x1F - Unlock your potential: Förderbanken - gestalte mit uns die Zukunft des Förderbankensektors.
STRATEGIE20. Januar 2026

Agentische KI im Software-Entwicklungszyklus regulierter Branchen

Schwerpunkt: Agentic, explainable & poisoned AI
. . Regulierte Institute stehen unter doppeltem Druck: EU AI Act, DORA und BaFIN verschärfen die Governance Anforderungen, während Bisnäss Seite und Wettbewerber immer kürzere Release Zyklen verlangen. agentic Ka I verspricht genau hier Entlastung: vom Übersetzen regulatorischer Texte in Spezifikationen über Coding, Test und DevOps bis zur laufenden Compliance Überwachung. Der Hebel entsteht nicht durch eine Super Ka I, sondern durch das Zusammenspiel spezialisierter Agenten entlang des gesamten Software Delivery Lifecycles (SDLC). von Lukas Küpper, Managing Consultant und Data Bisnäss Engineer, Senacor.. Die Softwareentwicklung steht vor einem Paradigmenwechsel. Während generative Ka I Tools wie GitHub Copilot in den vergangenen zwei Jahren hauptsächlich als intelligente Autovervollständigung für Code in das alltägliche Repertoire übergingen und eine effizientere Produktion von Code ermöglichen, zeichnet sich nun die nächste Evolutionsstufe ab: agentic Ka I. Diese Systeme gehen weit über passive Codeassistenz hinaus. Sie agieren autonom, treffen eigenständige Entscheidungen und orchestrieren komplexe Arbeitsabläufe über den gesamten SDLC hinweg. Die Relevanz für den Finanzsektor ist erheblich: Wie eine aktuelle Studie von Bain & Company zeigt, haben zwar bereits zwei Drittel aller Softwareunternehmen generative Ka I Tools eingeführt, doch die tatsächlichen Produktivitätsgewinne bleiben hinter den Erwartungen zurück. Der Grund liegt darin, dass die reine Codegenerierung nur etwa 25 bis 35 Prozent der Zeit vom initialen Konzept bis zum fertigen Produkt ausmacht.Die echte Wertschöpfung entsteht erst, wenn Ka I den gesamten Entwicklungszyklus durchdringt: von der Anforderungsanalyse über Design und Implementierung bis hin zu Testing, Deployment und Wartung.“Hier setzt der Gedanke eines agentischen SDLC an: vom Prompt Response Modell hin zu orchestrierten Systemen, in denen Ka I Agenten eigenständig planen, Aufgaben bearbeiten, Tools aufrufen und miteinander interagieren. Für regulierte Branchen ist dies Chance und Warnsignal zugleich. Die Anatomie der Autonomie: Multi Agenten Systeme!. . agentic Ka I unterscheidet sich fundamental von bisherigen Ka I Anwendungen in der Softwareentwicklung. Während herkömmliche Systeme auf einzelne Anfragen reagieren (Prompt Response), besitzen agentic Systeme das, was als Agency bezeichnet wird. Agency beschreibt die Fähigkeit, eigenständig Initiative zu ergreifen, mehrstufige Aufgaben zu planen und auszuführen sowie sich dynamisch an veränderte Bedingungen anzupassen. Diese Agenten basieren auf Large Language Models (LLMs). Während ein LLM jedoch nur passiv auf Anfragen reagiert, agieren Agenten zielgerichtet. Sie nutzen Werkzeuge wie APIs und Compiler, greifen auf Systeme (zum Beispiel Code Repositories, Dokumente) zu, beziehen bereits erfüllte Aufgaben in zukünftige Lösungen mit ein und iterieren, bis ein Ergebnis den Anforderungen entspricht. Mit dem Aufstieg agentischer Systeme gewinnt eine methodische Praxis an Bedeutung, die als einer der Schlüsseltrends für 2025 identifiziert