09 July 2026
KI Agenten Governance: Die Belegschaft, die niemand eingestellt hat

Frag deinen HR-Leiter, wie viele Mitarbeiter:innen das Unternehmen hat. Du bekommst eine genaue Anzahl an Personen. Dazu Verträge, Rollenprofile, ein Organigramm und einen Prozess für den Tag, an dem jemand geht. Jetzt frag deinen IT-Leiter, wie viele KI Agenten gerade in eurem Microsoft-365-Tenant laufen. Wenn die Antwort ein Schulterzucken ist, bist du in guter Gesellschaft. Beruhigend ist das trotzdem nicht.
Denn während Unternehmen ihre menschliche Belegschaft bis ins Detail verwalten, wächst daneben eine zweite Belegschaft heran, die nie eingestellt wurde. Copilot Cowork erstellt Agenten für mehrstufige Aufgaben. Scout arbeitet dauerhaft im Hintergrund, ohne dass jemand jede Aktion anstoßen muss. Und mit Copilot Studio kann inzwischen praktisch jeder Fachbereich eigene Agenten bauen. Jeder einzelne davon hat Zugriff auf Unternehmensdaten und Systeme. Kaum einer hat ein Äquivalent zu Personalakte, Zugriffs-Review oder Offboarding. Genau diese Lücke schauen wir uns in diesem Artikel an. Nicht um dir eine Lösung zu verkaufen, sondern um Fragen sichtbar zu machen, die du heute vermutlich nicht beantworten kannst.
Eine Belegschaft, die in keinem Organigramm steht
Für Menschen haben Unternehmen über Jahrzehnte ein dichtes Netz an Kontrollen aufgebaut. Es ist so selbstverständlich, dass es kaum noch jemand als Governance wahrnimmt. Eine neue Mitarbeiterin oder ein neuer Mitarbeiter bekommt einen Arbeitsvertrag, eine definierte Rolle, ein Benutzerkonto mit passenden Berechtigungen. Die Person taucht im Organigramm auf, hat eine Führungskraft, und wenn diese Person kündigt, greift ein Offboarding-Prozess: Konto deaktiviert, Zugriffe entzogen, Hardware zurück.
Nichts davon existiert für Agenten. Ein Agent hat keinen Vertrag und keine Führungskraft. Er taucht in keinem Organigramm auf. Er wird nicht befördert, nicht versetzt und vor allem: Er kündigt nie. Ein Agent, der einmal läuft, läuft weiter, bis ihn jemand aktiv abschaltet. Und dieses Jemand ist in den meisten Unternehmen schlicht nicht definiert.
Das wäre halb so wild, wenn Agenten harmlose Spielzeuge wären. Sind sie aber nicht. Sie lesen SharePoint-Bibliotheken, durchsuchen Postfächer, schreiben in Systeme, stoßen Workflows an. Ein Agent ist funktional näher an einem Mitarbeiter als an einem Makro. Nur dass der Mitarbeiter zwanzig Kontrollmechanismen durchläuft und der Agent keinen einzigen.
Wieder Wildwuchs entsteht: Cowork, Scout und Copilot Studio
Der Agenten-Wildwuchs, den Microsoft selbst als Agent Sprawl bezeichnet [1], hat drei Treiber, und alle drei sind gewollt. Das ist der unbequeme Teil: Niemand hat hier einen Fehler gemacht. Die Produkte funktionieren genau so, wie Microsoft sie gebaut hat.
Copilot Cowork, seit dem 16. Juni 2026 allgemein verfügbar [2], zerlegt größere Aufgaben in Schritte und arbeitet über Stunden selbstständig daran, auch wenn dein Rechner längst aus ist. Was das fürs Lizenzmodell heißt, haben wir im Artikel zu den Cowork-Kosten aufgeschrieben. Aus Governance-Sicht zählt ein anderer Punkt: Die Freischaltung von Cowork ist eine bewusste IT-Entscheidung, jeder Agent, der danach entsteht, ist es nicht mehr. Agentenarbeit wird zum Nebenprodukt des Alltags.
Scout, auf der Build 2026 als erster „Autopilot“ vorgestellt und aktuell in der Preview über das Frontier-Programm [3], geht einen Schritt weiter: ein dauerhaft aktiver Agent, der im Hintergrund läuft, Postfach und Kalender beobachtet und von sich aus handelt. Sensible Aktionen wie der Mailversand brauchen noch eine menschliche Freigabe, die Routinearbeit dazwischen läuft ohne Klick [3]. Damit brechen Kontrollmodelle, die immer einen Menschen vor dem Bildschirm annehmen. Was Scout genau kann und welche Voraussetzungen gelten, steht in unserem Scout-Artikel. Bemerkenswert am Rande: Microsoft gibt jedem Scout-Agenten von Anfang an eine eigene Entra-Identität [3]. Merk dir das für später, es wird noch wichtig.
Und Copilot Studio demokratisiert den Agentenbau. Der Fachbereich, der früher auf ein IT-Projekt gewartet hätte, baut sich seinen Agenten jetzt selbst. Aus IT-Sicht ist das ein bekanntes Muster, nur eine Ebene höher: Erst nutzten Mitarbeiter heimlich Cloud-Tools, das war die Schatten-IT. Dann kamen private ChatGPT-Konten für Firmendaten, die Schatten-KI. Warum das mehr als ein Ordnungsproblem ist, haben wir in unserem Artikel zur Schatten-KI aufgeschrieben. Die Agenten-Variante ist aus zwei Gründen ernster: Ein Mitarbeiter mit ChatGPT-Konto arbeitet acht Stunden am Tag und geht dann in den Feierabend. Ein Agent arbeitet durch. Und er handelt selbstständig, statt nur Fragen zu beantworten.
Was bei Mitarbeitern Standard ist, fehlt bei Agenten
An dieser Stelle kommt verlässlich der Einwand: „Unsere Agenten laufen doch im Berechtigungskontext des Erstellers. Was der Mitarbeiter nicht sehen darf, sieht der Agent auch nicht. Unsere Governance greift also.“ Das Argument klingt gut und trägt trotzdem nicht.
Erstens beschreiben Berechtigungen, was ein Agent sehen könnte, nicht was er tatsächlich tut. Eine Mitarbeiterin mit Zugriff auf das Finanzlaufwerk öffnet vielleicht drei Ordner im Jahr. Ein Agent mit denselben Rechten kann das gesamte Laufwerk in einer Nacht durcharbeiten. Das theoretische Zugriffsrecht und die praktische Nutzung fallen bei Agenten viel weiter auseinander als bei Menschen. Ein Muster, das wir schon vom Copilot-Oversharing kennen.
Zweitens überlebt der Agent seinen Kontext. Die Kollegin aus dem Vertrieb baut einen Agenten, der wöchentlich Angebotsdaten zusammenzieht. Zwei Jahre später wechselt sie den Arbeitgeber. Ihr Konto wird sauber offboarded, so wie es sein soll. Und der Agent? Je nach Konfiguration läuft er weiter, mit Zugriffen, die niemand mehr auf dem Schirm hat, für einen Zweck, den niemand mehr kennt. Verwaiste Konten waren schon immer ein Sicherheitsrisiko. Verwaiste Agenten sind verwaiste Konten, die aktiv handeln.
Drittens fehlt die Inventur. Für Nutzerkonten gibt es Entra ID, für Geräte Intune, für Anwendungen ein App-Register. Für Agenten gibt es in den meisten Tenants heute: nichts Vergleichbares. Cowork-Aufgaben, Studio-Agenten aus fünf Fachbereichen, dazu Agenten aus Drittanbieter-Tools. Verstreute Verwaltungsoberflächen, keine Gesamtsicht. Das neue Cost-Management-Dashboard zeigt immerhin den Credit-Verbrauch pro Agent, aber eine Abrechnung ist keine Inventur: Sie sagt dir, was ein Agent kostet, nicht, was er darf und wer ihn verantwortet. Was du nicht zählen kannst, kannst du nicht steuern. Und was du nicht steuern kannst, taucht spätestens im Audit als Feststellung auf.
Vier Fragen, die du heute beantworten können solltest
Wenn du wissen willst, wo dein Unternehmen steht, brauchst du kein Assessment-Projekt. Vier Fragen reichen für den ersten Realitätscheck:
1. Wie viele aktive Agenten laufen aktuell in eurem Tenant? Nicht geschätzt, sondern durch einen Blick ins Admin Center bestätigt. Inklusive Cowork-Aufgaben und allem, was Fachbereiche in Copilot Studio gebaut haben.
2. Wer besitzt den Lebenszyklus eines Agenten, wenn sein Ersteller das Unternehmen verlässt? Gibt es einen definierten Übergabeprozess, oder passiert dann einfach nichts?
