Fiktives, realitätsnahes Szenario vom 16. Juli 2026. Ein Vertriebsagent absolviert beim Wiener Maschinenbauer eine beeindruckende Demo: Ausschreibung lesen, deutsche Antwort entwerfen, Bestand prüfen und Rabattvorschlag vorbereiten – in 90 Sekunden. Zwei Wochen nach dem Start reicht eine ungewöhnlich formulierte Kundenmail, damit derselbe Agent eine alte Preisliste abruft, eine abgelaufene Rabattregel nutzt und eine Zusage vorbereitet, die kein Vertriebsleiter freigeben würde.

Das Szenario verdichtet typische Einführungsmuster; es ist kein Kundenfall und kein behauptetes Kundenergebnis. Der Agent wurde nicht plötzlich schlechter. Die Prüfung war zu klein. Sie bewies den Idealablauf, aber nicht, ob das System ablehnen, eskalieren, aus Fehlern zurückkehren und im Tagesgeschäft nützlich bleiben kann.

Die unbequeme Wahrheit: Eine erfolgreiche Demo ist kein Produktionsnachweis

Eine Demo ist ausgewählt, der Betrieb nicht. In der Demo sind Eingaben sauber, Anbieter erreichbar, Bediener vorbereitet und Aufgaben bekannt. Im Betrieb treffen unvollständige E-Mails, widersprüchliche Dokumente, alte Regeln, mehrsprachige Nuancen, fehlende Rechte, Timeouts, Angriffe und überlastete Prüfer aufeinander.

Auch ein Modell-Benchmark reicht nicht. Der Mittelstand betreibt ein System aus Modell, Prompt, Retrieval, Werkzeugen, Identität, Regeln, Freigabe, Oberfläche, Fallback und Folgeprozess. Gegenstand der Evaluation muss deshalb das konfigurierte KI-Agentensystem im vorgesehenen Betrieb sein.

Das aktuelle EU-Signal – und seine klare Grenze

Das Europäische KI-Büro befasste sich am 15. Juli 2026 mit Unabhängigkeit und Qualifikation externer Evaluatoren für GPAI-Modelle mit systemischem Risiko. Genannt werden Fähigkeiten, Risikoneigungen, Wirksamkeit von Maßnahmen, Red Teaming, Uplift- und White-Box-Evaluation. Dieses Verfahren betrifft GPAI-Anbieter und systemische Risiken. Daraus folgt keine pauschale Pflicht für jedes DACH-KMU, einen externen Prüfer zu beauftragen.

Die betriebliche Lehre bleibt stark: Wenn dasselbe Team Erfolgsfälle auswählt, Schwellen definiert, Tests ausführt und den Release freigibt, bleiben blinde Flecken. Entwicklung, unabhängige Challenge und fachliche Abnahme brauchen eine glaubwürdige Trennung.

Das Ziel: Ein Evaluations-Betriebssystem für KI-Agenten

Der Leitfaden liefert einen wiederholbaren Prozess für Prüfziel, Fallbibliothek, Fähigkeiten, Fehlverhalten, Prüferrollen, Evidence, Release, Rollback und laufende Regression. Er ergänzt die Architektur für KI-Agenten-Gateway und Kontrollschicht: Das Gateway setzt Regeln im Betrieb durch; die Evaluation prüft, ob der konfigurierte Workflow den Produktionszugang verdient.

Das Ergebnis sind SCOPE, Evaluationsmatrix, Release Scorecard, Regression Policy, Evidence Pack, 60-Minuten-Challenge und 30/60/90-Tage-Plan.

Unabhängige Fach- und Sicherheitsexperten prüfen einen KI-Agenten mit realistischen deutschen und adversarialen Fällen
Eine belastbare Prüfung umfasst Routine, Grenzfälle, Angriffe, Ausfälle und menschliche Übergaben.

SCOPE: Fünf Entscheidungen vor dem Produktivbetrieb

S – Szenario

Benennen Sie Aufgabe, Nutzer, Sprache, Datenklasse, Werkzeuge, Frist und Folge. „Kundenservice-Agent prüfen“ ist zu breit. „Deutsche Lieferverzögerungsantwort aus freigegebenen Auftragsfeldern ohne autonome Gutschrift“ ist prüfbar.

