Die 2-Schichten-Illusion
Die meisten Enterprise-AI-Agent-Plattformen bieten “Governance.” Schauen Sie genauer hin, und Sie finden, dass sie Verwaltung bieten: Agent-Identität und Berechtigungen. Das sind zwei Schichten. Wichtige Schichten — aber nur zwei.
Hier ist die Unterscheidung, die zählt:
Agent-Verwaltung beantwortet: “Wer kann auf diesen Agenten zugreifen? Was darf er tun?”
Agent-Governance beantwortet: “Ist dieser Agent konform? Wie ist seine Bewertung? Welche Nachweise generiert er für Auditoren? Was passiert, wenn er versagt? Erfüllt er die EU AI Act-Anforderungen?”
Verwaltung ist notwendig. Sie ist nicht ausreichend.
Der 10-Schichten-Stack
Vollständige Agent-Governance erfordert 10 Schichten, nicht 2:
| Schicht | Was sie tut | Verwaltung? | Governance? |
|---|---|---|---|
| 1. Identität & Authentifizierung | SSO/SAML/OIDC, Agent-Identität | Ja | Ja |
| 2. Berechtigungen & RBAC | 6 Rollen, 24 Berechtigungen, Tool-Zugriff | Ja | Ja |
| 3. Verschlüsselung | BYOK, AES-256-GCM im Ruhezustand und bei Übertragung | Nein | Ja |
| 4. Datenspeicherort | Konfigurierbarer Standort, VPC, Air-Gapped | Nein | Ja |
| 5. Umgebungsmanagement | Dev/Staging/Prod-Isolation | Nein | Ja |
| 6. Eskalationsprotokolle | Human-in-the-Loop-Trigger, Risikoschwellen | Nein | Ja |
| 7. Tool-Genehmigungsgates | Pro-Tool-, Pro-Rollen-Genehmigungsworkflows | Nein | Ja |
| 8. Audit-Protokollierung | 30+ Ereignistypen, unveränderlich, strukturiert | Nein | Ja |
| 9. Compliance-Zeitachse | Regulatorisches Frist-Tracking, Meilenstein-Nachweise | Nein | Ja |
| 10. Nachweisexport | 17 TSC-Kontrollen, 8 Kategorien, auditor-bereit | Nein | Ja |
| 11. Regulatorische Zuordnung | EU AI Act, NIST RMF, ISO 42001 abgebildet | Nein | Ja |
Verwaltung deckt Schichten 1-2 ab. Das sind 18% des Governance-Stacks. Die verbleibenden 82% — Verschlüsselung, Datenspeicherort, Eskalation, Genehmigungsgates, Audit-Protokollierung, Compliance, Nachweisexport und regulatorische Zuordnung — erfordern zweckgebaute Governance-Infrastruktur.
Warum Compliance Governance braucht
Der EU AI Act fragt nicht nach Agent-Identität. Er fragt nach:
- Risikomanagement (Art. 9) — erfordert ein Governance-Framework, nicht nur Berechtigungen
- Aufzeichnungspflicht (Art. 12) — erfordert strukturierte Audit-Protokollierung, nicht nur Identitäts-Logs
- Menschliche Aufsicht (Art. 14) — erfordert Eskalationsprotokolle und Genehmigungsgates, nicht nur Rollenzuweisungen
- Konformitätsbewertung (Art. 43) — erfordert quantitative Messung (wie GovernanceScore), nicht binäres Bestehen/Nichtbestehen
Ebenso fragen SOC 2-Auditoren nicht “Wer kann auf den Agenten zugreifen?” Sie fragen nach 17 TSC-Kontrollen über 8 Kategorien mit einer strukturierten Nachweiskette. Verwaltung liefert den Identitätsanteil. Governance liefert die anderen 16 Kontrollen.
Warum Auditoren Nachweise brauchen, nicht Berechtigungen
Wenn Ihr Auditor für SOC 2 Type II kommt, braucht er:
- Strukturierte Nachweise über 17 Trust-Services-Kriterien
- Audit-Trails, die auf 8 Compliance-Kategorien abgebildet sind
- Eine Compliance-Zeitachse, die zeigt, wann Kontrollen implementiert wurden
- Nachweisexport in einem prüfbaren Format
Verwaltungsplattformen liefern Identitäts- und Zugriffslogs. Das befriedigt vielleicht 2 von 17 TSC-Kontrollen. Governance-Plattformen liefern die vollständige Nachweiskette — strukturiert, exportierbar und auf die Frameworks abgebildet, die Auditoren evaluieren.
Warum Multi-Agent-Systeme Schutzmaßnahmen brauchen
Wenn fünf Agenten an einer Aufgabe zusammenarbeiten, sagt Ihnen Verwaltung, wer jeder Agent ist und worauf er zugreifen darf. Das ist nützlich, aber unvollständig.
Governance sagt Ihnen:
- Zykluserkennung verhindert endlose Agentenschleifen, bevor sie Ressourcen verbrauchen
- Speicherisolation stellt sicher, dass Agenten nur auf Daten innerhalb ihres Scopes zugreifen
- Eskalationsprotokolle leiten an Menschen weiter, wenn Agent-zu-Agent-Übergaben Risikoschwellen überschreiten
- Pro-Agent-Audit-Trails verfolgen genau, was jeder Agent in der Zusammenarbeit getan hat
Der EU AI Act hat keine Bestimmungen für Multi-Agent-Verantwortlichkeit (eine anerkannte regulatorische Lücke). Verwaltungsplattformen adressieren diese Lücke nicht. Governance-Plattformen tun es.
Das Entscheidungsframework
Wählen Sie Verwaltung, wenn:
- Sie grundlegende Agentenaufsicht brauchen (Identität, Berechtigungen)
- Ihre Agenten in nicht-regulierten Umgebungen arbeiten
- Sie keine Compliance-Nachweise für Auditoren brauchen
- Ihre Agenten unabhängig arbeiten (keine Multi-Agent-Workflows)
Wählen Sie Governance, wenn:
- Sie in regulierten Branchen arbeiten (Gesundheitswesen, Finanzdienstleistungen, Behörden)
- Sie EU AI Act, NIST RMF oder ISO 42001 einhalten müssen
- Auditoren strukturierte Nachweise verlangen (SOC 2, HIPAA, GDPR)
- Sie Multi-Agent-Workflows betreiben, die Schutzmaßnahmen brauchen
- Sie quantitative Governance-Messung brauchen (GovernanceScore)
- Sie Self-Hosted- oder Air-Gapped-Bereitstellung benötigen
Jede Governance-Plattform enthält Verwaltung. Nicht jede Verwaltungsplattform enthält Governance.
Sehen Sie die vollständige Unterscheidung unter Verwaltung vs. Governance. Messen Sie Ihre Governance-Aufstellung unter GovernanceScore.