KI-Agenten zuverlässig bauen | FINLAI designs
Blog · Thought-Leadership

Zuverlässige KI-Agenten bauen: vom Vorschlag zum Zwang.

4. Juni 2026 Lesezeit ca. 10 Min. Patrick Riederich

Ein KI-Agent kennt die Regeln eines Projekts — und bricht sie trotzdem. Er ist fähig, gut gebrieft, dokumentiert. Und in der nächsten Sitzung hat er die Hälfte vergessen: die Architektur, die Entscheidungen, die Korrektur von gestern.

Wer eine KI ernsthaft tagelang an echter Arbeit mitwirken lässt, kennt dieses Muster. Es ist der Unterschied zwischen einer beeindruckenden Demo und einem Werkzeug, dem man ein Produkt anvertraut. Dieser Beitrag zeigt das Bauprinzip, mit dem aus einem unzuverlässigen Agenten ein verlässliches, sicheres System wird — und wo es sich einsetzen lässt. Keine Geschichte, kein Vorher-Nachher: nur der Endzustand und seine Anwendungsfelder.

01 · Ausgangslage

KI-Agenten: Chancen, Nutzen — und drei systematische Risiken.

Ein KI-Agent kann eigenständig Aufgaben übernehmen: recherchieren, Code schreiben, Dokumente erstellen, ganze Prozesse abarbeiten. Der Nutzen ist real — Tempo, Skalierung, Entlastung von Routinearbeit. Aber autonomes Handeln hat eine Kehrseite: ein Fehler bleibt nicht folgenlos. Genau hier treten bei autonomen Agenten drei Schwächen systematisch auf:

  • Regeln sind nur Text. Man kann hundert Regeln dokumentieren — solange niemand sie prüft, bleibt ihre Einhaltung dem Wohlwollen des Modells überlassen. Installation ist nicht gleich Ausführung.
  • Das Gedächtnis stirbt mit der Sitzung. Eine Korrektur aus Sitzung 1 ist in Sitzung 2 vergessen. Der Kontext — das Kurzzeitgedächtnis des Modells — wird geleert. Lektionen sind nicht persistent.
  • Mehr Kontext macht es schlechter. Je voller das Kurzzeitgedächtnis, desto unzuverlässiger die Leistung. Veraltete oder widersprüchliche Notizen wirken als Distraktoren — sie senken die Qualität aktiv, statt neutral mitzulaufen. Dieses „Context Rot" ist kein Eindruck, sondern in der Forschung dokumentiert (Liu et al., Lost in the Middle; Chroma Research, Context Rot).

Wer diese drei Punkte nicht adressiert, baut keine zuverlässige Software, sondern eine gut aussehende Demo. Die Lösung beginnt mit einem einzigen Satz.

02 · Leitprinzip

Der eine Satz, der alles trägt.

Unsere Lehre nach Monaten echter Arbeit an mehreren eigenständigen Projekten passt in einen Satz:

„Eine Regel zählt erst, wenn ein Mechanismus sie hält."

— Das Bauprinzip in einem Satz

Nicht „dokumentiert". Erzwungen. Der gesamte Aufbau folgt dieser einen Bewegung: von der Empfehlung zum Zwang. Dokumentation bleibt notwendig — aber sie ist nie der Beweis, dass eine Regel eingehalten wird. Jede Schicht des Systems stellt deshalb dieselbe Frage: Welcher Mechanismus hält diese Regel?

03 · Architektur

Das Bauprinzip: fünf Stufen.

Von „die KI weiß es" zu „die Umgebung erzwingt es" führen fünf aufeinander aufbauende Stufen. Die ersten drei scheiterten in der Praxis nicht, weil sie falsch waren — sondern weil Dokumentation allein die Erwartung an Verlässlichkeit nicht erfüllt. Erst Stufe 4 macht den entscheidenden Sprung.

Die fünf Stufen des Bauprinzips Ein gestapelter Aufbau von unten nach oben: Stufe 1 Skills, Stufe 2 geteilte Wissensbasis, Stufe 3 verbindliche Workflows, Stufe 4 Erzwingung per Konfiguration (hervorgehoben), Stufe 5 lernendes Gedächtnis. Ein Pfeil an der Seite zeigt die Bewegung von Empfehlung zu Zwang. EMPFEHLUNG → ZWANG 1 Skills — wiederverwendbare Fähigkeiten 2 Geteilte, dateibasierte Wissensbasis 3 Verbindliche Workflows 4 Erzwingung per Konfiguration allow / deny / ask + Hooks — der entscheidende Sprung 5 Lernendes Gedächtnis (RAG)
Diagramm 1: Fünf Stufen von der dokumentierten Empfehlung (unten) zur technisch erzwungenen Regel (oben). Stufe 4 ist der entscheidende Sprung.

Stufe 1 — Skills

Wiederkehrende Fähigkeiten werden als wiederverwendbare Bausteine verschriftlicht (Markdown) und nur bei Bedarf geladen — „progressive disclosure". So bleibt der Kontext schlank, und der Agent zieht sich Wissen erst dann heran, wenn die Aufgabe es verlangt.

Stufe 2 — Geteilte, dateibasierte Wissensbasis

Eine zentrale, Git-versionierte Wissensbasis hält fest, was die KI vor dem Code-Lesen wissen muss: Projektstand, Entscheidungen, Architektur. Jede Information wird an einer Stelle gepflegt (Single Source of Truth), nicht kopiert. Pro Projekt gibt es ein Vier-Datei-Gedächtnis — STATUS (aktueller Stand), DECISIONS (nächste Schritte mit Begründung), PROGRESS (chronologisches Log) und GUIDE (praktischer Workflow).

Stufe 3 — Verbindliche Workflows

Abläufe werden explizit beschrieben: der Lebenszyklus einer Aufgabe, die Branch- und Merge-Strategie, eine mehrperspektivische Review-Pipeline, ein Pre-Commit-Gate. Das schafft Klarheit — aber, und das ist die ehrliche Erkenntnis, ein fähiges Modell, das einen Ablauf kennt, hält ihn nicht automatisch ein.

Stufe 4 — Erzwingung per Konfiguration

Hier liegt der Sprung. Berechtigungslisten (allow / deny / ask) trennen Erlaubtes, hart Verbotenes und Freigabe-Pflichtiges. Hooks prüfen automatisch und blockieren Verstöße technisch — etwa ein Tor, das eine „fertig"-Meldung verhindert, solange Tests rot sind. Neue Regeln werden behutsam scharfgeschaltet: erst melden, dann blockieren, dann serverseitig prüfen. Details dazu im Sicherheits-Kapitel.

Stufe 5 — Lernendes Gedächtnis

Bedeutungssuche statt nur Stichwort, eine Gedächtnis-Taxonomie (episodisch, semantisch, prozedural) und ein Muster, bei dem der Agent am Sitzungsende eine Lehre destilliert, die zu Beginn der nächsten Sitzung wieder präsent ist. Dazu kommen Konsolidierung im Hintergrund („Dreaming") und ein Blackboard für Szenarien mit mehreren Agenten.

04 · Gedächtnis

Wie der Agent sich erinnert: Datei-first-RAG.

RAG (Retrieval-Augmented Generation) heißt: der Agent schlägt vor dem Antworten in einer geprüften Wissensbasis nach, statt aus dem Gedächtnis zu raten. Das senkt Halluzinationen und macht Antworten nachvollziehbar. Unsere Umsetzung ist bewusst Datei-first — keine Cloud-Vektordatenbank. Zwei Kanäle, fair zusammengeführt:

  • BM25 — bewährtes Volltext-Ranking nach Stichwort und Gewichtung.
  • Vektor-Cosine — semantische Suche nach Bedeutung über lokale, offline berechnete Embeddings.
  • RRF (Reciprocal Rank Fusion) — kombiniert beide Ranglisten fair zu einer Trefferliste.
Datei-first-Hybrid-RAG-Pipeline Eine Anfrage läuft parallel durch zwei Kanäle: BM25 nach Stichwort und Vektor-Cosine nach Bedeutung. Beide werden per Reciprocal Rank Fusion zusammengeführt und ergeben eine gegroundete Antwort mit Zitaten. Indizes werden lokal und offline aufgebaut. INDIZES LOKAL & OFFLINE AUFGEBAUT (GIT-VERSIONIERT) Anfrage BM25 · Stichwort Volltext-Ranking Vektor-Cosine · Bedeutung lokale Offline-Embeddings RRF-Fusion faire Rang-Mischung Gegroundete Antwort + Zitate 100% offline · read-only · Geheimnisse übersprungen LoCoMO: Datei-first 74,0% vs. 68,5%
Diagramm 2: Hybride Suche aus Stichwort (BM25) und Bedeutung (Vektor-Cosine), per RRF zu einer Trefferliste fusioniert — lokal, offline, read-only.

Die Werkzeuge sind streng read-only und überspringen Geheimnisse. Warum Datei-first statt einer Cloud-Vektordatenbank? Wegen Interpretierbarkeit, Git-Audit (vollständige Versionsgeschichte), null laufender Kosten, Offline-Fähigkeit und keiner Anbieter-Abhängigkeit. Und das geht nicht auf Kosten der Qualität: Auf dem Gedächtnis-Benchmark LoCoMO erreicht der Datei-first-Ansatz 74,0 % und liegt damit vor einem etablierten Vektor-Gedächtnis-Framework mit 68,5 %.

05 · Sicherheit

Sicherheit: Schutzmechanismen, die technisch greifen.

Autonomie ohne Grenzen ist ein Risiko, kein Feature. Sicherheit entsteht hier nicht aus guten Vorsätzen, sondern aus zwei Bausteinen: Berechtigungen, die das Gefährliche namentlich sperren, und Hooks, die zu festen Zeitpunkten automatisch eingreifen.

Berechtigungen nach dem Least-Privilege-Prinzip

  • allow — ohne Rückfrage erlaubt: Lese- und Standardwerkzeuge, Versionskontrolle, Test- und Lint-Werkzeuge.
  • ask — nur nach Rückfrage: nach außen wirkende Schritte wie push oder publish. Hier bleibt der Mensch in der Schleife (Human-in-the-Loop).
  • deny — hart verboten: rekursives Löschen, erzwungenes Überschreiben der Historie und das Lesen von Geheimnissen (Umgebungsdateien, Schlüssel, Zertifikate).

Hooks: automatische Erzwingung an festen Punkten

  • SessionStart → Recall: blendet zu Beginn die Top 3–5 relevanten Lehren ein.
  • PreToolUse → Write-Guard: prüft vor dem Schreiben auf Geheimnisse im Klartext und unsichere Datenbank-Zugriffe.
  • PostToolUse → Format- und Regel-Check: meldet Verstöße nach der Aktion.
  • Stop → Done-Gate: verhindert die „fertig"-Meldung, solange Prüfungen rot sind.
Sicherheits-Hooks, Berechtigungen und Eskalation Oben ein Zeitstrahl mit fünf Hook-Punkten: SessionStart Recall, PreToolUse Write-Guard, Aktion, PostToolUse Check, Stop Done-Gate. In der Mitte die Berechtigungen allow, ask und deny. Unten die behutsame Eskalation von Disziplin über warn und block bis CI. HOOK-LEBENSZYKLUS 1 2 3 4 5 SessionStartPreToolUseAktionPostToolUseStop RecallWrite-Guard CheckDone-Gate Secrets / DBblockiert „fertig" BERECHTIGUNGEN · LEAST PRIVILEGE allow ohne Rückfrage · Lese-/Standardwerkzeuge ask menschliche Freigabe · push / publish deny hart gesperrt · Löschen, Historie, Secrets BEHUTSAME ESKALATION Disziplin Text & Review warn Hook meldet block technisch verhindert CI serverseitig geprüft
Diagramm 3: Hooks greifen an festen Punkten ein, Berechtigungen sperren das Gefährliche, und neue Regeln werden behutsam von warn bis CI scharfgeschaltet.
// Zero-Trust & Human-in-the-Loop

Der Agent darf vorschlagen. Der Mensch entscheidet.

Jede Aktion wird protokolliert. Sicherheitskritische und irreversible Schritte erfordern eine menschliche Freigabe — keine Ausnahme, keine Abkürzung. Der Agent darf vorbereiten und ausführen, wo es sicher ist. Aber die Entscheidung bleibt beim Menschen. Wir bauen Werkzeuge, keine Autopiloten.

