Microsoft Agent 365 und die Sicherheitslücke bei KI-Agenten, die Unternehmen nicht ignorieren dürfen

Achtundsiebzig Prozent der Wissensarbeiter nutzen inzwischen mindestens einmal pro Woche KI-Agenten, gegenüber 12 % im Jahr 2024. Im selben Zeitraum haben die meisten Unternehmen exakt null Systeme aufgebaut, um zu verfolgen, was diese Agenten tun, auf welche Daten sie zugreifen oder wer sie überhaupt freigegeben hat. Die Lücke zwischen Einführung und Governance war noch nie größer.

Microsofts Work Trend Index für 2026 bringt es auf den Punkt: Organisatorische Faktoren machen 67 % der Wirkung von KI aus, während die individuelle Nutzung nur 32 % ausmacht. Die Implikation ist klar. Mitarbeitenden Zugriff auf KI-Agenten zu geben, ist der einfache Teil. Zu steuern, was passiert, nachdem sie sie einsetzen, ist das eigentliche Problem.

Am 1. Mai hat Microsoft Agent 365 allgemein verfügbar gemacht, eine Governance-Schicht für 15 US-Dollar pro Nutzer/Monat (oder gebündelt in M365 E7 für 99 US-Dollar pro Nutzer/Monat), die speziell für dieses Problem entwickelt wurde. Es ist kein Agent-Builder. Es ist eine Control Plane für die Agenten, die bereits in Ihrem Unternehmen laufen – auch für die, die niemand freigegeben hat.

Schatten-KI ist das neue Shadow IT

Vor einem Jahrzehnt drehte sich die Sicherheitsdebatte in jedem Unternehmen um Shadow IT: Mitarbeitende richteten Dropbox-Konten ein, meldeten sich ohne Beschaffungsgenehmigung bei Slack an und nutzten persönliche SaaS-Tools auf Firmengeräten. Schatten-KI ist die Version von 2026, und sie bewegt sich schneller.

Mitarbeitende installieren agentenbasierte Tools wie OpenClaw und Claude Code auf ihren Laptops, verbinden sie mit Unternehmensdaten und beginnen, Workflows zu automatisieren, ohne auch nur ein Ticket an die IT zu schicken. VentureBeats Berichterstattung über die Einführung von Agent 365 formulierte es direkt in der Überschrift: „Shadow AI wird zur Bedrohung für Unternehmen.“ Die Einordnung ist zutreffend. Wenn ein nicht freigegebener Agent Lesezugriff auf Ihr CRM, Ihre HR-Datenbank oder Ihr Finanzberichtssystem hat, sieht das Risikoprofil ganz anders aus als bei einem Mitarbeitenden, der ein nicht autorisiertes Projektmanagement-Tool nutzt.

Der Gravitee-Bericht „Wenn Adoption schneller wächst als Kontrolle“ erfasst das strukturelle Problem. Die Adoptionskurven für KI-Agenten sind exponentiell. Der Aufbau von Governance verläuft linear, wenn er überhaupt stattfindet. Nur 25 % der KI-Nutzer geben an, dass ihre Führung eine klare gemeinsame KI-Strategie formuliert hat, so Microsofts eigene Daten. Das bedeutet: Drei von vier Unternehmen betreiben Agenten in Produktion, ohne einen Top-down-Rahmen dafür zu haben, wie sich diese Agenten verhalten sollen.

Was Agent 365 tatsächlich leistet

Agent 365 ist eine einheitliche Control Plane. Sie entdeckt, inventarisiert und wendet Richtlinien auf KI-Agenten an, die in einem Unternehmen laufen – unabhängig davon, ob diese Agenten intern entwickelt, von einem Anbieter gekauft oder still und leise letzten Dienstag von einem Mitarbeitenden installiert wurden.

Die Kernfunktionen lassen sich in drei Bereiche unterteilen:

Entdeckung und Inventarisierung. Das Admin Center von Agent 365 umfasst eine dedizierte Seite „Shadow AI“, die Endpunkte scannt, um Agenten zu finden, die außerhalb der Sichtbarkeit der IT arbeiten. Es kann Drittanbieter-Agententools erkennen, die auf verwalteten Geräten ausgeführt werden, und sie in einem zentralen Verzeichnis sichtbar machen. Das ist der grundlegende Schritt, den die meisten Unternehmen komplett überspringen.

Identitäts- und Zugriffskontrollen. Agent 365 erweitert die Microsoft Entra-Identity-Governance auf KI-Agenten. Dieselben Prinzipien des Least Privilege, die für menschliche Nutzer gelten, gelten jetzt auch für Agenten. Ein Agent, der Support-Tickets lesen muss, erhält nicht automatisch Zugriff auf Finanzdaten. Das klingt selbstverständlich, in der Praxis laufen die meisten heute eingesetzten Agenten jedoch mit genau den Berechtigungen, die ihr Ersteller zufällig hatte.

Datengovernance über Microsoft Purview. Die Purview-Integration klassifiziert Unternehmensdaten und setzt Regeln dafür durch, worauf Agenten zugreifen, was sie verarbeiten oder exportieren dürfen. Wenn ein Datensatz als vertraulich gekennzeichnet ist, dürfen Agenten ohne explizite Freigabe nicht darauf zugreifen. Damit adressiert es das häufigste Sicherheitsrisiko von KI-Agenten: Agenten mit weitreichendem Zugriff, die sensible Daten in Kontexte ziehen, in die sie nicht gehören.

Zwei weitere Funktionen gehen im Juni 2026 in die öffentliche Vorschau: Kontext-Mapping (das die Datenflüsse zwischen Agenten und Unternehmenssystemen visualisiert) und Runtime-Blocking (das einen Agenten während der Ausführung stoppen kann, wenn er gegen eine Richtlinie verstößt). Auch der Multi-Cloud-Ansatz ist bedeutsam. Agent 365 unterstützt die Registry-Synchronisierung mit AWS Bedrock und Google Cloud, sodass Organisationen, die Agenten über mehrere Cloud-Anbieter hinweg betreiben, sie über eine zentrale Oberfläche verwalten können.

Was Agent 365 nicht löst

Microsoft hat eine starke Grundlage geschaffen, aber Agent 365 ist eine Governance-Schicht für verwaltete Umgebungen. Für Unternehmen im großflächigen Einsatz bleiben mehrere Lücken.

Nicht-Microsoft-Ökosysteme. Die tiefsten Integrationen gibt es mit Entra, Purview und dem Microsoft-365-Stack. Organisationen, die ihre Agenteninfrastruktur primär auf anderen Plattformen betreiben, erhalten über die Multi-Cloud-Registry-Synchronisierung Sichtbarkeit, doch die Tiefe der Richtliniendurchsetzung ist geringer. Unternehmen mit heterogenen Agenten-Stacks über mehrere Anbieter und selbst entwickelte Systeme hinweg benötigen Governance, die auf der Orchestrierungsebene funktioniert, nicht nur auf der Identitätsebene.

Interaktionen zwischen Agenten. Agent 365 steuert einzelne Agenten und deren Zugriff auf Daten. Wenn Unternehmen jedoch zu Multi-Agenten-Architekturen übergehen, in denen Agenten Aufgaben an andere Agenten delegieren, muss das Governance-Modell transitive Berechtigungen und Verantwortlichkeit entlang der gesamten Handlungskette berücksichtigen. Ein Agent, der berechtigt ist, einen Datensatz zu lesen, und die Zusammenfassung dann an einen zweiten Agenten delegiert, erzeugt eine Berechtigungskette, die aktuelle Tools nur unvollkommen nachverfolgen.

Verhaltensüberwachung jenseits der Zugriffskontrolle. Zu wissen, auf welche Daten ein Agent zugreifen kann, ist notwendig, aber nicht ausreichend. Die schwierigere Frage lautet, ob ein Agent seinen Zugriff angemessen nutzt. Ein Agent mit legitimen Leserechten auf Kundendaten könnte sich dennoch auf eine Weise verhalten, die gegen Richtlinien verstößt: Daten an eine externe API senden, Ausgaben erzeugen, die personenbezogene Daten preisgeben, oder Entscheidungen treffen, die zu Compliance-Risiken führen. Runtime-Blocking im Juni 2026 beginnt, dieses Problem anzugehen, aber die Verhaltens-Governance steht noch am Anfang.

Die Lücke der „Frontier Firms“. Microsofts Work Trend Index führt den Begriff der „Frontier Firms“ ein, also Unternehmen, in denen KI tief in Strategie und Betrieb integriert ist. Nur 16 % der Unternehmen erfüllen dieses Profil. Die übrigen 84 % arbeiten noch an grundlegenden Bereitstellungsmustern und sind damit auch noch Jahre davon entfernt, die organisatorische Reife zu haben, ein Tool wie Agent 365 effektiv zu nutzen. Das Tool existiert. Die Bereitschaft oft nicht.

Der Governance-Stack, den Unternehmen tatsächlich brauchen

Microsoft ist nicht allein darin, diese Lücke zu erkennen. ServiceNow hat auf der Knowledge 2026 eigene Agenten-Governance-Funktionen eingeführt und adressiert dasselbe Problem von der Seite der Workflow-Automatisierung. Die Konvergenz ist aufschlussreich. Wenn zwei der größten Enterprise-Software-Unternehmen im selben Quartal Governance-Tools ausliefern, hat sich der Markt entschieden: Das ist Infrastruktur, keine Feature-Anfrage.

Für Unternehmen, die ihre Agenten-Governance bewerten, sind vier Fähigkeiten am wichtigsten:

1. Entdeckung. Sie können nicht steuern, was Sie nicht sehen. Jeder Governance-Ansatz muss mit einem vollständigen Inventar der in der Umgebung laufenden Agenten beginnen, einschließlich jener, die nie formal ausgerollt wurden. Die Shadow-AI-Erkennung von Agent 365 ist hier ein starker Einstiegspunkt.

2. Identitätsbasiertes Zugriffskontrollmodell. Agenten brauchen eine Identität, genau wie menschliche Nutzer. Sie brauchen Rollen, Berechtigungen und eine Least-Privilege-Durchsetzung. Die Entra-Integration in Agent 365 übernimmt das für Microsoft-native Umgebungen. Für breitere Agenten-Stacks sollten Sie nach Plattformen suchen, die Identitätskontrollen auf der Orchestrierungsebene anwenden.

3. Datenklassifizierung und Durchsetzung. Nicht alle Daten sollten allen Agenten zur Verfügung stehen. Klassifizierungssysteme (wie Purview), die Daten nach Sensitivität kennzeichnen und den Zugriff auf Agentenebene durchsetzen, verhindern den häufigsten Ausfallmodus: ein Agent zieht vertrauliche Informationen in einen unkontrollierten Kontext.

4. Runtime-Observability. Zugriffskontrolle ist ein Tor an der Eingangstür. Runtime-Observability ist eine Kamera in jedem Raum. Unternehmen müssen überwachen, was Agenten während der Ausführung tun, nicht nur, was sie tun dürfen. Dazu gehört, alle Aktionen zu protokollieren, anomales Verhalten zu kennzeichnen und Audit-Trails für Compliance vorzuhalten.

Für einen tieferen Einblick, wie Beam AI Agentensicherheit angeht, besuchen Sie unsere Sicherheitsseite.

Das Zeitfenster schließt sich

Microsofts Work Trend Index 2026 ergab, dass 49 % der Copilot-Chat-Nutzung inzwischen wertschöpfende kognitive Arbeit betrifft, nicht einfache Anfragen oder Formatierungsaufgaben. Agenten übernehmen nicht mehr nur triviale Aufgaben. Sie sind in zentrale Geschäftsprozesse eingebettet: Finanzanalyse, Kundeninteraktionen, strategische Planung, juristische Prüfung.

Das Risikoprofil steigt mit dem Wert der Arbeit. Ein unzureichend gesteuerter Agent, der Sitzungsnotizen zusammenfasst, ist ein geringes Risiko. Ein unzureichend gesteuerter Agent, der Kundendaten mit Finanzbezug verarbeitet oder Compliance-Dokumentation erstellt, ist ein erhebliches Risiko. Je stärker Unternehmen sich für hochwertige Arbeit auf Agenten verlassen, desto eher werden unkontrollierte Agenten existenziell und nicht nur unpraktisch.

Dass Agent 365 jetzt allgemein verfügbar ist, ist das bislang klarste Signal dafür, dass die Branche die Frage „Sollen wir Agenten überhaupt steuern?“ hinter sich gelassen hat und in die Phase „Wie schnell können wir den Governance-Stack aufbauen?“ übergegangen ist. Microsoft hat die erste breit verfügbare Antwort gebaut. ServiceNow baut eine weitere. Unternehmen, die Agenten-Governance als Initiative für 2027 behandeln, sind bereits im Hintertreffen. Die Agenten laufen jetzt. Die Governance muss aufholen.