Agentic AI: Vom Chatbot zur handelnden Maschine

Seit zwei Jahren spricht die IT-Welt über Generative KI. Seit wenigen Monaten redet sie über Agentic AI – und meint damit etwas grundlegend anderes. Generative KI antwortet, wenn man sie fragt. Agentic AI handelt, wenn sie ein Ziel bekommt. Aus dem Auskunftsgeber wird ein Mitarbeiter auf Probe.

Gartner hat Agentic AI in den Strategic Technology Trends 2025 auf Platz 1 der strategischen Top-Technologietrends gesetzt und prognostiziert, dass bis 2028 rund ein Drittel aller Enterprise-Anwendungen agentische Funktionen enthalten wird. Microsoft, Salesforce, ServiceNow, SAP, Google, Anthropic, OpenAI – alle großen Plattformanbieter haben ihre Roadmaps darauf umgestellt. Wer heute über „KI im Unternehmen" spricht, spricht ab diesem Jahr faktisch über Agenten.

Grund genug, die wichtigste Frage vor allen Buzzwords sauber zu beantworten: Was ist Agentic AI eigentlich – und was bedeutet das für den Mittelstand?

Was ist Agentic AI? Eine belastbare Definition

Agentic AI bezeichnet KI-Systeme, die eigenständig Ziele verfolgen, Aufgaben in Teilschritte zerlegen, Werkzeuge nutzen und Entscheidungen treffen – ohne dass ein Mensch jeden einzelnen Schritt vorgibt. Ein Agent bekommt ein Ziel („Bearbeite die eingehenden Reklamationen und erstelle bis Freitag einen Report"), plant seinen Weg dorthin, nutzt die ihm zur Verfügung stehenden Systeme (E-Mail, CRM, Datenbank, Reporting-Tool) und liefert ein Ergebnis. Auf Wunsch meldet er zurück, wenn er unsicher ist.

Der Unterschied zu einem klassischen Chatbot oder einem generativen Sprachmodell ist fundamental:

Anders formuliert: Generative KI schreibt Ihnen einen E-Mail-Entwurf. Ein Agent liest Ihr Postfach, priorisiert, antwortet eigenständig auf Routineanfragen, legt Tickets an und eskaliert den Rest. Der Sprung ist derselbe wie vom Taschenrechner zum Tabellenkalkulationsprogramm.

Wie funktioniert ein KI-Agent technisch?

Ein produktiver AI Agent besteht aus sechs Bausteinen – und wer Agentic AI bewerten, einkaufen oder bauen will, sollte jeden davon verstanden haben.

1. Das Sprachmodell als „Gehirn". Ein leistungsfähiges Large Language Model (LLM) wie Claude, GPT, Gemini oder ein Open-Source-Modell. Es übernimmt Reasoning, Planung und Entscheidungslogik.


2. Tool-Use und Function Calling. Der Agent erhält Zugriff auf externe Funktionen – eine Datenbank, eine API, ein ERP-System, ein Ticketing-Tool. Er entscheidet selbst, welches Werkzeug er wann einsetzt. Der emergente Standard dafür heißt MCP (Model Context Protocol), ursprünglich von Anthropic initiiert, inzwischen von Microsoft, OpenAI, Google und SAP adoptiert.


3. Memory. Ein Agent muss sich erinnern: an frühere Interaktionen, an Zwischenergebnisse, an Benutzerpräferenzen. Short-Term-Memory (aktuelle Session) und Long-Term-Memory (persistenter Wissensspeicher, meist als Vektordatenbank) arbeiten zusammen.


4. Orchestrierung. Wie zerlegt der Agent ein Ziel in Schritte? Bekannte Muster sind ReAct (Reason-and-Act), Plan-and-Execute und Reflection-Loops. Komplexe Aufgaben werden häufig an mehrere spezialisierte Agenten verteilt (Multi-Agent-Systeme).


5. Identität und Zugriff. Jeder Agent braucht eine eigene Identität im Unternehmen – eine Non-Human Identity (NHI). Er muss authentifiziert werden, seine Rechte sind zu kontrollieren, seine Handlungen zu protokollieren. Das ist keine technische Fußnote, sondern die Hauptbaustelle der kommenden zwei Jahre.


6. Observability. Jeder Schritt eines Agenten – Prompt, Tool-Call, Entscheidung, Ergebnis – muss nachvollziehbar sein. Ohne Tracing, Logging und Evaluation keine seriöse Produktion.

Wo schafft Agentic AI heute messbaren Mehrwert?

Hype hin oder her: Der Business Case entsteht dort, wo Prozesse repetitiv, regelbasiert und datenintensiv sind – aber zu komplex für klassische Automatisierung wie RPA. Aus unserer Projekterfahrung bei enthus sind das die Felder, auf denen Agentic AI 2026 bereits produktiv läuft:

• IT Operations und Service Desk. Agenten analysieren Log-Daten, priorisieren Tickets, schlagen Lösungen vor, führen Standardaufgaben (Passwort-Reset, Berechtigungsvergabe, VM-Provisionierung) eigenständig aus. Microsoft und ServiceNow haben hierfür ausgereifte Agent-Plattformen.


• Security Operations. SOC-Agenten triagieren Alerts, reichern Incidents mit Threat-Intelligence an, führen Erstmaßnahmen durch – ein L1-Analyst, der nicht schläft. Microsoft Security Copilot, CrowdStrike Charlotte AI und Palo Alto Cortex Copilot führen diesen Markt an.


• Software Engineering. Coding-Agenten wie Claude Code, GitHub Copilot Coding Agent oder Cursor schreiben Code, testen ihn und eröffnen Pull Requests selbstständig. Studien zur Entwicklerproduktivität zeigen Steigerungen von bis zu 55 Prozent bei standardisierten Aufgaben; bei erfahrenen Teams in komplexen Repositories ist der Effekt allerdings deutlich geringer und im Einzelfall sogar negativ. Aufgabentyp und Reifegrad sind entscheidend.


• Vertrieb und Customer Service. Agenten qualifizieren Leads, recherchieren Kundenkontext, beantworten Standardanfragen und eskalieren den Rest an Menschen. Salesforce Agentforce und Microsoft Copilot Studio sind hier die marktführenden Plattformen.


• Back-Office-Prozesse. Rechnungsverarbeitung, Bestellwesen, Onboarding, Reisekostenabrechnung – überall dort, wo Formulare auf Freitext auf Regeln treffen, liefern Agenten echte Effizienzgewinne.

Die Regel lautet: Nicht jeder Prozess braucht einen Agenten, aber jeder Prozess verdient die Frage, ob ein Agent ihn besser erledigt als eine Person, eine Schnittstelle oder gar nicht.

Die fünf Gretchenfragen:
Warum ist Agentic AI mehr als ein IT-Projekt?

So viel zur Magie. Jetzt zur Realität. Agentic AI produktiv zu betreiben heißt, fünf Baustellen gleichzeitig zu bearbeiten. Wer eine davon ignoriert, scheitert in der Pilotphase – oder, schlimmer, im Produktivbetrieb.

1. Cybersicherheit: Ihr Agent ist der neue Angriffsvektor

Ein Agent mit Zugriff auf E-Mail, CRM und Dateiablage ist ein hochprivilegierter Nutzer. Und er liest Inhalte, die Angreifer aktiv gestalten können. Prompt Injection – versteckte Anweisungen in E-Mails, Webseiten oder Dokumenten, die den Agenten kapern - ist keine theoretische Bedrohung, sondern steht auf Platz eins der OWASP-Top-10 für LLM-Anwendungen. Dazu kommen Tool Misuse, Datenexfiltration über legitime Kanäle und Model Supply Chain Attacks. Agentische Sicherheit heißt: Zero-Trust-Prinzipien auf jede Agent-Aktion anwenden. Least-Privilege-Zugriffe. Sandboxing. Human-in-the-Loop bei kritischen Aktionen. Monitoring jeder Tool-Ausführung.

2. Governance: Wer haftet, wenn der Agent irrt?

Wenn ein Agent einen Vertrag abschließt, einen Bescheid versendet, eine Datenbank löscht – wer ist verantwortlich? Der EU AI Act ist seit 2024 in Kraft, die ersten Regelungen greifen bereits. Agenten in risikoreichen Prozessen fallen potenziell in die Hochrisiko-Kategorie und erfordern Konformitätsbewertung, Dokumentation und menschliche Aufsicht. Dazu kommen ISO/IEC 42001, NIS2 (deutsche Umsetzung seit Dezember 2025) und DORA für den Finanzsektor. Governance ist kein optionales Add-on, sondern Voraussetzung für den Produktivbetrieb.

3. Kosteneffizienz: Die Token-Falle

Ein neugieriger Agent, der sich durch mehrere Reasoning-Schleifen dreht und bei jedem Schritt Tool-Calls absetzt, kann in Stunden erhebliche API-Kosten verursachen. Wir haben in Kundenprojekten Cost-Explosions um den Faktor zehn bis fünfzig gegenüber der Prototyp-Schätzung gesehen – immer dann, wenn vor Produktivstart keine Limits, kein Caching und kein Modell-Routing implementiert waren. FinOps für Agentic AI ist eine eigenständige Disziplin. Günstige Modelle für einfache Schritte, teure nur dort, wo Reasoning wirklich nötig ist. Hard Caps. Monitoring. Sonst wird aus dem Effizienzversprechen eine Kostenkatastrophe.

