Agentic AI.

Ein KI-Agent im Sinne dieser Seite ist ein System, das drei Dinge kann, die ein klassisches Modell nicht kann:

• Planen. Aus einem Auftrag leitet der Agent eine Folge von Schritten ab, die nicht vorprogrammiert, sondern situationsabhängig bestimmt wird.
• Werkzeuge nutzen. Der Agent ruft andere Systeme auf — Datenbanken, APIs (Schnittstellen zu anderer Software), Browser, Dateisysteme, Kalender, Zahlungssysteme.
• Sich selbst beobachten. Der Agent wertet seine eigenen Zwischenergebnisse aus und passt seinen Plan an. Er „weiß", wenn etwas schiefgeht — und reagiert, ohne dass ein Mensch dazwischensitzt.

Dahinter steht meist ein großes Sprachmodell (LLM — etwa das, was hinter ChatGPT, Claude oder Gemini arbeitet) als „Denkmodul", ergänzt um eine Infrastruktur aus Tool-Anbindung, Speicher, Orchestrator (die Steuerungsschicht, die die Reihenfolge der Schritte koordiniert) und Sicherheitsschichten. Der Begriff Agent beschreibt also weniger eine Technologie als eine Betriebsart von KI — in der das Modell nicht nur redet, sondern Dinge tut, die in der Welt Folgen haben.

Wer Mitte 2026 einen Überblick über das Feld sucht, sieht fünf Kategorien, in denen Agenten heute produktiv oder kurz davor sind:

Die gemeinsame Linie: Agenten funktionieren dort gut, wo Aufgabe, Werkzeuge und Erfolgskriterien klar umrissen sind. Je offener der Auftrag, je länger die Handlungskette, je höher die Folgenschwere — desto steiler fällt die Zuverlässigkeit ab. Das ist kein Einrichtungsproblem, sondern eine Eigenschaft der Technologie.

In klassischer Software ist eine Version eine Version. Was gestern funktioniert hat, funktioniert morgen, bis jemand es ändert. Bei KI-Agenten gilt das nicht. Das zugrunde liegende Modell wird vom Anbieter kontinuierlich weiterentwickelt, ersetzt, neu parametrisiert — teils angekündigt, teils still. Das hat drei Konsequenzen, die in Produktivbetrieb selten vorher durchgedacht werden:

• Performance-Regression (Rückschritt in der Leistung). Anbieter tauschen die Modelle regelmäßig gegen eine neuere Version aus — teils ohne Vorwarnung, teils unter gleichem Namen. Die neue Version ist im Schnitt besser, kann aber in einzelnen, konkreten Aufgaben schlechter sein als die, die gestern noch lief: Zusammenfassungen werden ungenauer, eine bestimmte Formatierung wird nicht mehr eingehalten, ein Tool-Aufruf schlägt plötzlich fehl. Wer seine Abläufe über Monate auf die Eigenheiten eines Modells hin eingestellt hat, merkt solche Rückschritte oft erst, wenn ein Kunde reklamiert.
• Reproduzierbarkeitsverlust. Dieselbe Anfrage liefert heute andere Ergebnisse als vor drei Monaten — nicht, weil die Welt sich geändert hat, sondern weil das Modell sich geändert hat. Audit, Nachvollzug, Belegführung werden dadurch empfindlich schwieriger.
• Versteckte Leistungsanpassung. Anbieter können im Hintergrund Rechenleistung drosseln, das Modell durch Quantisierung (eine Kompressionstechnik, die weniger Rechenleistung verbraucht, aber auch an Präzision einbüßt) leichter machen, Kontextfenster neu verteilen. Das Modell heißt noch gleich, verhält sich aber anders. Dieses Phänomen ist in der Fachcommunity seit 2024 dokumentiert, von den Anbietern selten bestätigt und selten angefochten.