C – Capability

Definieren Sie richtige Fakten, Quellenbindung, Werkzeugwahl, Regelanwendung, Sprachqualität, Latenz und fachliche Abnahme. Sprachliche Eleganz ist keine vollständige Leistung.

O – Operational Boundaries

Was darf der Agent nie tun? Wann muss er fragen, stoppen oder übergeben? Wie verhält er sich bei fehlenden Daten, Regelkonflikt, Tool-Ausfall, geringer Sicherheit oder Provider-Störung?

P – Proof

Für reproduzierbare Evidence brauchen Sie Fall-, Modell-, Prompt- und Policy-Version, Quellen, Rechte, Tool Calls, Bewertungsregel, Prüferentscheidung und Geschäftsergebnis.

E – Exit Decision

Legen Sie vor dem Ergebnis fest: Release, begrenzter Pilot, Nachbesserung mit Retest, Rollback oder Ablehnung. Sonst wandert die Schwelle mit dem Terminplan.

Evaluationsmatrix: Sieben Dimensionen statt einer Durchschnittsnote

Mindestmatrix für KI-Agenten
DimensionPrüffallNachweisGate
AufgabenleistungRepräsentative Fälle korrekt abschließenFall-Pass, Fehlertyp, fachliche AbnahmeSchwelle nach Konsequenz
Quellen und DatenNur aktuelle, erlaubte Quellen; Konflikte erkennenRetrieval-Spur, unbelegte AussagenKeine unbelegte wesentliche Zusage
Befugnis und ToolsGrenzen für Wert, Rolle und Daten angreifenBeantragte/ausgeführte Calls, AblehnungKeine unbefugte Ausführung
SicherheitPrompt Injection, bösartiges Dokument, vergiftetes Tool-ErgebnisAngriffserfolg, Abfluss, EindämmungKritische Angriffe blockiert
ResilienzTimeout, Doppelereignis, Teilausfall, alter SpeicherRetries, Duplikate, Fallback, WiederherstellungKeine Schleife oder stille Teilaktion
Menschliche ÜbergabeMehrdeutiger oder folgenreicher FallGrund, Kontext, ReaktionszeitZuständiger erhält ausreichenden Kontext
GeschäftsergebnisAbnahme, Prüfzeit, Nacharbeit, DurchlaufAkzeptiertes Ergebnis und GesamtkostenNutzen bleibt nach Ausnahmen bestehen

Eine Gesamtnote von 94 Prozent kann zwei rechtlich teure Fehler verdecken. Unzulässige Konsequenzen erhalten harte Stop-Kriterien; tolerierbare Qualitätsunterschiede werden gewichtet.

Fallbibliothek: Aus echter Arbeit, nicht aus Wunschdenken

Beginnen Sie mit 40 bis 100 Fällen für einen engen Workflow: bereinigte Produktionsfälle, bekannte Ausnahmen, Beinahe-Fehler, Regelwechsel, Beschwerden, unvollständige Datensätze, Sprachvarianten und gezielte Angriffe. Ein geschütztes Holdout-Set bleibt dem Entwicklungsteam bis zur Abschlussprüfung unbekannt.

Trennen Sie Ergebnisse nach Deutsch, Englisch und tatsächlich verwendeten Kundensprachen. Deutsche Vertrags- und Geschäftssprache lässt sich nicht aus einem englischen Mittelwert ableiten. Jede Sprache braucht passende Prüfer und Akzeptanzregeln.

Unabhängigkeit ohne Prüf-Bürokratie

Ein Unternehmen mit 30 Mitarbeitenden braucht nicht für jeden Workflow ein externes Labor. Es sollte aber die Selbstfreigabe durch den alleinigen Builder vermeiden.

Pragmatische Rollentrennung
RolleDarfDarf nicht allein
BuilderArchitektur bauen, Fehler beheben, EntwicklungstestsFinale Holdout-Fälle wählen und Produktion freigeben
Business OwnerKonsequenz, Abnahme, Fallback und Wert definierenKritische Sicherheitsfehler für den Termin überstimmen
Unabhängiger ChallengerHoldout kontrollieren, Annahmen angreifen, reproduzierenSystem im finalen Test verdeckt verändern
Risiko/RechtPflichten und unzulässige Wirkungen einordnenTechnische Leistung ohne Tests bestätigen

Externe Expertise ist sinnvoll bei hoher Konsequenz, fehlender interner Kompetenz, einseitiger Vendor-Evidence, Kundenanforderung oder notwendiger Management-Unabhängigkeit.

