Illustration Absmeier foto freepik

Der Einsatz von KI‑Agenten in Unternehmensprozessen stellt insbesondere stark regulierte Branchen vor neue Governance‑Herausforderungen. KI‑Agenten agieren zunehmend als autonome oder teilautonome Akteure, die auf sensible und regulierte Daten zugreifen, diese verarbeiten und weitergeben. Klassische Sicherheitsmechanismen auf Modell‑ oder Anwendungsebene reichen dabei häufig nicht aus, um regulatorische Anforderungen zuverlässig umzusetzen. Vor diesem Hintergrund gewinnen Governance‑Ansätze auf Datenebene an Bedeutung.

Grenzen modellbasierter Schutzmechanismen

Viele derzeit verbreitete Sicherheitskonzepte fokussieren sich auf das KI‑Modell selbst, etwa durch Prompt‑Filter, Inhaltsmoderation oder modellinterne Zugriffsbeschränkungen. Solche Mechanismen lassen sich jedoch potenziell durch Prompt‑Injection, indirekte Eingaben oder Veränderungen im Agenten‑Framework umgehen. Insbesondere in Umgebungen mit hohen Compliance‑Anforderungen kann dies zu regulatorischen Risiken führen, da der tatsächliche Zugriff auf die Daten nicht immer strikt kontrolliert oder nachvollziehbar ist.

Governance am Punkt des Datenzugriffs

Ein datenebenenbasierter Governance‑Ansatz setzt dort an, wo KI‑Agenten tatsächlich mit sensiblen Informationen interagieren: beim Zugriff auf gespeicherte Daten. Ziel ist es, sämtliche Interaktionen unabhängig vom verwendeten Modell, der konkreten Eingabe oder dem Agenten‑Framework zu kontrollieren und durchzusetzen. Dabei haben sich vier zentrale Kontrollmechanismen als wesentlich herausgestellt:

Authentifizierte Agentenidentität
Jeder KI‑Agent wird eindeutig identifiziert und einer verantwortlichen natürlichen Person oder Organisationseinheit zugeordnet. Diese Verknüpfung ermöglicht nachvollziehbare Verantwortlichkeiten und unterstützt die Erfüllung regulatorischer Vorgaben aus Datenschutz‑, Resilienz‑ und Sicherheitsregelwerken.
Richtlinienkonformer Zugriff mittels attributbasierter Zugriffskontrolle (ABAC)
Zugriffsentscheidungen werden kontextabhängig getroffen, basierend auf Attributen wie Agentenidentität, Datenklassifizierung, Zweck der Anfrage und Art der Operation. Auf diese Weise lässt sich das Prinzip des minimal notwendigen Zugriffs (»Least Privilege«) auch für KI‑Agenten granular umsetzen.
Kryptografisch abgesicherte Datenverarbeitung
Sensible Daten werden sowohl bei der Übertragung als auch im Ruhezustand mit zertifizierten kryptografischen Verfahren geschützt. Dies ist insbesondere für den Einsatz in sicherheitskritischen Infrastrukturen und regulierten Industrien relevant.
Manipulationssichere Audit‑Protokollierung
Jede Interaktion eines KI‑Agenten mit regulierten Daten wird lückenlos protokolliert. Die Protokolle erfassen unter anderem, wer auf welche Daten zugegriffen hat, zu welchem Zeitpunkt und mit welchem Zweck. Eine direkte Integration in bestehende Sicherheits‑ und Monitoring‑Systeme ermöglicht fortlaufende Überwachung und Prü

Compliance‑fähige KI‑Workflows

Auf Basis einer solchen Governance‑Architektur lassen sich spezialisierte KI‑gestützte Workflows realisieren, die regulatorische Anforderungen von Beginn an berücksichtigen. Beispiele hierfür sind:

Regulierte Ordneroperationen
KI‑Agenten können Dateistrukturen mittels natürlicher Sprache verwalten, etwa Ordner anlegen, verschieben oder lö Jeder Vorgang unterliegt dabei vordefinierten Rollen‑, Attribut‑ und Richtlinienkontrollen.
Governed File Management
Der gesamte Datenlebenszyklus – von der Erstellung über die Nutzung bis zur Löschung – wird regelbasiert gesteuert. Aufbewahrungsfristen, Löschpflichten und Zugriffsbeschränkungen lassen sich automatisiert durchsetzen.
Regulierte Formularerstellung
KI‑Agenten generieren Datenerfassungsformulare aus Spracheingaben, etwa für Auskunftsersuchen, Vorfallmeldungen oder Sorgfaltspflichten. Sämtliche Eingaben werden direkt in einen kontrollierten und regelkonformen Speicher überführt, wobei Anforderungen an Zweckbindung, Datenresidenz und Nachweisbarkeit berücksichtigt werden.