Für Organisationen heißt das: Ein Agent ist kein einmal gebautes System. Er ist ein System, dessen Kern sich unter den eigenen Füßen bewegt. Wer darauf Geschäftsprozesse aufbaut, braucht Evaluationsroutinen, die das fortlaufend messen — vor jedem Modellwechsel, stichprobenartig im Regelbetrieb, verpflichtend bei sicherheitsrelevanten Einsätzen.

In der Fachsprache werden zwei Begriffe unterschieden. Human-in-the-Loop (wörtlich „Mensch in der Schleife") heißt: Der Agent darf bestimmte Schritte erst ausführen, wenn ein Mensch aktiv freigibt — zum Beispiel eine Überweisung, eine Kündigung, eine medizinische Empfehlung. Ohne Klick passiert nichts. Human-on-the-Loop („Mensch über der Schleife") heißt: Der Agent handelt selbstständig, ein Mensch beaufsichtigt aber den Lauf und kann jederzeit eingreifen oder abbrechen. Beides sind legitime Modelle — welches das richtige ist, hängt davon ab, wie folgenreich und wie umkehrbar die jeweilige Aktion ist. Das häufigste Versprechen der Agenten-Anbieter lautet, man könne den Menschen irgendwann aus beiden Rollen ganz herausnehmen. Das ist genau die falsche Richtung — und zwar aus drei Gründen.

Erstens: Je überzeugender Agenten wirken, desto weniger werden ihre Fehler bemerkt. Ein System, das in 95 von 100 Fällen richtig liegt und in 5 Fällen plausibel daneben, ist gefährlicher als eines, das in 80 Fällen offensichtlich daneben liegt. Menschen neigen dazu, dem Ersteren zu vertrauen — und genau dort passieren die teuersten Fehler.

Zweitens: Die unauflösbaren Probleme aus Abschnitt 3 (Halluzinationen, Drift, Injection) erzeugen Fehler, die statistisch selten und im Einzelfall schwer sind. Solche Verteilungen verlangen nach menschlicher Aufsicht an den richtigen Stellen — nicht allgemein, sondern dort, wo Aktionen irreversibel oder folgenreich werden.

Drittens: Der EU AI Act verlangt in Art. 14 menschliche Aufsicht für Hochrisiko-Systeme. Bei Agenten verschiebt sich die Frage nicht ob, sondern wo im Handlungsstrang. Aufsicht am Ende einer fünfstufigen Kette ist fast immer zu spät.

Die zeitgemäße Form menschlicher Aufsicht ist nicht „ein Mensch schaut jedem Schritt zu" — das ist weder praktikabel noch sinnvoll. Sondern eine bewusste Mischung: bei irreversiblen oder sensiblen Aktionen Human-in-the-Loop mit zwingender Freigabe, bei Routinen Human-on-the-Loop mit wirksamer Aufsicht und Eskalation, und jederzeit ein zuverlässiger Abbruch-Mechanismus. Wer Agenten einsetzen will, muss diese Punkte vor dem ersten Live-Einsatz benennen, nicht danach.

Genau für diese Struktur gibt es ein international anerkanntes Werkzeug: ISO/IEC 42001, die Norm für KI-Managementsysteme (AIMS, „AI Management System"). Sie beschreibt, wie eine Organisation den Einsatz von KI — und damit auch von Agenten — planbar, dokumentiert und überprüfbar macht: Welche Systeme laufen? Wer ist verantwortlich? Wo liegen die Risiken? An welchen Punkten greift ein Mensch ein? Was passiert bei einem Zwischenfall? Fast wie Malen nach Zahlen — nicht im Sinne simpel, sondern im Sinne Schritt für Schritt, von der Entscheidung für ein System bis zu seiner Abschaltung. Details dazu auf unserer Seite → ISO 42001 — KI-Managementsystem.

Wenn ein Agent interessant ist, sind mehrere spektakulär. Multi-Agenten-Systeme teilen Arbeit auf: Ein Rechercheagent sucht, ein Schreibagent formuliert, ein Prüfagent gegenliest, ein Orchestrator koordiniert. In der Demo wirkt das wie eine digitale Projektgruppe. Im Produktivbetrieb wirkt es wie eine Blackbox-im-Quadrat.