06 · Fundierung

Kein Eigenbau: was Behörden und Forschung sagen.

Die naheliegende Skepsis: Ist das eine Bastellösung? Nein. Jede Stufe deckt sich mit dem, was Forschung, Industrie und Regulierung als gute Praxis für KI-Agenten ausweisen.

  • Das NIST AI Risk Management Framework beschreibt den Lebenszyklus Govern–Map–Measure–Manage.
  • Die OWASP Top 10 for LLM Applications und OWASP Agentic AI benennen „Excessive Agency" und Prompt Injection als Kernrisiken und fordern strikte Zugriffskontrolle mit granularen Berechtigungen.
  • Der EU AI Act verlangt menschliche Aufsicht (Art. 14) und automatische Protokollierung (Art. 12) — für Hochrisiko-Bereiche (Anhang III) verbindlich.
  • ISO/IEC 42001 normt das Managementsystem für KI; der EU Cyber Resilience Act adressiert das Schwachstellen-Handling über die Lieferkette; MITRE ATLAS sammelt reale Angriffstechniken gegen KI-Systeme.

„Erzwingen statt hoffen" ist gerade dabei, Industriestandard zu werden — mit produktiver Tool-Unterstützung wie NVIDIA NeMo Guardrails, Guardrails AI oder Meta Llama Guard. Wir haben es früh und konsequent umgesetzt. Die vollständigen Belege stehen im Quellenverzeichnis.

07 · Anwendung

Einsatzbereiche: dasselbe Muster über Domänen hinweg.

Der Kern — wiederverwendbare Fähigkeiten, geteiltes Gedächtnis, erzwungene Regeln, eine Lern-Schleife — passt überall dort, wo ein Agent autonom handelt, Regeln einhalten muss und aus Erfahrung besser werden soll. Das gilt weit über das Coding hinaus.

Einsatzbereiche und das gemeinsame Muster Im Zentrum stehen die Erzwingungs-Mechanismen. Von dort führen Speichen zu sieben Domänen mit je einem erzwungenen Beispiel: Marketing, Recht, Finanzen und Audit, Gesundheit, Kundenservice, Cybersecurity und Wissenschaft. Erzwingungs- Mechanismen Marketing Markenstimme als Regel Recht Klausel-Freigabe Finanzen & Audit Limits, Audit-Spur Gesundheit Doku mit Freigabe Kundenservice Wissensbasis statt Raten Cybersecurity read-only, deny destruktiv Wissenschaft reproduzierbar, protokolliert + HR / Recruiting · Versicherung · Bildung · öffentlicher Sektor · Fertigung / RPA
Diagramm 4: Dieselben Mechanismen, andere Domäne. Die erzwungene Regel ändert sich — das Prinzip bleibt.

Ein paar konkrete Beispiele: im Marketing wird die Markenstimme zur erzwungenen Regel statt zum Wunsch; im Recht greifen geprüfte Klausel-Bibliotheken und eine Freigabe-Pflicht vor dem Versand; in Finanzen und Audit sorgen Betragslimits und eine lückenlose Audit-Spur für Nachvollziehbarkeit; im Kundenservice antwortet der Agent aus der Wissensbasis statt zu halluzinieren; in der Cybersecurity bleibt die Analyse read-only und destruktive Aktionen sind gesperrt. Das Quer-Muster: dieselben Erzwingungs-Mechanismen wiederholen sich über alle Felder.

08 · FAQ

Häufige Fragen.

Warum sind KI-Agenten oft unzuverlässig?

Drei Schwächen treten systematisch auf: Regeln sind nur Text (Dokumentation erzwingt nichts), das Gedächtnis stirbt am Sitzungsende, und mehr Kontext verschlechtert die Leistung (Context Rot). Zuverlässigkeit entsteht erst, wenn Mechanismen die Regeln halten.

Was ist das Kernprinzip beim Bau zuverlässiger KI-Agenten?

„Eine Regel zählt erst, wenn ein Mechanismus sie hält." Statt Regeln nur zu dokumentieren, werden sie technisch erzwungen — der gesamte Aufbau bewegt sich von der Empfehlung zum Zwang.

Aus welchen fünf Stufen besteht das Bauprinzip?

Skills (wiederverwendbare Fähigkeiten), eine geteilte dateibasierte Wissensbasis, verbindliche Workflows, Erzwingung per Konfiguration (allow/deny/ask plus Hooks) und ein lernendes Gedächtnis mit Bedeutungssuche.

Was sind Hooks und warum sind sie sicherheitsrelevant?

Hooks sind automatische Prüfungen an festen Punkten: Recall beim Sitzungsstart, ein Write-Guard vor jeder Aktion (scannt auf Klartext-Geheimnisse und unsichere Zugriffe), ein Prüfer danach und ein Done-Gate, das eine „fertig"-Meldung blockiert, solange Prüfungen rot sind.

Was bedeutet allow/deny/ask?

Eine Least-Privilege-Berechtigungsliste. allow läuft ohne Rückfrage, deny sperrt das wirklich Gefährliche hart (rekursives Löschen, Überschreiben der Historie, Lesen von Geheimnissen), und ask verlangt für nach außen wirkende Schritte eine menschliche Freigabe.

Was ist Datei-first-RAG — und warum keine Cloud-Vektordatenbank?

Eine hybride Suche aus Stichwort (BM25) und Bedeutung (Vektor-Cosine), fair fusioniert per Reciprocal Rank Fusion, auf lokalen Offline-Embeddings. Vorteile: Interpretierbarkeit, Git-Audit, null laufende Kosten, Offline-Fähigkeit und kein Vendor-Lock-in.

Ist der Datei-first-Ansatz messbar gut?

Ja. Auf dem Gedächtnis-Benchmark LoCoMO erreicht er 74,0 % und liegt damit vor einem etablierten Vektor-Gedächtnis-Framework mit 68,5 %.

Wo lassen sich solche KI-Agenten einsetzen?

Überall, wo ein Agent autonom handelt, Regeln einhalten muss und besser werden soll — etwa Marketing, Recht, Finanzen und Audit, Gesundheitswesen, Kundenservice, Cybersecurity und Datenanalyse. Dieselben Mechanismen wiederholen sich über alle Domänen.

09 · Download

Die ganze Methodik — kostenlos zum Nachbauen.

Facharbeit: Zuverlässige KI-Agenten bauen

Wir haben den kompletten Weg als neutrale Facharbeit aufgeschrieben: herstellerunabhängig, ohne Produktwerbung, mit Diagrammen und geprüften Quellen. Damit andere Teams ihn nachbauen können — und damit Sie sehen, auf welchem Niveau wir Software entwickeln.

PDF herunterladen
PDF · kostenlos · ohne Anmeldung
10 · Quellen

Quellen & weiterführende Ressourcen.

Behörden & Standards

Forschung

Industrie (sekundär)

// Über den Autor

Patrick Riederich ist Gründer von FINLAI designs in Linz, Österreich. FINLAI designs entwickelt lokale Software für Analyse, Sicherheit und Automatisierung — Open Source bevorzugt, ohne Cloud-Zwang, ohne Vendor-Lock-in.

Dieselbe Disziplin, mit der wir unsere KI-Agenten zur Verlässlichkeit zwingen, steckt in NoRisk, unserem lokalen Cybersecurity-Werkzeug für den Mittelstand. Wie wir Software bauen und absichern, lesen Sie in unserer Sicherheitserklärung.

Weiterlesen
// Sicherheit

Wie wir Software bauen und absichern

NIS2-orientiert, lokal, nachweisbar: Zugriffe, Backups, Entwicklung und Incident-Response — als Vertragsbaustein.

Lesen →
// Produkt

NoRisk — Cybersecurity-Suite

Lokale IT-Sicherheits-Software für KMU. Lagebild, Schwachstellen, Härtung — vollständig offline, ohne Datenabfluss.

Ansehen →
// Blog

Mehr Werkstattberichte

Wie wir denken, was wir bauen und warum. Fundierte Artikel statt Marketingsprache.

Lesen →
FINLAI designs
Digitalisierungspartner für EPU & KMU — Entwickelt in Linz, Österreich
NoRisk Sicherheit KI-Ethik Blog Kontakt
© 2026 FINLAI designs · Linz, Österreich