Skip to content
← Blog
Technik

Warum 2 Schichten Governance für regulierte Unternehmen nicht ausreichen

Jede AI-Agent-Plattform beansprucht jetzt Governance. OpenAI Frontier hat Identität und Berechtigungen. Microsoft Copilot Studio hat HITL und Evals. Das sind jeweils 2 Schichten. Hier erfahren Sie, warum Unternehmen alle 10 brauchen.

JT
JieGou Team · · 4 Min. Lesezeit

JieGou has evolved.

Since this post was published, JieGou has pivoted from an AI automation platform to an AI-powered operations company delivering managed marketing and operations services. Learn about our managed services →

Jede Plattform beansprucht Governance. So erkennen Sie, wer es ernst meint.

Anfang 2026 passierte etwas Interessantes: Governance wurde zum Verkaufsargument. OpenAI startete Frontier mit “Agent-Identität, expliziten Berechtigungen und auditierbaren Aktionen.” Microsoft Copilot Studio fügte Human-in-the-Loop und Agent-Evaluationen hinzu. Salesforce Agentforce bewarb den Einstein Trust Layer. ServiceNow lieferte den AI Control Tower aus.

Governance gehört nicht mehr JieGou allein. Aber hier ist das Problem: nicht alle Governance ist gleich geschaffen.

Die 2-Schichten-Illusion

Wenn Plattformen “Governance” sagen, meinen sie typischerweise zwei Dinge:

  1. Identität und Authentifizierung — wer auf das System zugreifen kann
  2. Berechtigungen oder grundlegende Kontrollen — was Agenten tun dürfen

Das sind Schicht 1 und 2 eines 10-Schichten-Governance-Stacks. Sie schützen, wer hereinkommt. Sie schützen nicht, was danach passiert.

Bedenken Sie, was 2-Schichten-Governance nicht beantworten kann:

  • Wenn ein Agent autonom ein Tool wählt, wer hat den Tool-Zugriff genehmigt?
  • Wenn ein Agent eine Entscheidung eskaliert, wie sieht die kaskadierende Genehmigungshierarchie aus?
  • Wenn ein Auditor nach Nachweisen für AI-Governance fragt, was exportieren Sie?
  • Wenn der EU AI Act ein Risikomanagement-Framework verlangt, welcher Artikel bildet auf welche Kontrolle ab?

Wie 10 Schichten tatsächlich aussehen

JieGous Governance-Stack hat 10 Schichten, die jeweils ein eigenes Governance-Anliegen adressieren:

| Schicht | Name | Was sie schützt | |---------|------|----------------| | 11 | Regulatorische Compliance | EU AI Act, HIPAA, GDPR, SOX, FedRAMP-Zuordnung | | 10 | Nachweisexport | 17 TSC-Kontrollen, 8 Kategorien für Auditoren | | 9 | Compliance-Zeitachse | Visueller Nachweis aller Governance-Ereignisse | | 8 | Audit-Protokollierung | 30 Ereignistypen, Fire-and-Forget, strukturierte Metadaten | | 7 | Tool-Genehmigungsgates | Pro-Tool-, Pro-Rollen-Genehmigung vor der Ausführung | | 6 | Eskalationsprotokolle | 6-Rollen-kaskadierende Hierarchie mit Human-in-the-Loop | | 5 | Role-Based Access Control | 5 Rollen, 20+ Berechtigungen, abteilungsbezogen | | 4 | Umgebungsmanagement | Dev/Staging/Prod-Isolation | | 3 | Datenspeicherort-Kontrollen | Regionsspezifische Datenverarbeitung | | 2 | Verschlüsselungsschicht | AES-256-GCM im Ruhezustand, TLS 1.3 bei der Übertragung | | 1 | Identität & Authentifizierung | SSO/SAML/OIDC, Session-Management |

Schichten 1-2 sind Grundvoraussetzung — jede Plattform hat sie. Schichten 3-10 sind, wo Governance real wird. Und dort hören die meisten Plattformen auf.

