Was IT-Teams mittelständischer Unternehmen gerne vor dem Einsatz von KI-Agenten gewusst hätten

KI-Agenten entwickeln sich schnell von Experimenten zu alltäglichen Vorgängen. Diese Entwicklung zeigt sich auch in den Daten. Die neueste Studie von McKinsey zum Stand der KI hebt sowohl die breitere Nutzung von KI als auch den wachsenden Fokus auf „agente KI” hervor, auch wenn viele Unternehmen noch Schwierigkeiten haben, diese sicher zu skalieren. 

Für IT-Teams mittelständischer Unternehmen können Agenten wie eine Erlösung wirken: Sie automatisieren repetitive Arbeitsabläufe, reduzieren den Druck durch Arbeitsrückstände und liefern mehr Output, ohne dass die Mitarbeiterzahl erhöht werden muss.

Die Lektion, die Early Adopters später lernen, ist einfach: Agenten steigern nicht nur die Produktivität, sondern schaffen auch neue operative Aufgabenbereiche. Wenn Governance nicht frühzeitig eingebettet wird, treten die Risiken nach der Bereitstellung auf, wenn es am schwierigsten ist, sie zu entschärfen.

Hier sind die Dinge, die sich IT-Teams mittelständischer Unternehmen immer wieder wünschen, bevor KI-Agenten in der Produktivumgebung eingesetzt werden.

Was ist ein KI-Agent und warum verändert er die Governance-Anforderungen?

Ein KI-Agent ist ein System, das nicht nur Ergebnisse generiert, sondern auch Aktionen über Tools und Dienste hinweg ausführen kann. In der Praxis bedeutet dies, dass ein Agent in der Lage sein kann, zu programmieren, Daten abzufragen, APIs aufzurufen, Workflows auszulösen oder Datensätze zu ändern. Nach der Bereitstellung arbeitet er mit Maschinengeschwindigkeit und oft über mehrere Systeme hinweg.

Aus diesem Grund verändern Agenten die Governance-Anforderungen. Bei der traditionellen Governance wird davon ausgegangen, dass Menschen eingreifen können. Agenten reduzieren oder beseitigen diese Möglichkeit.

Eine hilfreiche Art, dies zu formulieren, ist: Copiloten unterstützen Menschen innerhalb eines Workflows; Agenten werden Teil des Workflows selbst.

Was unterschätzen Teams vor dem Einsatz von KI-Agenten?

Die meisten Teams unterschätzen, wie schnell Agenten aufhören, „Werkzeuge” zu sein, und zu Infrastruktur werden.

Zu Beginn ist ein Agent oft in seinem Umfang begrenzt. Ein Team ist für ihn zuständig. Er wird für eine eng gefasste Aufgabe eingesetzt. Der Zugriff wird pragmatisch gewährt, um ihn nutzbar zu machen. Aber seine Nützlichkeit verbreitet sich schnell: Immer mehr Teams fragen ihn an, immer mehr Workflows hängen von ihm ab, immer mehr Datenquellen werden angeschlossen und immer mehr Berechtigungen werden hinzugefügt.

Wenn ein Unternehmen erkennt, dass der Agent geschäftskritisch ist, verfügt er möglicherweise bereits über einen breiten Zugriff ohne klare Grenzen, Überprüfbarkeit oder Eigentumsverhältnisse.

Welche Risiken werden erst sichtbar, wenn Agenten in der Produktivumgebung eingesetzt werden?

Einige Risiken treten erst zutage, wenn Agenten Teil realer Workflows werden.

1. Der Zugriff erweitert sich unbemerkt. Was als „schreibgeschützter” Zugriff begann, entwickelt sich zu einem systemübergreifenden Zugriff, wenn Teams neue Tools und Datenquellen verbinden. Der Agent wird zu einer Komfortschicht über Systemen, die zuvor durch Prozesse voneinander getrennt waren.
2. Vertrauen wird implizit. Teams beginnen, die Ergebnisse des Agenten als stabil zu betrachten, da sie „fast immer funktionieren“. Wenn ein Agent falsch liegt, schlägt er oft auf subtile Weise fehl, sodass keine Warnmeldungen ausgelöst werden, bis die Auswirkungen real sind.
3.  Die Verantwortlichkeiten werden unklar. Wenn ein Agent mehrere Systeme betrifft, wird die Fehlerbehebung schwieriger, da keine einzelne Person „die Entscheidung getroffen hat“, aber dennoch das Unternehmen für das Ergebnis verantwortlich ist.

Hier spüren Teams die Lücke in der Governance am deutlichsten: wenn sie versuchen, grundlegende operative Fragen zu beantworten und feststellen, dass die Beweiskette unvollständig ist.

Was bereuen Teams am meisten, nicht früher eingeführt zu haben?

Am häufigsten wird bedauert, dass die Grenzen nicht im Voraus definiert wurden.

Die Teams wünschen sich, sie hätten Folgendes festgelegt:

• auf welche Daten Agenten zugreifen dürfen
• welche Maßnahmen sie ergreifen dürfen
• wo Agenten tätig sein dürfen (Entwicklung vs. Produktion)
• welche Überwachungs- und Überprüfungsmaßnahmen erforderlich sind

Sobald Agenten in der Produktivumgebung eingesetzt werden, empfinden strengere Kontrollen als störend. Und wenn Kontrollen erst nach einem Zwischenfall oder einer Prüfung eingeführt werden, wird die Governance reaktiv und inkonsequent.

Welche Kompromisse entdecken Early Adopters erst nach der Bereitstellung?

Frühe Anwender entdecken oft einen falschen Kompromiss zwischen Geschwindigkeit und Sicherheit.

Wenn Governance fehlt, arbeiten Teams zunächst schnell, verlangsamen sich dann aber, wenn Vorfälle hastige Kontrollen erforderlich machen. Ausnahmen häufen sich. Die Regeln variieren je nach Team. Der operative Aufwand steigt.

Wenn Governance frühzeitig in Arbeitsabläufe integriert wird, arbeiten Teams im Laufe der Zeit tendenziell schneller. Leitplanken reduzieren Unsicherheiten. Veränderungen werden vorhersehbar. Das Vertrauen verbessert sich, da das Verhalten erklärt und überprüft werden kann.

Mit anderen Worten: Der Kompromiss besteht nicht zwischen Geschwindigkeit und Sicherheit. Es ist vielmehr eine Frage von geplanter Struktur versus reaktiver Reibung.

Warum Governance in die Arbeitsabläufe von Agenten eingebettet werden muss

Die Governance von Agenten kann sich nicht allein auf Dokumentation stützen. Richtlinien, die in Wikis zu finden sind, haben nur empfehlenden Charakter. Agenten benötigen durchsetzbare Kontrollen.

Effektive Governance zeigt sich dort, wo Agenten tätig sind:

• Der Zugriff ist explizit und begrenzt.
• die Umgebungen sind klar voneinander getrennt
• das Verhalten ist beobachtbar
• unsichere Aktionen werden vor ihrer Ausführung blockiert

Dies ist der Unterschied zwischen „wir haben eine Richtlinie” und „die Richtlinie funktioniert tatsächlich”.

Da KI-Systeme immer dynamischer werden und während der Laufzeit Zugriff auf Tools und Dienste erhalten, entstehen neue Risiken, die nicht allein durch Dokumentation behoben werden können. Dies unterstreicht, warum Echtzeit-Governance in die Architektur integriert werden muss und nicht nachträglich hinzugefügt werden sollte.

Wie Plattformen Teams dabei helfen, KI-Agenten zu steuern, ohne die Bereitstellung zu verlangsamen

Governance ist einfacher, wenn Teams auf einer KI-fähigen Anwendungsplattform aufbauen, die Systeme vorhersehbar macht.

Wenn Umgebungen, Konfigurationen und Bereitstellungen standardisiert sind, können Teams einheitliche Regeln anwenden, ohne für jede Agentenintegration maßgeschneiderte Kontrollen entwickeln zu müssen. Dies ist besonders wichtig für mittelständische Teams, bei denen Governance skaliert werden muss, ohne neue operative Rollen zu schaffen.

Hier kann ein Plattformansatz helfen: nicht durch die „Steuerung der KI” an sich, sondern durch die Steuerbarkeit der zugrunde liegenden Workflows.

Was Upsun vor der Bereitstellung von KI-Agenten bietet

Upsun erhebt nicht den Anspruch, KI-Governance von Anfang bis Ende zu lösen. Was es jedoch bietet, ist eine Grundlage, die es einfacher macht, Governance in Bereitstellungs-Workflows zu integrieren.

In der Praxis umfasst dies:

• Deklarative, Git-gesteuerte Konfiguration, die die Einrichtung von Umgebungen und Diensten explizit und überprüfbar macht
• Isolierte Umgebungen und Vorschauen, die sicheres Testen vor der Produktion ermöglichen
• Klare Trennung zwischen Umgebungen und Daten, um versehentliche Offenlegungen zu reduzieren
• In die Plattform integrierte Beobachtbarkeit, um das Verhalten nach der Bereitstellung zu verstehen

Diese Funktionen helfen IT-Teams dabei, geregelte Workflows zu entwerfen, die Entwickler tatsächlich befolgen können, da sie in die Art und Weise integriert sind, wie Software bereitgestellt wird, und nicht nachträglich hinzugefügt werden.

Was vor der Bereitstellung von KI-Agenten in der Produktivumgebung zu tun ist

Bevor Agenten in die Produktivumgebung gelangen, sollten IT-Teams mittelständischer Unternehmen folgende Fragen klar beantworten können:

• Wo werden Agenten heute eingesetzt?
• Auf welche Daten können sie zugreifen?
• Welche Maßnahmen können sie ergreifen?
• Welche Beweisspuren gibt es, wenn etwas schiefgeht?

Wenn diese Antworten unklar sind, besteht bereits ein Risiko, auch wenn noch kein Vorfall passiert ist.

Governance zuerst, Skalierung zweitens

KI-Agenten werden immer häufiger eingesetzt, leistungsfähiger und autonomer. Die Frage ist nicht, ob Teams sie einsetzen. Die Frage ist, ob die Einführung bewusst erfolgt oder sich ohne Struktur ausbreitet.

Teams, die Agenten sicher skalieren, tun in der Regel frühzeitig eines: Sie integrieren Governance in ihre Arbeitsabläufe, bevor Agenten zu einer kritischen Infrastruktur werden. So bleibt die Geschwindigkeit hoch und Überraschungen werden minimiert.

Was als Nächstes zu tun ist

Wenn KI-Agenten bereits Teil Ihrer Arbeitsabläufe sind, besteht der nächste Schritt nicht darin, bessere Modelle auszuwählen, sondern sicherzustellen, dass Ihre Plattform Experimente unterstützt, ohne die Produktion einem Risiko auszusetzen. Das bedeutet vorhersehbare Umgebungen, klare Grenzen und Validierung vor der Bereitstellung.