Governance wird bei agentischer KI zum Schlüsselfaktor, sobald Workflows in regulierten Prozessen produktiv laufen sollen. Kyndryl führt dafür eine »Policy-as-Code«-Funktion ein, die Vorgaben maschinenlesbar macht, automatisch durchsetzt und Entscheidungen protokolliert. Ziel sind kontrollierbare KI-Agenten mit nachvollziehbaren Abläufen.

Kyndryl spricht von agentischer KI, wenn KI-Agenten Aufgaben nicht nur vorschlagen, sondern Schritte in IT- und Fachanwendungen ausführen. Das kann das Anstoßen von Workflows sein, das Anlegen von Tickets, das Abrufen und Abgleichen von Daten oder das Auslösen definierter Aktionen in mehreren Systemen. Damit steigt der Nutzen, aber auch das Risiko, weil Fehler nicht bei einem Text enden, sondern in Prozessen wirken.

Regulierung scheitert selten an der KI, sondern an der Kontrolle

In regulierten Umgebungen zählt weniger, ob ein Agent etwas kann, sondern ob sich belegen lässt, warum er etwas getan hat. Typische Fragen lauten: Welche Regel hat die Aktion erlaubt, welche Daten wurden genutzt, wer trägt die Verantwortung, und lässt sich der Ablauf später prüfen. Kyndryl verweist auf den eigenen Readiness Report 2025, in dem 31 Prozent der Kunden regulatorische oder Compliance-Bedenken als zentrales Hindernis für die Skalierung nennen.

Anzeige

Policy-as-Code-Funktion übersetzt Vorgaben in maschinenlesbare Regeln

Die neue Policy-as-Code-Funktion soll interne Richtlinien, regulatorische Anforderungen und operative Kontrollen in Regeln übersetzen, die Systeme automatisch auswerten können. Diese Regeln steuern dann, welche Schritte ein KI-Agent innerhalb eines Workflows ausführen darf. Alles außerhalb der Vorgaben soll blockiert werden. Das verschiebt Compliance von der nachträglichen Prüfung hin zur technischen Durchsetzung während der Ausführung.

Governance-Schicht soll Verhalten begrenzen und Entscheidungen nachvollziehbar machen

Kyndryl ordnet die Funktion dem Kyndryl Agentic AI Framework zu. Dort bildet sie eine zusätzliche Steuerungsebene, die festlegt, wie Agenten in unterschiedlichen Systemen agieren und miteinander interagieren dürfen. Ziel ist, unerwartetes Verhalten in produktiven Umgebungen zu reduzieren und Entscheidungen besser nachvollziehbar zu machen.

Vier Bausteine sollen Risiko und Fehlverhalten reduzieren

Kyndryl nennt Funktionen, die die Richtliniensteuerung ergänzen:

• Deterministische Ausführung: Agenten führen nur Aktionen aus, die durch vordefinierte Richtlinien erlaubt sind.
• Reduzierung von Halluzinationseffekten: Leitplanken blockieren unvorhersehbare oder nicht autorisierte Schritte entlang des Workflows.
• Transparenz durch Audit-by-Design: Jede Aktion und Entscheidung wird protokolliert und bleibt nachvollziehbar.
• Menschliche Aufsicht: Ein Dashboard soll Überwachung und Eingriffe unterstützen, um konsistente Entscheidungen sicherzustellen.

Kyndryl verspricht Leitplanken statt Vertrauensvorschuss

»Mit »Policy as Code« schaffen wir klare Leitplanken für den Einsatz von KI-Agenten«, sagte Ismail Amla, Senior Vice President bei Kyndryl Consult. »Unternehmensinterne und regulatorische Vorgaben werden direkt in die Systeme eingebaut. So entstehen KI-Workflows, die transparent, nachvollziehbar und jederzeit regelkonform arbeiten.«

Entscheidend sind saubere Regeln und klare Zuständigkeiten

Auch mit Policy-as-Code bleibt Governance eine Organisationsaufgabe. Richtlinien müssen eindeutig sein, Versionen müssen gepflegt werden, Freigaben brauchen Zuständigkeiten, und Protokolle müssen zu Audit- und Aufbewahrungsanforderungen passen. Besonders kritisch ist das Zusammenspiel mit Identitäts- und Berechtigungsmanagement, weil ein Agent am Ende nur so kontrolliert ist wie seine Rechte.

Zielgruppen sind Bereiche mit hohem Nachweisbedarf

Kyndryl sieht den Einsatz vor allem in stark regulierten Feldern wie Finanzdienstleistungen, öffentlicher Verwaltung oder Lieferketten. Dort zählen Verlässlichkeit und Nachvollziehbarkeit mehr als maximale Autonomie. Als Grundlage nennt der Anbieter zudem operative Erfahrung und nach Anbieterangaben rund 190 Millionen Automatisierungen pro Monat in geschäftskritischen Systemen.