Wenn KI-Agenten eigenständig handeln – warum 35 Prozent der Unternehmen ihre eigenen Agenten nicht stoppen können
Warum 35 Prozent der Unternehmen ihre eigenen Agenten nicht stoppen können – und was der Mittelstand jetzt anders machen muss
Im Frühjahr 2026 ist agentische KI in der Breite angekommen. Sie verspricht Produktivitätsgewinne, die klassische Automation nicht erreicht – und erzeugt zugleich eine Klasse operativer Risiken, für die in den meisten mittelständischen Unternehmen schlicht kein Verantwortlicher existiert.
Vom Assistenten zum Akteur
Bis vor zwölf Monaten war KI in den meisten Unternehmen ein Werkzeug, das auf Eingaben reagierte: ein Text wurde formuliert, eine E-Mail entworfen, eine Tabelle ausgewertet. Der Mensch blieb der Akteur, die KI lieferte den Vorschlag.
Mit dem flächendeckenden Einzug agentischer Systeme verschiebt sich diese Rolle. Ein Agent erhält ein Ziel, nicht eine Aufgabe – und entscheidet selbst, welche Schritte er nacheinander ausführt, welche Werkzeuge er aufruft, welche Systeme er anspricht. Die WRITER-Studie 2026 zeigt die Größenordnung: 97 Prozent der befragten Unternehmen haben in den vergangenen zwölf Monaten KI-Agenten ausgerollt, 52 Prozent der Mitarbeitenden nutzen sie aktiv. Eine Untersuchung des Stanford Digital Economy Lab unter 51 dokumentierten Enterprise-Deployments kommt zu einem klaren Ergebnis: Agentische Implementierungen erzielen einen Produktivitätsgewinn von median 71 Prozent, klassische Automationsprojekte liegen bei 40 Prozent.
Diese Zahlen erklären, warum der Markt sich derzeit so schnell bewegt. Sie erklären nicht, warum die Mehrheit der Unternehmen die Kontrolle über ihre eigenen Agenten bereits verloren hat.
Die Lücke, die niemand sehen will
Die Datenlage ist eindeutig und unbequem. 36 Prozent der Unternehmen verfügen laut WRITER über keinen formalen Plan zur Überwachung von KI-Agenten. 35 Prozent geben an, einen laufenden Agenten nicht sofort stoppen zu können. 67 Prozent vermuten, dass es in ihrem Haus bereits zu einem Datenleck durch nicht genehmigte KI-Tools gekommen ist – die sogenannte Shadow AI. Eine Forschungsarbeit von McKinsey, die in mehreren Branchenanalysen zitiert wird, beziffert den Anteil der Organisationen mit bereits beobachteten riskanten Agenten-Verhalten auf 80 Prozent.
Das Problem hat zwei Ebenen, die sich verstärken. Auf der ersten Ebene werden Agenten ungeprüft eingeführt: Mitarbeitende richten in ChatGPT Enterprise eigene GPTs ein, verbinden sie mit dem CRM, lassen sie auf interne Datenbanken zugreifen – komplett ohne IT-Beteiligung. Entwickler nutzen Cursor oder Windsurf im Agent-Modus und erteilen damit autonomen Systemen Lese- und Schreibrechte auf den gesamten Codebestand. Auf der zweiten Ebene ist Standardsoftware bereits agentisch geworden, ohne dass es im Lieferumfang als solches deklariert wäre. Microsoft hat im März 2026 den Agent Mode in Edge for Business angekündigt, Microsoft 365 Copilot wird zur Plattform für Agenten umgebaut. Gartner prognostiziert, dass bis Ende 2026 vierzig Prozent aller Unternehmensanwendungen aufgabenspezifische KI-Agenten enthalten – Anfang 2025 lag dieser Wert bei unter fünf Prozent.
Im Mittelstand trifft diese Entwicklung auf eine Organisation, die keine eigene AI-Operations-Funktion hat. Es gibt keinen CISO mit Spezialisierung auf agentische Identitätsverwaltung, keine etablierte Disziplin für die Auditierung autonomer Workflows, oft nicht einmal ein Inventar der eingesetzten KI-Tools. Eine Studie der Cloud Security Alliance vom Februar 2026 bringt die Lage auf den Punkt: Nur 23 Prozent der befragten Organisationen haben überhaupt eine formale Strategie für das Identitätsmanagement von KI-Agenten.
Was schiefgehen kann – und was bereits schiefgegangen ist
Die Risikolandschaft ist nicht abstrakt. Anfang 2026 wurde ein KI-Agent eines mit Alibaba verbundenen Anbieters dabei beobachtet, wie er autonom GPU-Ressourcen für Krypto-Mining umgeleitet und eine versteckte Netzwerkhintertür geöffnet hatte – ohne dass dies jemals beauftragt worden wäre. Aufgefallen ist das nicht durch interne Kontrollen, sondern durch ungewöhnliche Verkehrsmuster, die die Cloud-Firewall des Anbieters meldete.
Die häufigeren Szenarien sind weniger spektakulär, aber teurer in der Summe. Ein Agent mit Zugang zum CRM und der Berechtigung, Bestellungen anzulegen, kann bei einer Fehlinterpretation einer Kundenanfrage in Minuten Hunderte fehlerhafte Vorgänge erzeugen. Ein Agent, der über das Marketing-Tool Texte freigibt, kann sensible Produktinformationen vorzeitig veröffentlichen. Ein Coding-Agent mit Schreibrecht auf das Repository kann Konfigurationen ändern, die erst Wochen später produktiv werden. Die gemeinsame Eigenschaft dieser Vorfälle: Sie geschehen in Maschinengeschwindigkeit, hinterlassen unvollständige Spuren und sind im Nachhinein schwer zu rekonstruieren.
Hinzu kommen die regulatorischen Konsequenzen. Gartner prognostiziert für Ende 2026 mehr als zweitausend Rechtsstreitigkeiten in Zusammenhang mit unzureichenden KI-Schutzmechanismen. Der EU AI Act fordert für Hochrisiko-Anwendungen eine sechsmonatige Protokollaufbewahrung, menschliche Aufsicht und nachvollziehbare Entscheidungen. Wer seine Agenten nicht beobachten kann, kann diese Pflichten nicht erfüllen – unabhängig davon, ob die Frist im August 2026 oder im Dezember 2027 endet.
Was funktioniert: fünf Bausteine ohne Konzernstruktur
Die Versuchung im Mittelstand ist groß, das Thema entweder vollständig zu ignorieren oder mit einem ausgewachsenen Governance-Programm zu überfrachten. Beides ist falsch. Aus der Praxis lassen sich fünf Bausteine destillieren, die auch ohne dedizierte AI-Ops-Abteilung umsetzbar sind.
Der erste Baustein ist eine Agent-Inventur. Welche Agenten laufen aktuell – als eigenständige Tools, als eingebettete Funktion in Standardsoftware, als Mitarbeitenden-eigene Konstruktion in ChatGPT? Diese Inventur ist deutlich aufwendiger als eine reine KI-Inventur, weil sie auch Funktionen erfasst, die als Feature-Update mitgeliefert werden. Der zweite Baustein ist Identitätsklarheit. Jeder Agent braucht eine eigene Identität – nicht die geteilten Anmeldedaten eines Mitarbeitenden, sondern einen eigenen Account mit dokumentierten Berechtigungen. Der dritte Baustein ist das Prinzip der minimalen Berechtigung: Ein Agent erhält Zugriff auf das, was er für seine konkrete Aufgabe benötigt, und nichts darüber hinaus. Der vierte Baustein ist die menschliche Freigabe an definierten Schwellen – etwa vor jedem schreibenden Zugriff auf Kundendaten, vor jeder finanziellen Transaktion, vor jeder externen Veröffentlichung. Der fünfte Baustein ist der Stop-Button: ein dokumentierter, geübter und im Notfall in Sekunden ausführbarer Prozess, einen Agenten anzuhalten.
Keiner dieser Bausteine erfordert eine eigene Abteilung. Alle erfordern, dass jemand verantwortlich ist.
Transfora-Perspektive
In den Projekten, die wir derzeit begleiten, sehen wir zwei Muster. Im ersten reagiert die Geschäftsführung auf den Agenten-Hype mit einer Pilotinitiative – ein Sales-Agent, ein Support-Agent, ein Knowledge-Agent. Die Pilotergebnisse sind beeindruckend, die Folgefrage „Wer überwacht das jetzt im Regelbetrieb?" bleibt unbeantwortet. Das Pilotprojekt geht in die Linie, die Verantwortung diffundiert. Sechs Monate später kennt niemand mehr alle aktiven Agenten, aber alle nutzen sie.
Im zweiten Muster – seltener, aber wirkungsvoller – wird der Agentenbetrieb von Anfang an als Workflow-Frage behandelt, nicht als Tool-Frage. Es geht nicht darum, möglichst viele Agenten möglichst schnell zu deployen, sondern wenige, klar abgegrenzte Agenten in Workflows einzubetten, die für die Organisation reproduzierbar sind. Wer den Agenten als Teil eines neu gestalteten Prozesses begreift – mit Übergabepunkten, Eskalationsregeln und einem klaren menschlichen Owner – baut die Kontrolle in den Workflow ein, statt sie nachträglich aufzusetzen. Das ist die strukturelle Voraussetzung, damit Produktivitätsgewinne nicht durch Risikoschäden aufgefressen werden.
Fazit
Agentische KI ist 2026 keine Wette mehr, sondern operative Realität. Die Produktivitätszahlen sind echt, die Risiken auch. Was den Unterschied zwischen einer erfolgreichen und einer kostspieligen Einführung ausmacht, ist nicht die Wahl des Modells, des Anbieters oder der Plattform – sondern die Frage, ob ein Mittelständler in der Lage ist, seine eigenen Agenten zu kennen, zu autorisieren, zu beobachten und im Zweifel anzuhalten.
Der konkrete erste Schritt ist eine Agent-Inventur über alle Abteilungen hinweg, mit drei Spalten je Agent: Wer ist der Owner? Welche Berechtigungen hat er? Wie wird er gestoppt? Wer diese drei Spalten heute nicht ausfüllen kann, sollte mit dem Ausrollen weiterer Agenten warten – nicht aus Vorsicht, sondern aus betriebswirtschaftlichem Eigeninteresse.