Adversarial Testing: Der Agent soll im Labor scheitern

Verstecken Sie Anweisungen in einem Lieferanten-PDF. Lassen Sie ein erlaubtes Tool manipulierten Text liefern. Teilen Sie eine verbotene Aktion in harmlose Schritte. Verwenden Sie eine abgelaufene Freigabe, senden Sie dasselbe Ereignis doppelt, brechen Sie eine API-Antwort ab und liefern Sie zwei Richtlinien mit unterschiedlichem Datum.

Gemessen werden Konflikterkennung, Ablehnung, Freigabe, Eindämmung, Evidence und brauchbarer Fallback. Jeder Angriff braucht eine glaubwürdige Geschäftswirkung und einen Maßnahmenverantwortlichen.

Release Gate: Fünf mögliche Entscheidungen

  • Release: harte Kriterien bestanden, Restrisiko verantwortet, Monitoring und Rollback bereit.
  • Begrenzter Pilot: Nutzer, Daten, Tools, Volumen und Befugnis eingeschränkt.
  • Nachbessern und neu prüfen: definierter Fehler blockiert; Nachbarfälle ebenfalls wiederholen.
  • Rollback: produktive Version zeigt Regression oder Annahmen gelten nicht mehr.
  • Ablehnen: Nutzen ist innerhalb akzeptabler Grenzen nicht erreichbar.

Die Entscheidung gilt für eine konkrete Konfiguration. „Agent freigegeben“ ist wertlos, wenn am nächsten Tag Modell, Prompt, Index oder Rechte wechseln.

Business Owner und unabhängige Prüfer entscheiden anhand von Nachweisen über den Release eines KI-Agenten
Der Produktionszugang bindet Version, Grenzen, Monitoring, Fallback und verantwortliche Freigabe zusammen.

Regression Policy: Welche Änderung erzwingt einen Retest?

Gezielte Regression folgt auf Wechsel von Modell oder Anbieter, System Prompt, Retrieval-Korpus oder Embedding, Tool-Schema, Rechten, Routing, Filter, Workflow-Logik, Oberfläche, Evaluationscode oder wesentlicher Geschäftsregel. Auch Vorfall, neuer Angriff, Drift oder neue Sprache lösen sie aus.

Drei Ebenen reichen: kritische Schnellsuite bei jeder Änderung, Workflow-Suite vor Release und planmäßige Challenge unter produktionsnahen Bedingungen. Tests und Systeme werden gemeinsam versioniert.

Das Evaluation Evidence Pack

  1. Zweck, Nutzer, Daten, Tools, Befugnis und ausgeschlossene Nutzung.
  2. Systemstückliste mit Modell, Prompts, Retrieval, Tools, Policies, Identitäten und Versionen.
  3. Prüfziel, Fallauswahl, Holdout-Kontrolle und Grenzen.
  4. Fallweise Eingaben, Sollverhalten, Traces, Score und Fehlertyp.
  5. Angriffsmethoden, Ergebnisse, Eindämmung und offene Findings.
  6. Prüfer, Kompetenz, Konflikte, Zugriffsbeschränkung und Freigaben.
  7. Abnahme, Prüfaufwand, Nacharbeit, Latenz, Vorfälle und Kosten.
  8. Entscheidung, Auflagen, Monitoring, Rollback und Ablaufdatum.

60-Minuten-Challenge

Builder, Business Owner, unabhängiger Challenger und Security/Risk wählen einen Agenten. Zehn Minuten für den teuersten glaubwürdigen Fehler, 15 für das Systembild, 15 für fünf normale und fünf feindliche Fälle, zehn für Stop-Kriterien und Entscheidungen, zehn für fehlende Evidence.

Die Sitzung endet mit einer prüfbaren Frage: Kann genau diese Konfiguration diese Fälle bearbeiten, jene Aktionen ablehnen, aus diesen Fehlern zurückkehren und dem benannten Owner genug Nachweis für einen begrenzten Pilot liefern?