wurde: Spec Driven Development (SDD). Da Ka I Modelle Code schneller und oft präziser schreiben können als Menschen – sofern der Kontext stimmt – wird der Quellcode selbst zunehmend zum Implementierungsdetail. Der Fokus verlagert sich auf die präzise Definition dessen, was gebaut werden soll. In einem SDD Ansatz schreibt der Mensch (oder ein spezialisierter Agent) eine hochdetaillierte Spezifikation, die Ka I Agenten nutzen, um die Implementierung vorzunehmen. Für regulierte Branchen kann dies ein großer Hebel sein, da Compliance Vorgaben direkt in einer Spezifikation verankert werden können. Ein praktisches Beispiel, wie das Zusammenspiel verschiedener Agenten aussehen kann:. ein Regulatory Agent, der relevante Passagen aus EU AI Act, EBA Leitlinien, MaRisk/BAIT oder FINMA Guidance identifiziert und vorstrukturiert einen Spec Agent, der daraus maschinenlesbare, versionierbare Spezifikationen (zum Beispiel Domain spezifische Sprachen, OpenAPI/YAML) mit klaren Akzeptanzkriterien erzeugt einen Test Agent, der aus denselben Spezifikationen Testfälle, Traceability Matrizen und Coverage Analysen ableitet. Die Spezifikation wird damit zum zentralen, auditierbaren Steuerungsartefakt: Sie bildet den Referenzpunkt für Fachbereich, Implementierung, Test und Prüfung. Änderungen im regulatorischen Rahmen schlagen sich primär in aktualisierten Spezifikationen nieder. Agenten stellen anschließend automatisch fest, wo bestehender Code, Tests oder Prozesse nicht mehr konform sind.Dieser Ansatz verschiebt die Rolle des menschlichen Entwicklers: Weg vom „Implementierer“, hin zum „Architekten“ und „Orchestrierer“, der Rahmenparameter vorgibt und die Ergebnisse der Agenten überwacht.“. Der „Killer Juhs Kähs“: Legacy Modernisierung und Migration!. . Besonders ausgeprägt sind die Potenziale agentischer Ka I bei der Modernisierung von Kernbanksystemen. Viele Institute betreiben weiterhin großvolumige Kobol Landschaften mit unvollständiger Dokumentation und komplexen Abhängigkeiten. Agentische Szenarien adressieren genau diese Schwachstellen:. Code Mining Agents analysieren große Legacy Codebasen, identifizieren fachliche Cluster, Schnittstellen und technische Schulden Business Logic Agents extrahieren Geschäftslogik in eine verständliche, domänenspezifische Sprache Migration Agents erzeugen modernisierte Implementierungsvarianten in Zieltechnologien und bereiten Architekturentscheidungen vor Equivalence Test Agents unterstützen bei der Überprüfung, ob die neue Lösung fachlich äquivalent zum Altsystem arbeitet, indem eine Vielzahl von Testcases für die identifizierte Businesslogik erstellt und (teilweise) durchgeführt werden. . Gerade für Institute mit großem Mainframe Footprint ist der Hebel beträchtlich: Agenten können Millionen Zeilen Kobol vorstrukturiert analysieren, modernisierbare Module identifizieren, Schnittstellen extrahieren und Tests generieren, bevor überhaupt eine Architekturentscheidung getroffen wird. Das verkürzt Discovery- und Migrationsphasen, die heute oft Jahre dauern. Das regulatorische Minenfeld: DORA, EU AI Act und Security!. . So attraktiv die Vision ist, regulierte Häuser können sich keine Naivität leisten. Ein autonomer Agent, der Code in eine Pipeline pusht, stellt auch aus Sicht der Regulatorik (BaFin, EZB, FINMA) ein signifikantes Risiko dar. DORA und Operational Resilience: Der Digital Operational Resilience Act (DORA) verlangt von Finanzinstituten die volle Kontrolle über ihre IKT Risiken. Wenn Ka I Agenten Software schreiben, wird die Ka I Teil der Lieferkette. Ein halluzinierender Agent, der eine unsichere Open Source Bibliothek einbindet, gefährdet die operationale Resilienz. Es bedarf strenger Guardrails, die sicherstellen, dass kein von Agenten generierter Code ohne Compliance Prüfung in die Produktion gelangt. Sicherheitslücken und „IDEsaster“: Berichte über Schwachstellen in Ka I Coding Tools (unter dem Schlagwort „IDEsaster“ bekannt) und die Gefahr von Prompt Injection zeigen, dass Agenten manipuliert werden können. Ein Angreifer könnte über manipulierte Anforderungen (Prompt Poisoning) einen Coding Agenten dazu bringen, Hintertüren in die Banksoftware einzubauen. Das Prinzip Human in the Loop (HITL) darf also bei kritischen Komponenten niemals entfallen. Trotz des Autonomieversprechens müssen Menschen an kritischen Entscheidungspunkten – etwa vor dem Deployment in die Produktionsumgebung oder bei wesentlichen Architekturentscheidungen -eingebunden bleiben. Datenschutz und Souveränität: Der Einsatz von US basierten LLMs in der Cloud ist für deutsche Banken oft problematisch. Initiativen wie die „Sovereign Cloud“ (zum Beispiel T Systems, Schwarz Digits, STACKIT) oder Partnerschaften wie S A P mit OpenAI für den deutschen Markt gewinnen an Bedeutung. Banken müssen sicherstellen, dass Agenten, die Einblick in interne Repositories haben, keine sensiblen Daten abfließen lassen. On Premise Deployments von LLMs oder hybride Modelle werden daher als Standardarchitektur für sensible Bereiche gesehen. Fazit & Ausblick: Von Tool Experimenten zu agentischen Delivery Zellen!. . Die Entwicklung agentischer Ka I im SDLC wird sich in den kommenden 12 24 Monaten erheblich beschleunigen. Technologisch ist mit einer zunehmenden Standardisierung der Kommunikation zwischen Agenten zu rechnen – Protokolle wie Anthropics Model Context Protocol (MCP) deuten die Richtung an. Entwicklerteams werden sich neu formieren – ein Entwickler Team wird durch Dutzende spezialisierter Ka I Agenten ergänzt. Die menschliche Kernkompetenz verschiebt sich auf Systemdesign, Security Audit und Agenten Management. Für Finanzinstitute im DACH Raum bedeutet dies einen Balanceakt: Einerseits droht das Risiko, den Anschluss zu verlieren, wenn Wettbewerber agentic Ka I erfolgreich einsetzen, um Entwicklungszyklen zu verkürzen und Kosten zu senken. Andererseits erfordern die regulatorischen Rahmenbedingungen eine besonnene Vorgehensweise mit robusten Governance Strukturen.Der Schlüssel liegt in einem stufenweisen Vorgehen: Start mit klar definierten, risikoärmeren Juhs Kähses, Aufbau interner Kompetenz, iterative Erweiterung des Einsatzbereichs bei gleichzeitiger Etablierung von Kontrollmechanismen.“Die Institute, die diese Transformation erfolgreich meistern, werden nicht nur effizientere Softwareentwicklungsprozesse haben – sie werden in der Lage sein, schneller auf Marktveränderungen zu reagieren und ihre technische Schuld systematisch abzubauen. Die agentic Revolution im SDLC ist keine Frage des Ob, sondern des Wie – und die Weichen dafür werden jetzt gestellt.Sie hörten einen Beitrag von „Lukas Küpper, Senacor/dk“