Regulatorische Anforderungen verlangen Tiefe

Der EU AI Act verlangt nicht nur “etwas Governance.” Artikel 9 schreibt ein umfassendes Risikomanagementsystem vor. So bilden spezifische Artikel auf Governance-Schichten ab:

  • Art. 9 (Risikomanagement): Verlangt ein Risikomanagementsystem, das den gesamten AI-Lebenszyklus abdeckt — das sind Schichten 1 bis 10, nicht nur Authentifizierung.
  • Art. 11 (Technische Dokumentation): Verlangt exportierbare Dokumentation des AI-Systemverhaltens — das ist Schicht 10 (Nachweisexport).
  • Art. 12 (Aufzeichnungspflicht): Verlangt automatische Protokollierung von Ereignissen — das sind Schichten 8 (Audit-Protokollierung) und 9 (Compliance-Zeitachse).
  • Art. 14 (Menschliche Aufsicht): Verlangt wirksame menschliche Aufsicht — das sind Schichten 6 (Eskalation) und 7 (Tool-Genehmigungsgates).

Eine Plattform mit 2 Schichten deckt Art. 14 bestenfalls teilweise ab. Sie deckt nichts von Art. 9, 11 oder 12 ab.

Der Wettbewerbervergleich

Hier ist die Realität über die großen Plattformen hinweg:

| Plattform | Governance-Schichten | Was fehlt | |-----------|---------------------|-----------| | JieGou | 10/10 | Nichts | | OpenAI Frontier | ~2/10 | Schichten 3-10: kein Datenspeicherort, kein Umgebungsmanagement, keine Tool-Genehmigungsgates, keine Compliance-Zeitachse, kein Nachweisexport, keine regulatorische Zuordnung | | Microsoft Copilot Studio | ~2/10 | Gleiche Lücken: HITL ist partielle Schicht 6, Evals sind partielle Schicht 7, aber keine Audit-Protokollierung, kein Nachweisexport, keine regulatorische Zuordnung | | Salesforce Agentforce | ~2/10 | Trust Layer deckt Authentifizierung und grundlegende CRM-Berechtigungen ab, aber keine abteilungsübergreifende Governance, kein Nachweisexport, keine regulatorische Zuordnung | | ServiceNow | ~2/10 | AI Control Tower bietet Monitoring, aber nicht den vollständigen Governance-Stack für regulatorische Compliance |

Zählen Sie die Schichten

Wenn ein Anbieter das nächste Mal sagt “unsere Plattform hat Governance”, fragen Sie: Wie viele Schichten? Können Sie mir den Governance-Stack zeigen? Wie bildet er auf EU-AI-Act-Artikel ab? Können Sie Nachweise für SOC 2-Auditoren exportieren?

Wenn sie nicht alle vier Fragen beantworten können, haben sie Authentifizierung mit einem Governance-Label.

Sehen Sie den vollständigen 10-Schichten-Governance-Stack mit interaktiver Visualisierung unter JieGou Governance Stack. Bereit, geregelte AI-Workflows bereitzustellen? Enterprise-Testversion starten.

governance enterprise compliance EU AI Act

Explore more

📖 What is AI Governance? ⚙️ Governance Score ⚙️ Enterprise Plan 📖 EU AI Act Explained
Diesen Artikel teilen

Verwandte Artikel

MCP-Governance: Warum 10 Schichten besser sind als 1

Microsoft, OpenAI, Zapier und JieGou verbinden KI über MCP mit Tools. Nur einer bietet 10-Schichten-Governance. Hier erfahren Sie, warum das für den Enterprise-KI-Einsatz entscheidend ist.

Jede AI-Plattform lässt Agenten Code ausführen. Nur eine lässt Admins ihn genehmigen.

Code-Ausführung für AI-Agenten wird zur Commodity. Der Differenzierungsfaktor ist nicht, ob Ihre Agenten Code ausführen können. Sondern wer entscheidet, welchen Code sie ausführen.

Agent-Bedrohungserkennung — Sicherheit für AI, die in der realen Welt handelt

Produktions-AI-Agenten akzeptieren beliebige Eingaben, nutzen Tools und führen Aktionen aus. JieGous 4 Inline-Bedrohungsdetektoren — Prompt Injection, Datenexfiltration, Privilegieneskalation und Ressourcenmissbrauch — blockieren Angriffe während der Ausführung, nicht danach.

Hat Ihnen dieser Artikel gefallen?

Erhalten Sie Workflow-Tipps, Produktupdates und Automatisierungsleitfäden direkt in Ihren Posteingang.

No spam. Unsubscribe anytime.

← Zurück zu allen Beiträgen