IT-Praxis: Ihr Validierungssystem hat noch keinen einzigen Agenten geprüft

contraco
von Frank Meltke, contraco
Ein Mandat besteht auf Code-Ebene aus einer serialisierten Datenstruktur mit vier obligatorischen Feldern, Geltungsbereich (Scope), transaktionaler Schwellenwert (Threshold), zeitliche Gültigkeitsdauer (TTL) und einer deterministischen Widerrufsbedingung (Revocation Condition). Fehlt eines dieser Felder als maschinenlesbare Definition im Datenobjekt, bleibt das Mandat eine deklarative Absichtserklärung ohne durchsetzbare Systemgrenze.
Autonomieskala für agentische Handelstransaktionen
Die Autonomieskala für agentische Handelstransaktionen, in Anlehnung an SAE-J3016, beschreibt sechs Stufen. Bei L0 entscheidet und kauft ausschließlich der Mensch, eine klassische E-Commerce-Transaktion ohne Agentenbeteiligung. Bei L1 gibt der Agent regelbasierte oder KI-gestützte Empfehlungen, der Mensch entscheidet und kauft weiterhin selbst. Bei L2 wählt der Agent aus und bereitet die Transaktion vor, die finale Freigabe bleibt beim Menschen. Zwischen L2 und L3 liegt der kritische Schwellenwert, an dem die Echtzeit-Freigabe durch einen Menschen entfällt. Ab L3 kauft der Agent innerhalb definierter Grenzen, Budget, Warengruppen, Zeitfenster. Bei L4 entscheidet und kauft der Agent vollständig autonom innerhalb des erteilten Mandats, der Mensch wird nur noch informiert. Bei L5 beauftragen Agenten andere Agenten in einer vollständig autonomen Kette, ohne dass noch ein Mensch beteiligt ist.

contraco
In unserer Untersuchung von 247 Organisationen in zwölf Branchen gehen die meisten IT-Abteilungen davon aus, dass sich ihre Systeme aktuell auf den Stufen L1 oder L2 bewegen, also vor dem kritischen Schwellenwert.
Ein real dokumentierter Fall aus dem Juni 2026 (Website) zeigt etwas anderes. Ein autonomer Agent buchte in drei sequenziellen Tool-Calls und einer Gesamtlaufzeit von acht Sekunden einen Linienflug inklusive PNR-Ausstellung, ohne menschliche Berührung oder nachgelagerte Freigabe. Das ist L4-Infrastruktur im Live-Betrieb, nicht in der Sandbox.
Die Sollbruchstelle liegt an der Schnittstelle zwischen Protokoll- und Anwendungsebene.“
Protokolle wie das Model Context Protocol (MCP) oder AP2 definieren die Syntax, wie ein Agent ein Mandat anfordert und Tool-Calls dokumentiert. Sie definieren nicht den Kontrollpunkt im Banken-Stack, an dem dieses Mandat gegen ein Transaction-Gateway validiert wird. Diese Prüfung findet aktuell entweder clientseitig innerhalb der Laufzeitumgebung des Agenten statt, was bedeutet, dass das Institut der Integrität des Drittanbieter-Codes vertraut, oder sie entfällt im nachgelagerten Gateway vollständig.
Transaktionsvalidierung ohne menschliche Signale
Frank Meltke ist CEO von contraco (Website) und seit 28 Jahren in der digitalen Transformationsberatung tätig. Er hält das Patent DE10313420A1 und war 2004 Special Lecturer MIS an der Kyung Hee University in Seoul. Gemeinsam mit Prof. Kyoung Jun Lee forscht er an Validierungsarchitekturen autonomer Agenten.Ein autonomer Agent emittiert im Zuge eines serverseitigen System-zu-System-Aufrufs keine dieser Variablen. Er bedient weder Eingabegeräte noch besitzt er einen physischen Geräte-Fingerprint im klassischen Sinne.
Für jedes Scoring-Modell, das auf menschlicher Telemetrie trainiert wurde, folgt daraus ein binärer Systemfehler.“
Ein unmodifizierter System-zu-System-Call wird von der Risk-Engine entweder vollständig blockiert, weil er als Anomalie eingestuft wird, oder er passiert ungeprüft als generisches Hintergrundrauschen. Beide Szenarien sind für ein reguliertes Institut untragbar. Das erste blockiert das operative B2B-Geschäft, das zweite verletzt die Sorgfaltspflichten des Risikomanagements.
Kryptografisch signierte Mandatsketten auf Protokollebene bieten Ansätze zur Verifizierung, offene Schnittstellen-Standards machen die Tool-Call-Sequenz nachvollziehbar. Eine native Integration in europäische Zahlungsverkehrssysteme scheitert am Fehlen einer dedizierten Validierungs-Middleware. Notwendig ist eine zustandsbehaftete Prüfschicht, die das deklarierte Mandat des Agenten in Echtzeit gegen den tatsächlich ausgeführten Tool-Call abgleicht, bevor die Zahlungsorder, etwa eine SEPA-Instant-Order, das Core-Banking-System verlässt. Ohne diese Validierung bestätigt die Bank ein Token-Versprechen, keine geprüfte Systemhandlung.
Haftungs-Logging und der Verifier Gap
Ein haftungsfestes Log muss mindestens vier Elemente persistent und unveränderlich verknüpfen.
- die eindeutige Mandat-ID (UUIDv4)
- den zum Transaktionszeitpunkt gültigen Schwellenwert
- die verwendete Protokoll- und Schema-Version
- die vollständige Tool-Call-Sequenz inklusive der Input-Parameter des Agenten
Fehlt eines dieser Elemente, kann das Institut im Schadens- oder Regressfall nicht zeigen, warum und auf welcher Mandatsbasis eine Transaktion ausgelöst wurde, nur dass sie ausgelöst wurde.
Die Frage an Systemarchitekten in regulierten Umgebungen lautet, ob das aktuelle Datenmodell diese vier Elemente so abbildet, dass sie einer forensischen Prüfung standhalten. Frank Meltke, contraco
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/246782


Schreiben Sie einen Kommentar