3. Sind Agenten von euren Purview- und Compliance-Richtlinien überhaupt erfasst? Zur Einordnung: Selbst Cowork ging mit Audit-Log, eDiscovery und Sensitivity Labels live, aber Data Loss Prevention stand zum GA-Start noch auf „coming soon“ [2]. Wenn Microsoft beim eigenen Flaggschiff nachliefern muss, wie sieht es dann bei den Agenten aus, die eure Fachbereiche gebaut haben?
4. Wer reviewt, worauf ein Agent Zugriff hat, und in welchem Rhythmus? Für privilegierte Nutzerkonten sind Access Reviews Standard. Für Agenten mit denselben Datenzugriffen meist Fehlanzeige.
Wenn du alle vier sauber beantworten kannst: Glückwunsch, du gehörst zu einer kleinen Minderheit. Wenn nicht, hast du gerade den Umriss deiner Governance-Lücke gesehen. Unangenehm, aber deutlich billiger als die Version, in der ein Auditor oder ein Angreifer sie für dich findet.
Microsoft verkauft schon die Antwort: Das ist der eigentliche Warnhinweis
Man könnte das alles für Beraterpanik halten, wenn da nicht Microsoft selbst wäre. Auf der Ignite 2025 hat Microsoft Agent 365 vorgestellt, eine Kontrollebene, die Agenten inventarisiert, mit Zugriffskontrollen versieht und in Purview und Defender einbindet. Das Identitätsfundament dafür heißt Entra Agent ID: eigene Identitäten für Agenten, verwaltbar mit denselben Werkzeugen wie Nutzerkonten [4]. Inzwischen ist das keine Ankündigung mehr, sondern ein Produkt, einzeln lizenzierbar oder im E7-Paket [1]. Dazu die Prognose, die Microsoft selbst zitiert: IDC erwartet 1,3 Milliarden KI Agenten innerhalb von drei Jahren [5].
Lies das ruhig zweimal. Der Hersteller, der Cowork, Scout und Copilot Studio verkauft, hat parallel eine eigene Produktkategorie gebaut, um das Wachstum genau dieser Agenten unter Kontrolle zu bringen, und gibt seinem autonomsten Agenten eine eigene Identität mit. Das ist keine Randnotiz. Das ist das offizielle Eingeständnis, dass der Wildwuchs real ist.
Wichtig dabei: Agent 365 zu lizenzieren ist nicht dasselbe wie das Problem zu lösen. Ein Werkzeug inventarisiert deine Agenten. Die eigentlichen Fragen beantwortet dir kein Admin-Center: Wer darf im Unternehmen Agenten erstellen? Wer verantwortet ihren Lebenszyklus? Nach welchen Kriterien wird ein Agent abgeschaltet? Das sind organisatorische Entscheidungen. Wie so ein Rahmen entsteht, von der Strategie über Data Readiness bis zur Governance, haben wir in unserer KI-Roadmap für den Mittelstand beschrieben.
Die gute Nachricht zum Schluss: Noch ist das Zeitfenster offen. Die meisten Mittelständler stehen bei Cowork und Copilot Studio am Anfang. Wer jetzt Regeln definiert, verhindert den Wildwuchs, statt ihn später mühsam zurückzuschneiden. Wer wartet, wiederholt die Schatten-IT-Geschichte mit dem Unterschied, dass die unkontrollierten Systeme diesmal nachts weiterarbeiten.
Wenn du bei einer der vier Fragen ins Stocken geraten bist: Lass uns 20 Minuten draufschauen, ob ihr sie beantworten könnt. Kein Pitch, nur eine ehrliche Bestandsaufnahme, wo in eurem Tenant heute schon Agenten laufen, die niemand auf dem Zettel hat. Wenn ihr danach strukturiert weitermachen wollt, ist unser KI-Governance-Workshop der passende Rahmen.
Quellen:
[1] Microsoft: Secure Agent Access with MicrosoftEntra (Produktseite Entra Agent ID / Agent 365)
https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-agent-id
[2] Microsoft 365 Blog: Copilot Cowork is nowgenerally available, 16.06.2026
[3] Microsoft 365 Blog: Introducing Microsoft Scout:Your always-on personal agent, 02.06.2026
[4] Microsoft Entra Blog: Microsoft Entra: What's newin secure access on the AI frontier, Ignite, November 2025
[5] Microsoft Entra Blog: Surfing the AI Wave: Manage,govern, and protect AI agents with Microsoft Entra Agent ID (zitiertIDC-Prognose)
.webp)


