Leitfaden
Ein KI-Agent ist keine Funktion in Ihrer Software. Er ist ein Akteur, der Ihre Systeme liest, Datensätze ändert und Daten verschickt, selbstständig und in Maschinengeschwindigkeit. Wer ihn steuern will, beantwortet für jeden Agenten vier Fragen: Wem gehört er, wofür ist er da, worauf darf er zugreifen, und können Sie belegen, was er getan hat? Dieser Leitfaden ordnet die vier Ebenen und zeigt, wie die großen Frameworks dazu passen.
KI-Agenten-Governance umfasst die Kontrollen, die einen autonomen Agenten rechenschaftspflichtig machen: einen klaren Eigentümer mit eigener Identität und begrenzten Zugriff auf das Nötige. Dazu ein belegbar unverändertes Protokoll seiner Aktionen und die Kontrolle darüber, wo seine Daten liegen. Der nötige Wechsel ist schnell gesagt und schwer getan. Sie behandeln den Agenten nicht länger als Code in einer Anwendung, sondern als nicht-menschlichen Akteur mit eigener Identität, Autorisierung, Protokollierung und eigenem Lebenszyklus.
Wir bauen Pinchy, eine selbst-gehostete Plattform, die einzig für diese Governance-Ebene existiert. Wir sind hier also nicht neutral. Der folgende Rahmen hilft Ihnen, ob Sie nun eine Plattform einsetzen oder die Kontrollen selbst bauen. Am Ende steht, wie Sie echte Governance von ihrem Anschein unterscheiden.
Drei Dinge trennen einen Agenten von den Sicherheitsmodellen, die wir für Software schon kennen. Er handelt, statt nur zu antworten: Er liest einen Kundendatensatz, aktualisiert eine Rechnung und sendet eine E-Mail, alles in einem Lauf. Er arbeitet nicht deterministisch, denn derselbe Prompt nimmt im nächsten Lauf einen anderen Weg, deshalb lässt er sich nicht wie eine Funktion durchdenken. Und plötzlich gibt es sehr viele davon. In vielen Unternehmen übersteigt die Zahl der nicht-menschlichen Identitäten (Agenten, Dienstkonten, Token) die der menschlichen längst. Berichtet werden Verhältnisse von bis zu 144 zu 1 (NHI Mgmt Group). Das passende Denkmodell: Agenten treten in Maschinenzahl auf und reichen dabei so weit wie ein Mensch, sie sind keine Softwarebausteine in einer Anwendung.
Anwendungssicherheit setzt voraus, dass am folgenreichen Schritt ein Mensch beteiligt ist. Ein Agent ist genau dafür gebaut, diesen Menschen herauszunehmen. Also wandern die Kontrollen mit der Aktion: von der Person, die früher den Knopf gedrückt hat, zum Agenten, der das jetzt tut.
Reduziert man Governance auf das Wesentliche, bleiben vier Fragen zu jedem Agenten, jede mit einer Kontrolle, die sie beantwortet.
| Ebene | Die Frage | Die Kontrolle |
|---|---|---|
| Identität | Wer ist dieser Agent, und wem gehört er? | Eigene Identität je Agent, ein benannter menschlicher Eigentümer, echte Benutzerkonten |
| Berechtigungen | Worauf darf er zugreifen? | Allow-List nach dem Standard-Verbot, je Agent und je Tool begrenzt |
| Audit | Können Sie belegen, was er getan hat? | Manipulationssichtbares, unabhängig prüfbares Protokoll jeder Aktion |
| Datenstandort | Wo liegen die Daten, die er nutzt? | Selbst-gehostet, die Daten bleiben auf Ihrer Infrastruktur |
Die Ebenen stehen nicht für sich. Ein Audit-Trail trägt nur, wenn jede Aktion an eine echte Identität gebunden ist, sodass Sie beantworten können, wer das angeordnet hat. Berechtigungen greifen nur, wenn niemand die Laufzeit an ihnen vorbei erreicht. Und alles bricht in sich zusammen, wenn die Daten, die der Agent liest, in einer Cloud liegen, die Sie nicht kontrollieren. Dort endet Ihre Governance an der Schnittstelle (API). Jede Ebene hat ihre eigene Tiefe, behandelt in den Begleit-Leitfäden zu Agenten-Berechtigungen und Audit-Trails. Diese Seite ist die Landkarte, jene sind das Gelände.
Für den einzelnen Agenten laufen die Frameworks auf eine kurze Liste hinaus. In der Sprache, auf die NIST und ISO zeigen, hat ein steuerbarer Agent:
Sowohl das NIST AI Risk Management Framework als auch ISO/IEC 42001 beschreiben das als laufende Steuerung: Verantwortung zuweisen, Kennzahlen festlegen, regelmäßig Zugriffe prüfen und die Kontrollen mit den Agenten nachschärfen. Governance ist kein Einrichtungsschritt, sondern ein dauerhafter Prozess.
Drei Frameworks kommen in jedem Gespräch über Agenten-Governance vor, und sie leisten Verschiedenes. Der EU AI Act ist die Regulierung. Er schreibt konkrete Pflichten vor, etwa die automatische Ereignis-Protokollierung über die Lebensdauer eines Systems bei Hochrisiko-Einsätzen (Artikel 12). Für Hochrisiko-Systeme hat das Omnibus-Paket 2026 die Frist auf den 2. Dezember 2027 verschoben. Das NIST AI Risk Management Framework ist ein risikobasiertes Analysemodell, um KI-Risiken zu erkennen und zu steuern. ISO/IEC 42001 ist die Norm für das Managementsystem: die Richtlinien, Rollen und der Verbesserungskreislauf, die die Risiko-Entscheidungen in den Alltag übersetzen.
Der ehrliche Vorbehalt: Keines der drei entstand eigens für agentische KI. Sie wurden für KI-Systeme im weiteren Sinn geschrieben, und die agenten-typischen Fragen (die Identität eines Agenten, seine Befugnis, ein Tool aufzurufen) liegen etwas außerhalb davon. Normungsgremien beginnen, diese Lücke zu schließen, doch die eigene Arbeit dazu läuft noch. Sicher fahren Sie, wenn Sie auf die Eigenschaften hinbauen, die alle drei anstreben: Rechenschaft, Nachvollziehbarkeit und begrenzten Zugriff. Warten Sie nicht auf die eine Checkliste, die es noch nicht gibt.
Governance ist eine Ebene, die jemand bauen muss. Betreiben Sie eine offene Agenten-Laufzeit direkt, bekommen Sie die Fähigkeit ohne die Kontrollen: meist ein gemeinsames Geheimnis, eine Identität und Protokolle, die sich bearbeiten lassen. Die vier Ebenen selbst zu bauen heißt: Konten und Eigentümerschaft, ein Berechtigungssystem je Agent und ein manipulationssichtbarer Audit-Trail. Die Daten halten Sie auf der eigenen Infrastruktur. Und das alles pflegen Sie gegen eine Laufzeit, die sich schnell ändert. Das ist echte, dauerhafte Arbeit, und für manche Teams ist sie richtig. Für andere ist es genau die Ebene, die man besser übernimmt, statt sie neu zu bauen. Den Abwägungsfall behandelt der Leitfaden zum Betrieb einer Agenten-Laufzeit im Team konkret.
Ob Sie eine Plattform prüfen oder Ihr eigenes Setup: Governance zeigt sich an vier Ja-oder-Nein-Fragen. Jedes Nein ist eine Stelle, an der die Rechenschaft entweicht.
Eine Plattform, die auf einer Ebene stark ist und zu den übrigen schweigt, ist nicht gesteuert. Sie ist nur teilweise einsehbar, und das ist gefährlicher, weil es sich wie Kontrolle anfühlt.
Jetzt zum eigenen Produkt. Pinchy ist eine Governance-Ebene, gebaut um genau diese vier Fragen. Identität: Benutzer melden sich mit eigenen Konten an, Admin- und Member-Rollen sind getrennt, und Agenten gehören jemandem, statt anonym zu sein. Berechtigungen: Ein neuer Agent startet mit null Tools und erhält jedes einzelne aus einer Allow-List je Agent, mit eng begrenzten, eigens gebauten Tools statt vollem Zugriff. Audit: Jede Aktion landet in einem pro Zeile signierten Audit-Trail, den Sie exportieren und unabhängig prüfen können. Datenstandort: Das Ganze läuft selbst betrieben, sodass die Daten, die die Agenten nutzen, Ihre Infrastruktur nie verlassen.
Pinchy baut auf der quelloffenen OpenClaw-Laufzeit auf, statt sie neu zu erfinden, und ist selbst quelloffen (AGPL-3.0). Die Kontrollen oben sind damit prüfbar, nicht nur behauptet. Wenn Sie die vier Ebenen lieber selbst bauen, ist die Landkarte auf dieser Seite die, an der wir uns orientieren würden.
FAQ
KI-Agenten-Governance umfasst die Kontrollen, die einen autonomen Agenten rechenschaftspflichtig machen: einen klaren Eigentümer mit eigener Identität und begrenzten Zugriff auf das Nötige. Dazu ein belegbar unverändertes Protokoll seiner Aktionen und die Kontrolle darüber, wo seine Daten liegen. Der Agent gilt nicht als Funktion in einer App, sondern als nicht-menschlicher Akteur, der auf das Geschäft einwirkt und deshalb eine eigene Identität, Autorisierung, Protokollierung und einen eigenen Lebenszyklus braucht.
Weil Agenten handeln, statt nur zu antworten, weil sie nicht deterministisch arbeiten und weil es in vielen Umgebungen inzwischen weit mehr von ihnen gibt als menschliche Benutzer. Sie treten in Maschinenzahl auf und reichen dabei so weit wie ein Mensch: Ein Agent liest Systeme, ändert Datensätze und sendet Daten. Anwendungssicherheit setzt voraus, dass an folgenreichen Aktionen ein Mensch beteiligt ist. Ein Agent hebt diese Voraussetzung auf, also müssen die Kontrollen von der Person zum Agenten selbst wandern.
Vier Dinge: einen festgelegten Eigentümer (eine Person, die für ihn verantwortlich ist), einen klaren Zweck (die eine Aufgabe, für die er existiert), einen begrenzten Zugriff (nur die Tools und Daten, die diese Aufgabe braucht, nach dem Standard-Verbot) und einen klaren Lebenszyklus (er wird bewusst erstellt, geprüft und stillgelegt). Sowohl das NIST AI Risk Management Framework als auch ISO/IEC 42001 zeigen auf eine laufende Steuerung dieser Art: Verantwortung, Kennzahlen, regelmäßige Zugriffsprüfungen und schrittweises Nachschärfen der Kontrollen.
Nur indirekt. Der EU AI Act setzt Pflichten wie die automatische Protokollierung (Artikel 12) für Hochrisiko-Systeme, NIST AI RMF liefert ein Risiko-Steuerungsmodell und ISO/IEC 42001 eine Struktur für das Managementsystem. Keines der drei entstand eigens für agentische KI, und eigene Normen zur Agenten-Identität werden noch entworfen. Der praktische Schritt ist, auf die Eigenschaften hinzubauen, die alle drei anstreben (Rechenschaft, Nachvollziehbarkeit, begrenzter Zugriff), statt auf eine einzelne Checkliste.
Prüfen Sie vier Ebenen. Identität: Hat jeder Agent einen Eigentümer und eine eigene Identität, oder teilen sie sich ein Geheimnis? Berechtigungen: Startet ein Agent mit null Zugriff und bekommt Fähigkeiten explizit gewährt? Audit: Wird jede Aktion in einem manipulationssichtbaren Protokoll erfasst, das Sie unabhängig prüfen können? Datenstandort: Kontrollieren Sie, wo die Daten liegen, die der Agent nutzt? Eine Plattform, die auf einer Ebene stark ist und zu den übrigen schweigt, ist nicht gesteuert, sondern nur teilweise einsehbar.
Pinchy gibt jedem Agenten einen Eigentümer, eine Allow-List nach dem Standard-Verbot, einen signierten Audit-Trail und einen Platz auf Ihren eigenen Servern. Quelloffen, selbst betrieben, kostenlos im Betrieb.
Oder schreiben Sie uns: info@heypinchy.com