Build, Buy oder Partner: die Rechnung davor
Eva Mickler
7 Min. Lesezeit Die teuerste Build-vs-Buy-Entscheidung ist die, die niemand bewusst getroffen hat. In ...
Zum Beitrag
7 Min. Lesezeit
Microsoft hat mit Agent 365 seit dem 1. Mai eine Kontrollebene für KI-Agenten im Markt. Sie registriert, überwacht und sichert die Agenten eines Konzerns an einer Stelle. Sie beantwortet damit die Werkzeugfrage. Die Frage, wer im Unternehmen die Verantwortung für einen autonom handelnden Agenten trägt, beantwortet sie nicht. Genau diese Lücke landet 2026 auf der Tagesordnung von Vorständen und Aufsichtsräten.
Das Wichtigste in Kürze
- Agent 365 ist die Kontrollebene. Seit dem 1. Mai allgemein verfügbar, verwaltet sie KI-Agenten über den vorhandenen Identitäts-, Compliance- und Security-Stack statt über ein Parallelsystem.
- Der Sponsor ist die technische Antwort. Jeder Agent bekommt eine zugewiesene Person, die seinen Zugriff verantwortet. Das ist ein Identitäts-Konstrukt, keine Haftungsregelung.
- Die Governance-Lücke bleibt offen. Wer einen Agenten beauftragt, wer ihn betreibt und wer für seinen Schaden geradesteht, sind drei verschiedene Rollen. Das Tool trennt sie nicht.
- Der Vorstand muss drei Punkte festlegen. Ein Agenten-Register mit Eigentümer, eine Freigabe-Schwelle nach Risiko und eine klare Haftungszuordnung. Drei Beschlüsse, die auf eine Tagesordnung passen.
Verwandt:Wer den AI-Betrieb wirklich besitzt/AI im Vorstand: Wer entscheidet, wer haftet?
Was Agent 365 löst und was nicht
Agent 365 wurde auf der Ignite 2025 angekündigt und ist seit dem 1. Mai allgemein verfügbar. Microsoft beschreibt das Produkt als Control Plane für Agenten: einen Ort, an dem die IT jeden Agenten sieht, festlegt was er darf und die gesamte Flotte an Unternehmensstandards bindet. Die Wette dahinter ist klar formuliert. KI-Agenten sollen so verwaltet werden, wie verwaltete Geräte und verwaltete Identitäten seit einem Jahrzehnt verwaltet werden, über eine Kontrollebene, die sich in den bestehenden Stack einfügt statt einen zweiten aufzubauen.
Das ist technisch sauber gedacht. Agent 365 bringt Agenten in die Microsoft-Entra-Identitätsverwaltung, vergibt Berechtigungen über Access Packages, hängt die Datenaufbewahrung an Microsoft Purview und bewertet riskantes Agentenverhalten über Purview Insider Risk Management. Agenten von AWS Bedrock und Google Cloud lassen sich in einer Public Preview einsammeln und grundlegend verwalten. Für die IT-Organisation ist das eine echte Entlastung. Sie muss kein neues Werkzeug lernen.
Was Agent 365 nicht löst, ist die Frage davor. Ein Werkzeug, das Agenten registriert und absichert, sagt nichts darüber, wer im Unternehmen entscheiden darf, dass ein Agent überhaupt produktiv geht. Es sagt nichts darüber, wer den Geschäftsschaden trägt, wenn der Agent eine fehlerhafte Bestellung auslöst oder eine vertrauliche Information herausgibt. Es ordnet die Technik. Die Organisation muss es selbst tun.
Der Sponsor, Microsofts Antwort auf die Haftungsfrage
Microsoft hat die Verantwortungsfrage nicht ignoriert. In der Entra-Identitätsverwaltung für Agenten gibt es ein Konstrukt namens Sponsor. Jeder Agent bekommt eine zugewiesene Person, die seinen Zugriff überwacht, die Berechtigungen aktuell hält und dafür sorgt, dass der Agent im Rahmen der Richtlinien bleibt. Auf dem Papier ist damit jeder Agent einem Menschen zugeordnet.
Das ist ein nützliches Konstrukt, aber es ist kleiner als es klingt. Der Sponsor ist eine Identitäts-Rolle, kein Haftungssubjekt. Die zugewiesene Person verantwortet den Zugriff des Agenten, also die technische Frage, auf welche Systeme er darf. Sie verantwortet nicht automatisch das Geschäftsrisiko, das aus den Handlungen des Agenten entsteht. Diese beiden Dinge fallen im Mittelstand und im Konzern selten zusammen.
Ein Sponsor verwaltet, worauf ein Agent zugreifen darf. Wer den Schaden trägt, wenn der Agent diesen Zugriff falsch nutzt, steht damit noch nicht fest. Das ist keine technische, sondern eine Vorstandsfrage.
Ein Beispiel macht die Lücke sichtbar. Ein Einkaufs-Agent wird vom Fachbereich Beschaffung beauftragt. Betrieben wird er von der IT, die ihn in Agent 365 registriert und einen Sponsor benennt, üblicherweise einen IT-Administrator. Löst der Agent eine fehlerhafte Rahmenbestellung über sechsstellige Summen aus, ist der Sponsor technisch zuständig, geschäftlich aber nicht der Verursacher. Der Fachbereich hat beauftragt, die IT hat betrieben, der Vorstand haftet nach außen. Drei Rollen, eine offene Zuordnung.
Die Governance-Lücke zwischen IT, Fachbereich und Vorstand
Die eigentliche Aufgabe liegt damit nicht im Admin-Center, sondern in der Aufbauorganisation. Drei Rollen greifen bei jedem produktiven Agenten ineinander. Ohne klare Festlegung reibt sich genau dort die Verantwortung auf.
Was Agent 365 technisch abdeckt
- Registrierung und Inventar aller Agenten an einer Stelle
- Berechtigungen über Entra Access Packages
- Datenaufbewahrung und Compliance über Purview
- Erkennung riskanten Agentenverhaltens als Insider-Risiko
Was die Organisation klären muss
- Wer einen Agenten produktiv freigeben darf
- Wer das Geschäftsrisiko seiner Handlungen trägt
- Ab welcher Risikoklasse der Vorstand entscheidet
- Wer einen außer Kontrolle geratenen Agenten abschaltet
Die IT betreibt die Kontrollebene. Sie kann sehen, was ein Agent tut. Sie kann ihn stoppen. Aber sie hat selten das Mandat, einen vom Fachbereich gewünschten Agenten aus Risikogründen abzulehnen. Der Fachbereich beauftragt den Agenten und zieht den Nutzen, trägt aber das technische Risiko nicht und kennt es oft nicht im Detail. Der Vorstand haftet nach außen, sieht die einzelnen Agenten aber nicht, solange ihm niemand ein Register vorlegt.
Diese Konstellation ist nicht neu. Sie ähnelt der Schatten-IT der vergangenen Jahre, in der Fachbereiche Software einkauften, die niemand zentral kannte. Der Unterschied ist der Wirkungsgrad. Ein nicht inventarisiertes SaaS-Tool verarbeitet Daten. Ein nicht zugeordneter KI-Agent trifft Entscheidungen und löst Handlungen aus. Die Lücke ist dieselbe, der Schaden im Ernstfall größer.
Was der Vorstand jetzt festlegen muss
Agent 365 ist die Gelegenheit, diese Lücke zu schließen, weil das Werkzeug die technische Sichtbarkeit liefert. Den organisatorischen Teil muss der Vorstand setzen. Drei Festlegungen reichen für den Anfang und passen auf eine einzige Sitzung.