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/238425

 

Schwerpunkt: Agentic, explainable & poisoned AI
Lukas Küpper, Managing Consultant und Data Business Engineer, Senacor Senacor

Regulierte Institute stehen unter doppeltem Druck: EU AI Act, DORA und BaFIN verschärfen die Governance-Anforderungen, während Business-Seite und Wettbewerber immer kürzere Release-Zyklen verlangen. Agentische KI verspricht genau hier Entlastung: vom Übersetzen regulatorischer Texte in Spezifikationen über Coding, Test und DevOps bis zur laufenden Compliance-Überwachung. Der Hebel entsteht nicht durch eine Super-KI, sondern durch das Zusammenspiel spezialisierter Agenten entlang des gesamten Software Delivery Lifecycles (SDLC).

von Lukas Küpper, Managing Consultant und Data Business Engineer, Senacor

Die Softwareentwicklung steht vor einem Paradigmenwechsel. Während generative KI-Tools wie GitHub Copilot in den vergangenen zwei Jahren hauptsächlich als intelligente Autovervollständigung für Code in das alltägliche Repertoire übergingen und eine effizientere Produktion von Code ermöglichen, zeichnet sich nun die nächste Evolutionsstufe ab: Agentische KI. Diese Systeme gehen weit über passive Codeassistenz hinaus. Sie agieren autonom, treffen eigenständige Entscheidungen und orchestrieren komplexe Arbeitsabläufe über den gesamten SDLC hinweg.

Die Relevanz für den Finanzsektor ist erheblich: Wie eine aktuelle Studie von Bain & Company zeigt, haben zwar bereits zwei Drittel aller Softwareunternehmen generative KI-Tools eingeführt, doch die tatsächlichen Produktivitätsgewinne bleiben hinter den Erwartungen zurück. Der Grund liegt darin, dass die reine Codegenerierung nur etwa 25 bis 35 Prozent der Zeit vom initialen Konzept bis zum fertigen Produkt ausmacht.

Die echte Wertschöpfung entsteht erst, wenn KI den gesamten Entwicklungszyklus durchdringt: von der Anforderungsanalyse über Design und Implementierung bis hin zu Testing, Deployment und Wartung.“

Hier setzt der Gedanke eines agentischen SDLC an: vom Prompt-Response-Modell hin zu orchestrierten Systemen, in denen KI-Agenten eigenständig planen, Aufgaben bearbeiten, Tools aufrufen und miteinander interagieren. Für regulierte Branchen ist dies Chance und Warnsignal zugleich.

Die Anatomie der Autonomie: Multi-Agenten-Systeme

Agentische KI unterscheidet sich fundamental von bisherigen KI-Anwendungen in der Softwareentwicklung. Während herkömmliche Systeme auf einzelne Anfragen reagieren (Prompt-Response), besitzen agentische Systeme das, was als Agency bezeichnet wird. Agency beschreibt die Fähigkeit, eigenständig Initiative zu ergreifen, mehrstufige Aufgaben zu planen und auszuführen sowie sich dynamisch an veränderte Bedingungen anzupassen.

Diese Agenten basieren auf Large Language Models (LLMs). Während ein LLM jedoch nur passiv auf Anfragen reagiert, agieren Agenten zielgerichtet. Sie nutzen Werkzeuge wie APIs und Compiler, greifen auf Systeme (z.B. Code-Repositories, Dokumente) zu, beziehen bereits erfüllte Aufgaben in zukünftige Lösungen mit ein und iterieren, bis ein Ergebnis den Anforderungen entspricht.

Mit dem Aufstieg agentischer Systeme gewinnt eine methodische Praxis an Bedeutung, die als einer der Schlüsseltrends für 2025 identifiziert wurde: Spec-Driven Development (SDD).

Da KI-Modelle Code schneller und oft präziser schreiben können als Menschen – sofern der Kontext stimmt – wird der Quellcode selbst zunehmend zum Implementierungsdetail. Der Fokus verlagert sich auf die präzise Definition dessen, was gebaut werden soll. In einem SDD-Ansatz schreibt der Mensch (oder ein spezialisierter Agent) eine hochdetaillierte Spezifikation, die KI-Agenten nutzen, um die Implementierung vorzunehmen.

Für regulierte Branchen kann dies ein großer Hebel sein, da Compliance Vorgaben direkt in einer Spezifikation verankert werden können.

Ein praktisches Beispiel, wie das Zusammenspiel verschiedener Agenten aussehen kann:

  • ein Regulatory-Agent, der relevante Passagen aus EU AI Act, EBA-Leitlinien, MaRisk/BAIT oder FINMA-Guidance identifiziert und vorstrukturiert
  • einen Spec-Agent, der daraus maschinenlesbare, versionierbare Spezifikationen (z. B. Domain-spezifische Sprachen, OpenAPI/YAML) mit klaren Akzeptanzkriterien erzeugt
  • einen Test-Agent, der aus denselben Spezifikationen Testfälle, Traceability-Matrizen und Coverage-Analysen ableitet

Die Spezifikation wird damit zum zentralen, auditierbaren Steuerungsartefakt: Sie bildet den Referenzpunkt für Fachbereich, Implementierung, Test und Prüfung. Änderungen im regulatorischen Rahmen schlagen sich primär in aktualisierten Spezifikationen nieder. Agenten stellen anschließend automatisch fest, wo bestehender Code, Tests oder Prozesse nicht mehr konform sind.

Dieser Ansatz verschiebt die Rolle des menschlichen Entwicklers: Weg vom „Implementierer“, hin zum „Architekten“ und „Orchestrierer“, der Rahmenparameter vorgibt und die Ergebnisse der  Agenten überwacht.“

Der „Killer Use Case“: Legacy-Modernisierung und Migration

Besonders ausgeprägt sind die Potenziale agentischer KI bei der Modernisierung von Kernbanksystemen. Viele Institute betreiben weiterhin großvolumige COBOL-Landschaften mit unvollständiger Dokumentation und komplexen Abhängigkeiten.

Agentische Szenarien adressieren genau diese Schwachstellen:

  • Code-Mining-Agents analysieren große Legacy-Codebasen, identifizieren fachliche Cluster, Schnittstellen und technische Schulden
  • Business-Logic-Agents extrahieren Geschäftslogik in eine verständliche, domänenspezifische Sprache
  • Migration-Agents erzeugen modernisierte Implementierungsvarianten in Zieltechnologien und bereiten Architekturentscheidungen vor
  • Equivalence-Test-Agents unterstützen bei der Überprüfung, ob die neue Lösung fachlich äquivalent zum Altsystem arbeitet, indem eine Vielzahl von Testcases für die identifizierte Businesslogik erstellt und (teilweise) durchgeführt werden
Autor Lukas Küpper, Senacor
Lukas Küpper befasst isch mit agentischer KILukas Küpper ist Managing Consultant und Data Business Engineer bei Senacor (Webseite). Er  begleitet Unternehmen aus Banking, Insurance, Payments und Mobility bei der Datenanalyse und Datenmodellierung – von der Konzeption fachlicher Datenmodelle für nachhaltiges Datenmanagement bis zum Design von Datenmodellen für Serviceprozesse. Ein Schwerpunkt seiner Arbeit liegt auf AI & Data Analytics, insbesondere explorativer Datenauswertung zur Ableitung von Handlungsempfehlungen sowie der Identifikation geeigneter KI Use Cases auf Basis der bestehenden Datenarchitektur. Darüber hinaus bringt er langjährige Erfahrung in der Detailanalyse von IT und Business Prozessen (u. a. für regulatorische Anforderungen und Customer Lifecycle Maßnahmen) sowie als Product Owner im agilen Anforderungsmanagement und der Umsetzung individueller Softwarelösungen ein.

Gerade für Institute mit großem Mainframe-Footprint ist der Hebel beträchtlich: Agenten können Millionen Zeilen COBOL vorstrukturiert analysieren, modernisierbare Module identifizieren, Schnittstellen extrahieren und Tests generieren – bevor überhaupt eine Architekturentscheidung getroffen wird. Das verkürzt Discovery- und Migrationsphasen, die heute oft Jahre dauern.

