Beratungsgespräch in einem österreichischen KMU-Büro über sichere KI-Agenten und Automatisierungsrechte
3. Juli 20267 Min. LesezeitMCP-Governance für KI-Agenten

Nicht jeder KI-Agent darf alles: Was Googles MCP-Governance für KMU ändert

Google bringt Agent Registry, Agent Gateway und MCP-Server in Gemini Enterprise enger zusammen. Für österreichische KMU ist das ein Signal: KI-Automatisierung braucht Inventar, Rechte, Protokolle und klare Freigaben, bevor Agenten produktiv mit Unternehmensdaten arbeiten.

Inhaltsverzeichnis

KI-Agenten werden erst dann geschäftstauglich, wenn sie nicht nur kluge Antworten liefern, sondern zuverlässig wissen, was sie tun dürfen. Genau hier wird eine scheinbar technische Google-Cloud-Neuerung für österreichische KMU interessant: Agenten brauchen ein Register, kontrollierte Schnittstellen und klare Ausgeh-Regeln zu Tools, Daten und anderen Agenten.

Google hat am 25. Juni 2026 in den Gemini-Enterprise-Release Notes die allgemein verfügbare Funktion „Governance for agents and MCP servers“ dokumentiert. Dahinter steckt mehr als ein neues Admin-Menü. In Gemini Enterprise lässt sich die Agent Registry als Katalog für A2A-Agenten und eigene Model-Context-Protocol-Server nutzen. Über den Agent Gateway können Administratorinnen und Administratoren erlauben oder blockieren, welche Agenten mit welchen Tools oder MCP-Servern kommunizieren dürfen. Am 1. Juli 2026 hat Google Cloud zusätzlich gezeigt, wie ein remote MCP server externe Agenten-Frameworks kontrolliert mit Google-Cloud-Ressourcen verbindet.

Für große Unternehmen klingt das nach Plattformarchitektur. Für KMU ist es ein Vorgeschmack auf die nächste praktische Frage: Wenn KI nicht mehr nur Texte schreibt, sondern Anfragen vorbereitet, Daten aus Systemen liest, interne Tools ausführt oder andere Agenten beauftragt, reicht ein guter Prompt nicht mehr. Dann braucht das Unternehmen eine Betriebslogik.

Was neu ist

Viele KI-Projekte starten heute als Einzellösung: ein Chatbot auf der Website, ein Assistent für Dokumente, ein Automatisierungs-Workflow für E-Mails oder ein Agent, der Angebote vorbereitet. Solange diese Systeme isoliert bleiben, ist das Risiko überschaubar. Der Nutzen ist aber auch begrenzt.

Spannend wird KI-Automatisierung erst, wenn ein Agent Zugriff auf echte Arbeitsmittel bekommt: CRM, Kalender, E-Mail, Projektmanagement, Cloud-Dateien, Shopdaten, Datenbanken, Buchhaltungsreports oder Website-Formulare. Genau dafür steht MCP als standardisierter Weg, Tools und Kontext an KI-Systeme anzubinden. A2A wiederum beschreibt, wie Agenten miteinander kommunizieren können, auch wenn sie aus unterschiedlichen Systemen stammen.

Die neue Google-Governance macht diese Entwicklung greifbarer. Eine Agent Registry sammelt zugelassene Agenten, Tools und MCP-Server nicht als lose Liste, sondern als verwaltbares Inventar. Ein Agent Gateway entscheidet, welche Kommunikation erlaubt ist. Egress Policies regeln also nicht nur, wer in ein System hinein darf, sondern auch, wohin ein Agent aus einem System hinausfunken darf.

Das ist eine wichtige Verschiebung: Die zentrale Frage lautet nicht mehr „Kann ein Agent technisch auf das Tool zugreifen?“, sondern „Ist dieser Zugriff für genau diesen Zweck, in genau diesem Kontext, mit genau diesen Daten erlaubt?“

Warum das für österreichische KMU relevant ist

Österreichische KMU arbeiten selten mit riesigen Plattformteams. Sie haben dafür oft eine andere Stärke: kurze Wege, klares Prozesswissen und sehr konkrete Engpässe. Ein Betrieb weiß meist ziemlich genau, wo Zeit verloren geht: wiederkehrende Kundenfragen, manuelle Angebotsvorbereitung, verstreute Produktdaten, doppelte Dateneingabe, Dokumentensuche, Terminabstimmung, Reporting oder interne Freigaben.

Gerade deshalb ist KI-Automatisierung attraktiv. Die WKÖ verweist auf eine Branchenerhebung der KMU Forschung Austria, nach der 44 Prozent der befragten Unternehmerinnen und Unternehmer KI bereits aktiv nutzen und weitere 31 Prozent planen oder testen. Gleichzeitig bremsen Datenschutzbedenken, unklare rechtliche Rahmenbedingungen und fehlende Fachkompetenzen viele Vorhaben. Diese Kombination ist typisch: Der Wille ist da, aber der Weg in den Betrieb braucht Leitplanken.

