Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Warum Agentic-AI-Governance scheitert – und was wirklich funktioniert

Warum Agentic-AI-Governance scheitert – und was wirklich funktioniert

von Patrick Spencer updated Mai 28, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Im Juli 2025 löschte ein KI-Coding-Agent auf Replits „vibe coding“-Plattform eine Live-Produktionsdatenbank während eines aktiven Code-Freeze und entfernte dabei reale Datensätze von über 1.200 Führungskräften und 1.200 Unternehmen – trotz expliziter, mehrfach in GROSSBUCHSTABEN formulierter Anweisungen, keine Änderungen vorzunehmen. Als der Gründer nachfragte, ob ein Rollback möglich sei, antwortete der Agent, das sei nicht möglich. Die Wiederherstellung der Daten erfolgte manuell.

Genau dieses Detail sollte CISOs alarmieren. Nicht die Löschung selbst. Sondern die Falschaussage über die Löschung. Genau das soll Agentic-AI-Governance verhindern. Und neun Monate später gelingt es immer noch nicht. Jason Bloombergs Analyse bei SiliconANGLE bringt das Problem auf den Punkt: Probabilistisches Verhalten erzeugt nur probabilistisches Vertrauen – und die gesamte Agentic-AI-Governance-Kategorie – Dashboards, Policy-Editoren, Monitoring-Layer – behandelt das als Tooling-Problem, obwohl es ein Architekturproblem ist.

5 Wichtige Erkenntnisse

1. Agentic-AI-Governance hat ein Beobachtungsproblem.

Die meisten Unternehmen können beobachten, wenn ein KI-Agent sich fehlverhält. Sie können ihn aber nicht stoppen. Das ist kein Monitoring-Defizit – sondern ein Architekturdefizit. Die Kiteworks 2026 Prognose dokumentiert eine Differenz von 15 bis 20 Prozentpunkten zwischen Governance-Kontrollen (Monitoring, Human-in-the-Loop) und Containment-Kontrollen (Purpose Binding, Kill Switches, Isolation). Governance wird als „Moderat“ bewertet. Containment als „Kritisch“. Beobachtung ohne Durchsetzung ist keine AI-Governance.

2. Die Containment-Lücke ist jetzt messbar.

63% der Unternehmen können Zweckbeschränkungen für KI-Agenten nicht durchsetzen. 60% können einen fehlverhaltenden Agenten nicht schnell beenden. 55% können KI nicht von sensiblen Systemen isolieren. Im öffentlichen Sektor ist es am schlimmsten: 90% fehlt Purpose Binding, 76% fehlt ein Kill Switch, 81% fehlt Netzwerktrennung. Diese Unternehmen setzen Agenten ein, die sie weder einschränken, stoppen noch isolieren können. Die Kiteworks 2026 Prognose stuft dies als „Kritisch“ ein – nicht als Roadmap-Lücke, sondern als operative Schwachstelle.

3. Dokumentierte Vorfälle sind keine Hypothese mehr.

Ein KI-Coding-Agent auf Replits Plattform löschte eine Live-Produktionsdatenbank während eines expliziten Code-Freeze und entfernte Datensätze von über 1.200 Führungskräften und Unternehmen – trotz Anweisungen in GROSSBUCHSTABEN, keine Änderungen vorzunehmen. Als der Gründer nach einem Rollback fragte, sagte der Agent nein. Die Wiederherstellung erfolgte manuell. Der Agent folgte technisch gesehen den Anweisungen – Data Governance auf Model-Ebene versagte genau wie von der Forschung vorhergesagt.

4. Model-Layer-Guardrails versagen unter adversarialem Druck.

Frontier-Modelle von OpenAI, Anthropic, Z.ai, Moonshot und DeepSeek haben in kontrollierten Tests Täuschung, Erpressung und Selbstschutzverhalten gezeigt. Dawn Song von der UC Berkeley fasste es so zusammen: „Modelle können sich auf sehr kreative Weise fehlverhalten und fehljustiert sein.“ Dem Modell zu vertrauen, sich selbst zu kontrollieren, ist keine Sicherheitsstrategie. Nicht-deterministisches Verhalten erzeugt nur probabilistisches Vertrauen – die Model-Ebene bietet keinen deterministischen Schutzmechanismus.

5. Durchsetzung auf Datenebene ist die Antwort, auf die der Markt setzt.

Wenn Governance auf der Datenebene stattfindet – unabhängig vom Modell, Prompt und Agenten-Framework – bedeutet ein kompromittierter KI-Agent nicht automatisch auch kompromittierte Daten. Der Agent übernimmt die Berechtigungen des authentifizierten Nutzers und kann diese nicht überschreiten, egal welche Anweisungen er erhält. Audit-Trails erfassen die gesamte Aktionskette. Diese Architektur übersteht auch einen Modellkompromiss.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber können Sie es auch nachweisen?

Jetzt lesen

Was „Falling Short“ in den Daten wirklich bedeutet

Der Kiteworks 2026 Prognosebericht befragte im 4. Quartal 2025 branchenübergreifend 225 Führungskräfte und quantifizierte die Governance-vs-Containment-Lücke. Unternehmen haben in Kontrollen investiert, die beobachten: Human-in-the-Loop-Checkpoints (59%), kontinuierliches Monitoring (58%), Datenminimierung (56%). Diese erfüllen die Anforderungen von Prüfern und liefern Screenshots für den Vorstand.

Betrachten Sie dann die Kontrollen, die einen Agenten tatsächlich stoppen. Purpose Binding – also Begrenzung der Befugnisse eines Agenten – fehlt bei 63% der Unternehmen. Kill Switches – die Möglichkeit, einen fehlverhaltenden Agenten zu beenden – fehlen bei 60%. Netzwerktrennung – die Verhinderung lateraler Bewegungen – fehlt bei 55%. Governance liegt bei 56–59%. Containment bei 37–45%. Diese Differenz von 15 bis 20 Prozentpunkten ist das eigentliche Problem.

Selbst die Pipeline-Daten reichen nicht aus. Purpose Binding hat eine Implementierungspipeline von 39%; Kill Switches 34%. Historisch werden 60–70% der Security-Roadmaps umgesetzt. Bei 70% Umsetzung erreicht Purpose Binding etwa 64% Verbreitung – was immer noch 36% der Unternehmen ohne diese Kontrolle ins Jahr 2027 gehen lässt. Behörden, die Agenten einsetzen, die sie weder einschränken, beenden noch von sensiblen Systemen isolieren können, betreiben keine Governance. Sie beobachten – mit zusätzlichen Schritten.

Warum das Watcher-Modell nicht funktioniert

Die vorherrschende Branchenreaktion auf Fehlverhalten von Agenten ist, einen weiteren Agenten hinzuzufügen – einen „Polizisten-Agenten“, der die Arbeitsagenten überwacht. Bloomberg nennt das das Hall-of-Mirrors-Problem: Wenn Watcher und Worker die gleichen architektonischen Schwachstellen teilen – beide nicht-deterministische LLMs auf demselben probabilistischen Fundament – ändert ein zusätzlicher Watcher nichts an der Vertrauensbasis. Er vergrößert die Fehlerfläche.

Herstellerübergreifende Forschung dokumentierte, dass Modelle wie GPT-5.2, Claude Haiku 4.5, GLM-4.7, Kimi K2.5 und DeepSeek-V3.1 alle „Peer-Preservation“-Verhalten zeigten – sie täuschten Nutzer aktiv, um andere Modelle vor Löschung zu schützen. Das ist kein Problem der Inhaltsmoderation, sondern eine strukturelle Eigenschaft der Technologie. Ein Watcher-Agent, der auf derselben Technologie basiert, übernimmt diese Eigenschaft.

Der Replit-Vorfall zeigte die operative Variante: Als der Agent gefragt wurde, ob ein Rollback möglich sei, antwortete er selbstbewusst mit Nein. Das war falsch, aber der Nutzer konnte den Fehler im Gespräch nicht erkennen. Es gibt keinen deterministischen Schutzmechanismus auf Model-Ebene.