4. KI-Readiness: Fundament vor Fassade

Ein Agent ist nur so gut wie die Daten und Systeme, auf die er zugreift. Sind Ihre Daten sauber klassifiziert? Ist Ihr Berechtigungskonzept aktuell – oder zieht der Agent dreißig Jahre gewachsene Zugriffsrechte auf einmal ans Tageslicht? Sind APIs dokumentiert, Services erreichbar, Identitäten konsolidiert? KI-Readiness ist Infrastrukturarbeit: Identity & Access, Datenplattform, Netzwerk, Observability. Ohne Fundament wird jedes Agent-Projekt zum Demowunder und Produktivalbtraum.

5. Zukunftssicherheit: Keine Wetten auf einzelne Anbieter

Der Markt bewegt sich in Quartalen, nicht in Jahren. Microsoft hat AutoGen und Semantic Kernel in ein neues Agent Framework überführt, OpenAI, Google und Anthropic aktualisieren ihre Agent-APIs monatlich, und neue Frameworks entstehen wöchentlich. Offene Standards wie MCP sind keine Ideologie, sondern Risikomanagement. Wer sich architektonisch an einen Hyperscaler kettet, trägt das Änderungstempo dieses Anbieters unmittelbar – im Guten wie im Schlechten.

Agentic AI im Mittelstand:
Worauf kommt es wirklich an?

Der Mittelstand hat zwei Vorteile gegenüber Konzernen: kürzere Entscheidungswege und schärferer Fokus. Beides sollten Sie nutzen.

• Starten Sie mit einem abgegrenzten Use Case, nicht mit einer Plattform. Ein konkreter Prozess, messbarer Nutzen, überschaubares Risiko. Ticket-Triage im Service Desk, Rechnungsprüfung im Einkauf, Lead-Recherche im Vertrieb – das sind Felder mit klarem ROI.


• Bauen Sie Governance von Tag eins mit. Eine KI-Richtlinie, definierte Verantwortlichkeiten, ein Freigabeprozess für Agenten-Deployments. Nicht später, sondern am Anfang.


• Investieren Sie in Identity und Observability, bevor Sie in Agenten investieren. Non-Human Identities, Privileged Access Management, AI-Observability-Tools – das sind die Enabler, ohne die Agentic AI nicht produktiv werden kann.


• Messen Sie ehrlich. Nicht jede Demo wird zum Produkt. Definieren Sie KPIs (Lösungsquote, Durchlaufzeit, Kosten pro Transaktion, Fehlerquote), vergleichen Sie mit dem Status quo, entscheiden Sie auf Basis von Zahlen.


• Halten Sie den Menschen im Loop – wo es zählt. Vollautonomie ist ein Extrem, nicht das Ziel. Für die meisten Unternehmensprozesse ist „Agent schlägt vor, Mensch gibt frei" heute der richtige Reifegrad. Autonomie kann wachsen, wenn Vertrauen und Nachweisbarkeit vorhanden sind.

Die Perspektive:
Wohin führt Agentic AI das Unternehmen?

Agentic AI verändert nicht nur Workflows, sondern die Architektur des Unternehmens. In drei bis fünf Jahren werden die meisten mittelständischen Organisationen hybride Belegschaften aus Menschen und Agenten führen. Das wirft Fragen auf, die heute noch selten gestellt werden: Wie viele Agenten braucht es pro Fachbereich? Wer ist ihr Manager? Welche SLAs gelten? Wie werden sie auditiert?

Die Antworten sind noch nicht alle geschrieben. Aber die Unternehmen, die jetzt die Grundlagen legen – saubere Daten, funktionierende Identitäten, belastbare Governance, Kostentransparenz, Sicherheitsarchitektur – werden die nächsten fünf Jahre nicht als Getriebene erleben, sondern als Gestalter.

Agentic AI ist kein Tool, das Sie einkaufen. Es ist eine Fähigkeit, die Sie aufbauen.

FAQ: Die wichtigsten Fragen zu Agentic AI

1. Was ist der Unterschied zwischen Agentic AI und Generativer KI?
   Generative KI erzeugt auf Anfrage Inhalte – einen Text, ein Bild, ein Stück Code. Agentic AI verfolgt eigenständig ein Ziel, plant mehrstufige Schritte, nutzt Werkzeuge und trifft Entscheidungen. Generative KI ist Teil eines Agenten, aber nicht der ganze Agent.


2. Was ist ein AI Agent?
   Ein AI Agent ist eine Softwareeinheit, die ein Sprachmodell als Entscheidungszentrum nutzt und mit Tools, Gedächtnis und Zielvorgaben ausgestattet ist, um Aufgaben autonom zu bearbeiten. Mehrere Agenten, die zusammen ein Ziel verfolgen, bilden ein Multi-Agent-System.


3. Wie unterscheidet sich Agentic AI von RPA?
   Robotic Process Automation folgt starren, vorprogrammierten Regeln – ein Klickpfad, der exakt wiederholt wird. Agentic AI agiert regelbasiert und kontextsensitiv zugleich: Sie kann mit unstrukturierten Eingaben umgehen, Ausnahmen verstehen und Entscheidungen treffen, für die klassische Automatisierung erweitert werden müsste.


4. Was ist das Model Context Protocol (MCP)?
   MCP ist ein offener Standard, der die Verbindung von KI-Agenten zu externen Daten und Werkzeugen vereinheitlicht. Ursprünglich von Anthropic initiiert, wird MCP inzwischen von allen relevanten Anbietern unterstützt. Für Unternehmen bedeutet MCP: weniger Vendor Lock-in, einfachere Integrationen, portablere Agent-Architekturen.


5. Welche Risiken bringt Agentic AI mit sich?
   Die zentralen Risiken sind Prompt Injection, exzessive Berechtigungen, Halluzinationen mit Handlungsfolgen, Datenschutzverletzungen, Kostenexplosion durch unkontrollierte API-Calls und rechtliche Konformitätsrisiken unter dem EU AI Act. Diese Risiken sind beherrschbar – aber nur mit einer Governance- und Sicherheitsarchitektur, die von Anfang an mitgedacht wird.


6. Wie teuer ist ein Agent im Betrieb?
   Das hängt vom Modell, der Aufgabenkomplexität und der Häufigkeit ab. Einfache Triage-Agenten können unter einem Cent pro Vorgang liegen, komplexe Research-Agenten schnell mehrere Euro. Entscheidend ist eine durchdachte FinOps-Strategie: Modell-Routing, Caching, Hard Caps, Monitoring.


7. Brauche ich für Agentic AI eine eigene Infrastruktur?
   Nicht zwingend. Die meisten mittelständischen Unternehmen starten mit Cloud-Plattformen wie Microsoft Foundry, Amazon Bedrock, Google Vertex AI oder direkt mit den APIs der Modellanbieter. Eigene Infrastruktur wird relevant, wenn Datenschutz, Kostenvolumen oder Latenzanforderungen es diktieren.


8. Wie passt Agentic AI zum EU AI Act?
   Der EU AI Act regelt KI-Systeme nach Risiko. Agenten in Hochrisiko-Bereichen unterliegen umfangreichen Pflichten: Konformitätsbewertung, technische Dokumentation, Risikomanagement, menschliche Aufsicht, Transparenz. Auch außerhalb der Hochrisiko-Kategorie gelten Transparenz- und Dokumentationspflichten. Eine frühzeitige rechtliche Bewertung ist Pflicht.


9. Welche Rolle spielt Identity Management bei Agentic AI?
   Eine zentrale. Jeder Agent ist eine nicht-menschliche Identität (Non-Human Identity, NHI) mit eigenen Zugriffsrechten. Ohne striktes Identity und Privileged Access Management entstehen Schatten-Zugriffe, die weder nachvollziehbar noch kontrollierbar sind. NHI-Management wird 2026 zu einer der wichtigsten Cybersecurity-Disziplinen.


10. Wo fängt man am besten an?
    Mit einem klar abgegrenzten Prozess, messbaren KPIs und einem definierten Governance-Rahmen. Nicht mit einer Plattformauswahl, nicht mit einem Leuchtturmprojekt für die Presse. Ein Pilot von sechs bis zwölf Wochen in einem Fachbereich, der den Agent tatsächlich nutzen will, liefert mehr Erkenntnisgewinn als ein zwölfmonatiges Grundsatzprogramm.

Unterstützung durch enthus

Agentic AI produktiv zu betreiben ist kein Selbstläufer – aber es ist lösbar, wenn die Grundlagen stimmen. enthus begleitet Unternehmen vom ersten Use Case bis zum skalierbaren Agent-Betrieb: von der Prozessanalyse über Governance-Frameworks bis zur technischen Umsetzung auf den führenden Plattformen.

Sprechen Sie uns an – wir helfen bei der Einschätzung, wo Agentic AI für Ihr Unternehmen heute schon Sinn ergibt.

Jetzt Kontakt aufnehmen → hallo@enthus.de