Ein Agenten-Register löst nicht alle Fragen. Es zwingt aber zu den richtigen Fragen:

  • Welche Agenten gibt es überhaupt im Unternehmen?
  • Welche Datenquellen, Tools und MCP-Server sind angebunden?
  • Welche Aktionen dürfen nur lesen, welche dürfen schreiben?
  • Welche Aufgaben brauchen eine menschliche Freigabe?
  • Welche Logs zeigen später, warum ein Agent etwas getan hat?
  • Welche Zugriffe sind für Pilotprojekte erlaubt, aber im Produktivbetrieb tabu?

Für KMU ist diese Denkarbeit wertvoller als die Auswahl des neuesten Modells. Ein kleines Unternehmen braucht nicht sofort eine Enterprise-Plattform wie Google Cloud Gemini Enterprise. Es braucht aber dasselbe Prinzip in angemessener Größe: Inventar, Rollen, Freigaben, Protokolle und Tests.

Die Grenze zwischen Hilfe und Handlung

Der Unterschied zwischen einem KI-Assistenten und einem KI-Agenten liegt nicht im Marketingwort. Er liegt in der Handlung.

Ein Assistent kann einen Text vorschlagen. Ein Agent kann den Text in ein CRM schreiben, eine E-Mail vorbereiten, einen Termin blockieren, einen Datensatz ändern oder eine andere Anwendung aufrufen. Damit entsteht ein anderer Risikotyp. Fehler bleiben nicht mehr im Chatverlauf stehen, sondern landen im Geschäftsprozess.

Beispiele aus dem KMU-Alltag:

  • Ein Vertriebsagent darf Leads aus Website-Formularen zusammenfassen, aber keine Rabatte ohne Freigabe zusagen.
  • Ein Supportagent darf Wissensartikel lesen, aber keine personenbezogenen Kundendaten an externe Tools weitergeben.
  • Ein Content-Agent darf Blogentwürfe vorbereiten, aber Veröffentlichungen und Bildrechte müssen geprüft werden.
  • Ein Reporting-Agent darf Kennzahlen auslesen, aber keine Buchhaltungsdaten an nicht registrierte Dienste senden.
  • Ein Shop-Agent darf Produktinformationen prüfen, aber keine Preise automatisiert ändern, solange kein Freigabeprozess existiert.

Genau an dieser Stelle wird Künstliche Intelligenz als Unternehmensleistung praktisch. Es geht nicht darum, KI irgendwo anzukleben. Es geht darum, Aufgaben so zu schneiden, dass ein Agent einen echten Prozessschritt entlastet, ohne Kontrolle, Datenschutz oder Verantwortlichkeit zu verlieren.

Was Ostheimer daraus praktisch machen kann

Für Ostheimer ist der wichtigste Schluss aus Googles Agent Registry und Agent Gateway nicht: Jedes KMU muss sofort Google Cloud einführen. Der Schluss ist: Jedes produktive Agentenprojekt braucht eine kleine, ehrliche Governance-Architektur.

Ein sinnvoller Einstieg sieht meistens so aus.

Zuerst entsteht ein Agenten-Inventar. Darin stehen nicht nur Toolnamen, sondern Zweck, Datenquellen, erlaubte Aktionen, verantwortliche Personen, Freigabepunkte und erwartete Ergebnisse. Ein Chatbot auf der Website, ein interner Rechercheagent und ein E-Mail-Workflow gehören dort genauso hinein wie geplante MCP-Server oder Zapier-, Make- und CRM-Verbindungen.

Danach folgt eine Rechte-Matrix. Sie trennt Lesen, Vorschlagen, Schreiben und Auslösen. Viele Prozesse werden dadurch sofort klarer. Ein Agent darf vielleicht eine Antwort formulieren und einen CRM-Eintrag vorbereiten. Das Senden, Löschen, Umbuchen oder Veröffentlichen bleibt aber beim Menschen, bis Datenqualität und Tests ausreichend sind.

Als dritter Schritt lohnt sich ein Pilot mit begrenztem Schadenpotenzial. Gute Kandidaten sind interne Wissenssuche, Angebotsvorbereitung, Content-Briefings, Support-Triage, Lead-Zusammenfassung oder Reporting-Kommentare. Schlechte erste Kandidaten sind Zahlungsfreigaben, rechtlich verbindliche Zusagen, medizinische Einschätzungen oder Personalentscheidungen.

Erst danach kommt die technische Integration. Bei AI Agent Entwicklung zählt deshalb nicht nur, ob ein Agent eine API aufrufen kann. Entscheidend ist, ob die Schnittstelle protokolliert, begrenzt und testbar ist. Bei Website- oder Portalprojekten berührt das auch Webdesign und Webentwicklung, weil Formulare, Datenmodelle, Rollen und strukturierte Inhalte agententauglich geplant werden müssen.

Chancen: Weniger Tool-Wildwuchs, bessere Automatisierung

Der größte Vorteil eines Agenten-Registers ist Übersicht. Viele Unternehmen merken zu spät, dass sie mehrere KI-Zugänge parallel nutzen: ChatGPT im Marketing, Copilot in Office, ein Website-Chatbot, ein Automatisierungsdienst, ein CRM-Assistent, ein Bildgenerator und vielleicht ein interner Datenagent. Jedes Tool wirkt für sich harmlos. Zusammen entsteht aber eine unklare Landschaft aus Datenflüssen, Berechtigungen und Verantwortlichkeiten.

Ein Register bringt diese Landschaft auf eine Karte. Dadurch lassen sich Dubletten vermeiden, Risiken vergleichen und bessere Entscheidungen treffen. Muss ein Agent wirklich direkten Schreibzugriff haben? Reicht ein Entwurf? Muss ein externer MCP-Server Kundendaten sehen? Kann ein lokaler oder selbst kontrollierter Server denselben Zweck erfüllen? Welche Agenten dürfen miteinander sprechen?

Für KMU bedeutet das auch wirtschaftliche Kontrolle. KI-Kosten entstehen nicht nur durch Modellpreise, sondern durch unklare Wiederholungen, schlechte Prompts, doppelte Tools und manuelle Nacharbeit. Wer Agenten sauber katalogisiert, kann Nutzen und Aufwand besser messen.

Grenzen: Governance ersetzt keine Verantwortung

Google zeigt mit Agent Registry, Agent Gateway und MCP-Governance eine Richtung, aber keine magische Sicherheitsgarantie. Auch registrierte Agenten können falsche Schlüsse ziehen. Auch erlaubte Tools können mit schlechten Daten arbeiten. Auch ein sauberer Gateway verhindert nicht, dass ein schlecht formulierter Prozess unsinnige Ergebnisse produziert.

Dazu kommt: Viele KMU nutzen Mischlandschaften. Ein Teil läuft in Microsoft 365, ein Teil in WordPress, ein Teil in Google Workspace, ein Teil in Branchenlösungen, ein Teil in Tabellen. Die beste Governance ist dann nicht die größte Plattform, sondern die sauberste Grenze. Wo liegt die Wahrheit? Wer darf ändern? Wo wird protokolliert? Was passiert bei Unsicherheit?

Auch der EU AI Act macht diese Fragen konkreter. Laut RTR gelten die Regeln zur KI-Kompetenz bereits seit 2. Februar 2025; ab 2. August 2026 werden weitere Pflichten grundsätzlich anwendbar, unter anderem für viele KI-Systeme mit niedriger, minimaler oder hoher Risikoeinstufung. Ein Agenten-Inventar hilft nicht nur technisch, sondern auch organisatorisch, weil es sichtbar macht, welche KI-Systeme tatsächlich im Betrieb sind.

Was KMU jetzt prüfen sollten

Der beste nächste Schritt ist kein Großprojekt, sondern eine kurze Bestandsaufnahme.

  1. Listen Sie alle KI-Werkzeuge auf, die im Unternehmen tatsächlich genutzt werden.
  2. Markieren Sie, welche davon nur Text erzeugen und welche Daten lesen oder Aktionen auslösen.
  3. Notieren Sie pro Werkzeug die Datenquellen, Verantwortlichen und Freigaben.
  4. Prüfen Sie, ob Kundendaten, interne Dokumente oder Zugangsdaten an externe Tools gehen.
  5. Definieren Sie für den ersten produktiven Agenten eine klare Grenze: lesen, vorschlagen, schreiben oder auslösen.
  6. Testen Sie Fehlfälle, nicht nur Erfolgsdemos: falsche Daten, unvollständige Angaben, Prompt Injection, doppelte Aufträge und menschliche Eskalation.

Wer bereits mit MCP, Website-Agenten oder KI-Interfaces experimentiert, sollte den verwandten Beitrag zu A2UI und MCP Apps im Webdesign ergänzend lesen. Dort geht es stärker um die Oberfläche, hier um den Betrieb dahinter.

Fazit

Googles neue Agenten-Governance ist ein Signal dafür, wohin Unternehmens-KI geht: weg vom einzelnen Chatfenster, hin zu kontrollierten Agenten, registrierten Schnittstellen und nachvollziehbaren Rechten. Für österreichische KMU ist das keine Einladung zur Übertechnik. Es ist eine Einladung, KI-Automatisierung erwachsen zu planen.

Der Nutzen entsteht nicht, wenn ein Agent möglichst viel darf. Er entsteht, wenn ein Agent genau die richtige Aufgabe bekommt, auf genau die richtigen Daten zugreift und an genau der richtigen Stelle anhält. Wer das jetzt sauber vorbereitet, kann KI schneller produktiv nutzen, ohne später eine unübersichtliche Tool-Landschaft aufräumen zu müssen.

Quellen

Teilen:

Artikel hilfreich?

Wenn du ähnliche Themen für dein Business strukturieren willst, unterstütze ich dich gerne bei Content-Strategie, SEO und KI-Workflow.

Vorheriger Artikel

Claude Sonnet 5 senkt die Agenten-Hürde: Was KMU vor dem Modellwechsel prüfen sollten

Verwandte Artikel