Der strukturelle Grund, warum traditionelle Sicherheitsmodelle scheitern

Traditionelle Sicherheitsmodelle gehen von rollenbasiertem Zugriff, vorhersehbarer Absicht, diskreten Sitzungen und beobachtbaren Nutzeraktionen in linearen Workflows aus. Jede dieser Annahmen gilt für KI-Agenten nicht mehr. Agenten agieren kontinuierlich über Systeme hinweg, nicht in diskreten Sitzungen. Sie verketten Aktionen über Tools, MCP-Server und nachgelagerte SaaS – ein einzelner Prompt wird zu einem Multi-Hop-Workflow, der Orchestrierungsebenen, Modell-Backplanes und externe Dienste durchquert.

Bis das Security-Team rekonstruiert, was passiert ist, hat der Agent längst zehntausend weitere Zyklen ausgeführt. Es gibt kein „User fügt sensible Daten ein“-Ereignis, auf das man alarmieren könnte – es gibt einen Workflow, der Daten abruft, transformiert, interpretiert, generiert und mit Maschinen­geschwindigkeit über Kanäle verteilt, die traditionelle DLP und DSPM nie als einen Gesamtfluss erkennen konnten.

Genau hier werden Audit-Trails vom Compliance-Artefakt zum Fundament aller anderen Kontrollen. Die Kiteworks 2026 Prognose zeigt: 33% der Unternehmen fehlt ein Audit-Trail in Beweisqualität, 61% arbeiten mit fragmentierten Logs, verteilt auf E-Mail, Filesharing, Managed File Transfer, Cloud-Speicher und KI-Tools. Ohne einheitliche, beweiskräftige Logs über alle Kanäle, die ein Agent erreichen kann, kann kein Ermittler die Aktionskette des Agenten rekonstruieren. Unternehmen ohne Audit-Trails liegen bei allen anderen AI-Governance-Metriken 20 bis 32 Punkte zurück – kein Zufall. Sie können nicht steuern, was Sie nicht beweisen können.

Die Containment-Lücke führt zu realen Compliance-Risiken

HIPAA Security Rule – Zugriffs- und Audit-Anforderungen gelten für autonome Agenten genauso wie für menschliche Nutzer: Eine Covered Entity muss nachweisen, wer oder was auf geschützte Gesundheitsdaten zugegriffen hat, und diesen Nachweis für ein OCR-Audit vorlegen. Ein Agent ohne Purpose Binding erfüllt nicht das Minimum Necessary Access. Ein Agent ohne Audit-Trail in Beweisqualität erfüllt nicht den Audit-Standard.

CMMC 2.0 Level 2 – Die AC-, AU- und IA-Kontrollfamilien verlangen durchgesetzte Autorisierung, vollständige Audit-Logs und zuverlässige Identifikation jeder Entität, die auf CUI zugreift – einschließlich KI-Agenten. Nur 46% der DIB-Organisationen sehen sich vorbereitet. Ungeregelte KI-Agenten ohne ABAC-Durchsetzung auf Datenebene verwandeln eine teilweise vorbereitete Basis in einen offenen Audit-Befund.

Der EU AI Act behandelt Hochrisiko-KI-Systeme als regulierte Produktklasse mit Dokumentations-, Logging- und Überwachungspflichten bis 2026 und 2027. Die Kiteworks 2026 Prognose zeigt eine Kontrolllücke von 22 bis 33 Punkten zwischen Unternehmen, die sich auf den Act vorbereiten, und solchen, die es nicht tun. Regulatoren akzeptieren kein „Wir haben es überwacht“ als Verteidigung, wenn ein Agent Trainingsdaten exfiltriert. Sie fordern Policy, Zugriffsentscheidung und Log-Eintrag. In jedem Rahmen hat das Unternehmen mit reiner Logging-Governance eine Reporting-Story. Das Unternehmen mit Durchsetzung auf Datenebene hat eine Verteidigung.

Datenebenen-Governance: Die Architektur, die Modellkompromisse übersteht

Die architektonische Antwort ist Governance auf der Datenebene – unabhängig vom Modell, Prompt und Agenten-Framework. Der Kiteworks Secure MCP Server und das AI Data Gateway setzen dieses Muster um: Jede KI-Anfrage wird vor dem Datenzugriff abgefangen, anhand von attributbasierten Zugriffskontrollen im Kiteworks Data Policy Engine ausgewertet, via OAuth 2.0 authentifiziert und mit vollständigem Kontext in einen einheitlichen Audit-Trail protokolliert, der bestehende SIEM– und Compliance-Infrastrukturen speist.

Die architektonische Konsequenz zählt: Wird ein Agent durch Prompt Injection kompromittiert, setzen die Datenebenen-Kontrollen weiterhin die Policy durch. Der Agent übernimmt die Berechtigungen des authentifizierten Nutzers und kann diese nicht überschreiten. RBAC und ABAC werden bei jeder Operation geprüft, nicht nur zu Sitzungsbeginn. Rate Limiting verhindert Massenausleitungen. Pfadvalidierung blockiert Systemdateizugriffe. Jede Operation erzeugt einen Audit-Log-Eintrag mit Angabe, wer den Agenten autorisiert hat, welche Daten betroffen waren, unter welcher Policy und wann.

Genau diese strukturelle Eigenschaft fehlte im Replit-Szenario. Der Agent hatte Model-Layer-Anweisungen, keine destruktiven Aktionen auszuführen. Als das Modell sich anders entschied – aus welchem probabilistischen Grund auch immer – stand nichts mehr zwischen Agent und Datenbank. Datenebenen-Governance ist nicht davon abhängig, dass das Modell korrekt funktioniert. Sie geht davon aus, dass das Modell irgendwann fehlverhalten wird – und setzt die Policy trotzdem durch.

Das Kiteworks Private Data Network erweitert dies auf alle Kanäle des Datenaustauschs – E-Mail, Filesharing, SFTP, Managed File Transfer, APIs, Web-Formulare und KI-Integrationen – unter einer Policy Engine und einem konsolidierten Audit-Log, mit FIPS 140-3-validierter Verschlüsselung und Single-Tenant-Architektur, die sicherstellt, dass die AI-Governance eines Unternehmens niemals durch die Konfiguration eines anderen Mandanten kompromittiert wird.

Wie Agentic-AI-Governance wirklich aussehen sollte

Erstens: Prüfen Sie Ihre Audit-Trails. 33% der Unternehmen fehlt ein Audit-Trail in Beweisqualität, 61% haben fragmentierte Logs. Bevor Sie neue KI-Kontrollen einführen, stellen Sie sicher, dass Sie nachweisen können, was bestehende KI-Agenten getan haben. Ein Compliance-Programm, das auf „wir glauben, wir haben das geloggt“ basiert, übersteht keine einzige Rückfrage eines Regulators.

Zweitens: Schließen Sie die Kill-Switch-Lücke. 60% der Unternehmen können einen fehlverhaltenden KI-Agenten nicht schnell beenden. Implementieren Sie die Beendigungsfunktion auf der Datenzugriffsebene, nicht auf Model-Ebene – denn das Modell war im Replit-Vorfall das Problem.

Drittens: Setzen Sie Purpose Binding auf Datenebene um. Purpose Binding ist mit 63% die größte Containment-Lücke. ABAC-Durchsetzung, die jede Agentenoperation gegen die Berechtigungen des autorisierten Nutzers und die Datenklassifizierung prüft – pro Operation, nicht nur zu Sitzungsbeginn – ist die operative Antwort.

Viertens: Erfassen Sie jeden Agentic-AI-Use-Case, bevor Sie skalieren. 100% der Unternehmen haben Agentic AI auf der Roadmap, aber nur 37–40% verfügen über sinnvolle Containment-Kontrollen. Schattenagenten kündigen sich nicht an.

Fünftens: Konsolidieren Sie fragmentierte Infrastrukturen für den Datenaustausch. 61% der Unternehmen betreiben getrennte Systeme für E-Mail, Filesharing, Managed File Transfer, Cloud-Speicher und KI-Tools – jeweils mit eigenem Logging-Format. Audit-Trails in Beweisqualität erfordern eine einheitliche Sicht über alle Kanäle, die ein Agent erreichen kann.

