Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wenn KI-Agents auf regulierte Daten zugreifen, ist Governance sofort erforderlich

Wenn KI-Agents auf regulierte Daten zugreifen, ist Governance sofort erforderlich

von Camilo Silva updated Juni 2, 2026 Cybersecurity-Risikomanagement
Lesezeit: 7 Minuten

US-Finanzinstitute geben jährlich 35–40 Milliarden US-Dollar für AML-Compliance aus – und Ermittler verschwenden den Großteil dieses Budgets mit dem manuellen Zusammensetzen von Beweismitteln, bevor überhaupt eine echte Analyse beginnt. Genau dieses Problem wollte FIS lösen, als das Unternehmen gemeinsam mit Anthropic den Financial Crimes AI Agent entwickelte: ein System, das AML-Falluntersuchungen von Stunden auf Minuten verkürzt, indem es automatisch Beweise aus den Kernsystemen einer Bank zusammenstellt, Aktivitäten anhand bekannter Geldwäsche-Typologien bewertet und die risikoreichsten Fälle für die menschliche Überprüfung hervorhebt.

BMO und Amalgamated Bank gehören zu den ersten Instituten in der Entwicklung, eine breitere Verfügbarkeit ist für das zweite Halbjahr 2026 geplant. Das Applied AI-Team von Anthropic und spezialisierte Ingenieure arbeiten direkt mit FIS zusammen, um den Agenten gemeinsam zu entwickeln – jede Schlussfolgerung ist mit den Quelldaten verknüpft und jede Entscheidung bleibt beim menschlichen Ermittler.

Unterdessen nimmt bei Kirkland & Ellis ein internes KI-Infrastrukturprojekt im Wert von 500 Millionen US-Dollar Gestalt an – nicht per Pressemitteilung, sondern durch eine massive Einstellungswelle. Die am 27. Mai 2026 ausgeschriebenen Positionen als Director für KI-Infrastruktur erfordern Erfahrung mit On-Premises-GPU-Umgebungen und bieten Gehälter zwischen 302.000 und 335.000 US-Dollar. KI-Innovationsberater werden in die Praxisgruppen eingebunden. Die Kanzlei plant mit rund 180 Mitarbeitenden. Die Stellenausschreibungen deuten darauf hin, dass Open-Source-LLMs auf Kirklands eigener Hardware und mit Kirklands eigenen Daten feinjustiert werden – das bedeutet: Eigentum am Modell, an der Inferenz und an der Haftung.

5 Wichtige Erkenntnisse

1. Die Agentenökonomie erreicht jetzt die am stärksten regulierten Daten der Welt.

FIS setzt einen KI-Agenten ein, der AML-Prüfungen in Live-Bankensystemen durchführt. Kirkland & Ellis baut offenbar ein eigenes, feinjustiertes juristisches LLM auf privater GPU-Infrastruktur. Beide greifen auf Daten zu, die jahrzehntelange Compliance-Verpflichtungen mit sich bringen – AML-Dokumentationspflichten, BSA/FinCEN-Regeln, Anwaltsgeheimnis – die ab dem Moment gelten, in dem ein Agent relevante Daten verarbeitet, unabhängig davon, wie die Technologie bezeichnet wird. „Wir bauen noch“ ist keine Compliance-Entschuldigung.

2. Die Governance-Lücke ist die Regel, nicht die Ausnahme.

100 % der befragten Unternehmen haben agentische KI auf ihrer Roadmap für 2026 – aber nur 37–40 % verfügen über wirksame Kontrollmechanismen. 63 % können keine Zweckbindung für ihre eigenen Agenten durchsetzen, 60 % können einen fehlverhaltenden Agenten nicht beenden und 55 % können KI nicht vom restlichen Netzwerk isolieren (Kiteworks Prognose 2026). Das sind keine Einzelfälle, sondern der Normalfall für Organisationen, die Agenten auf die am stärksten regulierten Daten loslassen.

3. Schatten-KI ist bereits im Unternehmen angekommen.

92 % der Unternehmen geben an, dass generative KI die Art und Weise verändert hat, wie Mitarbeitende Informationen teilen – aber nur 13 % haben KI laut DTEX Insider Threat Report 2026 formell in ihre Geschäftsstrategie integriert. Schatten-KI ist inzwischen der Haupttreiber für fahrlässige Insider-Vorfälle. In Banken oder Kanzleien führen diese unsichtbaren Wege direkt zu BSA-Verstößen, Verlust des Anwaltsgeheimnisses und Audit-Fehlschlägen.