Das regulatorische Minenfeld: DORA, EU AI Act und Security

So attraktiv die Vision ist – regulierte Häuser können sich keine Naivität leisten. Ein autonomer Agent, der Code in eine Pipeline pusht, stellt auch aus Sicht der Regulatorik (BaFin, EZB, FINMA) ein signifikantes Risiko dar.

DORA und Operational Resilience: Der Digital Operational Resilience Act (DORA) verlangt von Finanzinstituten die volle Kontrolle über ihre IKT-Risiken. Wenn KI-Agenten Software schreiben, wird die KI Teil der Lieferkette. Ein halluzinierender Agent, der eine unsichere Open-Source-Bibliothek einbindet, gefährdet die operationale Resilienz. Es bedarf strenger Guardrails, die sicherstellen, dass kein von Agenten generierter Code ohne Compliance-Prüfung in die Produktion gelangt.

Sicherheitslücken und „IDEsaster“: Berichte über Schwachstellen in KI-Coding-Tools (unter dem Schlagwort „IDEsaster“ bekannt) und die Gefahr von Prompt Injection zeigen, dass Agenten manipuliert werden können. Ein Angreifer könnte über manipulierte Anforderungen (Prompt Poisoning) einen Coding-Agenten dazu bringen, Hintertüren in die Banksoftware einzubauen. Das Prinzip Human-in-the-Loop (HITL) darf also bei kritischen Komponenten niemals entfallen. Trotz des Autonomieversprechens müssen Menschen an kritischen Entscheidungspunkten – etwa vor dem Deployment in die Produktionsumgebung oder bei wesentlichen Architekturentscheidungen -eingebunden bleiben.

Datenschutz und Souveränität: Der Einsatz von US-basierten LLMs in der Cloud ist für deutsche Banken oft problematisch. Initiativen wie die „Sovereign Cloud“ (z. B. T-Systems, Schwarz Digits, STACKIT) oder Partnerschaften wie SAP mit OpenAI für den deutschen Markt gewinnen an Bedeutung. Banken müssen sicherstellen, dass Agenten, die Einblick in interne Repositories haben, keine sensiblen Daten abfließen lassen. On-Premise-Deployments von LLMs oder hybride Modelle werden daher als Standardarchitektur für sensible Bereiche gesehen.

Fazit & Ausblick: Von Tool-Experimenten zu agentischen Delivery-Zellen

Die Entwicklung agentischer KI im SDLC wird sich in den kommenden 12-24 Monaten erheblich beschleunigen. Technologisch ist mit einer zunehmenden Standardisierung der Kommunikation zwischen Agenten zu rechnen – Protokolle wie Anthropics Model Context Protocol (MCP) deuten die Richtung an. Entwicklerteams werden sich neu formieren – ein Entwickler-Team wird durch Dutzende spezialisierter KI-Agenten ergänzt. Die menschliche Kernkompetenz verschiebt sich auf Systemdesign, Security-Audit und Agenten-Management.

Für Finanzinstitute im DACH-Raum bedeutet dies einen Balanceakt: Einerseits droht das Risiko, den Anschluss zu verlieren, wenn Wettbewerber agentische KI erfolgreich einsetzen, um Entwicklungszyklen zu verkürzen und Kosten zu senken. Andererseits erfordern die regulatorischen Rahmenbedingungen eine besonnene Vorgehensweise mit robusten Governance-Strukturen.

Der Schlüssel liegt in einem stufenweisen Vorgehen: Start mit klar definierten, risikoärmeren Use Cases, Aufbau interner Kompetenz, iterative Erweiterung des Einsatzbereichs bei gleichzeitiger Etablierung von Kontrollmechanismen.“

Die Institute, die diese Transformation erfolgreich meistern, werden nicht nur effizientere Softwareentwicklungsprozesse haben – sie werden in der Lage sein, schneller auf Marktveränderungen zu reagieren und ihre technische Schuld systematisch abzubauen. Die agentische Revolution im SDLC ist keine Frage des Ob, sondern des Wie – und die Weichen dafür werden jetzt gestellt.Lukas Küpper, Senacor/dk

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/238425

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert