomen Bestellagenten bedeuten kann, und in dem die Governance-Rahmenwerke existieren, aber die meisten Organisationen sie nicht übernommen haben. Proportionale Governance ist der Weg, wie die Angst handlungsfähig wird: Sie gibt dem Käufer das Vokabular, um zu spezifizieren, was er will, die Fragen, um zu bewerten, was ihm angeboten wird, und die Architektur, um zu bauen, was er braucht.


Ein Distributor, der NetSuite, BigCommerce und drei Lieferantenkataloge betreibt, setzt Agenten auf drei Autonomiestufen ein. Ein Stufe-1-Agent liest Lieferantenkataloge und weist das Vertriebsteam auf Verfügbarkeitslücken hin. Ein Stufe-2-Agent empfiehlt Preisstufen auf Basis historischer Angebote und aktuellen Bestands — ein Mensch genehmigt, bevor das Angebot herausgeht. Ein Stufe-3-Agent hält Bestände und schreibt angenommene Bestellungen nach menschlicher Genehmigung pro Bestellung in NetSuite. Kein Agent operiert im initialen Deployment auf Stufe 4. Die Governance-Kontrollen entsprechen der Autonomiestufe: Der Stufe-1-Agent hat Identität und Protokollierung. Der Stufe-2-Agent hat Genauigkeitstests und Genehmigungs-Workflows. Der Stufe-3-Agent hat Circuit Breaker pro Tool, mandantenbezogene Isolation und einen nach Tool-Name und Zeitbereich abfragbaren Prüfpfad. Wenn das Lieferantenkatalog-Modul beginnt, inkonsistente Verfügbarkeitsdaten zurückzugeben, deaktiviert der Betreiber dieses Modul über die Konfiguration. Der Agent routet zum Fallback-Katalog, die jüngsten Aufrufe des deaktivierten Moduls werden zur Untersuchung aus dem Prüfpfad abgefragt, und der Agent bleibt durchgehend online. Diese Umsetzung entspricht den Phasen 2 bis 4 der Vier-Schritte-Methode und ist typischerweise in 5 bis 8 Wochen produktiv.

Fordern Sie eine abgegrenzte Umsetzung an. Eine Woche Discovery. Sie erhalten eine Systeminventur, eine Workflow-Karte und einen festen Umfang — ob Sie mit uns bauen oder nicht.

Möchten Sie dies für Ihre Systeme gebaut?

Jedes Dokument hier stammt aus echter Produktionsarbeit. Wenn Sie ein Zielsystem und einen Workflow im Sinn haben, können wir in einer Woche einen Build umreißen.

Build mit festem Umfang anfragen

Einwöchiges Discovery. Sie erhalten ein Systeminventar, eine Workflow-Mappe und einen festen Umfang — unabhängig davon, ob Sie mit uns bauen.