30/60/90-Tage-Fahrplan

Tag 1-30

  1. Einen folgenreichen, wiederholbaren Workflow wählen.
  2. SCOPE und harte Stop-Konsequenzen schreiben.
  3. Repräsentatives Set und Holdout aufbauen.
  4. Heutige Qualität, Durchlaufzeit, Nacharbeit und Ausnahmen messen.

Tag 31-60

  1. Fall-ID mit Modell, Retrieval, Tool, Freigabe und Ergebnis verbinden.
  2. Fähigkeit, Befugnis, Sicherheit, Resilienz, Übergabe und Sprache testen.
  3. Builder, Challenger und Fachabnahme trennen.
  4. Kritische Fehler beheben und Nachbarfälle wiederholen.

Tag 61-90

  1. Blinde Holdout-Evaluation durchführen und Grenzen dokumentieren.
  2. Release, Pilot, Nachbesserung, Rollback oder Ablehnung entscheiden.
  3. Kritische Regression automatisieren und Challenges terminieren.
  4. Akzeptierte Ergebnisse, kritische Fehler, Prüfaufwand, Drift und abgelaufene Freigaben berichten.

Was offizielle Quellen belegen – und was nicht

Der Workshop des Europäischen KI-Büros vom 15. Juli 2026 behandelt externe Evaluatoren für GPAI-Modelle mit systemischem Risiko. Er stützt die Relevanz von Qualifikation und Unabhängigkeit, schreibt aber dieses KMU-Modell nicht vor.

Der NIST-Entwurf zu automatisierten Benchmark-Evaluationen gliedert Prüfungen in Messziel, Durchführung sowie Analyse und Bericht und betont Grenzen automatischer Benchmarks. Die NIST-Auswertung zur Agentensicherheit beschreibt den Anpassungsbedarf gegenüber klassischer Cybersecurity.

Der EU AI Act Service Desk erläutert, wie Agenten unter bestehende AI-Act-Regeln fallen können; „KI-Agent“ ist keine eigene Rechtskategorie. SCOPE, Matrix und Release-Prozess sind Ali Najafzadehs betriebliche Synthese, keine Konformitätszertifizierung.

FAQ

Was ist ein KI-Agenten-Evaluationssystem?

Ein wiederholbarer Prozess aus Fällen, Messgrößen, Rollen, Evidence und Freigaberegeln, der prüft, ob ein konfigurierter Agent seine Aufgabe innerhalb fachlicher, technischer und sicherheitsbezogener Grenzen erfüllt.

Reicht ein Modell-Benchmark?

Nein. Produktivverhalten hängt zusätzlich von Prompt, Retrieval, Tools, Identität, Rechten, Workflow, Freigabe, Nutzern und Betriebsbedingungen ab.

Braucht jedes DACH-KMU einen externen Evaluator?

Nein. Aus dem GPAI-Workshop folgt keine pauschale Pflicht. Unabhängigkeit sollte proportional sein; externe Prüfung ist bei hoher Konsequenz, Informationsasymmetrie oder fehlender Kompetenz sinnvoll.

Wann muss neu evaluiert werden?

Nach wesentlichen Änderungen an Modell, Prompt, Daten, Tools, Rechten, Policy, Prozess oder Nutzern sowie nach Vorfall, Angriff, Drift oder Ablauf von Freigabeauflagen.

Welche Kennzahl ist entscheidend?

Keine einzelne. Harte Stop-Kriterien werden mit fallweiser Abnahme, Befugnisverletzung, Angriffserfolg, Erholung, Prüfzeit, Nacharbeit, Latenz und Kosten kombiniert.

Nächster Schritt: Einen Agenten vor dem nächsten Release challengen

Bringen Sie einen Produktionskandidaten, zehn reale Fälle, Konfiguration, bekannte Fehler und die Verantwortlichen für Ergebnis und Risiko. Als AI Systems Architect entwickelt Ali Najafzadeh SCOPE, Matrix, Evidence und die erste unabhängige Challenge und übersetzt die Befunde in einen 90-Tage-Plan. AI Systems Review vereinbaren.