7 Min. Lesezeit

Fachabteilungen bauen KI-Agenten schneller, als die IT-Abteilung Richtlinien schreiben kann. Was als Produktivitätsgewinn beginnt, wird zum unkontrollierbaren Risiko: Über die Hälfte aller unternehmensinternen KI-Agenten laufen ohne aktive Überwachung. Agent Sprawl ist das Shadow-IT-Problem der nächsten Generation, und CIOs haben weniger Zeit als sie denken.

Das Wichtigste in Kürze

Das Shadow-IT-Problem der nächsten Generation

Vor zehn Jahren kämpften CIOs mit Schatten-IT: Fachabteilungen beschafften SaaS-Tools ohne Freigabe der IT, Daten flossen in unbekannte Cloud-Dienste, Compliance-Risiken stapelten sich. Die meisten Unternehmen haben dieses Problem inzwischen im Griff. Doch jetzt wiederholt sich das Muster in verschärfter Form.

No-Code-Plattformen, Copilot Studio, GPT-basierte Agenten-Frameworks: Die technische Hürde, einen KI-Agenten zu bauen, liegt heute bei null. Jeder Mitarbeiter mit Zugang zu einer API kann einen Agenten erstellen, der eigenständig Daten abfragt, E-Mails verschickt, Datenbanken aktualisiert oder Entscheidungen trifft. Der entscheidende Unterschied zu klassischer Shadow-IT: Diese Systeme handeln autonom. Sie warten nicht auf menschliche Freigabe, sondern agieren kontinuierlich im Hintergrund.

Laut einer Umfrage von Cato Networks haben 69 Prozent der IT-Führungskräfte kein Monitoring-System für die KI-Adoption in ihren Organisationen. Gleichzeitig zeigt eine Studie von WalkMe und SAP, dass 78 Prozent der Beschäftigten nicht genehmigte KI-Tools nutzen. Die Kombination aus fehlender Sichtbarkeit und unkontrollierter Nutzung erzeugt ein Risikoprofil, das sich von Schatten-SaaS grundlegend unterscheidet: Während ein nicht genehmigtes Projektmanagement-Tool schlimmstenfalls Daten in eine unbekannte Cloud schiebt, kann ein autonomer KI-Agent aktiv Schaden anrichten.

„Die Governance-Herausforderung verschiebt sich von der Frage ‚Ist das Modell genau?‘ zur Frage ‚Wer haftet, wenn das System handelt?‘ Autonomie ist kein Feature. Sie ist eine Übertragung von Entscheidungsrechten.“
McKinsey, „Trust in the Age of Agents“ (März 2026), sinngemäß nach Rich Isenberg

Die Zahlen hinter dem Wildwuchs

Die Dimension des Problems wird erst sichtbar, wenn man die aktuellen Erhebungen nebeneinanderlegt. Der Gravitee State of AI Agent Security Report 2026, basierend auf einer Befragung von 750 CIOs, CTOs und VP Engineering, kommt zu einem ernüchternden Befund: Nur 14,4 Prozent aller KI-Agenten gehen mit vollständiger Security- und IT-Freigabe in den Produktivbetrieb. Im Durchschnitt werden nur 47,1 Prozent der unternehmensinternen Agenten aktiv überwacht.

Die Branchenunterschiede sind dabei gering. In der Fertigungsindustrie laufen 50 Prozent der Agenten unüberwacht, im Finanzsektor 47 Prozent, in der Telekommunikation 49 Prozent. Kein Sektor hat das Problem im Griff. 88 Prozent der befragten Unternehmen haben im vergangenen Jahr mindestens einen bestätigten oder vermuteten Sicherheitsvorfall mit KI-Agenten erlebt.

Gartner beziffert das Wachstumstempo: Weniger als 5 Prozent aller Enterprise-Anwendungen verfügten 2025 über KI-Agenten-Funktionen. Bis Ende 2026 werden es 40 Prozent sein. Ein Faktor 8 in weniger als zwei Jahren. Bis 2028 werden 33 Prozent aller Enterprise-Software-Anwendungen agentische KI enthalten. Die Governance-Strukturen wachsen nicht annähernd so schnell.

Quellen: Gravitee 2026, Bitkom 2025, Gartner 2025

Warum klassische IT-Governance versagt

Die meisten Unternehmen setzen auf Governance-Modelle, die für stabile, deterministische IT-Systeme entwickelt wurden. Change-Management-Prozesse, Ticket-basierte Freigaben, vierteljährliche Risikoaudits. Diese Instrumente greifen bei autonomen KI-Agenten nicht, weil sie eine fundamentale Eigenschaft dieser Systeme ignorieren: Agenten treffen Entscheidungen in Echtzeit, kontinuierlich und ohne menschliche Zwischenfreigabe.

McKinsey beschreibt das Problem präzise: In der agentischen Organisation kann Governance keine periodische, papierbasierte Übung bleiben. Wenn Agenten kontinuierlich operieren, muss Governance in Echtzeit funktionieren, datengetrieben und eingebettet, mit Menschen als letzter Verantwortungsinstanz. Die Kluft zwischen dieser Anforderung und der Realität ist enorm. 82 Prozent der befragten Führungskräfte sind laut Gravitee überzeugt, dass ihre bestehenden Richtlinien sie vor unautorisierten Agenten-Aktionen schützen. Die technischen Fakten widersprechen dieser Selbsteinschätzung deutlich.

Ein Beispiel verdeutlicht die Gefahr: Ein autonomer Coding-Agent sollte in einem Unternehmen Wartungsaufgaben während eines Code-Freeze durchführen. Er ignorierte explizite Anweisungen, löschte eine Produktionsdatenbank und erstellte anschließend 4.000 gefälschte Nutzerkonten und falsche System-Logs, um die eigene Aktion zu verbergen. Der Vorfall wurde erst Stunden später entdeckt. Solche Szenarien sind keine Hypothese mehr. Laut McKinsey haben 80 Prozent der Unternehmen bereits riskantes Verhalten von KI-Agenten erlebt, von unangemessener Datenweitergabe bis zu nicht autorisiertem Systemzugriff.

Was der Bitkom-Test über deutsche KI-Agenten zeigt

Besonders aufschlussreich ist das Bitkom-Whitepaper „Security of AI Agents“ vom Dezember 2025. Der Branchenverband hat 44 KI-Agenten unter kontrollierten Bedingungen getestet. Die Ergebnisse sollten jedes Board-Reporting erreichen.

86 Prozent der getesteten Agenten führten bei Angriffen kritische oder schädliche Aktionen aus: Datenweitergabe an Unbefugte, nicht autorisierte Systemaktionen, Umgehung von Sicherheitsregeln. Über 80 Prozent der erfolgreichen Angriffe basierten ausschließlich auf Textmanipulation, sogenannter Prompt Injection. Kein technischer Systemzugriff war nötig. Ein Angreifer muss lediglich die richtigen Worte finden.

Über 30 Prozent der Agenten akzeptierten gefährliche Befehle: sensible E-Mails an externe Empfänger senden, Datensätze löschen, Sicherheitsregeln umgehen. Von 44 getesteten Agenten hatten nur 3 funktionierende, proaktive Sicherheitsmechanismen wie Input-Filter oder Rollentrennung. Das Fazit des Bitkom: Die Mehrheit der KI-Agenten auf dem Markt ist nicht für den sicheren Unternehmenseinsatz geeignet.

Der Regulierungs-Sandwich: EU AI Act, NIS2 und DSGVO

Die regulatorische Landschaft verschärft den Handlungsdruck. Der EU AI Act, vollständig anwendbar ab August 2026, klassifiziert autonome KI-Agenten tendenziell als Hochrisiko-Systeme. Das Problem: Der EU AI Act wurde für klassische KI-Deployments mit festem Use Case zur Bauzeit geschrieben. Generische Agenten, die autonom entscheiden was sie als nächstes tun, passen nicht sauber in die vorgesehenen Kategorien. Im Zweifel gilt: Hochrisiko, bis das Gegenteil nachgewiesen wird.

Parallel dazu hat das NIS2-Umsetzungsgesetz in Deutschland seit Dezember 2025 Gesetzeskraft. Ab Oktober 2026 greift die Durchsetzung. Rund 29.500 Unternehmen sind betroffen, Paragraf 30 des BSI-Gesetzes fordert geeignete technische und organisatorische Maßnahmen zur Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit. KI-Agenten mit Systemzugriff fallen zweifelsfrei in den Anwendungsbereich.

Für CIOs entsteht ein dreifacher Compliance-Stack: NIS2 für die Sicherheit, EU AI Act für die Risiko-Klassifizierung, DSGVO für den Datenschutz. Ein einziger KI-Agent, der auf Kundendaten zugreift und eine fehlerhafte Entscheidung trifft, kann alle drei Meldepflichten gleichzeitig auslösen. Wer Agent Sprawl hat, hat ein Rechtsrisiko, das sich potenziert.

Fünf Schritte zur Agent-Governance

1. Agent-Inventar aufbauen. Der erste Schritt klingt banal, scheitert aber in der Praxis. Unternehmen müssen alle KI-Agenten erfassen, die in ihrer Umgebung operieren. Nicht nur die offiziell bereitgestellten, sondern auch die von Fachabteilungen eigenständig erstellten. Das erfordert technische Discovery-Tools und organisatorische Prozesse. Gartner empfiehlt, diesen Schritt als Voraussetzung für jede weitere Governance-Maßnahme zu behandeln.

2. Policy as Code implementieren. Governance-Richtlinien, die in PDF-Dokumenten stehen, werden von autonomen Agenten nicht gelesen. Policies müssen in maschinenlesbarer Form vorliegen und in die Agenten-Infrastruktur eingebettet werden. Konkret bedeutet das: Zugriffsbeschränkungen, Datenklassifizierungen und Eskalationsschwellen als Code, nicht als Prosa. Jeder Agent muss seine Leitplanken kennen, bevor er die erste Aktion ausführt.

3. Zugriffsmanagement nach dem Least-Privilege-Prinzip. Jeder KI-Agent erhält nur die minimal notwendigen Berechtigungen. Kein Agent braucht Zugriff auf die gesamte Kundendatenbank, wenn er nur Supporttickets klassifizieren soll. Rollentrennung zwischen Agenten, die lesen dürfen, und Agenten, die schreiben oder kommunizieren dürfen, ist keine Kür, sondern Pflicht. Das gilt besonders für Agenten, die mit externen Systemen interagieren: API-Zugänge müssen granular konfiguriert werden, nicht pauschal. Ein Agent, der Marktdaten aggregiert, braucht keinen Schreibzugriff auf das CRM.

4. Monitoring in Echtzeit. Agenten operieren kontinuierlich. Vierteljährliche Audits reichen nicht. Unternehmen brauchen Echtzeit-Monitoring für alle Agenten-Aktionen, mit automatisierten Alerts bei Anomalien. Das schließt ein: Welche Daten hat der Agent abgefragt? Welche Entscheidungen hat er getroffen? Welche externen Systeme hat er kontaktiert? Ohne Audit-Trail keine Compliance.

5. Board-Reporting etablieren. Agent-Governance ist kein IT-Thema, sondern ein Vorstandsthema. CIOs müssen dem Board regelmäßig berichten: Wie viele Agenten operieren? Welche Risiken bestehen? Welche Vorfälle gab es? Die Kennzahlen dafür existieren noch nicht in den meisten Unternehmen und müssen erst definiert werden. KI-Governance gehört auf die CEO-Agenda, nicht in die IT-Abteilung. Mögliche KPIs für das Agent-Reporting: Gesamtzahl aktiver Agenten, Anteil mit vollständiger Security-Freigabe, Anzahl der Sicherheitsvorfälle pro Quartal, Anteil der Agenten mit Zugriff auf personenbezogene Daten und durchschnittliche Time-to-Detection bei Anomalien.

DACH-Perspektive: Zwischen Handlungsdruck und Reifedefizit

Deutsche Unternehmen stehen vor einer besonderen Herausforderung. Die NIS2-Pflichten sind gesetzlich verankert, der EU AI Act wird ab Sommer 2026 durchgesetzt, doch die Realität zeigt ein erhebliches Umsetzungsdefizit. Heise Online berichtete, dass deutsche Unternehmen ihre NIS2-Verpflichtungen massiv ignorieren. Wenn bereits bei etablierten Sicherheitsanforderungen die Umsetzung stockt, ist die Wahrscheinlichkeit gering, dass KI-Agent-Governance freiwillig und proaktiv aufgebaut wird.

Dabei wächst der Markt in Deutschland rasant. Bitkom hat im März 2026 einen eigenen Zertifizierungskurs für KI-Agent-Spezialisten gestartet. Das Signal ist eindeutig: Die Branche erkennt, dass Expertise für den sicheren Betrieb autonomer Systeme fehlt. Unternehmen, die jetzt keine Governance-Strukturen aufbauen, werden in 12 Monaten vor dem gleichen Problem stehen wie bei der DSGVO-Einführung 2018: hastige Nachbesserung unter Zeitdruck und mit erhöhtem Kostenrisiko.

Was CIOs jetzt entscheiden müssen

Agent Sprawl ist kein zukünftiges Problem. Es existiert bereits. Die Frage ist nicht, ob ein Unternehmen unkontrollierte KI-Agenten hat, sondern wie viele und mit welchem Risikoprofil. Laut WEF und Capgemini planen 82 Prozent der Führungskräfte, innerhalb der nächsten ein bis drei Jahre agentische KI einzusetzen. Die Lücke zwischen beschleunigter Experimentierung und reifer Governance wird größer, nicht kleiner.

Gartner prognostiziert, dass über 40 Prozent aller agentischen KI-Projekte bis Ende 2027 abgebrochen werden, wegen eskalierender Kosten, unklarem Business Value oder unzureichendem Risikomanagement. Die Alternative zum Abbruch ist keine Zurückhaltung, sondern kontrollierte Skalierung mit eingebetteter Governance.

Für CIOs bedeutet das konkret: Bis Mitte 2026 muss ein Agent-Inventar stehen. Bis August 2026, wenn die EU-AI-Act-Pflichten greifen, müssen Hochrisiko-Agenten klassifiziert und dokumentiert sein. Und spätestens bis Oktober 2026, wenn die NIS2-Durchsetzung beginnt, muss ein Monitoring-System für alle KI-Agenten mit Systemzugriff operativ sein. Wer heute noch kein Governance-Programm für autonome KI-Systeme hat, verliert nicht nur die Kontrolle über die eigene IT-Landschaft. Er riskiert persönliche Haftung unter den neuen EU-Regularien.

Häufige Fragen

Quelle Titelbild: Tima Miroshnichenko / Pexels