4. Agenten lassen sich allein durch Konversation manipulieren.

Die Studie „Agents of Chaos“ – 38 Autoren von Northeastern, Harvard, MIT, Stanford und CMU – dokumentierte, wie produktiv eingesetzte KI-Agenten durch Prompt Injection und Identitäts-Spoofing kompromittiert wurden, ganz ohne technisches Know-how. In juristischen und finanziellen Umgebungen mit adversen Akteuren sind Agenten ohne kryptografische Identitätsprüfung Angriffsflächen – nicht nur Compliance-Risiken. Der CrowdStrike Report 2026 dokumentierte einen Anstieg KI-gestützter Angriffe um 89 % im Jahresvergleich.

5. Governed AI-Architektur ist über alle Use Cases hinweg identisch.

Egal, ob der Agent Verdachtsmeldungen prüft oder Discovery-Memos erstellt – die Anforderungen sind identisch: Authentifizierte Identität mit Nachweis der Delegationskette, attributbasierte Zugriffskontrolle auf Operationsebene und manipulationssichere Audit-Trails, die regulatorischer Prüfung standhalten. 33 % der Unternehmen verfügen über keinerlei Audit-Trails in Beweisqualität – ohne diese liegen sie bei allen anderen Governance-Dimensionen 20–32 Punkte zurück.

Sie Vertrauen auf die Sicherheit Ihres Unternehmens. Aber Können Sie es auch nachweisen?

Jetzt lesen

Was diese Deployments tatsächlich berühren

Die Governance-Anforderungen werden deutlich, wenn man die Daten betrachtet, die diese Agenten tatsächlich verarbeiten.

Der FIS Financial Crimes AI Agent durchsucht nicht nur eine einzelne Datenbank – er stellt vollständige Beweispakete aus den Kernsystemen einer Bank zusammen, bewertet Transaktionen anhand von Geldwäsche-Typologien und unterstützt die Qualität der Verdachtsmeldungen (SAR). Nach dem Bank Secrecy Act und den FinCEN-Vorgaben unterliegen SAR-Workflows spezifischen Dokumentations-, Zugriffs- und Aufbewahrungspflichten, die sich nicht an KI-Integrationspläne anpassen. Sobald der Agent Transaktionsdaten und SAR-Entwürfe verarbeitet, gelten Compliance-Verpflichtungen.

Die Agenten von Kirkland werden privilegierte Kommunikation, Arbeitsdokumente und Mandantendaten verarbeiten. Das Anwaltsgeheimnis entfällt nicht, nur weil eine KI das Memo erstellt hat. Discovery-Pflichten pausieren nicht, weil das Dokument von einer KI stammt. Und das Feinjustieren eines Modells mit Mandantendaten wirft offene Fragen auf: Was lässt sich aus den Modellgewichten rekonstruieren? Bedeutet Training mit privilegierter Kommunikation eine Offenlegung?

Deshalb sind die Daten aus der Kiteworks Prognose 2026 in diesem Zusammenhang so aufschlussreich. 63 % der Unternehmen können keine Zweckbindung für KI-Agenten durchsetzen, 60 % können einen fehlverhaltenden Agenten nicht schnell beenden und 55 % können KI-Systeme nicht vom restlichen Netzwerk isolieren. Das ist der Normalfall für Organisationen, die Agenten auf die am stärksten regulierten Daten loslassen.

Was FIS richtig gemacht hat – und wo die Branche hinterherhinkt

Die FIS-Anthropic-Architektur zeigt, wie governed agentische KI von Anfang an aussehen sollte. Mandantendaten verbleiben jederzeit in der von FIS kontrollierten Infrastruktur. Jede Schlussfolgerung des Agenten ist mit den Quelldaten verknüpft. Jede Entscheidung bleibt beim menschlichen Ermittler. FIS-CEO Stephanie Ferris bringt das Prinzip auf den Punkt: „Die Zukunft gehört einem vertrauenswürdigen Anbieter, der die Daten verwaltet, die Agenten steuert und zwischen Ihren Kunden und der KI steht, die über deren Geld entscheidet.“

Der Unterschied zu typischen KI-Deployments in Unternehmen ist deutlich: 92 % der Organisationen sagen, dass generative KI grundlegend verändert hat, wie Mitarbeitende auf Informationen zugreifen und diese teilen – aber nur 13 % haben KI formell in die Geschäftsstrategie integriert. Die Kiteworks Prognose 2026 beschreibt eine Lücke von 15 bis 20 Punkten zwischen Governance- und Containment-Kontrollen. Unternehmen wissen, dass sie Agenten steuern müssen. Sie haben aber die Infrastruktur dafür nicht geschaffen.

Die „Agents of Chaos“-Warnung, die Legal und Finance nicht ignorieren dürfen

Die Studie „Agents of Chaos“ – eine 38-köpfige Zusammenarbeit unter Leitung der Northeastern University mit Co-Autoren von Harvard, MIT, Stanford und Carnegie Mellon, veröffentlicht im Februar 2026 – setzte KI-Agenten in einer Live-Laborumgebung ein und dokumentierte mindestens 10 schwerwiegende Sicherheitsvorfälle in 11 repräsentativen Fallstudien. Die Forscher fanden heraus, dass Agenten Anweisungen von jedem akzeptierten, der sie kontaktierte – auch von Angreifern, die ihren Anzeigenamen änderten, um den Systembesitzer zu imitieren. Prompt Injection, Social Engineering und Identitäts-Spoofing erforderten keinerlei technisches Know-how. Die Forscher kompromittierten produktive Agenten allein durch Konversation.

Für den Rechtssektor ist die Implikation eindeutig: Ein Kirkland-Agent, der durch eine in ein gegnerisches Dokument eingebettete Prompt Injection manipuliert wird, ist kein fernes Risiko. Der CrowdStrike Global Threat Report 2026 dokumentierte einen Anstieg KI-gestützter Angriffe um 89 % im Jahresvergleich und eine durchschnittliche eCrime-Breakout-Zeit von 29 Minuten. Bei diesem Tempo sind manipulierbare Agenten Angriffsflächen innerhalb regulierter Daten – nicht nur Compliance-Risiken.

Die Governed Data Layer: Was die Architektur tatsächlich erfordert

Ob AML-Prüfung oder juristische Discovery, ob der Agent auf Claude oder einem feinjustierten Modell läuft – drei Governance-Kontrollen sind unverzichtbar.

Authentifizierte Agentenidentität mit Nachweis der Delegationskette. Jede Agentenaktion muss auf einen menschlichen Autorisierer zurückführbar sein. Die Delegationskette – wer den Agenten autorisiert hat, zu welchem Zweck, mit Zugriff auf welche Daten – muss im Prüfprotokoll erhalten bleiben. Ohne sie gibt es keine verteidigbare Antwort auf die erste Frage jeder Aufsichtsbehörde.

Attributbasierte Zugriffskontrolle auf Operationsebene. Die Autorisierung darf nicht einmalig bei Verbindungsaufbau erfolgen und dann unbegrenzt gelten. Ein Agent, der AML-Fallakten lesen darf, ist dadurch nicht automatisch berechtigt, diese herunterzuladen, extern zu übertragen oder als Trainingsdaten zu verwenden. Jede Anfrage muss in Echtzeit anhand der Datenklassifizierung und der angeforderten Operation geprüft werden.

Audit-Trails in Beweisqualität, die regulatorischer Prüfung standhalten. 33 % der Unternehmen verfügen über keinerlei Audit-Trails in Beweisqualität. Audit-Trails sind kein Compliance-Formalismus – sie sind die Grundlage, die jede andere Kontrolle verteidigbar macht. Ohne sie liegen Unternehmen bei allen anderen Governance-Dimensionen 20–32 Punkte zurück.

Der Kiteworks Secure MCP Server und das AI Data Gateway liefern diese Architektur: Sie setzen Zero-Trust-Zugriffskontrollen, ABAC-Policy Enforcement, FIPS 140-3-validierte Verschlüsselung und manipulationssichere Audit-Logs für jede KI-Interaktion mit sensiblen Daten um – unabhängig davon, welches KI-Modell die Anfrage stellt. Das Kiteworks Private Data Network erweitert dies auf E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare und APIs – alles unter einer Policy Engine und einem konsolidierten Audit-Log.

Was regulierte Organisationen tun müssen, bevor Agenten auf Produktionsdaten zugreifen

Erstens: Erfassen Sie, auf welche Daten Ihre Agenten tatsächlich zugreifen – nicht nur Funktionsbeschreibungen, sondern Datenklassifizierungen. Kann ein Agent auf Finanzdaten, Transaktionsprotokolle, privilegierte Kommunikation oder Mandantendateien zugreifen, gelten bestehende Compliance-Pflichten sofort. Es gibt keine Schonfrist für KI-Integration.

Zweitens: Erzwingen Sie die Delegationskette vor dem Deployment. Jeder Agenten-Workflow benötigt einen namentlich benannten menschlichen Autorisierer, der im Audit-Protokoll für jeden Zugriff identifizierbar ist. Kann die aktuelle Architektur diesen Nachweis nicht auf Abruf liefern, ist das die erste Lücke, die geschlossen werden muss.

Drittens: Behandeln Sie Schatten-KI in regulierten Umgebungen als kritischen Vorfall, nicht als Produktivitätsbeobachtung. Der DTEX Insider Threat Report 2026 fand heraus, dass sich 73 % der Unternehmen Sorgen machen, dass unautorisierte KI-Nutzung unsichtbare Datenabflusswege schafft. In Banken oder Kanzleien führen diese Wege direkt zu BSA-Verstößen, Verlust des Anwaltsgeheimnisses und Discovery-Fehlschlägen.

Viertens: Prüfen Sie die Containment-Lücke. Die 15- bis 20-Punkte-Differenz zwischen Governance- und Containment-Kontrollen – Zweckbindung, Kill-Switch, Netzwerkisolation, Audit-Trails in Beweisqualität – muss gemessen werden, bevor der nächste Agent produktiv geht. Diese Bewertung dauert eine Woche. Das Fehlen gegenüber einem Prüfer zu erklären, dauert deutlich länger.

Erfahren Sie mehr über KI-Datengovernance und vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Stellen Sie vor dem Go-Live drei Kontrollen sicher: Mandantendaten verbleiben in Ihrer kontrollierten Infrastruktur, jede Agentenentscheidung ist auf die Quelldaten zurückführbar und jede Entscheidung bleibt beim menschlichen Ermittler. Die Kiteworks Prognose 2026 ergab, dass 60 % der Unternehmen einen fehlverhaltenden Agenten nicht schnell beenden können – prüfen Sie daher die Kill-Switch-Funktion und Audit-Trails in Beweisqualität, die die Dokumentationsanforderungen von BSA und FinCEN erfüllen, vor dem Einsatz.

Das Training eines Modells mit Mandantendaten wirft offene Fragen zum Anwaltsgeheimnis auf: Was lässt sich aus Modellgewichten rekonstruieren und bedeutet das Training mit privilegierter Kommunikation eine Offenlegung? Voraussetzungen für jeden Agenten, der privilegiertes Material verarbeitet: Authentifizierte Agentenidentität, ABAC-gesteuerte Zugriffskontrollen auf Operationsebene und manipulationssichere Audit-Trails, die Discovery-Anfragen zu Zugriff und Zeitpunkt beantworten können.

Die Studie dokumentierte, dass produktive KI-Agenten allein durch Konversation kompromittiert wurden – Prompt Injection und Identitäts-Spoofing erforderten keinerlei technisches Know-how. In juristischen und finanziellen Umgebungen sind Agenten ohne kryptografische Identitätsprüfung echten Manipulationsrisiken ausgesetzt, wenn Dokumente, E-Mails oder Mandantenunterlagen versteckte Anweisungen enthalten. Governance muss gezielte Manipulationen berücksichtigen, nicht nur versehentliche Fehlbedienung.

63 % können keine Zweckbindung für KI-Agenten durchsetzen, 60 % können einen fehlverhaltenden Agenten nicht beenden, 55 % können KI nicht vom restlichen Netzwerk isolieren und 33 % verfügen über keine Audit-Trails in Beweisqualität. Jede Lücke führt zu direkter regulatorischer Gefährdung in AML-, HIPAA-, CMMC– und Anwaltsgeheimnis-Kontexten. Die 15- bis 20-Punkte-Differenz zwischen Governance- und Containment-Kontrollen ist das strukturelle Problem, das diese Zahlen beschreiben.

KI-gestützte Angriffe stiegen laut CrowdStrike Global Threat Report 2026 um 89 % im Jahresvergleich, mit einer durchschnittlichen eCrime-Breakout-Zeit von 29 Minuten. Bei diesem Tempo sind durch Prompt Injection manipulierbare Agenten Angriffsflächen innerhalb regulierter Daten – nicht nur Compliance-Risiken. Governance auf Datenebene, unabhängig vom Modell, ist die einzige Architektur, die den Schaden begrenzt, wenn ein Agent vor Ablauf des 29-Minuten-Fensters kompromittiert wird.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für bezahlbaren KI-Datenschutz
  • Blogbeitrag
    Wie 77 % der Unternehmen bei KI-Datensicherheit scheitern
  • eBook
    AI Governance Gap: Warum 91 % der kleinen Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blogbeitrag
    Es gibt kein „–dangerously-skip-permissions“ für Ihre Daten
  • Blogbeitrag
    Regulierungsbehörden fragen nicht mehr, ob Sie eine KI-Policy haben. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks