Manuel Hecht Logo
← Blog/Aktuelles
24. April 2026
KIGovernanceSecurityAgentic AI

Agentic AI im Unternehmen: Governance-Framework für sichere Produktivität

Ein praktisches Framework für sichere Agentic AI: Von Risikoklassen und Rechte-Management bis zu Monitorings-Lösungen. Inkl. Checkliste für den Einstieg.

Agentic AI im Unternehmen: Governance-Framework für sichere Produktivität

Agentic AI im Unternehmen: Governance, Sicherheit & Workflow-Design für produktive Teams

Die Euphorie ist verständlich: Agentic AI verspricht autonome Prozesse, die rund um die Uhr arbeiten, komplexe Workflows eigenständig durchführen und Entscheidungen treffen. Doch wer Agenten einfach „loslässt", riskiert mehr als ineffiziente Prozesse – Data Leakage, unautorisierte Aktionen und Compliance-Verstöße sind nur die Spitze des Eisbergs.

Der entscheidende Unterschied zwischen spannendem POC und produktivem Enterprise-Betrieb? Ein durchdachtes Governance-Framework, das Sicherheit nicht als Bremse, sondern als Enablement versteht. Dieser Artikel zeigt einen pragmatischen Ansatz, der etablierte Standards wie NIST AI RMF und ISO 42001 mit praktischen Umsetzungsschritten verbindet.

Warum klassische IT-Security bei Agentic AI nicht reicht

Traditionelle Sicherheitsansätze gehen von festen Systemen mit vorhersehbaren Interaktionen aus. Agentic AI bricht dieses Paradigma: Ein Agent entscheidet dynamisch, welche Tools er nutzt, wie er Prompts formuliert und wann er selbstständig handelt. Die OWASP Top 10 für LLM Applications und deren Erweiterung für Agentic Systems identifizieren drei Kernrisiken, die jedes Unternehmen adressieren muss:

Prompt Injection manipuliert den Agenten durch geschickt platzierte Anweisungen in scheinharmlosen Inputs. Ein bösartig formatierter E-Mail-Anhang oder ein kompromittiertes Website-Element kann einem Agenten vorgaukeln, Berechtigungen zu haben, die ihm nicht zustehen.

Sensitive Information Disclosure entsteht, wenn Agents über Datenzugriff verfügen, den sie für ihre Aufgaben nicht benötigen – und diese Daten unbeabsichtigt nach außen tragen. Ein CRM-Integration-Agent mit Lesezugriff auf alle Kundendaten ist ein Datenschutz-Albtraum.

Excessive Agency beschreibt das Risiko, dass Agenten übermäßige Handlungsbefugnisse erhalten. Ein E-Mail-Agent, der nicht nur Antworten vorschlägt, sondern direkt versenden kann, ohne menschliche Freigabe bei sensiblen Inhalten, ist unverantwortlich.

Diese Risiken lassen sich nicht durch „mehr Firewalls" lösen. Sie erfordern ein systematisches Framework, das von der ersten Anforderung bis zum laufenden Betrieb begleitet.

Das Governance-Framework in 6 Schritten

Unser Framework folgt dem Prinzip: Kontext bestimmt Kontrolle. Je nach Use Case variiert das Sicherheitsniveau – aber die Struktur bleibt konsistent.

Schritt 1: Use Case definieren und Risikostufe zuordnen

Bevor ein Agent geplant wird, dokumentieren Sie präzise: Was soll erreicht werden? Welche Daten sind involviert? Welche externen Systeme werden angebunden? Welche Entscheidungen trifft der Agent autonom?

Basierend auf dieser Beschreibung ordnen Sie den Use Case einer Risikostufe zu – angelehnt an NIST AI RMF:

StufeCharakteristikaBeispiele
NiedrigÖffentliche Daten, keine externen Aktionen, reversible ErgebnisseContent-Research, interne Dokumentation
MittelInterne Daten, begrenzte externe Interaktionen, menschliche Review vorgesehenE-Mail-Drafting, Berichtsgenerierung
HochKundendaten, finanzielle Transaktionen, regulatorische RelevanzVertragsprüfung, automatisierte Rechnungsstellung
KritischStrategische Entscheidungen, rechtliche Bindung, schwer reversibelAutonome Verhandlungsführung, Compliance-Entscheidungen

Diese Einstufung ist kein Schönheitswettbewerb. Sie bestimmt alle nachfolgenden Sicherheitsmaßnahmen.

Schritt 2: Permissioning nach Least Privilege

Jede Berechtigung ist ein potenzielles Risiko. Das Least-Privilege-Prinzip verlangt: Ein Agent erhält exakt die Rechte, die er für seine definierte Aufgabe benötigt – nicht mehr.

Implementieren Sie explizite Allowlists statt Blacklists. Definieren Sie:

  • Welche Tools darf der Agent nutzen? (Liste, keine Kategorie)
  • Welche Daten sind zugänglich? (Spezifische Felder, keine „alle CRM-Daten")
  • Welche Aktionen sind erlaubt? (Lesen vs. Schreiben vs. Löschen)
  • Welche Outputs sind zulässig? (Format, Empfänger, Kanäle)

Für einen E-Mail-Agenten mit mittlerer Risikostufe könnte dies bedeuten: Zugriff auf eigene E-Mail-History (keine anderen Postfächer), Leserecht im CRM nur für Kontaktdaten der eingeschränkten Kundenliste, Draft-Funktion aktiviert, Senden deaktiviert.

Schritt 3: Sandbox als Workflow-Grenze

Daten verlassen niemals unsere Infrastruktur – dieser Anspruch kollidiert mit praktischen Agentic-AI-Anforderungen. Moderne AI-Workflows nutzen externe Modelle, APIs und Datenquellen. Hier schafft Data Loss Prevention (DLP) als Sandbox-Grenze Klarheit.

Eine DLP-Policy für Agentic Workflows sollte zwei Richtungen schützen:

Output-Kontrolle: Was darf der Agent nach außen kommunizieren? Blockiert werden sollten unternehmenskritische Daten (Strategiedokumente, Kundendaten, IPs), unautorisierte Kanäle und nicht freigegebene Entscheidungen.

Input-Validierung: Was darf in den Workflow gelangen? Gescannt werden sollten Prompts auf Injection-Versuche, Anhänge auf Malware und externe Datenquellen auf Integrität.

Technisch umsetzbar durch Edge-Gateways, die alle Agent-Interaktionen durchleiten, Policy-basierte Filter anwenden und bei Verstößen Alerting auslösen oder Workflows unterbrechen.

Schritt 4: Human-in-the-Loop als Qualitätsanker

Vollständige Autonomie ist selten sinnvoll oder wünschenswert. Das Planner/Executor-Pattern unterteilt den Workflow: Ein Planungs-Agent zerlegt Aufgaben, ein Ausführungs-Agent führt sie durch – mit definierten Review-Punkten.

Definieren Sie klare Haltelinien, wann menschliche Freigabe erzwungen wird:

  • Bei Risikostufe „Hoch" und „Kritisch": Vor jeder externen Aktion
  • Bei neuen Kontexten oder vom Standard abweichenden Inputs
  • Bei Aktionen mit finanziellen oder rechtlichen Implikationen
  • Wenn Sicherheitsscores (Confidence, Policy-Compliance) Schwellen unterschreiten

Der Review-Prozess sollte reibungslos sein: Ein Klick für Standardfälle, detaillierte Ansicht bei Anomalien. Ziel ist nicht die Kontrolle um ihrer selbst willen, sondern das Auffangen von Edge Cases, die der Agent nicht bewerten kann.

Schritt 5: Monitoring und Audit-Trails

Was Sie nicht messen, können Sie nicht managen. Agentic AI erfordert ein neues Monitoring-Verständnis, das über klassische Performance-Metriken hinausgeht:

Tool-Call-Auditing: Jeder Zugriff auf ein externes System wird protokolliert – wer (Agent), was (Aktion), wann (Zeitstempel), warum (Kontext/Auslöser), Ergebnis (Erfolg/Fehler).

Datenfluss-Tracking: Welcher Input wurde verarbeitet? Welche Zwischenergebnisse entstanden? Welcher Output generiert? Diese Provenienz ist essenziell für Fehleranalyse und Compliance-Nachweise.

Policy-Entscheidungs-Logs: Wann wurde eine Aktion durch DLP-Regeln blockiert? Welche Alerts wurden ausgelöst? Wie wurde entschieden?

Netzwerk-Monitoring: Ungewöhnliche Verbindungsmuster, unerwartete API-Aufrufe, Abweichungen vom erwarteten Verhalten.

Diese Daten müssen zentral aggregiert, langfristig gespeichert und für Compliance-Audits abrufbar sein. ISO 42001 verlangt explizit nach Nachweisen für das Managementsystem – diese Logs sind Ihr Rückgrat.

Schritt 6: Der Verbesserungszyklus

Security ist kein Zustand, sondern ein Prozess. Implementieren Sie einen kontinuierlichen Improvement Loop:

Inventarisierung: Führen Sie ein zentrales Register aller Agenten – ihre Fähigkeiten, Berechtigungen, Datenzugriffe und Verantwortlichen. Bei jeder Änderung: Dokumentation aktualisieren.

Versionierung: Agent-Definitionen, Prompts, Tool-Konfigurationen und Policies werden versioniert. Ein Rollback auf den letzten stabilen Stand muss jederzeit möglich sein.

Reproduzierbarkeit: Testläufe und Fehlerfälle müssen nachstellbar sein. Fixe Seeds, determistische Workflows und isolierte Testumgebungen ermöglichen Debugging.

Red Teaming: Regelmäßige gezielte Angriffe auf Ihre Agenten-Systeme. Pattern-Matching allein reicht nicht – nur durch aktives Testen der Grenzen finden Sie Schwachstellen, die statische Analysen übersehen.

Do/Don't-Liste für die Praxis

✅ Do

  • Definieren Sie klare Verantwortlichkeiten: Wer betreut welchen Agenten? Wer entscheidet über Berechtigungen?
  • Starten Sie mit Niedrig-Risiko-Use-Cases: Sammeln Sie Erfahrung, bevor Sie kritische Prozesse automatisieren.
  • Implementieren Sie Circuit Breaker: Bei wiederholten Policy-Verstößen oder Anomalien wird der Agent automatisch deaktiviert.
  • Nutzen Sie Testumgebungen mit realistischen Daten-Samples: Produktive Daten in Tests minimieren, aber reale Datenstrukturen simulieren.
  • Dokumentieren Sie Entscheidungslogiken: Warum hat der Agent X statt Y entschieden? Transparenz ist essenziell.
  • Schulen Sie Ihre Mitarbeiter: Agentic AI ist kein „set and forget"-System. Nutzer müssen Limitationen und Risiken verstehen.
  • Etablieren Sie Eskalationspfade: Wenn ein Agent nicht weiterweiß – wer springt ein? Wie schnell?

❌ Don't

  • Vergeben Sie nie „Admin-Rechte" für den Einstieg: Ein Agent mit Zugriff auf alles ist ein Sicherheitsrisiko, kein Produktivitätsgewinn.
  • Vernachlässigen Sie nicht die Output-Validierung: Was ein Agent generiert, ist nicht automatisch korrekt oder angemessen.
  • Ignorieren Sie nicht Edge Cases: „Das passiert schon nicht" ist keine Sicherheitsstrategie.
  • Betreiben Sie Agenten nicht im Blindflug: Monitoring ist keine Option, sondern Pflicht.
  • Vertrauen Sie nicht auf statische Security-Checks: Prompt Injection entwickelt sich ständig weiter – Ihre Defenses müssen das auch.
  • Überlassen Sie kritische Entscheidungen nicht vollständig Agenten: Menschliche Verantwortung bleibt unverzichtbar.

Der Einstieg: Von der Theorie zur Praxis

Das Framework mag umfassend wirken – der Einstieg muss nicht überwältigend sein. Wählen Sie einen klar abgegrenzten Use Case (z.B. automatisierte Zusammenfassung interner Dokumente), definieren Sie die Risikostufe als „Niedrig", implementieren Sie ein Minimum an Monitoring und iterieren Sie von dort.

Der Schlüssel liegt in der bewussten Entscheidung: Wir nutzen Agentic AI nicht, weil es geht, sondern weil wir die Risiken verstehen und kontrollieren. Governance ist kein Projekt, das irgendwann „fertig" ist. Sie ist die Betriebsgrundlage, die erst die Produktivität ermöglicht, die Agentic AI verspricht.

Die Unternehmen, die diesen Ansatz ernst nehmen, werden nicht nur schneller sein – sie werden auch dann noch handlungsfähig sein, wenn andere mit den Folgen unbedachter Automation kämpfen.

Quellen: NIST AI Risk Management Framework, ISO/IEC 42001, OWASP Top 10 for LLM Applications, OWASP Agentic AI Threats and Mitigations

Weitere Artikel

Aktuelles11. Mai 2026

KI im Mittelstand: Potenziale, Herausforderungen und Best Practices für KMU

KI im Mittelstand: Wie KMU mit 10-200 Mitarbeitern KI erfolgreich einsetzen – Potenziale, konkrete Anwendungen und bewährte Strategien für die Praxis.

KI im MittelstandKünstliche Intelligenz KMUProzessautomatisierung KI
Shadow AI: Unentdeckte Risiken und Chancen für KMU – Ein Strategie-Guide für Entscheider
Aktuelles10. Mai 2026

Shadow AI: Unentdeckte Risiken und Chancen für KMU – Ein Strategie-Guide für Entscheider

Shadow AI bedroht KMU durch Datenlecks und Compliance-Risiken. Erfahren Sie, wie Sie unkontrollierte KI-Nutzung erkennen und strategisch absichern.

Shadow AIKI GovernanceDatenlecks
KI im Mittelstand: Fachkräftemangel effektiv bekämpfen und Produktivität steigern
Aktuelles6. Mai 2026

KI im Mittelstand: Fachkräftemangel effektiv bekämpfen und Produktivität steigern

KI im Mittelstand: So bekämpfen KMUs den Fachkräftemangel mit gezielter Automatisierung und steigern messbar die Produktivität. Konkrete Strategien für Entscheider.

KI MittelstandFachkräftemangel bekämpfenProduktivität steigern
← Alle Artikel