KI-Agenten im Unternehmen: Wo autonome Workflows sinnvoll sind und wo nicht
„Agent“ ist das am meisten überversprochene Wort der Unternehmens-KI. Die richtige Frage ist nicht „kann es autonom handeln“, sondern „wie groß ist der Schaden, wenn es falsch handelt“.
„KI-Agent" ist gerade das am meisten überversprochene Wort der Unternehmens-KI. Verkauft wird Autonomie. Gebraucht wird in den meisten Fällen etwas viel Bescheideneres — und genau das ist die gute Nachricht.
Die entscheidende Frage ist nicht „kann das System autonom handeln", sondern „wie groß ist der Schaden, wenn es autonom falsch handelt".
Assistent, Automation, Agent — drei verschiedene Dinge
Ein Assistent schlägt vor, ein Mensch handelt. Eine Automation führt einen festen, vorhersehbaren Ablauf aus. Ein Agent entscheidet selbst über Schritte, Reihenfolge und Werkzeuge, um ein Ziel zu erreichen.
Die meisten Unternehmensprobleme brauchen einen Assistenten oder eine Automation. Echte Agenten sind selten die richtige Antwort — und fast nie der richtige erste Schritt.
Die einzige Frage, die zählt: Blast Radius
Bevor man über Modelle spricht, klärt man: Was passiert im schlimmsten Fall, wenn der Agent eine falsche Entscheidung trifft — und merkt es niemand sofort?
- Klein, umkehrbar, sichtbar → ein Agent kann sinnvoll sein.
- Groß, irreversibel, unsichtbar → kein Agent. Hier gehört ein Mensch in die Schleife, egal wie gut das Modell ist.
Autonomie ist kein Fähigkeits-, sondern ein Risikothema.
Wo Agenten sinnvoll sind
1. Begrenzte, umkehrbare Aufgaben
Recherche zusammenstellen, Entwürfe vorbereiten, Daten anreichern: Wenn ein falscher Schritt billig korrigierbar ist, trägt Autonomie echten Nutzen.
2. Gut instrumentierte Abläufe
Ein Agent ohne Protokoll ist eine Blackbox mit Tastatur. Sinnvoll wird er erst, wenn jeder Schritt, jedes Werkzeug und jede Entscheidung nachvollziehbar protokolliert ist.
3. Eng vergebene Rechte
Ein Agent darf nur das können, was er für genau diese Aufgabe braucht. Die OWASP Top 10 für LLM-Anwendungen führen „übermäßige Handlungsfreiheit" als zentrales Risiko — zu viele Rechte sind die häufigste Agentenschwäche.
Wo Agenten nicht hingehören
Irreversible Aktionen (Zahlungen, Löschungen, verbindliche Kundenkommunikation), schlecht abgegrenzte Ziele und fremde, nicht vertrauenswürdige Eingaben als Steuerung. Wer einen Agenten an freie Texteingaben hängt, automatisiert auch dessen Manipulierbarkeit (siehe Prompt Injection verstehen).
Der Thoughtworks-Hinweis: nicht reflexhaft adoptieren
Der Thoughtworks Technology Radar warnt seit Jahren vor genau der Reflex-Adoption neuer Muster, nur weil sie verfügbar sind. Agentische Workflows sind ein mächtiges Werkzeug für wenige, gut abgegrenzte Fälle — kein Standardbaustein für jedes Problem. Der NIST-AI-Risikorahmen beschreibt dieselbe Disziplin: Kontrolle und Aufsicht zuerst, Autonomie nur, wo sie verantwortbar ist.
Checkliste vor dem Agenten
- Brauchen wir wirklich einen Agenten — oder reicht Assistent/Automation?
- Ist der Blast Radius im Fehlerfall klein und umkehrbar?
- Ist jeder Schritt protokolliert und nachvollziehbar?
- Hat der Agent nur minimale, aufgabenbezogene Rechte?
- Sind irreversible Aktionen durch eine menschliche Freigabe geschützt?
- Sind fremde Eingaben keine direkte Steuerung des Agenten?
- Gibt es einen klaren Stopp- und Eskalationsweg?
Häufige Fragen
Sind Agenten nur Hype? Nein, aber überverkauft. Für eng begrenzte, umkehrbare, gut instrumentierte Aufgaben sind sie stark. Als Universallösung für alles sind sie ein teures Versprechen.
Warum nicht einfach dem Agenten alle Rechte geben? Weil Rechte gleich Schaden im Fehlerfall sind. Minimale Rechte sind keine Einschränkung, sondern das eigentliche Sicherheitsdesign.
Was ist der häufigste Fehler? Mit einem autonomen Agenten für einen wichtigen, irreversiblen Prozess anzufangen — statt mit Assistent oder Automation für einen umkehrbaren.
Ersetzt ein Agent Mitarbeitende? Selten sinnvoll. Wertvoller ist der Agent, der reversible Vorarbeit übernimmt und die Entscheidung beim Menschen lässt.
Fazit
KI-Agenten sind kein Statussymbol, sondern ein Werkzeug für wenige, gut abgegrenzte Fälle. Wer zuerst den Blast Radius klärt, Rechte minimiert, alles protokolliert und irreversible Aktionen schützt, nutzt Autonomie dort, wo sie trägt — und vermeidet sie dort, wo sie teuer wird.
Weiterlesen
- KI im Kundenservice: schneller ohne Kontrollverlust — Autonomie hinter dem Team statt vor dem Kunden.
- Prompt Injection verstehen: Warum KI eigene Security-Checks braucht — warum fremde Eingaben kein Steuerkanal sind.
Nächster Schritt
Sie überlegen, einen KI-Agenten einzusetzen? Beginnen Sie mit einer kurzen Einschätzung Ihrer Anforderungen. Wir klären Blast Radius und Rechte — und ob ein Agent oder eine Automation der richtige Hebel ist.
Quellen
- Thoughtworks, Technology Radar — Techniques — thoughtworks.com
- OWASP, Top 10 for Large Language Model Applications — owasp.org
- NIST, AI Risk Management Framework — nist.gov