7 Min. Lesezeit
Microsoft Agent 365 und die Sicherheitslücke bei KI-Agenten, die Unternehmen nicht ignorieren dürfen

Kategorie
Die AI-Welt
Artikel teilen
Achtundsiebzig Prozent der Wissensarbeiter nutzen mittlerweile mindestens einmal pro Woche KI-Agenten, im Vergleich zu 12 % im Jahr 2024. Im selben Zeitraum haben die meisten Unternehmen genau null Systeme aufgebaut, um zu verfolgen, was diese Agenten tun, welche Daten sie berühren oder wer sie überhaupt autorisiert hat. Die Lücke zwischen Einführung und Governance war noch nie so groß.
Microsofts Work Trend Index für 2026 bringt es auf den Punkt: Organisatorische Faktoren machen 67 % der Wirkung von KI aus, während die individuelle Nutzung nur 32 % ausmacht. Die Implikation ist klar. Mitarbeitern Zugang zu KI-Agenten zu geben, ist der einfache Teil. Das eigentliche Problem besteht darin, zu verwalten, was nach Beginn der Nutzung geschieht.
Am 1. Mai hat Microsoft Agent 365 allgemein verfügbar gemacht – eine Governance-Ebene für 15 $/Benutzer/Monat (oder gebündelt in M365 E7 für 99 $/Benutzer/Monat), die speziell für dieses Problem entwickelt wurde. Es handelt sich nicht um einen Agenten-Builder. Es ist eine Steuerungsebene für die Agenten, die bereits in Ihrem Unternehmen ausgeführt werden, einschließlich derer, die niemand genehmigt hat.
Shadow AI ist das neue Shadow IT
Vor einem Jahrzehnt ging es in der Sicherheitsdiskussion jedes Unternehmens um Shadow IT: Mitarbeiter, die Dropbox-Konten erstellten, sich ohne Genehmigung der Beschaffungsabteilung bei Slack anmeldeten oder persönliche SaaS-Tools auf Firmengeräten nutzten. Shadow AI ist die Version von 2026, und sie entwickelt sich schneller.
Mitarbeiter installieren agentenbasierte Tools wie OpenClaw und Claude Code auf ihren Laptops, verbinden sie mit Unternehmensdaten und beginnen mit der Automatisierung von Workflows, ohne ein einziges Ticket an die IT zu senden. Die Berichterstattung von VentureBeat über den Launch von Agent 365 betitelte es direkt: „Shadow AI wird zur Bedrohung für Unternehmen.“ Diese Darstellung ist zutreffend. Wenn ein nicht genehmigter Agent Lesezugriff auf Ihr CRM, Ihre HR-Datenbank oder Ihr Finanzberichtssystem hat, sieht das Risikoprofil ganz anders aus als bei einem Mitarbeiter, der ein nicht autorisiertes Projektmanagement-Tool verwendet.
Der Gravitee-Bericht „When Adoption Outpaces Control“ erfasst das strukturelle Problem. Die Einführungskurven für KI-Agenten verlaufen exponentiell. Der Aufbau der Governance verläuft linear, sofern er überhaupt stattfindet. Laut Microsofts eigenen Daten berichten nur 25 % der KI-Nutzer, dass sich ihre Führungsebene klar auf eine KI-Strategie geeinigt hat. Das bedeutet, dass in drei von vier Organisationen Agenten in der Produktion laufen, ohne dass es ein Top-down-Framework für das Verhalten dieser Agenten gibt.
Was Agent 365 tatsächlich tut
Agent 365 ist eine einheitliche Steuerungsebene. Sie erkennt, inventarisiert und wendet Richtlinien auf KI-Agenten an, die in einem Unternehmen ausgeführt werden – unabhängig davon, ob diese Agenten intern entwickelt, von einem Anbieter erworben oder am vergangenen Dienstag still und leise von einem Mitarbeiter installiert wurden.
Die Kernfunktionen lassen sich in drei Bereiche unterteilen:
Erkennung und Inventarisierung. Das Agent 365 Admin Center enthält eine spezielle „Shadow AI“-Seite, die Endpunkte scannt, um Agenten zu finden, die außerhalb der Sichtweite der IT agieren. Sie kann Agenten-Tools von Drittanbietern erkennen, die auf verwalteten Geräten ausgeführt werden, und diese in einem zentralen Register auflisten. Dies ist der grundlegende Schritt, den die meisten Unternehmen völlig überspringen.
Identitäts- und Zugriffskontrollen. Agent 365 weitet die Identitäts-Governance von Microsoft Entra auf KI-Agenten aus. Dieselben Prinzipien der minimalen Rechtevergabe, die für menschliche Nutzer gelten, gelten nun auch für Agenten. Ein Agent, der Kundensupport-Tickets lesen muss, erhält nicht automatisch Zugriff auf Finanzdaten. Das klingt selbstverständlich, aber in der Praxis laufen die meisten der heute eingesetzten Agenten mit den Berechtigungen, die ihr Ersteller zufällig hatte.
Daten-Governance über Microsoft Purview. Die Purview-Integration klassifiziert Unternehmensdaten und setzt Regeln darüber durch, worauf Agenten zugreifen, was sie verarbeiten oder exportieren dürfen. Wenn ein Datensatz als vertraulich gekennzeichnet ist, dürfen Agenten ohne explizite Freigabe nicht darauf zugreifen. Dies adressiert das häufigste Sicherheitsrisiko bei KI-Agenten: Agenten mit weitreichendem Zugriff, die sensible Daten in Kontexte ziehen, in die sie nicht gehören.
Zwei zusätzliche Funktionen gehen im Juni 2026 in die Public Preview: Context Mapping (das die Datenflüsse zwischen Agenten und Unternehmenssystemen visualisiert) und Runtime Blocking (das einen Agenten mitten in der Ausführung stoppen kann, wenn er gegen eine Richtlinie verstößt). Auch der Multi-Cloud-Aspekt ist von Bedeutung. Agent 365 unterstützt den Registerabgleich mit AWS Bedrock und Google Cloud, was bedeutet, dass Unternehmen, die Agenten über mehrere Cloud-Anbieter hinweg ausführen, diese über eine einzige Oberfläche verwalten können.
Was Agent 365 nicht löst
Microsoft hat ein starkes Fundament gelegt, aber Agent 365 ist eine Governance-Ebene für verwaltete Umgebungen. Für Unternehmen, die in großem Maßstab agieren, bleiben mehrere Lücken bestehen.
Nicht-Microsoft-Ökosysteme. Die tiefsten Integrationen bestehen mit Entra, Purview und dem Microsoft 365 Stack. Organisationen, die ihre Agenten-Infrastruktur hauptsächlich auf anderen Plattformen betreiben, erhalten zwar Sichtbarkeit durch den Multi-Cloud-Registerabgleich, aber die Tiefe der Richtliniendurchsetzung wird geringer sein. Unternehmen, die heterogene Agenten-Stacks über mehrere Anbieter und maßgeschneiderte Systeme hinweg betreiben, benötigen eine Governance, die auf der Orchestrierungsebene ansetzt, nicht nur auf der Identitätsebene.
Interaktionen von Agent zu Agent. Agent 365 steuert einzelne Agenten und deren Zugriff auf Daten. Da Unternehmen jedoch immer mehr zu Multi-Agenten-Architekturen übergehen, bei denen Agenten Aufgaben an andere Agenten delegieren, muss das Governance-Modell transitive Berechtigungen und die Rechenschaftspflicht für Handlungsketten berücksichtigen. Ein Agent, der autorisiert ist, einen Datensatz zu lesen, und dann die Zusammenfassung an einen zweiten Agenten delegiert, erstellt eine Berechtigungskette, die von aktuellen Tools nur lückenhaft erfasst wird.
Verhaltensüberwachung über die Zugriffskontrolle hinaus. Zu wissen, auf welche Daten ein Agent zugreifen kann, ist notwendig, aber nicht ausreichend. Die schwierigere Frage ist, ob ein Agent seinen Zugriff angemessen nutzt. Ein Agent mit legitimem Lesezugriff auf Kundendaten könnte sich dennoch in einer Weise verhalten, die gegen Richtlinien verstößt: Daten an eine externe API senden, Ergebnisse generieren, die personenbezogene Daten preisgeben, oder Entscheidungen treffen, die Compliance-Risiken bergen. Das Runtime Blocking im Juni 2026 beginnt, dies zu adressieren, aber die Verhaltens-Governance steht noch am Anfang.
Die Kluft bei den „Frontier Firms“. Der Work Trend Index von Microsoft führt das Konzept der „Frontier Firms“ ein – Organisationen, in denen KI tief in Strategie und Betrieb integriert ist. Nur 16 % der Unternehmen qualifizieren sich dafür. Die restlichen 84 % sind noch dabei, grundlegende Bereitstellungsmuster zu verstehen, was bedeutet, dass sie auch Jahre davon entfernt sind, die organisatorische Reife zu besitzen, um ein Tool wie Agent 365 effektiv zu nutzen. Das Tool existiert. Die Bereitschaft oft nicht.
Der Governance-Stack, den Unternehmen tatsächlich brauchen
Microsoft ist nicht der Einzige, der diese Lücke erkennt. ServiceNow hat auf der Knowledge 2026 seine eigenen Funktionen zur Agenten-Governance vorgestellt und zielt auf dasselbe Problem von der Seite der Workflow-Automatisierung ab. Diese Konvergenz ist vielsagend. Wenn zwei der größten Softwareunternehmen für Konzerne im selben Quartal Governance-Tools auf den Markt bringen, hat der Markt entschieden, dass es sich hierbei um Infrastruktur handelt und nicht um einen bloßen Feature-Wunsch.
Für Unternehmen, die ihre Agenten-Governance bewerten, sind vier Funktionen am wichtigsten:
1. Erkennung. Sie können nicht steuern, was Sie nicht sehen können. Jeder Governance-Ansatz muss mit einer vollständigen Inventarisierung der in der Umgebung aktiven Agenten beginnen, einschließlich derer, die nie formell bereitgestellt wurden. Die Shadow-AI-Erkennung von Agent 365 ist hier ein starker Einstiegspunkt.
2. Identitätsbasierte Zugriffskontrolle. Agenten benötigen eine Identität, genau wie menschliche Benutzer. Sie benötigen Rollen, Berechtigungen und die Durchsetzung von Mindestrechten. Die Entra-Integration in Agent 365 übernimmt dies für Microsoft-native Umgebungen. Für breitere Agenten-Stacks sollten Sie nach Plattformen suchen, die Identitätskontrollen auf der Orchestrierungsebene anwenden.
3. Datenklassifizierung und -durchsetzung. Nicht alle Daten sollten allen Agenten zur Verfügung stehen. Klassifizierungssysteme (wie Purview), die Daten nach Vertraulichkeit kennzeichnen und den Zugriff auf Agentenebene erzwingen, verhindern das häufigste Fehlerszenario: dass ein Agent vertrauliche Informationen in einen unkontrollierten Kontext zieht.
4. Runtime-Observability. Die Zugriffskontrolle ist nur ein Tor an der Eingangstür. Runtime-Observability ist wie eine Kamera in jedem Raum. Unternehmen müssen überwachen, was Agenten während der Ausführung tun, nicht nur, was sie tun dürfen. Dazu gehört die Protokollierung aller Aktionen, das Markieren von anomalem Verhalten und die Pflege von Audit-Trails für die Compliance.
Für einen tieferen Einblick in den Sicherheitsansatz von Beam für Agenten besuchen Sie unsere Sicherheitsseite.
Das Zeitfenster schließt sich
Der Microsoft Work Trend Index 2026 ergab, dass 49 % der Copilot-Chat-Nutzung mittlerweile auf hochwertige kognitive Arbeit entfällt und nicht auf einfache Abfragen oder Formatierungsaufgaben. Agenten erledigen nicht mehr nur die trivialen Dinge. Sie sind in Kerngeschäftsprozesse eingebettet: Finanzanalysen, Kundeninteraktionen, strategische Planung, rechtliche Prüfungen.
Das Risikoprofil skaliert mit dem Wert der Arbeit. Ein ungesteuerter Agent, der Meetingnotizen zusammenfasst, stellt ein geringes Risiko dar. Ein ungesteuerter Agent, der Finanzdaten von Kunden verarbeitet oder Compliance-Dokumente erstellt, ist ein erhebliches Risiko. Je mehr sich Unternehmen bei hochwertiger Arbeit auf Agenten verlassen, desto mehr werden ungesteuerte Agenten zu einer existenziellen Bedrohung und nicht nur zu einer Unannehmlichkeit.
Dass Agent 365 allgemein verfügbar wird, ist das bisher deutlichste Signal dafür, dass die Branche die Frage „Sollten wir Agenten steuern?“ hinter sich gelassen hat und in die Phase „Wie schnell können wir den Governance-Stack aufbauen?“ übergegangen ist. Microsoft hat die erste breit verfügbare Antwort geliefert. ServiceNow baut eine weitere auf. Unternehmen, die Agenten-Governance als Initiative für 2027 behandeln, sind bereits im Hintertreffen. Die Agenten laufen jetzt. Die Governance muss aufholen.