Erstens das Agenten-Register mit Eigentümer. Jeder produktive Agent braucht neben dem technischen Sponsor einen Business-Owner, also eine Person aus dem beauftragenden Fachbereich, die das Geschäftsrisiko verantwortet. Sponsor und Owner können dieselbe Person sein, müssen es aber nicht. Wichtig ist, dass beide Rollen benannt und im Register dokumentiert sind.
Zweitens die Freigabe-Schwelle nach Risiko. Nicht jeder Agent gehört vor den Vorstand. Ein Agent, der interne Dokumente zusammenfasst, ist eine andere Risikoklasse als einer, der Bestellungen auslöst oder mit Kunden kommuniziert. Der Vorstand legt einmal fest, ab welcher Klasse eine Freigabe auf seiner Ebene nötig ist. Darunter entscheidet der Fachbereich gemeinsam mit der IT.
Drittens die Haftungszuordnung. Für jede Risikoklasse wird vorab geklärt, wer den Schaden trägt, wenn der Agent fehlerhaft handelt. Das ist weniger eine juristische als eine organisatorische Frage: Sie zwingt dazu, vor dem Produktivgang zu klären, was der Agent maximal anrichten kann und ob das Unternehmen dieses Risiko bewusst eingeht.
Keine dieser Festlegungen braucht ein Großprojekt. Sie brauchen einen Vorstandsbeschluss und eine Person, die das Register pflegt. Agent 365 liefert die technische Grundlage, auf der ein solches Register überhaupt verlässlich gefüllt werden kann. Wer das Werkzeug einführt, ohne die drei Rollenfragen zu beantworten, hat die Agenten sichtbar gemacht, aber nicht verantwortet.
Häufige Fragen
Was ist Microsoft Agent 365?
Agent 365 ist Microsofts Kontrollebene für KI-Agenten, seit dem 1. Mai allgemein verfügbar. Sie registriert, überwacht und sichert die Agenten eines Unternehmens über den vorhandenen Identitäts-, Compliance- und Security-Stack aus Entra, Purview und Defender. Sie kostet rund 13 Euro pro Nutzer und Monat oder ist im Bundle Microsoft 365 E7 enthalten.
Was ist ein Sponsor in Agent 365?
Der Sponsor ist eine Person, die in der Entra-Identitätsverwaltung einem Agenten zugewiesen wird. Sie überwacht dessen Zugriff, hält Berechtigungen aktuell und sorgt dafür, dass der Agent in den Richtlinien bleibt. Der Sponsor verantwortet die technische Zugriffsfrage, nicht automatisch das Geschäftsrisiko der Agentenhandlungen.
Wer haftet, wenn ein KI-Agent einen Schaden verursacht?
Agent 365 beantwortet das nicht. Technisch ist der Sponsor zuständig, geschäftlich der beauftragende Fachbereich, nach außen haftet der Vorstand. Diese Zuordnung muss das Unternehmen selbst festlegen, idealerweise vorab pro Risikoklasse. Das Werkzeug schafft die Sichtbarkeit, die Verantwortungszuordnung bleibt eine organisatorische Entscheidung.
Verwaltet Agent 365 auch Agenten von AWS und Google?
In einer Public Preview ja. IT-Teams können Agenten aus AWS-Bedrock- und Google-Cloud-Verbindungen automatisch erkennen, inventarisieren und grundlegend verwalten, etwa starten, stoppen und löschen. Damit ist Agent 365 nicht auf Microsoft-eigene Agenten beschränkt.
Was sollte der Vorstand als Erstes festlegen?
Drei Punkte: ein Agenten-Register, in dem jeder Agent einen technischen Sponsor und einen fachlichen Business-Owner hat. Eine Freigabe-Schwelle, ab der ein Agent je nach Risikoklasse eine Entscheidung auf Vorstandsebene braucht. Und eine Haftungszuordnung pro Risikoklasse, die vor dem Produktivgang geklärt ist.
Mehr aus dem MBF Media Netzwerk
cloudmagazin
Bildquelle: KI-generiert (Mai 2026), C2PA-Zertifikat im Bild hinterlegt