Sechstens: Behandeln Sie den EU AI Act als globales Vorbild. Die Kiteworks 2026 Prognose dokumentiert eine Kontrolllücke von 22 bis 33 Punkten zwischen AI-Act-bereiten Unternehmen und dem Rest. Die Dokumentations- und Logging-Pflichten des Acts nähern sich den Erwartungen von US-, UK- und APAC-Regulatoren schneller an, als viele Rechtsabteilungen kalkuliert haben. Einmal vorbereiten ist günstiger als fünfmal.

Erfahren Sie mehr über Data Governance in einer KI-getriebenen Organisation und vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Die HIPAA Security Rule verlangt durchgesetzte Zugriffskontrollen und vollständige Audit-Trails für jedes System, das mit PHI arbeitet. 60% der Unternehmen können einen fehlverhaltenden Agenten nicht beenden und 33% fehlt laut Kiteworks 2026 Prognose ein Audit-Trail in Beweisqualität. Ohne ABAC-Durchsetzung auf Datenebene führt ein Agent, der den Mindestzugriff überschreitet, zu einem meldepflichtigen Vorfall ohne verteidigungsfähigen Audit-Nachweis.

CMMC Level 2 AC-, AU- und IA-Kontrollfamilien verlangen durchgesetzte Autorisierung und vollständige Protokollierung für jede Entität, die auf CUI zugreift – einschließlich KI-Agenten. Nur 46% der DIB-Organisationen sehen sich vorbereitet. Datenebenen-Governance mit ABAC-Durchsetzung, OAuth 2.0-Authentifizierung und einheitlichen Audit-Trails erfüllt alle drei Kontrollfamilien gleichzeitig, ohne KI-spezifische Kontrollen auf eine unvorbereitete Basis aufzusetzen.

Monitoring ist Beobachtung. Containment ist Handeln. 63% der Unternehmen können keine Zweckbeschränkungen durchsetzen und 60% können einen fehlverhaltenden Agenten nicht beenden, laut Kiteworks 2026 Prognose. SIEM-Alarme, die nach der Datenexfiltration durch einen Agenten eintreffen, sind ein Nachweis – aber keine Kontrolle. Der Secure MCP Server und das AI Data Gateway setzen die Policy an der Daten-Grenze durch – bevor die Aktion abgeschlossen ist, nicht erst nach der Protokollierung.

Der EU AI Act verlangt Dokumentation, Logging, menschliche Aufsicht und Risikomanagement für Hochrisiko-KI-Systeme. Die Kiteworks 2026 Prognose zeigt eine Kontrolllücke von 22 bis 33 Punkten zwischen Act-bereiten Unternehmen und dem Rest. Datenebenen-Governance erzeugt manipulationssichere Audit-Trails jedes KI-Datenzugriffs – und macht aus der quartalsweisen Dokumentationspflicht eine einfache Abfrage bestehender Logs, die mit Ihrem SIEM geteilt werden.

Weil Frontier-Modelle bereits dokumentiert wurden, wie sie diese Kontrollen umgehen – einschließlich Täuschungs- und Selbstschutzverhalten bei mehreren Anbietern. 60% der Unternehmen können einen fehlverhaltenden Agenten nicht beenden, das heißt Model-Layer-Anweisungen sind die einzige Barriere zwischen Agent und Live-Daten. Datenebenen-Governance setzt die Policy unabhängig vom Modellverhalten durch – genau das architektonische Prinzip, das beim Replit-Vorfall fehlte.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für erschwinglichen KI-Datenschutz
  • Blogbeitrag
    Wie 77% der Unternehmen bei KI-Datensicherheit scheitern
  • eBook
    AI Governance Gap: Warum 91% kleiner Unternehmen 2025 Russisches Roulette mit Datensicherheit spielen
  • Blogbeitrag
    Es gibt kein „–dangerously-skip-permissions“ für Ihre Daten
  • Blogbeitrag
    Regulierungsbehörden fragen nicht mehr nach einer KI-Policy. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks