KI-Agenten werden zu digitalen Mitarbeitenden

KI verschiebt sich im Unternehmensalltag von Antworten zu Handlungen. Neue Agenten lesen E-Mails, prüfen Daten, erstellen Tickets, aktualisieren CRM-Einträge oder stossen Workflows an. Damit werden sie nicht zu Mitarbeitenden im rechtlichen Sinn, aber sie verhalten sich zunehmend wie digitale Akteure innerhalb eines Unternehmens.

Genau deshalb sprechen Anbieter und Sicherheitsexperten immer öfter von „digital employees“, digitalen Mitarbeitenden. Der Begriff ist nützlich, weil er das eigentliche Problem sichtbar macht: Sobald ein KI-System in Geschäftssystemen handeln kann, braucht es eine Rolle, Berechtigungen, Aufsicht, Protokolle, Kostenkontrolle und eine Möglichkeit, es sofort zu stoppen.

Von Chatbots zu handelnden Systemen

Ein klassischer Chatbot erklärt, wie ein Supportticket erstellt wird. Ein KI-Agent kann die Kundenmail lesen, den Kunden im CRM suchen, ein Ticket eröffnen, die richtige Kategorie setzen, eine Antwort entwerfen und den Fall an ein Team weiterleiten. Der entscheidende Unterschied ist nicht Intelligenz, sondern Zugriff.

Diese Entwicklung ist inzwischen mehr als ein Labortrend. Cognizant kündigte am 18. Juni eine Interoperabilität zwischen ServiceNow AI Agents und seinem Neuro AI Multi-Agent Accelerator an. Laut Unternehmen sollen Agenten über ServiceNow, Drittplattformen und eigene Systeme hinweg koordiniert werden können, während bestehende Zugriffskontrollen und Audit-Logs genutzt werden.

Auch die Arbeitsplatzperspektive wird konkreter. RCR Wireless News berichtet, SK Telecoms AX Innovation 2.0 behandle KI-Agenten als digitale Mitarbeitende mit IDs, definierten Rollen und einem Lebenszyklus von Einstellung bis Beendigung. VoIP Review beschreibt denselben Ansatz als Versuch, KI-Agenten wie digitale Arbeitskräfte in die Organisation einzubinden.

Der Begriff „digitaler Mitarbeitender“ ist eine Governance-Frage

Ein digitaler Mitarbeitender ist kein Mensch und hat keinen Arbeitsvertrag. Gemeint ist ein Systemakteur, der Aufgaben übernimmt und dafür Zugriff auf Software, Daten und Werkzeuge erhält. Für Unternehmen ist diese Unterscheidung wichtig. Ein Agent ist nicht verantwortlich. Verantwortlich bleibt die Organisation, die ihn einsetzt.

Ein sauber verwalteter Agent braucht deshalb mindestens:

eine klare Aufgabenbeschreibung

einen menschlichen Owner

eine eigene Identität oder sauber delegierte Berechtigungen

minimale Zugriffsrechte

Regeln für Freigaben und Eskalation

nachvollziehbare Protokolle

Kosten- und Nutzungsüberwachung

einen Prozess für Änderung, Sperrung und Löschung

Ohne diese Punkte wird aus Automatisierung schnell Schatten-IT. Mitarbeitende können in modernen SaaS-Plattformen immer häufiger eigene Assistenten oder Agenten konfigurieren. Das ist produktiv, aber riskant, wenn niemand prüft, welche Daten diese Agenten sehen und welche Aktionen sie auslösen dürfen.

Identität wird zur Sicherheitsgrenze

Die wichtigste technische Frage lautet: Unter welcher Identität handelt der Agent? Arbeitet er im Namen eines Nutzers, mit einem eigenen Servicekonto oder mit kurzfristig delegierten Rechten? Davon hängt ab, was er sehen, ändern, senden oder löschen darf.

Biometric Update berichtet, dass Identität zunehmend zur Governance-Schicht für agentische KI wird. Anbieter aus den Bereichen Identity Security und Zugriffskontrolle passen ihre Architektur an eine Welt an, in der nicht nur Menschen, sondern auch Agenten Aktionen ausführen. SC Media fasst die Stimmung an der Identiverse 2026 pointiert zusammen: Alle wollen KI-Assistenten, aber nur wenige Organisationen seien bereit, sie zu steuern.

Das ist mehr als ein IT-Detail. Ein überberechtigter Agent kann vertrauliche Daten auslesen, falsche Informationen versenden, Datensätze ändern oder Workflows auslösen, die später kaum noch nachvollziehbar sind. Ein kompromittierter Agent kann wie ein missbrauchtes Servicekonto wirken, nur mit mehr Kontext und grösserer Geschwindigkeit.

Die neuen Risiken liegen im Handeln

KI-Agenten bringen bekannte KI-Risiken in eine gefährlichere Form. Ein Chatbot kann eine falsche Antwort geben. Ein Agent kann aufgrund dieser falschen Einschätzung eine Aktion ausführen. Das verändert das Risikoprofil.

Typische Gefahren sind:

zu breite Berechtigungen: Der Agent sieht mehr Daten, als er für seine Aufgabe braucht.

Prompt Injection: Manipulierte E-Mails, PDFs oder Webseiten geben dem Agenten versteckte Anweisungen.

Datenabfluss: Vertrauliche Informationen landen in Antworten, Zusammenfassungen oder externen Systemen.

falsche Aktionen: Tickets, CRM-Daten, Bestellungen oder Freigaben werden falsch erstellt oder geändert.

fehlende Nachvollziehbarkeit: Niemand kann später beweisen, warum der Agent gehandelt hat.

unklare Verantwortung: Fachbereich, IT und Anbieter schieben sich Fehler gegenseitig zu.

unerwartete Kosten: Agenten führen lange Aufgaben aus, rufen Modelle mehrfach auf oder starten Schleifen.

ZDNET warnt deshalb zu Recht davor, Agenten einfach „die Schlüssel“ zu übergeben. Agentische Projekte müssen menschlich angestossen, begrenzt und überwacht bleiben, besonders wenn sie mit Kundendaten, Zahlungen, Zugriffen oder externen Nachrichten arbeiten.

Was das für Schweizer KMU bedeutet

Für Schweizer KMU ist der Reiz offensichtlich. Kleine Teams können mit Agenten wiederkehrende Aufgaben automatisieren: Supportmails triagieren, Rechnungen mit Bestellungen abgleichen, Leads nachfassen, Onboarding-Checklisten auslösen, Microsoft-365-Probleme vorsortieren oder Besprechungen in Aufgaben verwandeln.

Gerade KMU arbeiten aber oft mit sensiblen Informationen: Kundendossiers, Finanzdaten, Verträgen, Personaldaten, Gesundheitsinformationen, technischen Zeichnungen oder vertraulichem Know-how. Wenn ein KI-Agent Zugriff auf solche Systeme erhält, reicht ein allgemeiner Hinweis auf „KI-Funktionen“ nicht aus. Es braucht eine saubere Entscheidung, welche Daten ein Agent nutzen darf und welche Aktionen menschliche Freigabe verlangen.

Ein Treuhandbüro sollte einen Agenten nicht unbegrenzt auf alle Kundendokumente zugreifen lassen. Ein Produktionsbetrieb sollte keinen Agenten ohne Kontrolle technische Spezifikationen an Lieferanten senden lassen. Ein IT-Dienstleister sollte keinen Helpdesk-Agenten Passwörter oder Zugriffsrechte ändern lassen, ohne starke Identitätsprüfung und Protokollierung.

Der richtige Start: klein, begrenzt, prüfbar

Unternehmen sollten Agenten nicht zürst dort einsetzen, wo Fehler teuer oder rechtlich heikel sind. Geeignete Startpunkte sind interne, risikoarme und möglichst lesende Aufgaben: Klassifikation von Tickets, Entwurf von Antworten, Zusammenfassung interner Dokumente oder Vorbereitung von Aufgabenlisten. Erst wenn Logging, Qualität und Eskalation funktionieren, sollten Agenten schreibende Rechte erhalten.

Für jede Einführung braucht es ein einfaches Betriebsmodell:

1.Aufgabe definieren: Was genau soll der Agent tun – und was ausdrücklich nicht?

2.Owner bestimmen: Wer ist fachlich und technisch verantwortlich?

3.Rechte begrenzen: Zugriff nur auf die benötigten Daten und Systeme.

4.Freigaben festlegen: Externe E-Mails, Zahlungen, Rabatte, HR-Aktionen und Zugriffsänderungen brauchen menschliche Kontrolle.

5.Alles protokollieren: Aktionen, Datenzugriffe, Modellantworten und Freigaben müssen nachvollziehbar sein.

6.Kosten überwachen: Agenten brauchen Nutzungslimits, Warnungen und Budgets.

7.Abschalten können: Jeder Agent braucht einen klaren Kill Switch.

Diese Punkte sind nicht Bürokratie. Sie entscheiden darüber, ob ein Agent ein nützliches Werkzeug oder ein unsichtbares Betriebsrisiko wird.

Fragen an IT-Partner und Anbieter

KMU sollten ihre IT-Partner jetzt konkret fragen, ob in Microsoft 365, CRM, Helpdesk, ERP oder anderen SaaS-Systemen bereits Agentenfunktionen aktiv sind. Wichtig ist nicht nur, ob ein Produkt „KI“ enthält, sondern ob es handeln darf.

Die wichtigsten Fragen lauten:

Wer darf Agenten erstellen?

Haben Agenten eigene Identitäten?

Handeln sie im Namen eines Nutzers oder mit separaten Rechten?

Welche Daten können sie lesen?

Welche Systeme können sie ändern?

Dürfen sie externe Nachrichten senden?

Welche Aktionen brauchen menschliche Freigabe?

Sind alle Aktionen auditierbar?

Wo werden Prompts, Ausgaben und Logs gespeichert?

Werden Eingaben für Training genutzt?

Wie werden ungewöhnliche Agentenaktionen erkannt?

Wie werden Kosten begrenzt?

Wie wird ein Agent sofort gesperrt?

Ein Anbieter, der diese Fragen nicht beantworten kann, sollte keine Agenten in produktive Geschäftsprozesse integrieren.

Die produktive Zukunft braucht Kontrolle

KI-Agenten werden nicht über Nacht alle Büroarbeit ersetzen. Ihr realistischer Wert liegt in begrenzten Workflows: lesen, prüfen, vorbereiten, vorschlagen, eskalieren und in klar definierten Fällen handeln. Richtig eingesetzt können sie kleine Teams entlasten und Prozesse beschleunigen.

Der entscheidende Punkt ist aber: AI is moving from answering to acting. Sobald KI handelt, wird sie Teil der Unternehmens-IT. Dann gelten dieselben Grundsätze wie bei Mitarbeitenden, Servicekonten und Automatisierung: minimale Rechte, klare Verantwortung, Protokolle, Überwachung und Offboarding. Wer digitale Mitarbeitende einstellen will, muss sie auch führen können.

Quellen

Cognizant — Cognizant expands cross-platform agentic AI with new ServiceNow AI Agent interoperability

RCR Wireless News — SK Telecom’s plan to give every worker an AI agent

VoIP Review — SK Telecom Redefines AI - Digital Employees in Telecom Innovation

Biometric Update — Identity emerges as governance layer for agentic AI

SC Media — Identiverse 2026: Everyone wants an AI assistant. Few are ready to govern one

ZDNET — Rolling out AI agents? Move fast and furious, but with extreme caution

CSO Online — 5 new security operations roles the AI-SOC will create