Was erschwert Unternehmen die Integration von KI-Agenten in Unternehmenssysteme?

Viele Unternehmen beschäftigen sich gerade mit KI-Agenten. Die Idee klingt stark: Ein System, das nicht nur Antworten gibt, sondern Aufgaben eigenständig ausführt, Informationen aus verschiedenen Systemen zusammenführt, Entscheidungen vorbereitet und Prozesse automatisiert.

In der Praxis zeigt sich aber schnell: Zwischen einem beeindruckenden Demo-Agenten und einem stabilen Agenten im Unternehmensalltag liegt ein ziemlich großer Unterschied.

Ein KI-Agent, der intern eingesetzt wird, braucht Zugriff auf Daten, Anwendungen, Rollen, Berechtigungen, Prozesslogik und oft auch auf personenbezogene Informationen. Er muss mit bestehenden Systemen zusammenspielen, zuverlässig genug sein, kontrollierbar bleiben und in den Arbeitsalltag der Nutzer passen.

Genau daran scheitern viele Projekte – nicht, weil die KI-Modelle zu schlecht wären, sondern weil die Umgebung noch nicht bereit ist. Der MIT/NANDA-Report beschreibt diese Lücke sehr deutlich: Das Problem liegt nicht primär in der Qualität der Modelle, sondern in der Fähigkeit von Unternehmen, KI sinnvoll in Prozesse, Systeme und Arbeitsweisen zu integrieren. Nur ein kleiner Teil integrierter GenAI-Piloten erzeugt messbaren wirtschaftlichen Effekt. Quelle: MIT / NANDA Report 2025

Ein klassischer Chatbot beantwortet Fragen. Ein KI-Agent geht einen Schritt weiter.

Er kann ein Ziel verfolgen, Zwischenschritte planen, Tools nutzen, Daten abrufen, Aktionen auslösen und Ergebnisse überprüfen. Ein Agent könnte zum Beispiel eingehende E-Mails analysieren, passende Kundendaten abrufen, einen Antwortentwurf erstellen, Termine prüfen und eine Folgeaufgabe im CRM anlegen.

Das klingt nach Automatisierung mit Superkräften. Aber genau diese Fähigkeiten machen die Integration anspruchsvoll. Denn sobald ein Agent nicht nur liest, sondern handelt, entstehen neue Anforderungen an Sicherheit, Datenqualität, Berechtigungen, Nachvollziehbarkeit und Prozessdesign.

Ein KI-Agent ist deshalb nicht einfach "ChatGPT mit Zugriff auf Unternehmensdaten". Er ist eher eine neue Schicht zwischen Menschen, Daten und operativen Systemen.

Viele Unternehmenssysteme wurden für menschliche Nutzer entwickelt. Menschen klicken sich durch Masken, prüfen Zwischenergebnisse, interpretieren Sonderfälle und wissen aus Erfahrung, wann ein Prozess nicht ganz sauber läuft.

KI-Agenten brauchen dagegen klare Schnittstellen. Sie benötigen APIs, saubere Datenmodelle, stabile Berechtigungen und eindeutige Prozesslogik. In vielen Unternehmen ist genau das nicht durchgängig vorhanden.

Gerade im Mittelstand sieht die Realität oft so aus: Microsoft 365, ein ERP-System, ein CRM, Netzlaufwerke, SharePoint-Strukturen, Fachanwendungen, Excel-Listen und historisch gewachsene Sonderlösungen. Vieles funktioniert im Alltag, aber nicht unbedingt so, dass ein Agent zuverlässig darauf aufbauen kann.

Eine US-Enterprise-Umfrage von Tray.ai zeigt, wie stark dieses Thema auch in größeren Organisationen ist: 86 Prozent der befragten Enterprise-Technology-Professionals gingen davon aus, dass ihr Tech-Stack für den Einsatz von KI-Agenten modernisiert werden muss. Quelle: Tray.ai Survey

Das ist ein wichtiger Punkt: KI-Agenten scheitern selten am ersten Prompt. Sie scheitern oft an der Frage, ob sie sauber in die echten Systeme hineinkommen.

Agenten sind nur so gut wie die Informationen, mit denen sie arbeiten.

Wenn Dokumente veraltet sind, SharePoint-Strukturen unklar gepflegt werden, Prozesse nur in den Köpfen einzelner Mitarbeitender existieren oder wichtige Informationen über E-Mails verteilt sind, kann ein KI-Agent daraus keine stabile Automatisierung bauen.

McKinsey beschreibt Daten als zentrale Hürde für Agentic AI: Viele Unternehmen experimentieren zwar mit Agenten, aber nur ein kleiner Teil skaliert sie so, dass messbarer Wert entsteht. Gleichzeitig nennen acht von zehn Unternehmen Daten-Limitierungen als Hindernis beim Skalieren von KI-Agenten. Quelle: McKinsey: Building the foundations for agentic AI at scale

Das passt zur Praxis. Bei Wissensbots, E-Mail-Assistenten oder Prozessagenten geht es selten nur um das Modell. Es geht um Fragen wie: Welche Quelle ist verbindlich? Wer pflegt die Daten? Was passiert mit widersprüchlichen Informationen? Wie erkennt der Agent veraltete Dokumente? Welche Informationen darf er für welche Nutzergruppe verwenden?

Ohne diese Grundlagen entsteht schnell ein Vertrauensproblem. Der Agent gibt vielleicht zehnmal eine gute Antwort. Wenn aber die elfte Antwort auf einem alten Dokument basiert, zweifeln Nutzer am gesamten System.

Viele Prozesse sind nicht sauber dokumentiert. Sie funktionieren, weil erfahrene Mitarbeitende wissen, was gemeint ist.

Ein Beispiel: Eine Anfrage kommt rein. Offiziell gibt es einen Prozess. In Wirklichkeit schaut jemand zuerst in alte E-Mails, fragt kurz eine Kollegin, prüft eine Excel-Liste, macht eine Ausnahme für bestimmte Kunden und legt dann manuell etwas im System an.

Für Menschen ist das Alltag. Für einen Agenten ist es Chaos.

KI-Agenten brauchen nicht unbedingt perfekte Prozesse. Aber sie brauchen einen klaren ersten Anwendungsfall. Der Fehler vieler Projekte liegt darin, direkt einen zu großen Prozess automatisieren zu wollen.

Besser ist: einen schmalen Ausschnitt wählen, klare Eingaben definieren, ein messbares Ergebnis festlegen und bewusst entscheiden, wo noch ein Mensch prüft.

Ein Mensch hat ein Benutzerkonto. Er darf bestimmte Dateien sehen, bestimmte Anwendungen öffnen und bestimmte Aktionen ausführen.

Ein KI-Agent braucht ebenfalls Zugriff. Aber hier wird es schwieriger. Denn der Agent handelt im Auftrag eines Menschen, eines Teams oder eines Prozesses. Unternehmen müssen deshalb klären: Welche Identität hat der Agent? Greift er mit Nutzerrechten oder eigenen Rechten zu? Darf er nur lesen oder auch schreiben? Darf er E-Mails versenden, Tickets schließen oder Stammdaten ändern? Wie wird protokolliert, was der Agent getan hat? Was passiert, wenn der Agent eine falsche Aktion ausführt?

Gartner erwartet, dass ein erheblicher Teil agentischer KI-Projekte bis Ende 2027 wieder eingestellt wird, unter anderem wegen unklarem Geschäftswert, steigenden Kosten und unzureichenden Risikokontrollen. Diese Zahl ist eine Prognose, kein bereits beobachteter Endzustand – sie zeigt aber, wie wichtig ein kontrollierter und wirtschaftlich sauberer Einstieg ist. Quelle: Gartner: Agentic AI projects prediction

Gerade bei Agenten ist Sicherheit nicht nur ein IT-Thema. Es ist Teil des Produktdesigns. Ein Agent sollte nicht mehr Rechte haben, als er wirklich braucht. Besonders kritische Aktionen sollten zunächst eine menschliche Freigabe benötigen.

Ein normaler Chatbot kann falsche Antworten geben. Ein Agent kann falsche Aktionen ausführen.

Das ist ein großer Unterschied.

Wenn ein Agent externe Inhalte liest – zum Beispiel E-Mails, Webseiten, PDFs oder Tickets – kann er durch sogenannte Prompt-Injection-Angriffe manipuliert werden. Dabei stehen in einem Dokument oder einer Nachricht Anweisungen, die den Agenten dazu bringen sollen, seine eigentliche Aufgabe zu verändern.

Die OWASP Top 10 für LLM-Anwendungen zeigen, dass Risiken wie Prompt Injection, unsicheres Output-Handling oder sensible Informationsweitergabe nicht nur theoretisch sind. Bei Agenten mit Tool-Zugriff werden diese Risiken besonders relevant, weil aus einer falschen Antwort eine falsche Aktion werden kann. Quelle: OWASP Top 10 for LLM Applications

Bei Agenten mit Tool-Zugriff wird daraus ein praktisches Problem. Ein manipuliertes Dokument könnte versuchen, den Agenten dazu zu bringen, vertrauliche Informationen auszugeben, Daten falsch zusammenzufassen oder Aktionen auszulösen.

Deshalb reicht es nicht, einen Agenten „gut zu prompten". Unternehmen brauchen technische Schutzmaßnahmen: Rechtebegrenzung, Freigabeschritte, Logging, Monitoring, sichere Tool-Schnittstellen und klare Grenzen für autonome Aktionen.

In Europa spielt zusätzlich der EU AI Act eine wichtige Rolle. Er ist am 1. August 2024 in Kraft getreten und wird schrittweise wirksam. Erste Pflichten wie KI-Kompetenz und Verbote bestimmter KI-Praktiken gelten seit Februar 2025. Pflichten für General-Purpose-AI-Modelle und Governance-Regeln greifen seit August 2025. Viele zentrale Regeln werden ab August 2026 relevant, während einzelne Übergangsfristen und der vollständige Roll-out bis 2027 reichen. Quelle: Europäische Kommission: AI Act | EU AI Office: Timeline

Für Unternehmen bedeutet das: KI-Agenten müssen nicht nur technisch funktionieren. Sie müssen auch rechtlich sauber eingeordnet werden.

Besonders relevant wird das, wenn Agenten personenbezogene Daten verarbeiten, Entscheidungen vorbereiten, mit Mitarbeitenden- oder Kundendaten arbeiten oder in regulierten Bereichen eingesetzt werden.

Für deutsche Unternehmen ist das besonders relevant: Laut Bitkom zählen rechtliche Hürden und Unklarheiten sowie fehlendes technisches Know-how mit jeweils 53 Prozent zu den größten Hemmnissen beim KI-Einsatz. Fehlende personelle Ressourcen folgen mit 51 Prozent. Quelle: Bitkom Research: Künstliche Intelligenz 2025

Das heißt nicht, dass Unternehmen warten sollten, bis alles perfekt ist. Aber sie sollten KI-Projekte nicht komplett an Datenschutz, IT-Sicherheit und Compliance vorbeiplanen. Diese Themen gehören von Anfang an mit an den Tisch.

Ein Agent kann technisch funktionieren und trotzdem scheitern.

Warum? Weil ihn niemand nutzt.

Das passiert häufig, wenn Mitarbeitende nicht verstehen, was der Agent kann, wo seine Grenzen liegen und warum er ihnen Arbeit abnehmen soll. Oder wenn sie das Gefühl haben, ein System werde über ihre Köpfe hinweg eingeführt.

Gerade bei KI-Agenten ist Vertrauen entscheidend. Nutzer müssen wissen: Was macht der Agent automatisch? Was wird nur vorgeschlagen? Welche Daten nutzt er? Wo kann ich korrigieren? Wer ist verantwortlich, wenn etwas falsch läuft?

Wenn diese Fragen offen bleiben, entsteht schnell Widerstand. Manchmal offen, manchmal still. Dann wird der Agent formal eingeführt, aber im Alltag umgangen.

Deshalb ist KI-Einführung keine reine IT-Aufgabe. Sie ist auch Führungsaufgabe, Kommunikationsaufgabe und Prozessaufgabe.

Ein typisches Muster: Das Unternehmen sieht eine starke Demo und denkt direkt in sehr großen Zielen.

Der Agent soll Kundenservice, Vertrieb, Einkauf, interne Wissenssuche und Reporting auf einmal verbessern. Am besten mit Zugriff auf alle Systeme. Und natürlich sicher, DSGVO-konform, erklärbar und sofort produktiv.

Das ist verständlich, aber gefährlich.

Je größer der Scope, desto mehr Datenquellen, Berechtigungen, Sonderfälle, Prozessvarianten und Risiken kommen hinzu. Dadurch steigt nicht nur der Entwicklungsaufwand. Auch die Wahrscheinlichkeit steigt, dass das Projekt in Abstimmungen, Freigaben und Grundsatzdiskussionen stecken bleibt.

Besser ist ein klar begrenzter MVP. Ein guter erster Agent sollte eine echte Aufgabe lösen, aber nicht gleich das ganze Unternehmen umbauen. Er sollte früh mit echten Nutzern getestet werden, aber mit begrenztem Risiko. Und er sollte messbar sein: Spart er Zeit? Reduziert er Rückfragen? Verbessert er Antwortqualität? Beschleunigt er einen konkreten Prozess?

Viele Unternehmen überlegen: Bauen wir selbst oder kaufen wir eine fertige Lösung?

Die ehrliche Antwort lautet: Es kommt darauf an.

Standardisierte Anforderungen lassen sich oft gut mit bestehenden Tools lösen – zum Beispiel mit Microsoft 365, Copilot-Erweiterungen, Power Platform, spezialisierten SaaS-Lösungen oder bestehenden Automatisierungsplattformen.

Individuelle Prozesse brauchen dagegen häufig Custom-Integration. Vor allem dann, wenn interne Datenquellen, spezielle Rollenmodelle, eigene Workflows oder besondere Compliance-Anforderungen beteiligt sind.

Wichtig ist, nicht aus Prinzip alles selbst zu bauen. Genauso wenig sollte man blind ein Tool kaufen, das am Ende nicht in die eigene Systemlandschaft passt.

Der beste Weg ist oft hybrid: vorhandene Infrastruktur nutzen, Standardkomponenten einsetzen und nur dort individuell bauen, wo wirklich Differenzierung oder Prozessnähe entscheidend ist. Für viele mittelständische Unternehmen ist Microsoft 365 dabei ein guter Ausgangspunkt. Teams, Outlook und SharePoint sind oft schon vorhanden – und genau dort liegen viele Informationen und Arbeitsabläufe, die sich sinnvoll mit KI unterstützen lassen.

Die Unternehmen, die KI-Agenten erfolgreich integrieren, starten meistens nicht mit der Frage: „Welchen Agenten können wir bauen?"

Sie starten mit der Frage: „Welcher konkrete Prozess ist wichtig genug, klar genug und datenmäßig reif genug, damit sich Automatisierung lohnt?"

Dann schneiden sie den Anwendungsfall klein genug für einen MVP. Sie klären Datenzugriff, Berechtigungen und Verantwortlichkeiten früh. Sie bauen Kontrollmechanismen ein. Sie testen mit echten Nutzern. Und sie erweitern den Agenten erst, wenn die erste Version stabil Nutzen erzeugt.

Das klingt weniger nach Hype. Aber genau darin liegt der Unterschied.

KI-Agenten sind kein Plug-and-play-Wunder. Sie sind eine neue Automatisierungsschicht im Unternehmen. Damit sie funktioniert, müssen Daten, Prozesse, Systeme, Sicherheit und Menschen zusammenpassen.

KI-Agenten können Unternehmen enorm helfen. Aber nur, wenn sie nicht als isoliertes KI-Spielzeug betrachtet werden.

Der eigentliche Aufwand liegt nicht im schönen Chatfenster. Er liegt darunter: in den Schnittstellen, Datenquellen, Berechtigungen, Prozessen, Sicherheitsregeln und im Vertrauen der Nutzer.

Wer diese Grundlagen ernst nimmt, hat gute Chancen, aus einem Agenten mehr zu machen als eine Demo. Wer sie überspringt, landet schnell im nächsten Pilotprojekt, das technisch interessant ist, aber im Alltag kaum Wirkung entfaltet.