Einordnung und Ausblick

KI‑Agenten werden zunehmend als »digitale Mitarbeitende« verstanden, die in Geschäftsprozesse integriert sind. Anders als menschliche Akteure verfügen sie jedoch nicht über eigenes Urteilsvermögen oder ein implizites Verständnis regulatorischer Grenzen. Eine robuste Governance auf Datenebene adressiert genau diese Lücke, indem sie technische Kontrollen vorschaltet, bevor regulierte Daten zugänglich werden.

Für Organisationen in kritischen Infrastrukturen und stark regulierten Branchen zeichnet sich damit ein Paradigmenwechsel ab: Weg von rein modellzentrierten Sicherheitsansätzen, hin zu datenorientierten Architekturen, die Transparenz, Nachvollziehbarkeit und Durchsetzbarkeit regulatorischer Vorgaben auch im Zeitalter autonomer KI‑Agenten gewährleisten.

Albert Absmeier & KI

Textquelle ist diese Pressemitteilung:

Governance von KI-Agenten: Kiteworks präsentiert branchenweit erste Compliance-Lösung auf Datenebene

Kiteworks Compliant AI bietet ABAC, FIPS 140-3-Verschlüsselung und manipulationssichere Audit-Protokollierung sowie drei Agent-Assist-Funktionen für KRITIS- und regulierte Unternehmen

Kiteworks stellt Kiteworks Compliant AI vor. Es ist die branchenweit erste Governance-Lösung auf Datenebene, die attributbasierte Zugriffskontrolle (ABAC), FIPS 140-3-validierte Verschlüsselung und manipulationssichere Audit-Protokollierung für jede Interaktion von KI-Agenten mit regulierten Daten durchsetzt – unabhängig vom Modell, der Eingabeaufforderung oder dem Agenten-Framework. Die Lösung umfasst drei speziell entwickelte regulierte Agent-Assist-Funktionen. Es sind compliancefähige Workflows, die es KI-Agenten ermöglichen, Ordner zu verwalten, Dateien zu bearbeiten und Datenerfassungsformulare in regulierten Umgebungen zu erstellen – alles unter Einhaltung der von der Kiteworks Data Policy Engine durchgesetzten regulatorischen Richtlinien.

Governance auf Datenebene: Die einzige Ebene, die KI-Agenten nicht umgehen können

Im Gegensatz zu Schutzmechanismen auf Modellebene, die durch Prompt Injection umgangen werden können, setzt Kiteworks die Governance am Punkt des Datenzugriffs durch vier Kontrollpunkte durch:

Authentifizierte Identität: Jeder Agent wird authentifiziert und mit dem menschlichen Autorisierenden verknüpft, der den Workflow delegiert hat. Dadurch werden die Anforderungen von DSGVO, CMMC, NIS2 und DORA erfüllt.
Richtliniengetreuer Zugriff (ABAC): Jede Anfrage wird anhand der Agentenidentität, der Datenklassifizierung, des Anfragekontexts und der Art der Operation bewertet. Auf Operationsebene wird der minimal notwendige Zugriff durchgesetzt.
FIPS 140-3-validierte Verschlüsselung: Alle vom Agenten abgerufenen Daten werden während der Übertragung und im Ruhezustand mithilfe von FIPS 140-3-validierten kryptografischen Modulen verschlüsselt.
Manipulationssicheres Audit-Protokoll: Jede Interaktion wird mit vollständiger Zuordnung – wer, was, wann und warum – protokolliert und direkt in das SIEM des Unternehmens eingespeist.

Drei regulierte Agent-Assist-Funktionen: Compliancefähige KI-Workflows

Kiteworks Compliant AI bietet drei Agent-Assist-Funktionen, die auf dem Model Context Protocol (MCP) basieren und durchgehend von der Data Policy Engine reguliert werden.

Governed Folder Operations Assist: KI-Agenten navigieren, erstellen, verschieben und löschen Ordnerhierarchien mittels natürlicher Sprache, wobei jeder Vorgang durch Richtlinien und rollen- oder attributbasierte (RBAC/ABAC) Kontrollen geregelt wird.
Governed File Management Assist: KI-Agenten steuern den gesamten Datenlebenszyklus – Hochladen, Herunterladen, Lesen, Erstellen, Verschieben, Löschen – und erfüllen dabei Bestimmungen zu Aufbewahrungsfristen, Anforderungen an den minimal notwendigen Zugriff und Vorschriften zum Löschen.
Governed Forms Creation Assist: KI-Agenten generieren regulierte Datenerfassungsformulare aus Spracheingaben, wobei alle Eingaben an einen durch Richtlinien regulierten Speicher weitergeleitet werden – für Auskunftsersuche (DSARs) gemäß DSGVO, Meldungen von IKT-Vorfällen gemäß DORA, die Erfassung von Sicherheitsvorfällen gemäß NIS2 sowie die Kundensorgfaltspflicht gemäß PSD2/AMLD. So wird sichergestellt, dass jedes Formular die für den jeweiligen Rechtsraum geltenden Kontrollen zur Datenresidenz, zur Durchsetzung der Zweckbindung sowie zu exportierbaren Prüfnachweisen erfüllt und den Anforderungen des vielschichtigen europäischen Regulierungsumfelds genügt.

