Von Governance-Standards zu Durchsetzbaren Kontrollen: Neue Methode für Agentic AI

Agentic KI-Systeme planen, nutzen Werkzeuge, behalten Zustände bei und erzeugen mehrstufige Handlungsabläufe mit externen Auswirkungen. Diese Eigenschaften stellen ein Governance‑Problem dar, das sich grundlegend von generativen Modellen mit einmaliger Ausgabe unterscheidet: wesentliche Risiken entstehen erst während der Ausführung, nicht nur bei der Entwicklung oder dem Deployment.

Standards wie ISO/IEC 42001, ISO/IEC 23894, ISO/IEC 42005, ISO/IEC 5338, ISO/IEC 38507 und das NIST AI Risk Management Framework sind für Agentic KI von großer Bedeutung. Sie liefern jedoch keine sofort umsetzbaren Runtime‑Guardrails. Das neue Papier schlägt deshalb eine mehrschichtige Übersetzungsmethode vor, die Governance‑Ziele aus den Standards mit vier Kontrollschichten verbindet: Governance‑Ziele, Design‑Time‑Constraints, Runtime‑Mediation und Assurance‑Feedback.

Die Methode trennt klar Governance‑Ziele, technische Kontrollen, Runtime‑Guardrails und Assurance‑Beweise. Sie führt ein Kontroll‑Tuple und ein Rubrik‑System zur Laufzeit‑Durchsetzbarkeit ein, um die Zuordnung zu den jeweiligen Schichten zu bestimmen. In einer Fallstudie zu einem Beschaffungsagenten demonstriert die Arbeit die praktische Anwendung der Methode.

Die zentrale Aussage bleibt bescheiden: Standards sollten die Platzierung von Kontrollen in Architektur, Laufzeit‑Politik, menschlicher Eskalation und Audit leiten, während Runtime‑Guardrails ausschließlich für Kontrollen reserviert sind, die beobachtbar, bestimmbar und zeitkritisch genug sind, um eine Intervention zur Laufzeit zu rechtfertigen.