STRATEGIE6. Juli 2026

IT-Praxis: Ihr Validierungs­system hat noch keinen einzigen Agenten geprüft

Ein Mann in einem schwarzen Anzug mit orangefarbener Krawatte blickt direkt in die Kamera. Die Hintergrundfarbe ist neutral. In der Diskussion um Core-Banking-Fraud-Systeme wird die Relevanz biometrischer Daten und Device-Fingerprints thematisiert.
Frank Meltke, CEO von contraco contraco

Ein KI-Agent buchte im Juni 2026 einen Flug in acht Sekunden über drei Tool-Calls, ohne menschliche Instanz. Core-Banking-Fraud-Systeme analysieren weiterhin Biometrie und Device-Fingerprints, die bei autonomen Systemen schlicht nicht existieren. Warum Banken für Agentic Commerce eine neue Validierungsschicht brauchen – zwischen KI-Agent, Mandat, Tool-Call und Zahlungsverkehr – und wie das geht …

von Frank Meltke, contraco 

Ein Mandat besteht auf Code-Ebene aus einer serialisierten Datenstruktur mit vier obligatorischen Feldern, Geltungsbereich (Scope), transaktionaler Schwellenwert (Threshold), zeitliche Gültigkeitsdauer (TTL) und einer deterministischen Widerrufsbedingung (Revocation Condition). Fehlt eines dieser Felder als maschinenlesbare Definition im Datenobjekt, bleibt das Mandat eine deklarative Absichtserklärung ohne durchsetzbare Systemgrenze.

Autonomieskala für agentische Handelstransaktionen

Die Autonomieskala für agentische Handelstransaktionen, in Anlehnung an SAE-J3016, beschreibt sechs Stufen. Bei L0 entscheidet und kauft ausschließlich der Mensch, eine klassische E-Commerce-Transaktion ohne Agentenbeteiligung. Bei L1 gibt der Agent regelbasierte oder KI-gestützte Empfehlungen, der Mensch entscheidet und kauft weiterhin selbst. Bei L2 wählt der Agent aus und bereitet die Transaktion vor, die finale Freigabe bleibt beim Menschen. Zwischen L2 und L3 liegt der kritische Schwellenwert, an dem die Echtzeit-Freigabe durch einen Menschen entfällt. Ab L3 kauft der Agent innerhalb definierter Grenzen, Budget, Warengruppen, Zeitfenster. Bei L4 entscheidet und kauft der Agent vollständig autonom innerhalb des erteilten Mandats, der Mensch wird nur noch informiert. Bei L5 beauftragen Agenten andere Agenten in einer vollständig autonomen Kette, ohne dass noch ein Mensch beteiligt ist.

Das Autonomie-Framework für agentische Handels-transaktionen illustriert verschiedene Stufen der Entscheidungsfindung, von menschlichen Käufen bis hin zu vollständig autonomen Multi-Agenten-Ketten. Es thematisiert die Entwicklung von Core-Banking-Fraud-Systemen in diesem Kontext.
Autonomie-Framework für agentische Handelstransaktionen contraco

In unserer Untersuchung von 247 Organisationen in zwölf Branchen gehen die meisten IT-Abteilungen davon aus, dass sich ihre Systeme aktuell auf den Stufen L1 oder L2 bewegen, also vor dem kritischen Schwellenwert.

Ein real dokumentierter Fall aus dem Juni 2026 (Website) zeigt etwas anderes. Ein autonomer Agent buchte in drei sequenziellen Tool-Calls und einer Gesamtlaufzeit von acht Sekunden einen Linienflug inklusive PNR-Ausstellung, ohne menschliche Berührung oder nachgelagerte Freigabe. Das ist L4-Infrastruktur im Live-Betrieb, nicht in der Sandbox.

Die Sollbruchstelle liegt an der Schnittstelle zwischen Protokoll- und Anwendungsebene.“

Protokolle wie das Model Context Protocol (MCP) oder AP2 definieren die Syntax, wie ein Agent ein Mandat anfordert und Tool-Calls dokumentiert. Sie definieren nicht den Kontrollpunkt im Banken-Stack, an dem dieses Mandat gegen ein Transaction-Gateway validiert wird. Diese Prüfung findet aktuell entweder clientseitig innerhalb der Laufzeitumgebung des Agenten statt, was bedeutet, dass das Institut der Integrität des Drittanbieter-Codes vertraut, oder sie entfällt im nachgelagerten Gateway vollständig.

Transaktionsvalidierung ohne menschliche Signale

Autor: Frank Meltke, Contraco
Frank Meltke, CEO von Contraco, präsentiert sich in formeller Kleidung mit einem orangefarbenen Krawatte. Seine Expertise in digitalen Transformationsberatungen und Core-Banking-Fraud-Systemen ist durch seine langjährige Erfahrung und Patente belegt.Frank Meltke ist CEO von contraco (Website) und seit 28 Jahren in der digitalen Transformationsberatung tätig. Er hält das Patent DE10313420A1 und war 2004 Special Lecturer MIS an der Kyung Hee University in Seoul. Gemeinsam mit Prof. Kyoung Jun Lee forscht er an Validierungs­architekturen autonomer Agenten.
Risk-Engines und Fraud-Detection-Systeme in BaFin-, FINMA- und FMA-regulierter Banken-IT wurden für menschliche Verhaltensmuster entwickelt. Sie bewerten Tastatur-Anschlagsdynamik, Mauszeiger-Vektoren, Device-Fingerprints, Netzknoten-Wechsel und historische Geolocation-Muster.

Ein autonomer Agent emittiert im Zuge eines serverseitigen System-zu-System-Aufrufs keine dieser Variablen. Er bedient weder Eingabegeräte noch besitzt er einen physischen Geräte-Fingerprint im klassischen Sinne.

Für jedes Scoring-Modell, das auf menschlicher Telemetrie trainiert wurde, folgt daraus ein binärer Systemfehler.“

Ein unmodifizierter System-zu-System-Call wird von der Risk-Engine entweder vollständig blockiert, weil er als Anomalie eingestuft wird, oder er passiert ungeprüft als generisches Hintergrundrauschen. Beide Szenarien sind für ein reguliertes Institut untragbar. Das erste blockiert das operative B2B-Geschäft, das zweite verletzt die Sorgfaltspflichten des Risikomanagements.

Kryptografisch signierte Mandatsketten auf Protokollebene bieten Ansätze zur Verifizierung, offene Schnittstellen-Standards machen die Tool-Call-Sequenz nachvollziehbar. Eine native Integration in europäische Zahlungsverkehrssysteme scheitert am Fehlen einer dedizierten Validierungs-Middleware. Notwendig ist eine zustandsbehaftete Prüfschicht, die das deklarierte Mandat des Agenten in Echtzeit gegen den tatsächlich ausgeführten Tool-Call abgleicht, bevor die Zahlungsorder, etwa eine SEPA-Instant-Order, das Core-Banking-System verlässt. Ohne diese Validierung bestätigt die Bank ein Token-Versprechen, keine geprüfte Systemhandlung.

Haftungs-Logging und der Verifier Gap

Über contraco
contraco (Website) ist ei­ne Ma­nage­ment- und Tech­no­lo­gie­be­ra­tung für di­gi­ta­le Trans­for­ma­ti­on mit Prä­sen­zen in den USA, Deutsch­land und Ko­rea. Der Schwer­punkt liegt ak­tu­ell auf Go­ver­nan­ce- und Va­li­die­rungs­struk­tu­ren für Agen­tic Commerce.
Aufsichtsbehörden fordern bei automatisierten Dispositionen im Bankbetrieb eine lückenlose, revisionssichere Nachweiskette. Diese regulatorische Anforderung basiert historisch auf deterministischen Systemen, in denen ein Mensch eine feste Wenn-Dann-Regel programmiert und eine Maschine sie ausführt. Autonome Agenten verändern diese Nachweiskette grundlegend, weil die Zustandstrajektorie der Entscheidung dynamisch generiert wird.

Ein Standard-Transaktionslog nach ISO 20022 oder im pacs-Format dokumentiert das monetäre Ergebnis, Ausführungszeitpunkt, Betrag, Quell- und Zielrouting. Es erfasst jedoch nicht den vorgeschalteten Kontext, welches Mandat zum Transaktionszeitpunkt aktiv war, welche Limits definiert waren und welche Tool-Call-Sequenz die Zahlungsinitiierung ausgelöst hat. Für diese Lücke verwende ich den Begriff Verifier Gap, weil sich bisher keine etablierte Bezeichnung durchgesetzt hat.

Ein haftungsfestes Log muss mindestens vier Elemente persistent und unveränderlich verknüpfen.

  • die eindeutige Mandat-ID (UUIDv4)
  • den zum Transaktionszeitpunkt gültigen Schwellenwert
  • die verwendete Protokoll- und Schema-Version
  • die vollständige Tool-Call-Sequenz inklusive der Input-Parameter des Agenten

Fehlt eines dieser Elemente, kann das Institut im Schadens- oder Regressfall nicht zeigen, warum und auf welcher Mandatsbasis eine Transaktion ausgelöst wurde, nur dass sie ausgelöst wurde.

Die Frage an Systemarchitekten in regulierten Umgebungen lautet, ob das aktuelle Datenmodell diese vier Elemente so abbildet, dass sie einer forensischen Prüfung standhalten. Frank Meltke, contraco

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert