Jede Plattform beansprucht Governance. So erkennen Sie, wer es ernst meint.
Anfang 2026 passierte etwas Interessantes: Governance wurde zum Verkaufsargument. OpenAI startete Frontier mit “Agent-Identität, expliziten Berechtigungen und auditierbaren Aktionen.” Microsoft Copilot Studio fügte Human-in-the-Loop und Agent-Evaluationen hinzu. Salesforce Agentforce bewarb den Einstein Trust Layer. ServiceNow lieferte den AI Control Tower aus.
Governance gehört nicht mehr JieGou allein. Aber hier ist das Problem: nicht alle Governance ist gleich geschaffen.
Die 2-Schichten-Illusion
Wenn Plattformen “Governance” sagen, meinen sie typischerweise zwei Dinge:
- Identität und Authentifizierung — wer auf das System zugreifen kann
- Berechtigungen oder grundlegende Kontrollen — was Agenten tun dürfen
Das sind Schicht 1 und 2 eines 10-Schichten-Governance-Stacks. Sie schützen, wer hereinkommt. Sie schützen nicht, was danach passiert.
Bedenken Sie, was 2-Schichten-Governance nicht beantworten kann:
- Wenn ein Agent autonom ein Tool wählt, wer hat den Tool-Zugriff genehmigt?
- Wenn ein Agent eine Entscheidung eskaliert, wie sieht die kaskadierende Genehmigungshierarchie aus?
- Wenn ein Auditor nach Nachweisen für AI-Governance fragt, was exportieren Sie?
- Wenn der EU AI Act ein Risikomanagement-Framework verlangt, welcher Artikel bildet auf welche Kontrolle ab?
Wie 10 Schichten tatsächlich aussehen
JieGous Governance-Stack hat 10 Schichten, die jeweils ein eigenes Governance-Anliegen adressieren:
| Schicht | Name | Was sie schützt |
|---|---|---|
| 11 | Regulatorische Compliance | EU AI Act, HIPAA, GDPR, SOX, FedRAMP-Zuordnung |
| 10 | Nachweisexport | 17 TSC-Kontrollen, 8 Kategorien für Auditoren |
| 9 | Compliance-Zeitachse | Visueller Nachweis aller Governance-Ereignisse |
| 8 | Audit-Protokollierung | 30 Ereignistypen, Fire-and-Forget, strukturierte Metadaten |
| 7 | Tool-Genehmigungsgates | Pro-Tool-, Pro-Rollen-Genehmigung vor der Ausführung |
| 6 | Eskalationsprotokolle | 6-Rollen-kaskadierende Hierarchie mit Human-in-the-Loop |
| 5 | Role-Based Access Control | 5 Rollen, 20+ Berechtigungen, abteilungsbezogen |
| 4 | Umgebungsmanagement | Dev/Staging/Prod-Isolation |
| 3 | Datenspeicherort-Kontrollen | Regionsspezifische Datenverarbeitung |
| 2 | Verschlüsselungsschicht | AES-256-GCM im Ruhezustand, TLS 1.3 bei der Übertragung |
| 1 | Identität & Authentifizierung | SSO/SAML/OIDC, Session-Management |
Schichten 1-2 sind Grundvoraussetzung — jede Plattform hat sie. Schichten 3-10 sind, wo Governance real wird. Und dort hören die meisten Plattformen auf.
Regulatorische Anforderungen verlangen Tiefe
Der EU AI Act verlangt nicht nur “etwas Governance.” Artikel 9 schreibt ein umfassendes Risikomanagementsystem vor. So bilden spezifische Artikel auf Governance-Schichten ab:
- Art. 9 (Risikomanagement): Verlangt ein Risikomanagementsystem, das den gesamten AI-Lebenszyklus abdeckt — das sind Schichten 1 bis 10, nicht nur Authentifizierung.
- Art. 11 (Technische Dokumentation): Verlangt exportierbare Dokumentation des AI-Systemverhaltens — das ist Schicht 10 (Nachweisexport).
- Art. 12 (Aufzeichnungspflicht): Verlangt automatische Protokollierung von Ereignissen — das sind Schichten 8 (Audit-Protokollierung) und 9 (Compliance-Zeitachse).
- Art. 14 (Menschliche Aufsicht): Verlangt wirksame menschliche Aufsicht — das sind Schichten 6 (Eskalation) und 7 (Tool-Genehmigungsgates).
Eine Plattform mit 2 Schichten deckt Art. 14 bestenfalls teilweise ab. Sie deckt nichts von Art. 9, 11 oder 12 ab.
Der Wettbewerbervergleich
Hier ist die Realität über die großen Plattformen hinweg:
| Plattform | Governance-Schichten | Was fehlt |
|---|---|---|
| JieGou | 10/10 | Nichts |
| OpenAI Frontier | ~2/10 | Schichten 3-10: kein Datenspeicherort, kein Umgebungsmanagement, keine Tool-Genehmigungsgates, keine Compliance-Zeitachse, kein Nachweisexport, keine regulatorische Zuordnung |
| Microsoft Copilot Studio | ~2/10 | Gleiche Lücken: HITL ist partielle Schicht 6, Evals sind partielle Schicht 7, aber keine Audit-Protokollierung, kein Nachweisexport, keine regulatorische Zuordnung |
| Salesforce Agentforce | ~2/10 | Trust Layer deckt Authentifizierung und grundlegende CRM-Berechtigungen ab, aber keine abteilungsübergreifende Governance, kein Nachweisexport, keine regulatorische Zuordnung |
| ServiceNow | ~2/10 | AI Control Tower bietet Monitoring, aber nicht den vollständigen Governance-Stack für regulatorische Compliance |
Zählen Sie die Schichten
Wenn ein Anbieter das nächste Mal sagt “unsere Plattform hat Governance”, fragen Sie: Wie viele Schichten? Können Sie mir den Governance-Stack zeigen? Wie bildet er auf EU-AI-Act-Artikel ab? Können Sie Nachweise für SOC 2-Auditoren exportieren?
Wenn sie nicht alle vier Fragen beantworten können, haben sie Authentifizierung mit einem Governance-Label.
Sehen Sie den vollständigen 10-Schichten-Governance-Stack mit interaktiver Visualisierung unter JieGou Governance Stack. Bereit, geregelte AI-Workflows bereitzustellen? Enterprise-Testversion starten.