Google Clouds AI-Agent-Governance-Stack: „Verwalte Agenten wie eine Engineering-Organisation“

Der von Google Cloud auf der Cloud Next 26 vorgestellte Governance-Stack der Gemini Enterprise Agent Platform bietet ein systematisches Framework für das Sicherheitsmanagement von AI-Agenten. Die Kernphilosophie ist einfach: Behandelt eine Agentenflotte wie eine Engineering-Organisation. Vergebt Identitäten, kontrolliert Zugriffsrechte, erzwingt Richtlinien, überwacht Verhalten und auditieren alles.

Hintergrund

• Falsch konfigurierte SaaS-Tools legen Daten passiv offen, aber falsch konfigurierte AI-Agenten führen aktiv falsche Handlungen aus. Es wird gewarnt, dass sich das Shadow-IT-Problem von 2015 (nicht autorisierte IT-Nutzung, die der Organisation unbekannt ist) nun im Bereich der AI-Agenten wiederholt.

Zusammenfassung des 5-Schichten-Governance-Stacks

• Schicht 1 - Agent Identity: Jedem Agenten wird eine eindeutige kryptografische ID zugewiesen. Damit wird eine bisherige Struktur verbessert, in der die gesamte Agentenlandschaft über ein einziges Servicekonto betrieben wurde und eine Nachverfolgung von Problemen unmöglich war. Das Principle of Least Privilege wird angewendet, sodass für jeden Agenten granular festgelegt wird, auf welche Tabellen, Buckets und API-Endpunkte er zugreifen darf.
• Schicht 2 - Agent Registry: Ein zentral verwalteter Katalog für alle Agenten, MCP-Tools und Endpunkte innerhalb der Organisation. Das Konzept ähnelt einem internen npm-Repository für Unternehmen und stellt sicher, dass in Produktionsagenten nur Tools verwendet werden dürfen, die vom Plattform-Team freigegeben wurden. Enthalten sind Metadaten wie der Datenzugriffsbereich eines Tools, benötigte Berechtigungen und die Liste der Agenten, die es verwenden, sodass sich bei einem Vulnerability-Patch der betroffene Umfang sofort erkennen lässt.
• Schicht 3 - Agent Gateway: Ein zentraler Enforcement-Punkt, an dem Sicherheitsrichtlinien in natürlicher Sprache verfasst und sofort auf alle Agenten angewendet werden, die das Gateway passieren. Statt 50 Agenten einzeln zu ändern, reicht es, eine Richtlinie einmal zu schreiben, um sie global auszurollen. Integriert ist außerdem Model Armor, das Prompt Injection und das Abfließen sensibler Daten abwehrt.
• Schicht 4 - Anomaly & Threat Detection: Statistische Modelle definieren für jeden Agenten eine Baseline des normalen Verhaltens und warnen bei Abweichungen. Ein separates LLM übernimmt die Rolle eines Judge und erkennt im Reasoning-Prozess des Agenten logische Sprünge oder Entscheidungen außerhalb des vorgesehenen Rahmens. Die Threat-Detection-Schicht überwacht gezielte Angriffe wie Reverse Shells, Verbindungen zu bösartigen IPs und Versuche zur Privilege Escalation.
• Schicht 5 - Agent Security Dashboard: Auf Basis des Security Command Center werden die Informationen aus den vier Schichten darüber integriert und visualisiert. Es bietet unter anderem Mapping der Beziehungen zwischen Agenten und Modellen, automatische Asset-Erkennung, Vulnerability-Scans und schichtübergreifende Korrelationsanalysen von Signalen in einer einzigen Ansicht.

Unterscheidungsmerkmale

• Auffällig ist, dass Agenten dem vertrauten Mentalmodell „Betrieb einer Engineering-Organisation“ zugeordnet und Security-Governance systematisch in fünf Schichten gegliedert werden. Besonders die Formulierung von Richtlinien in natürlicher Sprache mit sofortiger globaler Durchsetzung sowie das Reasoning-Audit per LLM-as-a-judge unterscheiden sich von bisherigen Ansätzen der Cloud-Sicherheit.

Implikationen

• Organisationen, die früh beim Agenten-Rollout einen Governance-Stack aufbauen, profitieren mit wachsender Zahl an Agenten von einem Zinseszinseffekt, bei dem sich die Grenzkosten nahezu null annähern. Umgekehrt können Organisationen, die Agenten ohne Management vermehren, mit einer größeren Angriffsfläche und steigender Audit-Komplexität wie in der Shadow-IT-Ära konfrontiert werden. In regulierten Branchen wie Finanzwesen und Gesundheitswesen entsprechen eindeutige Identitäten und Audit-Trails pro Agent faktisch regulatorischen Anforderungen, weshalb der Einführungsdruck für dieses Framework dort wohl zuerst spürbar sein wird.