Agentische KI-Systeme handeln eigenständig durch Skill-Erweiterungen – modularen, ausführbaren Code, der konkrete Fähigkeiten verleiht. Für regulierte Unternehmen sind diese keine Funktionsergänzungen, sondern sicherheitsrelevante Systemänderungen, die den Informationsverbund erweitern und Wirkpfade, Datenflüsse sowie Entscheidungslogiken verändern. Der BSI-Grundschutz, ISO/IEC 27001, ISO/IEC 42001, BSIG und NIS2 verlangen die explizite Einordnung solcher Erweiterungen als Teil des Change-Managements. Skills stellen faktisch dynamische Software-Lieferketten dar, die formaler Bewertung, Freigabe und kontinuierlicher Überwachung unterliegen. Ohne strukturierte Skill-Governance entsteht eine Diskrepanz zwischen zertifiziertem Soll-Zustand und realem Ist-Betrieb – regulatorisch nicht akzeptabel. Die Verantwortung verbleibt stets beim Betreiber, unabhängig von Modularität oder externer Herkunft der Skills.
Governance-Anforderungen im Überblick:
| Governance-Dimension | Kernforderung | Regelwerke | Praktische Umsetzung |
|---|---|---|---|
| Change-Management | Formale Bewertung, Freigabe und Dokumentation vor Integration | BSI-Grundschutz, ISO/IEC 27001, NIS2 | Strukturiertes Change-Verfahren mit Risikoanalyse, Vier-Augen-Prinzip bei hohem Wirkungsgrad |
| Schutzbedarfsfeststellung | Kontextbezogene Bewertung nach Verfügbarkeit, Integrität, Vertraulichkeit, Nachvollziehbarkeit | BSI-Grundschutz, ISO/IEC 27001 | Klassifizierung der verarbeiteten Daten, Bewertung potenzieller Schutzbedarfsverschiebungen |
| Wirkpfadanalyse | Transparenz über tatsächliche Systeminteraktionen und Folgeaktionen | BSI-Grundschutz, NIS2, KRITIS | Dokumentation adressierter Systeme, Datenflüsse, Kommunikationsbeziehungen, Aktionsketten |
| Rechtebegrenzung | Minimalprinzip: nur zwingend erforderliche Berechtigungen | BSI-Grundschutz, ISO/IEC 27001, NIS2 | Differenzierte Rechtevergabe nach Skill-Typ, technische Sperren bei autonomen Aktionen |
| Monitoring & Protokollierung | Kontinuierliche Überwachung und auswertbare Erfassung sicherheitsrelevanter Ereignisse | BSI-Grundschutz, ISO/IEC 27001, BSIG | Logging von Nutzung, Aktionen, Zustandsänderungen, Fehlern; Echtzeit-Monitoring bei hohem Wirkungsgrad |
| Skalierte Governance | Risikoadaptive Maßnahmengestaltung nach tatsächlichem Wirkungsgrad | BSI-Grundschutz, ISO/IEC 27001, NIS2 | Governance-Footprint aus Schutzbedarf, Wirkpfad und Autonomiegrad |
| Kontinuierliche Neubewertung | Regelmäßige Überprüfung über gesamten Lebenszyklus | BSI-Grundschutz, ISO/IEC 27001, NIS2, KRITIS | Zyklische Neubewertung bei Änderungen, neue Bedrohungslagen oder veränderten Rahmenbedingungen |
| Audit-Fähigkeit | Nachvollziehbare, vollständige und konsistente Einbettung in Informationsverbund | BSI-Grundschutz, ISO/IEC 27001, BSIG, NIS2 | Durchgängige Dokumentation von Freigaben, Risiken, Maßnahmen; Auskunftsfähigkeit zu aktiven Skills |
Das Governance-Problem: Dynamik trifft auf statische Compliance
Agentische KI-Systeme unterscheiden sich fundamental von klassischen KI-Anwendungen. Sie handeln eigenständig, initiieren Prozesse und treffen Entscheidungen mit unmittelbarer operativer Wirkung. Diese Autonomie entsteht durch Skill-Erweiterungen, also ausführbaren Code, der dem System konkrete Fähigkeiten verleiht. Aus sicherheitstechnischer Sicht sind dies keine Konfigurationen, sondern vollwertige Softwarekomponenten, die den Informationsverbund faktisch erweitern.
Für regulierte und zertifizierte Unternehmen bedeutet dies einen Paradigmenwechsel. Im Verständnis des BSI-Grundschutzes stellen Skill-Erweiterungen sicherheitsrelevante Systemänderungen dar, da sie neue Wirkpfade schaffen, Datenflüsse verändern und Entscheidungslogiken implementieren. Sie wirken sich auf Schutzbedarfsannahmen, Risikoexposition und den Umfang bestehender Zertifizierungen aus. Der BSI-Grundschutz verlangt daher eine explizite Einordnung in den Informationsverbund sowie eine strukturierte Neubewertung der organisatorischen und technischen Rahmenbedingungen.
Das zentrale Problem liegt in der Dynamik: Skills werden zur Laufzeit eingebunden, miteinander kombiniert und autonom aufgerufen. Das KI-System wird zur dynamischen Software-Lieferkette, deren funktionaler Umfang sich kontinuierlich verändert, ohne dass sich die äußere Systemhülle sichtbar ändert. Diese Dynamik steht im direkten Widerspruch zu etablierten Zertifizierungs- und Compliance-Modellen, die von einem definierten und stabilen Systemzustand ausgehen. Sowohl der BSI-Grundschutz als auch ISO/IEC 27001 basieren darauf, dass der betrachtete Systemumfang bekannt ist und Änderungen nachvollziehbar erfolgen.
Praxisbeispiel: Automatisierte Beschaffungsfreigabe im Produktionsbetrieb
Ein mittelständischer KRITIS-Betreiber in der chemischen Industrie führt ein agentisches KI-System zur Prozessoptimierung ein. Initial wird ein Skill integriert, der Lagerbestände analysiert und Beschaffungsvorschläge erstellt. Die Risikoanalyse bewertet diesen Skill als unkritisch: Er verarbeitet keine personenbezogenen Daten, hat keine Schreibrechte und dient ausschließlich der Informationsaggregation. Der Skill wird über ein vereinfachtes Change-Verfahren freigegeben, dokumentiert und mit Standard-Monitoring versehen.
Sechs Monate später erweitert die IT-Abteilung das System um einen weiteren Skill zur automatisierten Bestellauslösung bei kritischen Lieferengpässen. Der neue Skill erhält Schreibrechte auf das ERP-System und kann eigenständig Bestellungen bis 50.000 Euro auslösen. Aus Zeitdruck wird dieser Skill ohne formale Change-Bewertung integriert, da er technisch als „kleine Erweiterung“ des bestehenden Systems erscheint. Die Dokumentation erfolgt nur rudimentär in einem internen Wiki.
Drei Monate später identifiziert ein externer BSI-Grundschutz-Audit die Konstellation: Das ursprünglich rein informierende System hat sich faktisch zu einem autonomen, aktionsfähigen System mit direkter operativer Wirkung entwickelt. Der Schutzbedarf hat sich von „niedrig“ auf „hoch“ verschoben, da fehlerhafte oder manipulierte Bestellungen erhebliche finanzielle Schäden verursachen und Produktionsprozesse gefährden können. Der zweite Skill wurde ohne Wirkpfadanalyse integriert: Es war nicht dokumentiert, welche Folgeaktionen im ERP-System ausgelöst werden, welche Genehmigungsprozesse umgangen werden und ob technische Sperren bei Überschreitung von Schwellenwerten existieren.
Das Audit stuft dies als erheblichen Mangel ein: Der tatsächlich betriebene Systemzustand entspricht nicht mehr dem zertifizierten Soll-Zustand. Die Diskrepanz untergraben die Belastbarkeit der Risikoanalyse und die Aussagekraft bestehender Zertifizierungen. Die Konsequenz: Das Unternehmen muss den zweiten Skill außer Betrieb nehmen, ein formales Change-Verfahren nachträglich durchführen, eine vollständige Wirkpfadanalyse erstellen, technische Kontrollmechanismen implementieren (z.B. Freigabeschwellen ab 10.000 Euro, tägliche Bestelllimits) und das Monitoring intensivieren. Die Nachzertifizierung verzögert sich um vier Monate, und es entstehen zusätzliche Prüfkosten.
Dieses Beispiel illustriert drei zentrale Governance-Probleme: Erstens die schleichende Wirkungsgrad-Verschiebung durch sukzessive Skill-Integration ohne Gesamtbetrachtung. Zweitens die Unterschätzung vermeintlich kleiner technischer Erweiterungen, die regulatorisch als wesentliche Systemänderungen zu bewerten sind. Drittens die fehlende Transparenz über tatsächliche Wirkpfade, die erst im Audit sichtbar wird.
Regulatorischer Rahmen: Mehrfachregulierung als Realität
Skill-Erweiterungen unterliegen einer Mehrfachregulierung, da sie technische, organisatorische und prozessuale Aspekte gleichzeitig berühren. Die folgende Übersicht zeigt die relevanten Regelwerke und ihre spezifischen Anforderungen an Skill-Erweiterungen:
| Regelwerk | Einordnung von Skills | Kernforderung | Geografischer Anwendungsbereich |
|---|---|---|---|
| ISO/IEC 27001 | Zusätzliche oder externe Softwarekomponenten, die Änderungen an der Informationsverarbeitung darstellen | Formale Risikobewertung, Steuerung und Dokumentation | International (weltweit anerkannt) |
| BSI-Grundschutz | IT-Komponenten innerhalb des Informationsverbunds, die funktionalen Umfang erweitern | Explizite Einbeziehung in Systemmodellierung und sicherheitstechnische Betrachtung | Deutschland (europäisch anschlussfähig) |
| ISO/IEC 42001 | KI-spezifische Komponenten entlang des KI-Lebenszyklus | Änderungssteuerung, Wirkungsbewertung, Transparenz und kontinuierliche Überwachung | International (ISO-Standard, global anwendbar) |
| NIS2-Richtlinie | Dynamisch eingebundene Lieferkettenelemente | Identifikation, Bewertung und Steuerung von Risiken entlang der digitalen Lieferkette | EU (Umsetzung in nationales Recht der Mitgliedstaaten) |
| BSIG / KRITIS | Komponenten mit potenzieller Auswirkung auf Verfügbarkeit, Integrität oder Vertraulichkeit | Integration in nachzuweisendes Cyber-Risikomanagement | Deutschland (KRITIS-Betreiber) |
| DORA | ICT-Komponenten im Finanzsektor | Berücksichtigung bei operativer Resilienz, Änderungsstabilität und Abhängigkeitsmanagement | EU (Finanzinstitute, seit Januar 2025) |
| EU-AI-Act | KI-Systemkomponenten mit Wirkung auf Entscheidungen | Transparenz, Nachvollziehbarkeit und Verantwortlichkeit unabhängig von Größe oder Modularität | EU (gestaffelte Umsetzung ab 2025) |
Während der Artikel primär auf den europäischen und deutschen Regulierungsrahmen fokussiert, existieren vergleichbare Anforderungen in anderen Jurisdiktionen mit teilweise abweichenden Schwerpunkten:
In den USA gibt es keinen einheitlichen bundesweiten Standard wie den BSI-Grundschutz, sondern einen sektorspezifischen Ansatz. Das NIST Cybersecurity Framework und NIST AI Risk Management Framework bieten vergleichbare Strukturen für Risikomanagement und Change Control. Finanzinstitute unterliegen zusätzlich den Anforderungen der SEC und FINRA, die strenge Dokumentations- und Überwachungspflichten für algorithmische Systeme vorsehen. Die FTC reguliert KI-Systeme unter dem Blickwinkel des Verbraucherschutzes und der Diskriminierungsprävention. Für kritische Infrastrukturen gelten CISA-Richtlinien, die ähnliche Supply-Chain-Risiken adressieren wie NIS2. Im Vergleich zur EU sind die US-Regularien stärker prinzipienbasiert und weniger präskriptiv, was größere Interpretationsspielräume, aber auch weniger konkrete Umsetzungsanleitung bietet.
Im Vereinigten Königreich bildet der UK Cyber Security Council zusammen mit dem NCSC (National Cyber Security Centre) den Rahmen. Der UK AI Regulation Approach verfolgt ein risikobasiertes, sektorspezifisches Modell, das bestehende Regulierungsbehörden mit KI-spezifischen Zuständigkeiten ausstattet, statt eine zentrale KI-Behörde zu schaffen. Das entspricht konzeptionell dem EU-Ansatz, ist aber dezentraler organisiert. Der ICO (Information Commissioner’s Office) adressiert datenschutzrelevante KI-Aspekte unter UK GDPR. Für kritische Infrastrukturen gelten die NIS-Regulations, die weitgehend der EU-NIS2 entsprechen.
In Asien zeigen sich heterogene Ansätze: Singapur setzt mit dem Model AI Governance Framework auf einen prinzipienbasierten, unternehmensfreundlichen Ansatz mit Selbstregulierung und Best Practices. China dagegen verfolgt eine der weltweit strengsten KI-Regulierungen mit expliziten Zulassungspflichten für generative KI-Systeme, umfassenden Content-Kontrollen und starker staatlicher Aufsicht. Japan orientiert sich am OECD AI Principles und setzt auf freiwillige Governance-Frameworks kombiniert mit sektorspezifischen Regulierungen. Südkorea entwickelt derzeit ein umfassendes AI Framework Law, das Elemente des EU AI Acts aufgreift, aber stärker auf wirtschaftliche Förderung ausgerichtet ist.
Implikationen für internationale Organisationen: Unternehmen, die in mehreren Jurisdiktionen operieren, stehen vor der Herausforderung unterschiedlicher, teils überlappender Anforderungen. Der europäische Ansatz (BSI-Grundschutz, NIS2, AI Act) ist tendenziell am präskriptivsten und kann als „höchster gemeinsamer Nenner“ dienen. Organisationen, die EU-Standards erfüllen, sind in der Regel gut positioniert für andere Märkte, da europäische Anforderungen oft strenger sind. Umgekehrt gilt: Eine rein US-NIST-orientierte Governance erfüllt möglicherweise nicht alle EU-Dokumentations- und Nachweispflichten.
Für israelische Startups mit globaler Ausrichtung empfiehlt sich daher eine hybride Governance-Architektur: Technisch orientiert an ISO/IEC 27001 und 42001 als internationale Baseline, prozessual angereichert um EU-spezifische Dokumentations- und Nachweisstrukturen (BSI-Grundschutz-kompatibel), und flexibel erweiterbar um jurisdiktionsspezifische Anforderungen (z.B. NIST für US-Kunden, Cyber Security Council für UK-Markt). Dies vermeidet spätere kostspielige Nacharbeiten und erleichtert die Markterschließung in regulierten Umgebungen.
ISO/IEC 42001 gewinnt als spezifischer Managementsystem-Standard für Künstliche Intelligenz besondere Bedeutung. Während ISO/IEC 27001 die allgemeine Steuerung von Risiken in der Informationsverarbeitung adressiert, fokussiert ISO/IEC 42001 auf Governance, Risikomanagement und Verantwortlichkeiten entlang des gesamten KI-Lebenszyklus. Für agentische KI-Systeme und deren Skill-Erweiterungen ist diese Perspektive zentral, da sie Anforderungen an Änderungssteuerung, Wirkungsbewertung, Transparenz und kontinuierliche Überwachung formuliert. In regulierten Umgebungen ergänzt ISO/IEC 42001 bestehende ISMS-Strukturen, ersetzt sie jedoch nicht. Wirksame Skill-Governance entsteht erst im Zusammenspiel von klassischer Informationssicherheit nach ISO/IEC 27001 und KI-spezifischer Steuerung nach ISO/IEC 42001.
Allen genannten Regelwerken ist ein zentrales Prinzip gemeinsam: Die Verantwortung für sicheren und regelkonformen Betrieb verbleibt stets beim Betreiber des Systems. Weder technische Modularität noch externe Herkunft eines Skills reduzieren diese Verantwortung. Im Gegenteil erhöht die Möglichkeit, Funktionalität dynamisch nachzuladen, die Anforderungen an Steuerbarkeit und Kontrolle erheblich. Im Verständnis des BSI-Grundschutzes sind Skill-Erweiterungen daher als Governance-Ereignisse zu behandeln, die bewusste Entscheidungen und klare, nachvollziehbare Einordnung in den bestehenden Informationsverbund verlangen.
Change-Management als Governance-Fundament
Der BSI-Grundschutz behandelt jede funktionale Erweiterung als Änderung am genehmigten Systemzustand. Skills unterliegen damit zwingend dem Change-Management, da sie das Systemverhalten strukturell verändern. Sie erweitern Entscheidungslogiken, beeinflussen Datenflüsse und eröffnen neue Aktionsmöglichkeiten. Dadurch greifen sie unmittelbar in die Schutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Nachvollziehbarkeit ein. Vor der Integration eines Skills ist systematisch zu bewerten, welche Auswirkungen diese Erweiterung auf den bestehenden Informationsverbund hat und ob die bisher getroffenen Sicherheitsmaßnahmen weiterhin tragfähig sind.
Entscheidend ist dabei nicht die technische Größe oder funktionale Unauffälligkeit eines Skills, sondern ob er neue Wirkpfade eröffnet. Ein Skill, der zusätzliche Datenverarbeitung ermöglicht, externe Kommunikationsbeziehungen aufnimmt oder Aktionen automatisiert, verändert den genehmigten Systemzustand und damit die Grundlage der zuvor vorgenommenen sicherheitstechnischen Bewertung. Erfolgt dies ohne formale Bewertung, Freigabe und Dokumentation, entsteht ein Abweichungszustand zwischen dem modellierten und dem tatsächlich betriebenen System. In Audits wird dies als erheblicher Mangel gewertet, da weder Vollständigkeit der Risikobetrachtung noch Angemessenheit der getroffenen Maßnahmen belegt werden kann.
Fortsetzung des Praxisbeispiels: Strukturiertes Change-Management
Nach dem Audit implementiert das Unternehmen ein strukturiertes Change-Verfahren für Skill-Erweiterungen. Jeder neue oder modifizierte Skill durchläuft nun einen dreistufigen Prozess: In der Analysephase erfolgt eine Erstbewertung durch den Skill-Antragsteller in Zusammenarbeit mit dem Informationssicherheitsbeauftragten. Dabei werden Schutzbedarf, Wirkpfad und Autonomiegrad bewertet und dokumentiert. Bei Skills mit mittlerem oder hohem Wirkungsgrad wird zusätzlich eine Wirkpfadanalyse durchgeführt, die alle Systeminteraktionen, Datenflüsse und potenziellen Folgeaktionen erfasst.
In der Bewertungsphase prüft ein Change Advisory Board, bestehend aus IT-Sicherheit, IT-Betrieb und Fachabteilung, die Risikoanalyse. Bei hohem Wirkungsgrad gilt das Vier-Augen-Prinzip: Zwei unabhängige Gutachter bewerten die Auswirkungen. Das Board entscheidet über notwendige Kontrollmechanismen, Monitoring-Anforderungen und Freigabeschwellen. Die Freigabe erfolgt schriftlich und wird im ISMS-Dokumentenmanagementsystem hinterlegt.
In der Implementierungsphase wird der Skill zunächst in einer isolierten Testumgebung validiert, dann im Produktivsystem aktiviert und kontinuierlich überwacht. Nach 30 Tagen erfolgt eine Nachbewertung, ob sich der Skill wie erwartet verhält und ob zusätzliche Maßnahmen erforderlich sind. Alle Skills erhalten eine eindeutige ID und werden in einem zentralen Skill-Register dokumentiert, das Auskunft über Status, Wirkungsgrad, Freigabedatum, verantwortliche Person und letzte Überprüfung gibt.
Change-Management im Kontext von Skill-Erweiterungen beschränkt sich nicht auf eine einmalige Freigabeentscheidung. Der BSI-Grundschutz fordert, dass Änderungen über ihren gesamten Lebenszyklus hinweg beherrscht werden. Dazu gehört die eindeutige Identifizierbarkeit eingesetzter Skills, die nachvollziehbare Dokumentation von Änderungen an Funktionalität oder Abhängigkeiten sowie die Möglichkeit zur kontrollierten Rücknahme jederzeit. Ebenso müssen klare Kriterien definiert sein, unter denen ein Skill außer Betrieb zu nehmen ist, etwa bei sicherheitsrelevanten Auffälligkeiten, geänderten regulatorischen Anforderungen oder veränderten betrieblichen Rahmenbedingungen.
Diese Anforderungen stehen im Einklang mit den Vorgaben der ISO/IEC 27001, die Change-Management als zentrales Instrument zur Steuerung von Risiken in der Informationsverarbeitung verankert. Für nach dem BSIG regulierte Organisationen und insbesondere für KRITIS-Betreiber gewinnt die formale Behandlung von Skill-Erweiterungen als Changes zusätzliche Bedeutung, da jederzeit nachgewiesen werden muss, dass der sichere Betrieb nicht durch ungeprüfte funktionale Erweiterungen beeinträchtigt wird. Auch die NIS2-Richtlinie verlangt ausdrücklich, dass Änderungen an Systemen mit potenzieller Auswirkung auf die Cyber-Sicherheit kontrolliert, dokumentiert und in das übergreifende Risikomanagement eingebettet sind.
Change-Management bildet damit die Schnittstelle zwischen technischer Weiterentwicklung und regulatorischer Steuerbarkeit. Erst wenn Skill-Erweiterungen konsequent als Änderungen behandelt werden, lassen sich dynamische agentische Systeme mit den Anforderungen an Stabilität, Nachvollziehbarkeit und Auditierbarkeit vereinbaren.
Schutzbedarf, Datenklassifizierung und Wirkpfade
Zentral für die Bewertung eines Skills ist die Frage, welche Daten er verarbeitet und welche Prozesse er beeinflusst. Der BSI-Grundschutz verlangt, dass jede Komponente im Informationsverbund einer klaren Schutzbedarfsfeststellung unterzogen wird. Diese orientiert sich an den potenziellen Auswirkungen auf Verfügbarkeit, Integrität, Vertraulichkeit und Nachvollziehbarkeit und ist stets kontextbezogen vorzunehmen. Ein Skill, der ausschließlich öffentlich zugängliche Informationen verarbeitet und keine operativen Prozesse beeinflusst, ist anders zu bewerten als ein Skill, der Zugriff auf personenbezogene Daten, Betriebs- oder Geschäftsgeheimnisse oder sicherheitskritische Systeminformationen hat.
Mit der Einbindung eines Skills kann sich der Schutzbedarf einzelner Daten oder Prozesse erhöhen, auch wenn das Gesamtsystem zuvor als unkritisch eingestuft war. Diese mögliche Schutzbedarfsverschiebung ist explizit zu berücksichtigen, da sie unmittelbare Auswirkungen auf Art und Intensität der erforderlichen Sicherheitsmaßnahmen hat. Eng damit verknüpft ist die Klassifizierung der betroffenen Informationen. Der BSI-Grundschutz fordert eine eindeutige Festlegung, welche Datenkategorien ein Skill verarbeitet, wie schutzwürdig diese sind und welche regulatorischen oder organisatorischen Anforderungen daraus resultieren. Insbesondere bei personenbezogenen Daten greifen zusätzliche rechtliche und organisatorische Verpflichtungen, während bei sicherheitskritischen Informationen Auswirkungen auf den stabilen und sicheren Betrieb des gesamten Informationsverbunds entstehen können.
Für die sicherheitstechnische Bewertung ist nicht die beabsichtigte oder dokumentierte Funktion eines Skills ausschlaggebend, sondern sein tatsächlicher Wirkpfad im System. Der BSI-Grundschutz verlangt ein belastbares Verständnis darüber, wie Komponenten real miteinander interagieren. Für Skills bedeutet dies, dass nachvollziehbar sein muss, welche Systeme sie adressieren, welche Daten sie lesen oder verändern, welche externen Kommunikationsbeziehungen entstehen und welche Folgeaktionen direkt oder indirekt ausgelöst werden können.
In agentischen Architekturen können solche Wirkpfade komplex sein, da Skills miteinander kombiniert, kaskadiert oder durch andere Komponenten aktiviert werden. Ein scheinbar unkritischer Skill kann dadurch Teil einer Wirkungskette werden, deren Gesamtauswirkung deutlich über seine isolierte Funktion hinausgeht. Ohne diese Transparenz ist keine belastbare Risikobewertung möglich. Weder lässt sich verlässlich beurteilen, ob bestehende Schutzmaßnahmen ausreichend sind, noch kann nachvollzogen werden, welche Folgen ein Fehlverhalten oder Missbrauch eines Skills hätte.
Aus Sicht der ISO/IEC 27001 stellt eine fehlende Analyse tatsächlicher Wirkpfade einen unvollständigen Risikobewertungsprozess dar. Für nach dem BSIG regulierte Organisationen und insbesondere für KRITIS-Betreiber ist diese Transparenz zwingend erforderlich, da der sichere Betrieb nur dann nachweisbar ist, wenn Abhängigkeiten und Wirkzusammenhänge vollständig verstanden sind. Auch die NIS2-Richtlinie verlangt explizit, Risiken entlang der gesamten digitalen Wertschöpfungskette zu identifizieren und zu bewerten. Skills, deren reale Wirkpfade unbekannt oder nur unzureichend dokumentiert sind, stellen in diesem Kontext ein nicht akzeptables Restrisiko dar.
Technischer Betrieb: Protokollierung und Monitoring
Aus technischer Sicht sind Skills als Anwendungen oder Anwendungskomponenten zu behandeln, die aktiv am Systembetrieb teilnehmen. Sie werden ausgeführt, greifen auf Ressourcen zu, interagieren mit anderen Komponenten und können eigenständig Aktionen auslösen. Der BSI-Grundschutz fordert entsprechend, dass ihr Betrieb kontrolliert, nachvollziehbar und jederzeit überprüfbar gestaltet ist. Skills dürfen nicht als implizite Logik innerhalb eines KI-Systems verborgen bleiben, sondern müssen betrieblich genauso behandelt werden wie andere produktive Softwarekomponenten im Informationsverbund.
Ein zentrales Element des kontrollierten Betriebs ist die Protokollierung sicherheitsrelevanter Ereignisse. Der BSI-Grundschutz verlangt, dass Ereignisse mit potenzieller Sicherheitsrelevanz vollständig, nachvollziehbar und auswertbar erfasst werden. Für Skills bedeutet dies, dass ihre Nutzung, ausgeführte Aktionen, relevante Zustandsänderungen sowie Fehl- und Ausnahmezustände protokolliert werden müssen. Dabei genügt es nicht, lediglich technische Fehlermeldungen zu erfassen. Entscheidend ist, dass sicherheitsrelevante Wirkungen eines Skills nachvollziehbar bleiben, etwa Zugriffe auf sensible Daten, ausgelöste Folgeaktionen oder der Aufbau externer Kommunikationsbeziehungen. Nur so lässt sich im Nachhinein rekonstruieren, was ein Skill tatsächlich getan hat und in welchem betrieblichen Kontext dies erfolgt ist.
Ohne eine solche Protokollierung ist weder eine belastbare Vorfallanalyse noch eine rechtssichere Nachvollziehbarkeit möglich. Der BSI-Grundschutz behandelt Nachvollziehbarkeit als eigenständiges Schutzziel, insbesondere in komplexen Systemen mit automatisierten Entscheidungs- und Aktionsketten. Fehlen aussagekräftige Protokolle, können Sicherheitsvorfälle nicht aufgeklärt, Verantwortlichkeiten nicht eindeutig zugeordnet und Auswirkungen nicht zuverlässig bewertet werden. In Audits wird ein unzureichendes Logging daher regelmäßig als erheblicher Mangel eingestuft.
Eng mit der Protokollierung verknüpft ist das kontinuierliche Monitoring des Systembetriebs. Der BSI-Grundschutz fordert, dass IT-Systeme laufend überwacht werden, um Abweichungen vom erwarteten Verhalten frühzeitig zu erkennen. Für agentische KI-Systeme bedeutet dies, dass nicht nur die Verfügbarkeit der zugrunde liegenden Plattform, sondern auch das Verhalten der eingebundenen Skills beobachtet werden muss. Monitoring ist dabei keine optionale Zusatzfunktion, sondern eine grundlegende Voraussetzung für einen beherrschten Betrieb. Gerade weil Skills dynamisch eingebunden werden und ihr Zusammenspiel komplexe Wirkpfade erzeugen kann, ist eine kontinuierliche Beobachtung notwendig, um Fehlverhalten, Missbrauch oder unerwartete Effekte rechtzeitig zu erkennen.
Diese Anforderungen stehen im Einklang mit den Vorgaben der ISO/IEC 27001, die eine angemessene Überwachung und Protokollierung der Informationsverarbeitung fordert, sowie mit den Erwartungen aus dem BSIG-Umfeld, insbesondere für KRITIS-Betreiber. Dort ist die Fähigkeit zur zeitnahen Erkennung, Analyse und Reaktion auf sicherheitsrelevante Ereignisse ein zentraler Bestandteil des nachzuweisenden Sicherheitsniveaus. Auch die NIS2-Richtlinie betont die Bedeutung von Detektion und Monitoring als integrale Elemente eines wirksamen Cyber-Risikomanagements.
Begrenzung von Rechten und Wirkungen
Ein zentrales Sicherheitsprinzip des BSI-Grundschutzes ist die konsequente Begrenzung von Rechten und Wirkungen. Jede Komponente im Informationsverbund darf ausschließlich über diejenigen Berechtigungen verfügen, die für die Erfüllung ihrer jeweiligen Aufgabe zwingend erforderlich sind. Dieses Prinzip gilt in besonderem Maße für Skill-Erweiterungen, da sie ausführbaren Code darstellen, der aktiv in Prozesse eingreift und Entscheidungen vorbereitet oder auslösen kann. Skills dürfen daher nicht mit pauschalen oder übergreifenden Systemrechten ausgestattet werden, sondern müssen strikt entlang ihres vorgesehenen Wirkungsbereichs begrenzt werden.
Der BSI-Grundschutz fordert, dass Zugriffsmöglichkeiten und Aktionsrechte so gestaltet sind, dass Fehlfunktionen, Fehlbedienungen oder Missbrauch keine unverhältnismäßigen Auswirkungen entfalten können. Für Skills bedeutet dies, dass ihre Berechtigungen nicht nur funktional, sondern auch wirkungsbezogen bewertet werden müssen. Die folgende Tabelle zeigt die differenzierte Rechtevergabe nach Skill-Typ:
| Skill-Typ | Charakteristik | Zulässige Rechte | Unzulässige Rechte |
|---|---|---|---|
| Informations-Skills | Aggregieren und Analysieren von Daten | Leserechte auf definierte Datenquellen | Schreib- oder Steuerungsrechte |
| Aktions-Skills | Ausführung operativer Prozesse | Begrenzte Schreib-/Steuerungsrechte im definierten Wirkungsbereich | Systemweite oder administrative Rechte |
| Autonome Skills | Selbstständige Entscheidungen mit irreversiblen Folgen | Nur mit zusätzlichen Kontrollmechanismen und expliziten Freigaben | Unbegrenzte oder unkontrollierte Aktionsrechte |
Besonders kritisch sind autonome oder irreversible Aktionen, etwa das Auslösen externer Transaktionen, das Verändern von Systemzuständen oder das Treffen bindender Entscheidungen. Solche Wirkungen dürfen nicht unbegrenzt oder unkontrolliert ermöglicht werden, sondern müssen an zusätzliche technische oder organisatorische Kontrollmechanismen gebunden sein.
Aus Sicht einer verantwortungsvollen Governance genügt es nicht, sich auf die intendierte oder dokumentierte Funktion eines Skills zu verlassen. Entscheidend ist, welche Wirkungen er im Fehler-, Missbrauchs- oder Grenzfall entfalten kann. Der BSI-Grundschutz verlangt hier eine vorsorgende Gestaltung, bei der auch unerwünschte Szenarien systematisch berücksichtigt werden. Technische Sperren, klar definierte Aktionsgrenzen oder die Kopplung bestimmter Aktionen an explizite Freigaben sind geeignete Mittel zur Wirkungsbegrenzung. In besonders sensiblen Anwendungsfällen kann es erforderlich sein, menschliche Kontrollinstanzen einzubinden, um sicherzustellen, dass Entscheidungen mit erheblicher Tragweite nicht vollständig automatisiert erfolgen.
Für nach dem BSIG regulierte Organisationen und insbesondere für KRITIS-Betreiber gewinnt die Begrenzung von Wirkungen zusätzliche Bedeutung, da hier jede unkontrollierte Aktion potenziell Auswirkungen auf den sicheren Betrieb kritischer Dienstleistungen haben kann. Auch die NIS2-Richtlinie fordert, dass Systeme so gestaltet sein müssen, dass Risiken durch Fehlverhalten oder Missbrauch einzelner Komponenten wirksam begrenzt werden.
Skalierte Governance nach Wirkungsgrad
Nicht jeder Skill erfordert dieselbe Tiefe an sicherheitstechnischen und organisatorischen Maßnahmen. Maßgeblich ist sein tatsächlicher Wirkungsgrad innerhalb des Informationsverbunds. Der BSI-Grundschutz ist ausdrücklich risikoorientiert aufgebaut und verlangt keine pauschale Gleichbehandlung aller Komponenten, sondern eine angemessene Ausgestaltung von Maßnahmen in Abhängigkeit von Schutzbedarf, Kritikalität und Wirkung. Reine Informations- oder Analyse-Skills, die weder operative Prozesse verändern noch sensible Daten verarbeiten, können daher mit geringerem Aufwand integriert werden als Skills, die aktiv in Systeme eingreifen, Entscheidungen automatisieren oder eigenständig Aktionen auslösen.
Diese abgestufte Betrachtung ist ein zentrales Element wirksamer Governance und entspricht unmittelbar den Grundprinzipien des BSI-Grundschutzes. Sicherheitsmaßnahmen sollen angemessen, wirksam und verhältnismäßig sein. Eine undifferenzierte Überregulierung aller Skills würde unnötige Komplexität erzeugen und die Akzeptanz von Sicherheitsprozessen untergraben. Umgekehrt führt eine Unterschätzung von aktionsfähigen oder autonomen Skills zu systematischen Risiken, da deren Wirkungspotenzial nicht ausreichend begrenzt und kontrolliert wird.
In diesem Ansatz erhält jeder Skill einen eigenen Governance-Footprint, der sich aus Schutzbedarf, Wirkpfad und Autonomiegrad ableitet. Dieser Footprint bestimmt, welche organisatorischen, technischen und betrieblichen Maßnahmen erforderlich sind, etwa hinsichtlich Freigabeprozessen, Dokumentationstiefe, Monitoring-Intensität oder zusätzlicher Kontrollmechanismen. Der Skill wird damit nicht isoliert betrachtet, sondern stets im Kontext des gesamten Informationsverbunds eingeordnet.
Die folgende Tabelle illustriert die abgestufte Governance-Anforderung:
| Wirkungsgrad | Beispiele | Freigabeprozess | Dokumentation | Monitoring | Zusätzliche Kontrollen |
|---|---|---|---|---|---|
| Niedrig | Informationsaggregation aus öffentlichen Quellen, Lesezugriffe ohne operative Wirkung | Vereinfachtes Verfahren | Basisinformationen | Standard-Monitoring | Nicht erforderlich |
| Mittel | Datenanalyse mit Zugriff auf interne Informationen, Vorbereitung von Entscheidungen | Standard-Change | Erweiterte Dokumentation | Intensiviertes Monitoring | Bei sensiblen Daten |
| Hoch | Operative Systemsteuerung, automatisierte Entscheidungen, irreversible Aktionen | Erweitertes Verfahren mit Vier-Augen-Prinzip | Vollständige Dokumentation inklusive Wirkpfadanalyse | Kontinuierliches Echtzeit-Monitoring | Freigabeschwellen, technische Sperren, menschliche Kontrollinstanzen |
Änderungen am Wirkungsgrad, etwa durch funktionale Erweiterungen, neue Abhängigkeiten oder veränderte Einsatzszenarien, erfordern folgerichtig eine Anpassung dieses Governance-Footprints. Diese risikoadaptive Vorgehensweise steht im Einklang mit den Anforderungen der ISO/IEC 27001, die eine risikobasierte Auswahl und Umsetzung von Sicherheitsmaßnahmen fordert. Auch die NIS2-Richtlinie greift diesen Ansatz explizit auf, indem sie verlangt, Risiken differenziert zu bewerten und Maßnahmen entlang der tatsächlichen Gefährdungslage auszurichten.
Skalierte Governance bedeutet nicht, auf formale Prozesse zu verzichten. Auch Skills mit geringem Wirkungsgrad müssen klassifiziert, bewertet und dem Informationsverbund zugeordnet werden. Der Unterschied liegt ausschließlich in Tiefe und Intensität der umzusetzenden Maßnahmen, nicht in deren grundsätzlicher Existenz.
Kontinuierliche Neubewertung und Lebenszyklus
Sicherheit ist im Verständnis des BSI-Grundschutzes kein statischer Zustand, sondern ein fortlaufender Prozess. Systeme, Komponenten und ihre Wechselwirkungen unterliegen einem Lebenszyklus, in dem sich Risiken kontinuierlich verändern können. Für Skill-Erweiterungen gilt dies in besonderem Maße. Neue Bedrohungslagen, aktualisierte Abhängigkeiten, veränderte Nutzungsweisen oder funktionale Erweiterungen können den Risikozustand eines Skills erheblich verändern, auch wenn sich seine ursprüngliche Zweckbestimmung formal nicht geändert hat.
Der BSI-Grundschutz verlangt, dass sicherheitsrelevante Komponenten regelmäßig überprüft und neu bewertet werden. Diese Anforderung ergibt sich unmittelbar aus dem Anspruch, den Informationsverbund jederzeit beherrscht zu halten. Skills müssen deshalb über ihren gesamten Lebenszyklus hinweg betrachtet werden, von der Einführung über den laufenden Betrieb bis hin zur kontrollierten Außerbetriebnahme. Eine einmalige Bewertung vor der Integration stellt lediglich eine Momentaufnahme dar. Sobald sich Rahmenbedingungen ändern, etwa durch neue Abhängigkeiten, veränderte Datenflüsse, geänderte Einsatzszenarien oder neue Angriffsmuster, ist eine erneute Bewertung erforderlich.
Für den Betrieb agentischer KI-Systeme bedeutet dies, dass Organisationen jederzeit auskunftsfähig sein müssen. Es muss nachvollziehbar sein, welche Skills aktuell aktiv sind, welche Funktionen und Wirkungen sie entfalten, welchem Schutzbedarf sie zugeordnet sind und wann sie zuletzt sicherheitstechnisch überprüft wurden. Diese Transparenz ist keine optionale Managementmaßnahme, sondern eine grundlegende Voraussetzung für Auditierbarkeit und aufsichtsrechtliche Nachvollziehbarkeit. Fehlt sie, kann weder belegt werden, dass Risiken beherrscht werden, noch dass regulatorische Anforderungen dauerhaft eingehalten sind.
Auch die ISO/IEC 27001 fordert diese kontinuierliche Neubewertung ausdrücklich. Das dort verankerte Risikomanagement ist als fortlaufender Prozess ausgelegt, der Veränderungen an Systemen, Bedrohungslagen oder Nutzungskontexten systematisch berücksichtigt. Für nach dem BSIG regulierte Organisationen und insbesondere für KRITIS-Betreiber verschärft sich diese Pflicht zusätzlich. Aufsichtsbehörden erwarten, dass der sichere Betrieb nicht nur initial hergestellt, sondern dauerhaft gewährleistet wird. Skills, deren aktueller Zustand, Wirkung oder Bewertung nicht bekannt ist, stellen in diesem Umfeld ein nicht akzeptables Betriebsrisiko dar.
Die NIS2-Richtlinie greift diesen Gedanken auf, indem sie verlangt, Cyber-Risiken fortlaufend zu überwachen und getroffene Maßnahmen regelmäßig auf ihre Wirksamkeit zu überprüfen. Dynamisch eingebundene Skills fallen unmittelbar in diesen Anwendungsbereich. Sie können sich durch externe Entwicklungen oder interne Änderungen zu neuen Risikotreibern entwickeln, ohne dass dies auf den ersten Blick erkennbar ist. Die Betrachtung des Skill-Lebenszyklus umfasst schließlich auch die kontrollierte Außerbetriebnahme. Wird ein Skill nicht mehr benötigt, erweist sich als risikobehaftet oder erfüllt regulatorische Anforderungen nicht mehr, muss er nachvollziehbar deaktiviert oder entfernt werden können.
Audit- und Haftungsperspektive
Aus Sicht von Audits ist entscheidend, dass Skill-Erweiterungen nachvollziehbar, vollständig und konsistent in den Informationsverbund eingebettet sind. Auditoren bewerten nicht die technische Eleganz oder den Innovationsgrad agentischer KI-Systeme, sondern prüfen, ob der tatsächlich betriebene Systemzustand mit der dokumentierten Governance übereinstimmt. Im Verständnis des BSI-Grundschutzes bedeutet dies, dass Skills als eigenständige Komponenten identifizierbar sein müssen, deren Schutzbedarf, Wirkpfade, Freigaben und betriebliche Einbindung nachvollziehbar dokumentiert sind.
Audits folgen dabei einer klaren Prüflogik: Ist ersichtlich, welche Skills aktiv sind, auf welcher Grundlage sie freigegeben wurden, welche Risiken identifiziert wurden und wie diese adressiert sind? Besteht eine durchgängige Verbindung zwischen Informationssicherheitsleitlinie, Risikoanalyse, Change-Management und technischem Betrieb? Fehlt diese Nachvollziehbarkeit, entsteht aus Audit-Sicht ein Bruch zwischen Soll- und Ist-Zustand. Der BSI-Grundschutz bewertet solche Brüche regelmäßig als Abweichungen oder Mängel, da sie die Beherrschbarkeit des Informationsverbunds infrage stellen. Auch die ISO/IEC 27001 verlangt explizit, dass Änderungen an der Informationsverarbeitung dokumentiert, bewertet und im Betrieb überprüfbar sind.
Für nach dem BSIG regulierte Organisationen und insbesondere für KRITIS-Betreiber verschärft sich diese Perspektive weiter. Aufsichtsbehörden erwarten, dass der sichere Betrieb kritischer Dienstleistungen jederzeit belegbar ist. Dynamisch eingebundene Skills dürfen daher keine unsichtbaren Funktionserweiterungen darstellen. Vielmehr muss nachweisbar sein, dass sie in das bestehende Sicherheits- und Risikomanagement integriert sind. Auch die NIS2-Richtlinie legt den Fokus klar auf Nachweisfähigkeit: Organisationen müssen zeigen können, dass Risiken erkannt, bewertet und gesteuert werden.
Im Schadensfall verschiebt sich der Blick von der Audit- zur Haftungsperspektive. Unabhängig davon, ob ein Skill intern entwickelt oder extern bezogen wurde, verbleibt die Verantwortung beim Betreiber des Systems. Technische Modularität oder externe Herkunft entbinden nicht von Haftung. Entscheidend ist, ob der Betreiber seiner Organisations-, Kontroll- und Sorgfaltspflicht nachgekommen ist. Eine saubere Umsetzung etablierter Governance- und Sicherheitsprinzipien bildet hier das zentrale Argumentationsfundament. Wer nachweisen kann, dass Skill-Erweiterungen klassifiziert, bewertet, formal freigegeben, überwacht und regelmäßig neu bewertet wurden, kann darlegen, dass Risiken bewusst und angemessen gesteuert wurden.
Fehlt diese Grundlage, entsteht im Schadensfall schnell der Vorwurf einer Organisations- oder Aufsichtspflichtverletzung. Insbesondere bei autonomen oder aktionsfähigen Skills kann dies erhebliche rechtliche und finanzielle Konsequenzen nach sich ziehen. Aus Sicht des BSI-Grundschutzes ist Governance daher nicht nur ein Mittel zur Regelkonformität, sondern ein Instrument zur Haftungsprävention. Sie schafft die Voraussetzungen dafür, Verantwortung klar zuzuordnen, Entscheidungen nachvollziehbar zu machen und Risiken rechtlich belastbar einzuordnen.
Fazit: Skill-Governance als strategische Fähigkeit
Skill-Erweiterungen sind für regulierte und zertifizierte Unternehmen Governance-Ereignisse erster Ordnung. Sie verändern nicht nur punktuell die Funktionalität eines Systems, sondern wirken unmittelbar auf Systemverhalten, Risikoexposition und Verantwortlichkeiten ein. Aus Sicht des BSI-Grundschutzes stellen sie sicherheitsrelevante Systemänderungen dar, da sie neue Wirkpfade, Datenflüsse und Entscheidungslogiken in den Informationsverbund einbringen.
Skills dürfen daher nicht als technische Randerscheinung behandelt werden, sondern müssen vor dem Einspielen systematisch klassifiziert, hinsichtlich Schutzbedarf und Wirkpfad bewertet, in ihren Rechten und Wirkungen begrenzt, formal freigegeben und über ihren gesamten Lebenszyklus hinweg überwacht und regelmäßig neu bewertet werden. Diese Anforderungen sind kein Sonderfall agentischer KI, sondern die konsequente Anwendung etablierter Sicherheits- und Governance-Prinzipien auf eine neue technische Realität.
ISO/IEC 27001 fordert die risikobasierte Steuerung von Änderungen an der Informationsverarbeitung, der BSI-Grundschutz verlangt die durchgängige Beherrschbarkeit des Informationsverbunds, das BSIG und die KRITIS-Regulierung setzen einen jederzeit nachweisbaren sicheren Betrieb voraus, und NIS2 fordert explizit die Kontrolle von Risiken entlang der digitalen Lieferkette. Skill-Erweiterungen berühren all diese Dimensionen gleichzeitig. Werden sie ohne formale Einbettung integriert, entsteht eine strukturelle Lücke zwischen dokumentierter Governance und realem Betrieb, die weder audit- noch aufsichtsrechtlich haltbar ist.
Agentische KI ist daher nur dann tragfähig, wenn ihre Erweiterbarkeit nicht im Widerspruch zu Regulierung, Zertifizierung und grundlegenden Sicherheitsprinzipien steht. Dynamik und Modularität entbinden nicht von Verantwortung, sondern erhöhen sie. Eine konsequente, skalierte Skill-Governance schafft hier den notwendigen Ausgleich. Sie ermöglicht Innovation, ohne die Beherrschbarkeit von Systemen aufzugeben, und erlaubt es Organisationen, agentische KI sicher, regelkonform und haftungsfest zu betreiben.
Damit wird Skill-Governance zu einer strategischen Fähigkeit. Sie entscheidet darüber, ob agentische KI in regulierten Umgebungen als kontrollierbares Werkzeug eingesetzt werden kann oder sich zu einem Risikotreiber entwickelt, der bestehende Sicherheits-, Compliance- und Haftungsstrukturen untergräbt. Wer bei der Einordnung, Umsetzung oder Bewertung solcher Skill-Erweiterungen Unterstützung benötigt, kann sich gerne melden. Ich unterstütze Unternehmen dabei, agentische KI-Systeme so zu gestalten und zu betreiben, dass sie mit bestehenden Governance-, Sicherheits- und Zertifizierungsanforderungen vereinbar bleiben und nicht vom genehmigten Soll-Zustand abweichen.
Dies gilt ausdrücklich auch für israelische Startups, die Lösungen für regulierte Umgebungen entwickeln. Gerade in frühen Entwicklungsphasen lassen sich Architektur-, Betriebs- und Governance-Entscheidungen so ausrichten, dass Software die Anforderungen regulierter Betreiber von Beginn an unterstützt und den späteren Einsatz in zertifizierten Informationsverbünden nicht unnötig erschwert. Die internationale Perspektive zeigt: Wer europäische Standards erfüllt, ist gut positioniert für globale Märkte, da EU-Anforderungen oft den höchsten gemeinsamen Nenner darstellen. Eine hybride Governance-Architektur, die ISO-Standards als Basis nutzt und jurisdiktionsspezifisch erweitert wird, vermeidet spätere kostspielige Anpassungen.
Ziel ist es, Innovation und regulatorische Realität frühzeitig zusammenzuführen, damit leistungsfähige agentische KI nicht an Compliance-Grenzen scheitert, sondern sicher, nachvollziehbar und verantwortbar in produktiven, regulierten Umgebungen eingesetzt werden kann.
Anmelden zu unserem Newsletter:
Schreibe einen Kommentar