KI-Agenten & MCP im Praxiseinsatz: Was Schweizer CIOs für Ihre IT-Governance wissen müssen.

„Wenn Sie KI-Agenten nicht aktiv steuern, steuern sie bald Ihre IT.“ Provokant? Vielleicht. Aber genau das passiert, wenn autonome Software-Systeme ohne klare IT-Governance in Fachbereichen wuchern. Die gute Nachricht: Mit dem Model Context Protocol (MCP) entsteht erstmals ein belastbarer Standard, um Agenten sicher, kontrolliert und interoperabel in bestehende IT-Landschaften einzubetten.

Im Kern sind KI-Agenten softwaregestützte Assistenten, die Ziele verstehen, Entscheidungen treffen und Aufgaben (von der Ticket-Klassifikation bis zur SAP-Buchung) Ende-zu-Ende ausführen. MCP wirkt dabei wie ein „USB-C-Port“ für KI: Es schafft eine einheitliche, bidirektionale Verbindung zwischen Agenten und Datenquellen, Tools oder Workflows. Für CIOs bedeutet das: weniger proprietäre Integrationen, mehr Kontrolle über Berechtigungen und Audits. Es ist ein Governance-Hebel, nicht nur ein Technikdetail.

Warum das jetzt strategisch relevant ist

Es wird erwartet, dass ein signifikanter Anteil operativer Entscheidungen bis 2028 autonom durch agentische Systeme getroffen wird. Gleichzeitig wird ein wachsender Teil der Unternehmenssoftware Agentenfunktionen standardmäßig mitbringen. Für CIOs ist das Chance und Risiko zugleich: Produktivitätssprünge, ja, aber nur, wenn Governance, Security und Architektur mitwachsen.

Beispielhafte Anwendungsfälle in Schweizer Branchen

• Finanzbranche: Agenten orchestrieren Kreditantrags-Prüfungen, prüfen Dokumente, holen fehlende Nachweise ein und protokollieren Entscheidungen im Rahmen von Vier-Augen-Freigaben. Für Banken/Versicherer gilt zusätzlich: Outsourcing- und Kontrollpflichten nach FINMA-Rundschreiben 2018/3 müssen auch für AI-gestützte Services durchdekliniert sein (Inventory, Monitoring, Auditierbarkeit, Drittland-Transfers).
• Gesundheitswesen: Virtuelle Assistenten übernehmen Termin- und Fall-Koordination, generieren Entlassungsberichte oder priorisieren Rückfragen. Governance-Pflicht: strenge Rollen- und Zugriffsmodelle, revisionssichere Protokolle und klare Fehler-Eskalation. (MCP erleichtert die saubere Trennung von Datenzugriff und Tool-Ausführung.)
• Industrie: In der Instandhaltung planen Agenten Service-Aufträge, ordern Ersatzteile und synchronisieren ERP/CMMS. Der Business-Case entsteht, wenn Durchlaufzeiten sinken und First-Time-Fix-Rates steigen.

IT-Governance & Compliance als Leitplanken

• Datenschutz (revDSG): Seit 1. September 2023 gelten erweiterte Informations- und Auskunftspflichten, „Privacy by Design/Default“ und strengere Transparenz. Jede Agenten-Lösung braucht ein Verzeichnis der Verarbeitungstätigkeiten, DPIA-Kriterien und klare Löschkonzepte.
• EU AI Act (Schweizer Unternehmen mit EU-Bezug): Der Zeitplan ist verbindlich: Verbote & AI-Literacy seit Februar 2025, Governance-Regeln und Pflichten für bestimmte Modelle seit August 2025, volle Anwendbarkeit großer Teile bis August 2026 (mit Übergängen je nach Risikoklasse). Planen Sie Compliance-Roadmaps, auch wenn der Firmensitz in der Schweiz ist.
• Sicherheit & Kontrolle: MCP erleichtert „least privilege“ und Auditierbarkeit auf Schnittstellen-Ebene. Ergänzen Sie dies um ein zentrales Agent-Control-Plane (Identity, Policies, Observability) sonst drohen neue Silos und Schatten-Automationen.

Strategische Umsetzungsschritte für CIOs

1. Architekturentscheid: „Agenten-ready“ werden. Definieren Sie eine Referenzarchitektur mit MCP-fähigen Schnittstellen, zentralem Policy-Layer (RBAC/ABAC), Secret-Management, Event-Bus und Telemetrie. Priorisieren Sie Systeme mit hohem Automatisierungspotenzial (ITSM, ERP, DMS).

2. Use-Case-Portfolio & Business-Case. Starten Sie mit 3–5 klar abgegrenzten Prozessen (z. B. Incident-Triage, Rechnungseingang, Stammdaten-Änderung). Messen Sie Zeit-zu-Lösung, Fehlerquote und Touchless-Rate.

3. Governance operationalisieren. Verankern Sie Agenten als „kritische Applikationen“: Owner, Risiko-Register, Change-Kontrollen, Peer-Review von Prompts/Tools, Logging-Vorgaben.

4. Compliance & Recht. Klären Sie Rollen des Verantwortlichen/Auftragsbearbeiters, Datenflüsse, Speicherdauer und Betroffenenrechte nach revDSG; erstellen Sie DPIAs für sensible Use Cases und prüfen Sie AI-Act-Relevanz.

5. Change & Befähigung. Schulen Sie Fachbereiche in „Human-in-the-Loop“, Fehler-Eskalation und Haftungsgrenzen. Richten Sie ein „Agent Review Board“ (CIO-geführt) ein, das Use Cases, Risiken und ROI quartalsweise steuert.

Ihr So-What – 3 Fragen zur IT-Governance-Optimierung

1. Haben wir eine Möglichkeit Agenten mit Owner, Berechtigungen, Logs und SLAs zentral zu dokumentieren?

2. Sind revDSG-Pflichten, EU-AI-Act-Roadmap und FINMA-Anforderungen je Use Case bekannt (und nachweisbar umgesetzt)?

3. Messen wir Nutzen (Touchless-Rate, Durchlaufzeit, Fehlerrate) und entfernen wir Agenten, die keinen Wert liefern?