Drei Effekte, die in Multi-Agenten-Architekturen regelmäßig auftauchen und vorher mitgedacht gehören:

Fehler-Verstärkung

Ein kleiner Fehler im ersten Schritt wird durch jeden weiteren Agenten legitimiert und verstärkt. Am Ende steht ein Ergebnis, das niemand mehr hinterfragt, weil es „schon durch drei Prüfungen gelaufen" ist.

Prüfungs-Illusion

Wenn ein Agent einen anderen Agenten prüft, prüft das gleiche zugrunde liegende Modell sich selbst. Die Schwächen, die der erste Agent zeigt, zeigt der zweite ebenfalls — nur freundlich formuliert.

Verantwortungsdiffusion

In einer Kette von fünf Agenten fragt man sich schnell: Wer war hier eigentlich der Entscheider? Ohne klare Rollenzuweisung entsteht eine Struktur, in der am Ende niemand zuständig ist — das Gegenteil dessen, was der EU AI Act verlangt.

Multi-Agenten-Systeme sind keine schlechte Idee — sie sind eine anspruchsvolle. Wer sie baut, braucht nicht nur funktionierende Agenten, sondern eine funktionierende Architektur: heterogene Modelle für Prüfagenten, unabhängige Validierung außerhalb der Agentenkette, klare Eskalationspfade.

Die Verordnung (EU) 2024/1689 ist technologieneutral — das ist ihre Stärke und ihre Grenze. Sie gilt für Agenten wie für jedes andere KI-System. In der Anwendung auf Agenten werden fünf Artikel besonders relevant:

• Art. 4 — KI-Kompetenz. Personal, das mit Agenten arbeitet, muss angemessen geschult sein. Angemessen heißt bei Agenten: nicht nur „wie man einen Prompt schreibt", sondern auch „wie man Fehlermodi erkennt, wann man eingreift, wie man dokumentiert".
• Art. 14 — Menschliche Aufsicht. Für Hochrisiko-Systeme Pflicht. Bei Agenten verlangt das ein Design, das Aufsicht an sinnvollen Stellen ermöglicht — nicht nur formal.
• Art. 26 — Pflichten der Betreiber. Wer einen Agenten einsetzt, muss sicherstellen, dass er bestimmungsgemäß genutzt wird, Logs führen, Vorfälle melden. Bei mehrstufigen Agenten bedeutet das: nachvollziehbare Tool-Calls, prüfbare Entscheidungen, dokumentierte Eskalation.
• Art. 27 — Grundrechte-Folgenabschätzung (FRIA). Für bestimmte Einsatzfelder verpflichtend. Bei Agenten ist die FRIA nicht einmalig, sondern begleitet den Lebenszyklus, weil sich Fähigkeiten und Risiken durch Modell- Updates verschieben.
• Art. 50 — Transparenz. Nutzer müssen wissen, dass sie mit einem KI-System interagieren. Bei Agenten, die in E-Mails oder Chats auftreten, ist das nicht trivial — die Kennzeichnung muss sichtbar und verständlich sein, nicht im Fußzeilen-Juristendeutsch versteckt.

Was der AI Act nicht ausdrücklich regelt, sind die Besonderheiten von Multi-Agenten-Architekturen — wer bei einer Kette von Aktionen konkret Betreiber ist, wie weit die Dokumentationspflicht in Zwischenschritte reicht, wie Prompt-Injection-Angriffe im Sinne des Artikels 15 (Robustheit) zu bewerten sind. Diese Lücken schließen sich 2026 noch nicht — hier braucht es organisationale Governance, die vorausdenkt.

Governance für agentische Systeme kommt zu spät, wenn sie erst nach dem Rollout gedacht wird. Sie muss ins Design hinein. Vier Strukturelemente, die sich in der Praxis als belastbar erwiesen haben:

1. Zielkorridor und Budgets. Was darf der Agent, was nicht? Welche Systeme, welche Daten, welche Kosten? Kein unbegrenzter Zugriff, keine unbegrenzten Ressourcen, keine unbegrenzte Laufzeit. Ein gut gesetztes Budget fängt 80 % der unerwarteten Verhaltensmuster ab, bevor sie Schaden anrichten.
2. Rückholbarkeit. Welche Aktionen sind reversibel, welche nicht? Irreversible Aktionen — versendete Nachrichten, ausgeführte Zahlungen, gelöschte Datensätze — brauchen menschliche Freigabe vor der Ausführung, nicht nachträgliche Entschuldigung.
3. Vollständiges Audit-Trail. Jeder Tool-Call, jede Zwischenentscheidung, jeder Kontext-Baustein ist nachvollziehbar. Nicht als Extra, sondern als Standard. Ohne diese Grundlage ist weder der AI Act zu erfüllen noch ein ernsthaftes Incident-Management möglich.
4. Kill-Switch und Degradationspfad. Es muss möglich sein, einen Agenten sofort zu stoppen und den Prozess an einen Menschen zu übergeben, ohne Datenverlust und ohne dass halbfertige Aktionen offen bleiben. Das ist ein Architekturentscheidungen-Thema, kein Feature-Thema.

Mit Agentic AI wird eine Frage akut, die bei reinen Sprachmodellen noch akademisch wirkte: Wer handelt, wenn eine Maschine handelt?

Die einfache Antwort ist: Menschen. Die Maschine führt aus, was Menschen gestaltet, beauftragt, freigegeben haben. Das ist rechtlich eindeutig und ethisch haltbar. Die Vorstellung, ein Agent sei „selbst schuld", wenn etwas schiefgeht, ist weder mit europäischem Haftungsrecht vereinbar noch mit der ethischen Tradition, die Verantwortung an Personen bindet, nicht an Artefakte.

Die schwierige Antwort ist: Verantwortung verteilt sich in einer langen Kette, vom Modellhersteller über den Agenten-Entwickler, den Auftraggeber, den Freigeber bis zum Endanwender. Diese Kette sauber zu zeichnen und jede Rolle mit klarer Pflicht zu versehen, ist die organisationale Hausaufgabe, die durch keinen Anbieter abgenommen wird.

Eine ausführliche Behandlung der ethischen Seite — einschließlich der Traditionen aus Technik-, Medizin- und Kriegsethik, die bei Agenten zusammenkommen — findet sich auf unserer Seite KI-Ethik.

Agenten-Einsatz sieht in jedem Kontext anders aus. Wer die drei Realitäten vermengt, bekommt Empfehlungen, die nirgends passen.

Das Center for AI and Ethics (Europe) bringt für das Thema Agentic AI eine bewusste Kombination mit:

David Mirga trägt das Substanz-Profil — KI-Autor mit vier einschlägigen Publikationen, darunter das erste große deutschsprachige KI-Lexikon mit über 5.000 Fachbegriffen, Fokus auf Multi-Agenten-Orchestrierung und ISO/IEC 42001. Jeremy James Wilhelm bringt die Enterprise-Transformations-Seite ein — 25 Jahre IT-Transformation für Konzerne wie adidas, Lindt & Sprüngli, METRO und SPAR, zertifizierter KI-Trainer am WIFI Wien. Patrick Casey Prager trägt die ethische Einordnung — Interdisziplinäre Ethik mit Spezialisierung in Technik-, Medizin- und Kriegsethik, also genau die drei Felder, die bei handelnden KI-Systemen zusammenkommen.

Wir zertifizieren nicht. Wir verkaufen keine Agenten, keine Lizenzen, keine Tools. Was wir tun: Organisationen vor, während und nach der Einführung begleiten — mit dokumentierter Risikoabwägung, Governance-Design, Schulung der verantwortlichen Rollen, und einer ehrlichen Einschätzung, die nicht am Produktverkauf hängt.

Ob Sie am Anfang stehen oder bereits Agenten im Betrieb haben: Ein Gespräch kostet nichts. office@caie.at — wir antworten persönlich.