Wenn KI selbst handelt: Was die EU-Regulierung noch nicht weiß

Ich arbeite täglich mit KI-Systemen. Ich baue sie, integriere sie, teste sie auf Schwachstellen. Und ich verfolge seit Monaten, wie die EU versucht, regulatorisch Schritt zu halten.

Kürzlich ist ein Paper erschienen, das ich direkt bookmarkt habe. Zwei Forscher der Universität Oslo haben 24 EU-Regulierungsdokumente aus den Jahren 2024 und 2025 analysiert und eine klare Diagnose gestellt: Für klassische KI, generative KI und GPAI-Modelle wie ChatGPT gibt es inzwischen belastbare Regelungen. Für agentic AI aber nicht.

Das ist keine Kleinigkeit.

Was die Regulierung inzwischen abdeckt

Der EU AI Act (Verordnung 2024/1689) ist seit August 2024 in Kraft. Er bringt klare Verpflichtungen:

Hochrisiko-KI-Systeme müssen ein angemessenes Cybersecurity-Niveau erreichen. Das schließt explizit KI-spezifische Angriffsvektoren ein: Data Poisoning, adversarielle Eingaben, Manipulation von Trainingsdaten.

GPAI-Modelle mit systemischem Risiko (also die großen Foundation Models) müssen Cybersecurity-Schutz über den gesamten Modelllebenszyklus sicherstellen. Dazu gehört Schutz vor unautorisiertem Modell-Leakage und dem Umgehen von Sicherheitsfunktionen.

Generative KI wird ausdrücklich als Dual-Use-Werkzeug anerkannt. Einerseits zur Erkennung von Bedrohungsmustern, andererseits als Werkzeug für Angreifer bei komplexen Cyberangriffen.

Das ist solide Grundlage. Nicht perfekt, aber besser als nichts.

Wo die Lücke ist

Der Begriff "agentic AI" taucht in offiziellen EU-Dokumenten erstmals im Oktober 2025 auf. In einer Kommissionsmitteilung zum Datenzugang für KI, wenn man genau hinschaut.

Das bedeutet: Alles, was vorher geschrieben wurde, schreibt über autonome KI-Agenten, als wäre dieses Problem noch Zukunftsmusik. Es ist keine Zukunftsmusik mehr. Ich arbeite heute mit Systemen, die eigenständig APIs aufrufen, Datenbanken abfragen, Code ausführen und Entscheidungen treffen.

Dedizierte Datenschutzbestimmungen für solche Systeme: keine. Dedizierte Sicherheitsbestimmungen: keine. Was bleibt, sind allgemeine Regelungen aus DSGVO, NIS2 und Cyber Resilience Act, angewendet mit Augenmaß und viel Interpretationsspielraum.

Die eigentliche Frage

Das Paper stellt eine Frage, die mich nicht loslässt:

Ist ein KI-Agent ein Werkzeug, oder ist er ein Akteur?

Ein klassisches KI-System ist ein Werkzeug. Ein Mensch gibt eine Eingabe, das System produziert eine Ausgabe. Der Mensch entscheidet, was damit passiert.

Ein agentic AI-System ist etwas anderes. Es hat ein Ziel. Es plant Schritte. Es führt Aktionen aus. Es reagiert auf Feedback. Es kann im laufenden Betrieb entscheiden, welche Tools es nutzt, welche APIs es aufruft, welche Daten es abruft.

Im Informationssicherheits-Kontext ist das fundamental. Ein klassisches KI-Modell erscheint in Audit-Logs als Objekt. Ein KI-Agent erscheint als Subjekt.

Klassische Audit-Methoden greifen hier nicht mehr vollständig. Code-Reviews helfen nicht bei probabilistischen Systemen, deren Ausgaben nicht deterministisch sind. Netzwerk-Logs zeigen, was passiert ist, aber nicht warum ein Agent sich so entschieden hat.

Was das praktisch bedeutet

Für Security-Architekten und alle, die mit KI-Integration zu tun haben, ergeben sich daraus konkrete Fragen:

Wer haftet, wenn ein Agent einen Fehler macht? Die Regulierung hat noch keine klare Antwort. In der Praxis liegt die Verantwortung beim Deployer, also bei der Organisation, die den Agenten betreibt. Das heißt: Wenn du ein agentic AI-System in deiner Umgebung betreibst und es tut etwas Schädliches, bist du verantwortlich.

Wie dokumentierst du das Verhalten eines Agenten? Für Hochrisiko-KI verlangt der AI Act technische Dokumentation und Logging. Für Agenten gibt es noch keine spezifischen Vorgaben, aber die Logik ist dieselbe: Wenn du es nicht erklären kannst, kannst du es nicht verteidigen.

Wie testest du Agenten auf Sicherheitslücken? Der AI Act nennt explizit adversarielle Tests für Hochrisiko-Systeme. Für Agenten kommt ein spezifisches Risiko dazu: Prompt Injection, die sich durch Multi-Agenten-Systeme propagiert. Ein Angriff auf einen Agenten kann andere Agenten beeinflussen, die auf den ersten vertrauen.

Was ich daraus mitnehme

Ich befasse mich seit etwa zwei Jahren intensiv mit KI-Systemen, erst experimentell, dann produktiv. Die regulatorische Entwicklung verläuft schneller als viele denken, aber langsamer als die Technologie.

Für meine Arbeit bedeutet das: Ich kann mich nicht darauf verlassen, dass ein Compliance-Framework mir sagt, was ich tun soll. Ich muss die Risiken selbst verstehen und die vorhandenen Regelungen (DSGVO, NIS2, AI Act für Hochrisiko, ISO 42001) als Orientierungsrahmen nutzen, auch wenn sie nicht perfekt passen.

Das ist keine neue Situation. In der IT-Sicherheit war das immer so. Angreifer waren immer schneller als Standards. Agentic AI ist der nächste Schritt.

Ich sehe das so

Die EU-Regulierung für KI ist in wenigen Jahren erheblich gereift. Für generative KI und GPAI gibt es belastbare Grundlagen.

Für autonome KI-Agenten ist die Rechtslage noch unklar. Keine dedizierten Datenschutzbestimmungen, keine dedizierten Sicherheitsbestimmungen. Nur allgemeine Regelungen, die auf einen Fall angewendet werden müssen, für den sie nicht geschrieben wurden.

Wer heute mit agentic AI arbeitet, bewegt sich in einer regulatorischen Grauzone. Das bedeutet nicht, dass alles erlaubt ist. Es bedeutet, dass die eigene Risikoabwägung und Dokumentation umso wichtiger werden.

Die Frage ist nicht: "Was sagt die Regulierung?" Die Frage ist: "Was würde ich vor einem Auditor rechtfertigen können?"