»KI-Agenten sind die neuen digitalen Mitarbeiter – und wie alle Mitarbeiter greifen sie auf regulierte Daten zu, verarbeiten und teilen sie und agieren mit ihnen«, sagte Yaron Galant, Chief Product Officer bei Kiteworks. »Der Unterschied besteht darin, dass KI-Agenten keinerlei unabhängiges ethisches Urteilsvermögen an den Tag legen. Sie greifen auf alle Daten zu. Kiteworks Compliant AI regelt die Datenebene – nicht das Modell –, sodass jede Interaktion eines Agenten authentifiziert, durch ABAC-Richtlinien geregelt, nach FIPS 140-3 verschlüsselt und in einem manipulationssicheren Prüfpfad protokolliert wird, bevor regulierte Daten berührt werden. Keine andere Plattform bietet diese Kombination von Kontrollen auf der Datenebene für KI-Agenten. Das ist keine Funktion – es ist eine Architektur.«

2084 Artikel zu „Governance KI“

News | Business Process Management | Effizienz | Favoriten der Redaktion | Geschäftsprozesse | Künstliche Intelligenz | Strategien | Tipps

KI beginnt mit Vertrauen: Daten-Governance als Schlüssel zwischen Strategie und messbaren Resultaten

28. März 2026

Der Erfolg von KI hängt weniger von Modellen als von vertrauenswürdigen, geschäftlich nutzbaren Daten ab, weshalb viele Initiativen an fehlender Daten‑Governance scheitern. Moderne Daten‑Governance wird dabei als Enabler verstanden, der Klarheit, Verantwortlichkeiten und Datenqualität schafft und KI so skalierbar und wirksam macht. Entscheidend ist ein dynamischer Data‑First‑Ansatz, der Governance als kontinuierliches Change Management etabliert und…

Jetzt 25 % Ticketrabatt für »manage it« Leser

Grenzen modellbasierter Schutzmechanismen

Governance am Punkt des Datenzugriffs

Compliance‑fähige KI‑Workflows

Einordnung und Ausblick

Governance von KI-Agenten: Kiteworks präsentiert branchenweit erste Compliance-Lösung auf Datenebene

Kiteworks Compliant AI bietet ABAC, FIPS 140-3-Verschlüsselung und manipulationssichere Audit-Protokollierung sowie drei Agent-Assist-Funktionen für KRITIS- und regulierte Unternehmen

Governance auf Datenebene: Die einzige Ebene, die KI-Agenten nicht umgehen können

Im Gegensatz zu Schutzmechanismen auf Modellebene, die durch Prompt Injection umgangen werden können, setzt Kiteworks die Governance am Punkt des Datenzugriffs durch vier Kontrollpunkte durch:

Authentifizierte Identität: Jeder Agent wird authentifiziert und mit dem menschlichen Autorisierenden verknüpft, der den Workflow delegiert hat. Dadurch werden die Anforderungen von DSGVO, CMMC, NIS2 und DORA erfüllt.

Richtliniengetreuer Zugriff (ABAC): Jede Anfrage wird anhand der Agentenidentität, der Datenklassifizierung, des Anfragekontexts und der Art der Operation bewertet. Auf Operationsebene wird der minimal notwendige Zugriff durchgesetzt.

FIPS 140-3-validierte Verschlüsselung: Alle vom Agenten abgerufenen Daten werden während der Übertragung und im Ruhezustand mithilfe von FIPS 140-3-validierten kryptografischen Modulen verschlüsselt.

Manipulationssicheres Audit-Protokoll: Jede Interaktion wird mit vollständiger Zuordnung – wer, was, wann und warum – protokolliert und direkt in das SIEM des Unternehmens eingespeist.

Drei regulierte Agent-Assist-Funktionen: Compliancefähige KI-Workflows

Kiteworks Compliant AI bietet drei Agent-Assist-Funktionen, die auf dem Model Context Protocol (MCP) basieren und durchgehend von der Data Policy Engine reguliert werden.

Governed Folder Operations Assist: KI-Agenten navigieren, erstellen, verschieben und löschen Ordnerhierarchien mittels natürlicher Sprache, wobei jeder Vorgang durch Richtlinien und rollen- oder attributbasierte (RBAC/ABAC) Kontrollen geregelt wird.

Governed File Management Assist: KI-Agenten steuern den gesamten Datenlebenszyklus – Hochladen, Herunterladen, Lesen, Erstellen, Verschieben, Löschen – und erfüllen dabei Bestimmungen zu Aufbewahrungsfristen, Anforderungen an den minimal notwendigen Zugriff und Vorschriften zum Löschen.

2084 Artikel zu „Governance KI“