KI-Agenten, digitale Souveränität und „Vibe Coding“ wachsen gerade zusammen – und das wird für IT-Verantwortliche im öffentlichen Sektor schnell zum Sturm. Hier ist, was in vielen Strategien fehlt.
Die unangenehme Rechnung
Fast 60 % der Organisationen haben Hinweise darauf, dass nicht genehmigte KI-Agenten in ihrer Umgebung laufen. Gleichzeitig kleben Anbieter das Etikett „KI-Agent“ auf alles – von einfacher Workflow-Automatisierung bis zu klassischem Machine Learning. Das Ergebnis: Goldgräberstimmung trifft auf Organisationen, die dafür noch längst nicht bereit sind.
Aber das ist nur eine von drei Bruchlinien, die ich gerade entstehen sehe. Und gefährlich ist nicht eine einzelne davon – sondern wie sie sich gegenseitig verstärken.
⸻
Bruchlinie 1: KI-Agenten sind schneller als die Regulierung
Regierungen weltweit verbinden ihre KI-Ziele immer stärker mit Agenten: dialogorientierte Services, teilautonome Entscheidungshilfe, Automatisierung mit Bürgerkontakt – die Anwendungsfälle wachsen schneller als die Governance-Regeln.
Hier kommt die unbequeme Wahrheit: 62 % der befragten Organisationen finden, KI-Agenten sollten nur von IT-Abteilungen gebaut werden – nicht von Endanwendern. Nur 15 % denken überhaupt über vollständig autonome Agenten nach. Trotzdem nimmt die Einführung weiter zu.
Diese Lücke zwischen Anspruch und Kontrolle erzeugt reale Risiken. Wenn ein zu wenig regulierter KI-Agent bei einer Bürgerinteraktion einen Fehler macht, verliert nicht der Hersteller an Glaubwürdigkeit – sondern die Behörde. Und im öffentlichen Sektor ist Vertrauen keine „weiche“ Kennzahl. Es ist die Grundlage, auf der alles läuft.
Bis 2029 werden voraussichtlich 20 % der Ausfälle staatlicher Dienstleistungen auf zu wenig regulierte KI-Agenten-Interaktionen zurückzuführen sein. Das ist keine theoretische Warnung, sondern die absehbare Folge davon, schneller zu sein als die eigene Governance.
Die Frage, die in Meetings kaum jemand stellt:
„Ist das wirklich ein KI-Agent – oder nur umbenannte Automatisierung, die wir schon haben?“
⸻
Bruchlinie 2: Souveränität als strategische Illusion
Digitale Souveränität ist in fast jeder Region zu einem politischen Top-Thema geworden. Doch aktuelle Schätzungen gehen davon aus, dass bis 2028 60 % der staatlichen Souveränitätsinitiativen ihre Ziele verfehlen werden. Der Grund: unrealistische Zeitpläne und Kostenannahmen, die eher aus politischen Zyklen kommen als aus technischer Realität.
Viele Souveränitätsprogramme fokussieren sehr eng auf Datenstandort und einfache Cloud-Dienste. Die tieferen Risiken entlang ganzer Technologie-Stacks – von Arbeitsplatz-Tools über KI-Plattformen bis zu SaaS-Anwendungen – bleiben oft unsichtbar.
Ich nenne das „Sovereignty Washing“: Lokale Anbieter werben mit souveränen Lösungen, nutzen aber in ihrer Lieferkette weiterhin Hyperscaler. Die Abhängigkeit ist nicht weg – sie sitzt nur eine Ebene tiefer.
Digitale Souveränität ist kein Projekt, das man in einem Haushaltsjahr „fertig“ macht. Es ist eine strategische Haltung, die Jahre braucht. Wer sie wie eine Checkliste behandelt, verbrennt Geld und politisches Kapital – und reduziert das tatsächliche Risiko kaum.
⸻
Bruchlinie 3: Vibe Coding erzeugt unsichtbare Schulden
Das ist die Bruchlinie, die am wenigsten Aufmerksamkeit bekommt: Vibe Coding. Gemeint ist: Anwendungen werden per natürlicher Sprache „zusammengebaut“ – über Prompts – ohne klassisches Programmieren. Das gewinnt schnell an Fahrt. 72 % der befragten Behörden planen, ihre Budgets zur Modernisierung von Anwendungen zu erhöhen. 46 % nutzen bereits Low-Code-Plattformen. Vibe Coding ist der nächste logische Schritt.
Für Prototypen und Innovationslabore ist das sinnvoll. Die Gefahr beginnt, wenn aus Experimenten schleichend Produktionssysteme werden.
Ein vibe-codierter Prototyp funktioniert in der Demo – aber er kennt keine Architekturstandards, keine Sicherheitsrichtlinien und keine Integrationsanforderungen. Wenn Budgetdruck und kurze Wahlzyklen diesen Prototyp in den Betrieb drücken, entsteht technische Schuld, die Jahre dauert, um sie wieder abzubauen.
Bis 2028 werden voraussichtlich 75 % der Regierungen ohne Vibe-Coding-Kontrollen architektonische technische Schulden als größte Modernisierungsbremse nennen.
⸻
Wo die drei Bruchlinien zusammenlaufen
Was mir dabei wirklich Sorgen macht: Diese drei Trends sind nicht getrennt – sie konvergieren.
Ein schlecht regulierter KI-Agent auf einer nicht-souveränen Plattform, gebaut per Vibe Coding und ohne architektonische Aufsicht – das ist kein hypothetisches Szenario. Das ist die Richtung, in die der Trend gerade zeigt.
Die Rolle staatlicher CIOs verschiebt sich damit: von Technologie-Verwaltern hin zu strategischen Risikomanagern. Erfolg heißt, Innovation und Widerstandsfähigkeit auszubalancieren – und lokale Ökosysteme aufzubauen, die Abhängigkeiten von ausländischen Technologien abfedern.
⸻
Der Weg nach vorn
Diese Bruchlinien lassen sich adressieren – nicht durch Panik und nicht durch pauschale Ablehnung. Sondern durch bewusste Governance.
Für KI-Agenten:
Führen Sie vorbeugende Risikoanalysen durch, bevor ein Agent produktiv geht. Fordern Sie von jedem Anbieter Transparenz, Beobachtbarkeit (Observability) und manuelle Fallback-Mechanismen. Oft liefern bestehende Automatisierungslösungen in Ihrer Cloud ähnliche Ergebnisse – mit deutlich weniger Risiko.
Für Souveränität:
Kartieren Sie direkte und indirekte ausländische Abhängigkeiten über Ihre Kern-Stacks hinweg. Priorisieren Sie nach Risiko, Kosten und strategischem Wert. Ziel ist selten vollständige Entkopplung – sondern die Fähigkeit, im Krisenfall handlungsfähig zu bleiben.
Für Vibe Coding:
Begrenzen Sie den Einsatz zunächst auf nicht-kritische Experimente. Passen Sie Ihren Softwareentwicklungsprozess so an, dass Vibe-Coding-Risiken ausdrücklich adressiert werden. Verlangen Sie menschliches Review und architektonische Freigabe, bevor irgendetwas produktiv geht.
⸻
Bevor Sie diesen Tab schließen – die praktische Quintessenz
✅ Prüfen Sie Ihre Organisation auf nicht genehmigte KI-Agenten – die Zahl wird Sie vermutlich überraschen
✅ Fragen Sie jeden KI-Anbieter: „Ist das wirklich agentisch – oder nur umbenannte Automatisierung, die wir bereits besitzen?“
✅ Kartieren Sie Lieferketten-Abhängigkeiten mindestens zwei Ebenen tief – dort versteckt sich „Sovereignty Washing“
✅ Definieren Sie klare Grenzen für Vibe Coding: Was darf prototypisiert werden, was braucht Architektur-Review?
✅ Verlangen Sie menschliche Freigabe, bevor eine KI-generierte Anwendung in Produktion geht
✅ Setzen Sie eine vierteljährliche Review technischer Schulden auf die Agenda Ihres IT-Steuerungsgremiums
✅ Führen Sie ein Souveränitätsregister, das dokumentiert, wo Ihre Daten tatsächlich liegen – nicht wo sie liegen sollten
⸻
Wenn Ihnen das eine Idee gegeben hat, die Sie testen möchten: Abonnieren Sie gern. Ich veröffentliche wöchentlich praktische Frameworks für KI-Verantwortliche, die Klarheit brauchen – nicht Hype.
⸻
Was ist aktuell der größte blinde Fleck in der KI-Strategie Ihrer Organisation? Ich bin wirklich neugierig – Ihre Erfahrungen helfen mir, bessere Frameworks für alle zu entwickeln.
Diskussionen der Mitglieder