Governance-Richtlinien, Review-Boards, Genehmigungsprozesse. Drei Instrumente, die seit Jahrzehnten funktionieren. Und drei Instrumente, die in dem Moment versagen, in dem der erste autonome KI-Agent eine Entscheidung in Millisekunden trifft. Die Frage ist nicht mehr, ob du Governance brauchst. Die Frage ist, ob deine Governance schnell genug ist, um überhaupt noch relevant zu sein.

Die Entscheidung, die jetzt ansteht

Du leitest eine IT-Organisation, die gerade ihre ersten KI-Agenten pilotiert. Dein Enterprise-Architecture-Team pflegt Referenzmodelle, Architekturprinzipien und ein Review-Board, das viermal im Jahr zusammenkommt. Das hat funktioniert, solange Menschen die Entscheidungen getroffen haben. KI-Agenten lesen aber keine Richtlinien. Sie führen Code aus. Und sie warten nicht auf den nächsten Board-Termin.

Der demografische Wandel macht die Lage dringlicher als die meisten Organisationen wahrhaben wollen. In vielen Behörden und Unternehmen existieren die wichtigsten Geschäftsregeln nicht in Dokumenten. Sie stecken in Köpfen. Sie werden in Flurgesprächen weitergegeben, in informellen Abstimmungen verfeinert, beim Kaffee erklärt. Die Kollegin, die seit dreißig Jahren weiß, welche Datenkategorien nie an externe Systeme übergeben werden dürfen, hat dieses Wissen nie aufgeschrieben. Es war nie nötig. Sie war ja da.

In fünf Jahren ist sie im Ruhestand. Und dann? Nichts von diesem Wissen ist maschinenlesbar. Nichts davon überlebt den Generationenwechsel, wenn niemand es vorher in eine Form gebracht hat, die ein autonomes System interpretieren kann. Das ist keine abstrakte Gefahr. Das ist ein konkreter Wissensverlust, der in den Altersstrukturen vieler Organisationen bereits eingepreist ist.

Viele der CIOs weltweit planen, in den nächsten Jahren KI-Agenten produktiv einzusetzen. Klingt nach Aufbruch. Die unbequeme Realität dahinter: Die wenigsten haben ihre Governance-Regeln in einer Form, die ein autonomer Agent verstehen und befolgen kann. Sie planen autonome Systeme, steuern sie aber weiterhin mit Handbüchern und Quartalsberichten. Das ist kein technisches Problem. Das ist eine Führungsentscheidung. Und sie wartet nicht auf die nächste Board-Sitzung.

Was passiert, wenn die Governance nicht mitkommt

Ein autonomer Agent, der Daten verarbeitet, Empfehlungen ausspricht oder Transaktionen initiiert, braucht klare Grenzen. Nicht als PDF in einem SharePoint-Ordner. Nicht als Folie in einer Lenkungsausschuss-Präsentation. Sondern als versionskontrollierter Code, der physisch verhindert, dass eine Aktion außerhalb des erlaubten Rahmens stattfindet.

Das Zielbild lässt sich mit einer Lava-Lampe beschreiben. Die fließenden Blasen sind die KI-Agenten mit ihrer nichtdeterministischen Logik, ihrem Reasoning, ihrer Fähigkeit, kreativ und überraschend zu handeln. Das Glas drumherum sind die codierten Constraints: unveränderlich, deterministisch, nicht verhandelbar. Die Agenten dürfen denken, was sie wollen. Handeln dürfen sie nur innerhalb des Glases. Ohne das Glas gibt es keine Lava-Lampe. Nur Chaos auf dem Teppich.

Was passiert, wenn dieses Glas fehlt. Review-Boards, die viermal im Jahr tagen, verzögern Entscheidungen regelmäßig um ein halbes Jahr oder länger. Ein Schiebe-Beschluss hier, eine ergänzende Prüfung dort, ein Verweis an ein anderes Gremium beim übernächsten Termin. Während das Board berät, dreht sich die Technologie weiter. Die Organisation steuert nicht mehr. Sie reagiert. Im günstigsten Fall. Im ungünstigsten Fall bemerkt sie gar nicht, dass autonome Systeme längst Entscheidungen treffen, die kein Gremium je gesehen hat.

Policy-as-Code dreht diese Logik um. Statt Regeln in Sitzungen zu besprechen und per Beschluss freizugeben, werden sie als maschinenlesbare Logik bereitgestellt. Wie Software: mit Tests, mit Versionierung, mit automatischer Durchsetzung in Echtzeit. Die Governance wird zum Teil des Systems. Nicht zur externen Kontrollinstanz, die immer drei Monate zu spät kommt.

Konkret bedeutet das: Eine Regel wie "Keine personenbezogenen Daten an externe Schnittstellen ohne Freigabe" wird nicht mehr als Absatz in einem Governance-Dokument formuliert. Sie wird als Constraint in den Agenten-Code eingebettet. Der Agent kann diese Grenze nicht überschreiten, weil der Code es physisch verhindert. Nicht weil er die Richtlinie gelesen hat. Sondern weil die Richtlinie Teil seiner Architektur ist.

Das verändert die Rolle der Enterprise Architecture fundamental. Der EA-Lead ist nicht länger Bibliothekar, der Referenzmodelle in einem Repository pflegt und Architektur-Reviews moderiert. Er wird zum Autor digitaler Gesetze. Gesetze, die bestimmen, was ein Agent darf, was er eskalieren muss und was physisch unmöglich gemacht wird. Die Qualität dieser Gesetze entscheidet über die Sicherheit der gesamten Organisation. Das ist eine andere Verantwortung als die Pflege eines Architektur-Wikis.

Die größte Hürde ist dabei nicht die Technik. Es ist die Kultur. In den meisten Organisationen versteht sich das Governance-Team als Gatekeeper, als die Instanz, die "Nein" sagt. Policy-as-Code verlangt das Gegenteil: nicht "Nein", sondern "Ja, innerhalb dieser Grenzen". Vom Verhinderer zum Enabler. Das klingt nach einer Nuance. In der Praxis ist es ein Paradigmenwechsel, der an das Selbstverständnis ganzer Abteilungen rührt.

Ich habe mich dabei ertappt, diesen Wandel zu unterschätzen. Wer dreißig Jahre lang in einem System gearbeitet hat, das Governance als Prüfinstanz versteht, kann den Rollenwechsel nicht per Memo verordnen. Er muss ihn vorleben. Und das bedeutet, als Führungskraft zuerst die eigene Haltung zu ändern, bevor man sie von Teams erwartet.

Was du jetzt konkret tun kannst

Der Weg zu codierter Governance muss nicht mit einem Großprojekt beginnen. Er kann mit vier konkreten Schritten starten, die in den nächsten Wochen umsetzbar sind.

Beginne mit drei Regeln, nicht mit dreißig. Identifiziere die drei Governance-Regeln, deren Verletzung den größten Schaden anrichten würde. Zugriffsrechte auf kritische Daten, Budgetgrenzen für autonome Beschaffungen, Klassifizierungsvorgaben für sensible Informationen. Codiere sie als maschinenlesbare Constraints. Der Nachweis, dass codierte Governance funktioniert, wiegt mehr als ein vollständiges Regelwerk, das nie fertig wird. Drei funktionierende Regeln sind besser als dreihundert dokumentierte. Und sie liefern das Argument für die nächsten dreißig.

Schaffe die Rolle des Governance-Engineers. Wer schreibt die Governance-Regeln als Code? Wer reviewed sie? Wer deployt sie in die Agentenumgebung? In den meisten Organisationen existiert diese Rolle nicht. Sie gehört nicht allein in die IT-Abteilung. Die fachliche Expertise derer, die die Regeln seit Jahrzehnten leben, muss einfließen. Sonst entsteht technisch korrekter Code, der fachlich am Ziel vorbeigeht. Die Erfahrenen bringen das Domänenwissen. Die Jüngeren bringen die technische Umsetzung. Keiner ersetzt den anderen. Beide sind unverzichtbar.

Adressiere die Ängste systematisch. Der demografische Wandel erzeugt eine doppelte Unsicherheit. Erfahrene Mitarbeitende fragen sich, ob ihr Wissen in Code gegossen und sie dann überflüssig werden. Jüngere Kolleginnen und Kollegen fragen sich, ob sie die fachlichen Regeln überhaupt durchdringen, die sie codieren sollen. Change-Teams müssen beiden Gruppen eine gemeinsame Übersetzungsarbeit ermöglichen. Das ist keine Einmalveranstaltung. Das ist ein fortlaufender Prozess, der begleitet, moderiert und wertgeschätzt werden muss. Die Botschaft muss lauten: Euer Wissen wird nicht ersetzt. Es wird haltbar gemacht.

Mache die Governance auditierbar. Ein oft übersehener Vorteil von Policy-as-Code: Jede Änderung an einer Governance-Regel wird versioniert. Wer hat wann warum eine Regel geändert? Welche Agenten-Entscheidungen wurden durch welche Constraints begrenzt? In regulierten Umgebungen ist diese Nachvollziehbarkeit kein Nice-to-have. Sie ist eine Pflicht, die mit codierten Regeln leichter zu erfüllen ist als mit jeder dokumentenbasierten Governance.

Die Frage, welche Rolle Führungskräfte bei dieser Übersetzungsarbeit einnehmen, ist noch weitgehend offen. Moderator? Auftraggeber? Qualitätsprüfer? Die Antwort wird sich von Organisation zu Organisation unterscheiden. Aber die Frage muss jetzt gestellt werden. Nicht beim nächsten Review-Board in drei Monaten. Bis dahin hat sich die Technologielandschaft schon wieder verändert. Und die Erfahrungsträger sind dem Ruhestand wieder ein Quartal näher.

Fazit

Governance als Code ist kein IT-Projekt. Es ist die Entscheidung, ob deine Organisation in einer Welt autonomer Agenten die Regeln schreibt oder den Regeln hinterherläuft, die andere geschrieben haben. Fang mit drei Regeln an. Fang diese Woche an. Die Richtlinien in deinem SharePoint-Ordner werden keinen KI-Agenten aufhalten. Drei Zeilen deterministischer Code schon.

Maschinenlesbare Governance. Wenn dein nächster KI-Agent eine Entscheidung trifft: Kann er deine Governance-Regeln lesen - oder nur du? Agenten ignorieren Regeln nicht aus böser Absicht. Sie kennen nur die Regeln, die in ihrer Sprache geschrieben sind.
Review-Board-Geschwindigkeit. Wie lange dauert eine Governance-Entscheidung in deiner Organisation - von der Identifikation bis zur Umsetzung? Wenn die Antwort "Monate" lautet, ist deine Governance langsamer als die Technologie, die sie steuern soll.
Demografische Wissenssicherung. Welche deiner wichtigsten Governance-Regeln existieren nur in den Köpfen erfahrener Mitarbeitender? Erfahrungswissen, das nicht codiert wird, geht mit den Menschen in den Ruhestand. Kein Agent kann Flurgespräche auswerten.
Governance-Engineering-Rolle. Gibt es in deiner Organisation eine definierte Verantwortung dafür, Governance-Regeln als Code zu schreiben und zu deployen? Ohne klare Zuständigkeit wird Governance-Code entweder nicht geschrieben oder von Teams allein verfasst, denen der fachliche Kontext fehlt.
Enabler statt Gatekeeper. Wenn dein EA-Team auf eine Anfrage reagiert: Lautet die erste Antwort "Nein" oder "Ja, innerhalb dieser Grenzen"? Policy-as-Code verlangt den Rollenwechsel. Wer nur verhindert, wird von autonomen Systemen umgangen.
Auditierbarkeit. Kannst du nachweisen, wer wann welche Governance-Regel geändert hat und welche Agenten-Entscheidungen dadurch beeinflusst wurden? Codierte Regeln sind versioniert und nachvollziehbar. Dokumentenbasierte Governance ist es meistens nicht.

Governance as Code or Not at All by Andreas Lezgus

Why more governance boards won't save you from autonomous agents.

Read on Substack
Artikel auf Social Media teilen: