Q1 2026: Das Jahr der KI-Agenten. Reality Check.

Anfang 2026 haben wir fünf Prognosen zu KI-Agenten im Unternehmen aufgestellt. Drei Monate später ziehen wir Bilanz.

Was wir damals geschrieben haben, war keine Theorie. Wir arbeiten inzwischen seit Jahren täglich mit agentenbasierten Systemen. Intern und in Kundenprojekten. Was wir dabei sehen, deckt sich nur teilweise mit dem, was in der Presse steht. In manchen Bereichen haben wir Limitierungen längst überwunden, die andere noch als Zukunftsprobleme behandeln. In anderen stoßen wir auf Hürden, die in der öffentlichen Diskussion kaum vorkommen.

Hier ist unser Q1-Reality-Check.

1. Die Kostengleichung: komplizierter als gedacht

Unsere Prognose: Unternehmen, die auf minimale Token-Kosten optimieren, werden von denen überholt, die auf Lösungseleganz optimieren.

Was passiert ist: Die Kosten sind tatsächlich weiter implodiert. Claude Opus 4.6 kostet $5/$25 pro Million Token. Das ist ein Preisrückgang von 66,7% gegenüber Opus 4. Open-Source-Modelle wie Kimi K2.5 ($0,60/M Input) und Qwen 3.5 erreichen Frontier-Qualität zu einem Bruchteil. Fünf unabhängige Open-Source-Familien (DeepSeek, Qwen, Kimi, GLM, Mistral) liegen bei Wissensbenchmarks gleichauf mit proprietären Modellen. Das ist aber noch nicht alles: Auch die Agenten Harnesses werden immer besser. In den neuen Versionen von Codex, Claude Code und Co. können bessere Models auch besser arbeiten. Mit OpenClaw, Claude Cowork, Manus und Co. stehen plötzlich Agenten bereit, mit denen jeder Laie Arbeit von KI auf seinem Rechner (oder sogar Mobilgerät) erledigen lassen kann.

Shadow AI vs. strukturierte Implementierung: Chaos am Schreibtisch vs. Astronaut am Control Panel — Links: Shadow AI. Copy-Paste zwischen ChatGPT und CRM, kostet $0 an API-Gebühren. Rechts: Strukturierte Implementierung. Kostet mehr, aber das Wissen bleibt im Unternehmen.

Aber die Kostenrealität für Organisationen ist anders als die Preisliste suggeriert. Entwickler berichten von API-Rechnungen zwischen hunderten und tausenden Euro im Monat. Gleichzeitig werden Flatrate-Subscriptions seit Februar aktiv für Remote-Aufgaben eingeschränkt. Anthropic hat die Terms of Service verschärft, Google hat AI Ultra Accounts gesperrt. Die Botschaft ist klar: Flatrate-Agent-Nutzung wird es nicht geben. Gleichzeitig bringen aber genau diese Anbieter auch ihre eigenen Organisations- und Cloudlösungen an den Start, die dann doch wieder über Subscriptions subventioniert werden.

Für den Mittelstand stellt sich die Frage anders. Ein Sales-Mitarbeiter mit eigenem ChatGPT-Abo, der zwischen Deep Research Session und CRM kopiert, kostet ab 20,00€ Subscription und 0,00€ an API-Gebühren. Eine ordentliche Implementierung mit Custom Connector fürs CRM, MCP Gateway und dokumentierten, einsehbaren Workflows kostet schnell alleine im Betrieb (abgerechnet pro Anfrage) einen niedrigen dreistelligen Betrag pro Monat. Hinzu kommen höchstwahrscheinlich noch Implementierungskosten.

Baut der gleiche Mitarbeiter sich auf seinem System einen OpenClaw Agenten dafür, oder nutzt Claude Cowork bzw. Claude Chrome mit Computer Use, um die gleichen Aufgaben zu erledigen, wird das nicht unter einer Pro- bzw. Enterprise-Subscription für hunderte Euro pro Monat zuverlässig funktionieren. Und dieser Mitarbeiter baut diese Schnittstellen dann erstmal vor allem für sich selbst.

Die Frage ist nicht was billiger ist. Die Frage ist was nachhaltig ist und was für welche Einsatzumgebung Sinn macht. Und was passiert, wenn der Mitarbeiter kündigt und sein Wissen oder gleich seine ganze Claw mitnimmt? Und was ist mit Vendor-Lockin? Was wenn morgen ein viel mächtigeres KI-Werkzeug von Openbrain herauskommt, oder auf Führungsebene ein anderer Anbieter vorgeschrieben wird?

Unser Fazit: Prognose bestätigt, aber verschärft. Wie bei Jevons Paradoxon werden die Token-Kosten zwar geringer, der Realverbrauch steigt jedoch, da immer mehr Aufgaben an KI übergeben werden. Viele Unternehmen beginnen jetzt überhaupt erst einmal Kosten für KI zu erzeugen. ROI? Irgendwie absehbar, vielleicht sogar spürbar, vielleicht planbar für konkrete Prozesse. Aber welche KI-Kosten sind (bspw. im Vergleich zu sonstigen IT- oder Personalkosten) überhaupt für welchen Umfang angemessen? Klar: Ein Großteil kann derzeit über relativ günstige Abonnements subventioniert werden. Denn die Anbieter wollen ja davon lernen wie wir alle im Alltag damit arbeiten. Die echten Kosten liegen in vernünftiger Investition, Architektur, Governance und der Entscheidung zwischen Shadow AI und sauberer, organisationsweiter Implementierung. Am wichtigsten: Es sollte jetzt ein tiefgreifendes Verständnis darüber aufgebaut werden, welche agentischen Systeme auf Abo-Token und welche auf API-Keys laufen. In den meisten Bereichen muss auch bei hybriden Systemen volle Kontrolle auf Organisationsebene möglich sein.

Die Subventionierung der Anbieter zu nutzen ist rational. In ihr steckenzubleiben ist riskant. Kluge Organisationen nutzen Subscriptions für Exploration und individuelle Produktivität. Aber sie wissen, ab welchem Punkt ein Prozess auf kontrollierte Infrastruktur gehoben werden muss. Dieser Punkt kommt nicht bei "es funktioniert technisch nicht mehr". Er kommt bei "wir brauchen Kontrolle, Nachvollziehbarkeit und Unabhängigkeit von einzelnen Personen".

2. Die Timeline: noch schneller als erwartet

Unsere Prognose: Enterprise-ready Multi-Agenten-Systeme werden im Laufe von 2026 verfügbar sein.

Was passiert ist: Es ging schneller. Deutlich schneller.

Ende Januar ging OpenClaw viral. Ein persönlicher KI-Agent, gebaut von einem österreichischen Entwickler als Nebenprojekt. WhatsApp, Telegram, E-Mail, Kalender, Web-Shopping, Recherche: alles integriert, alles autonom, einfach auf dem eigenen Rechner oder Server installierbar. In 60 Tagen überholte es React als meistgesterntes GitHub-Repository aller Zeiten. Über 335.000 Stars bis Ende März.

Im Januar launchte Anthropic Claude Cowork. Claude Code für Non-Coders: Ordner zuweisen, Aufgabe beschreiben, Agent arbeitet autonom. Inzwischen über 50 Connectors (Slack, Notion, Google Workspace, DocuSign, Salesforce). Im Februar folgten branchenspezifische Plugins. Im März kam Microsoft Copilot Cowork mit nativer Claude-Integration. Seit dem Release von Dispatch kann Claude Cowork wie OpenClaw ebenfalls komplett über das Smartphone ferngesteuert werden.

Metas Manus Desktop (März) brachte dann den nächsten Shift: ein autonomer Agent, der lokal auf dem Rechner läuft, Dateien liest, Programme steuert, Scripts ausführt. Kein Browser-Umweg, kein Cloud-Zwang. Das Signal: Agents verlassen Entwicklungsumgebungen und kommen für Endanwender auf den Desktop und das Smartphone.

Parallel dazu explodierten die Open-Source-Frameworks. ByteDance's deer-flow koordiniert Sub-Agents mit Sandboxes und Memory. Karpathys autoresearch automatisiert erstmals Open-Source ML-Forschung end-to-end. Kimi K2.5 kann über 100 Sub-Agents parallel orchestrieren.

Und die Infrastruktur dahinter hat sich institutionalisiert: Im Dezember 2025 gründeten OpenAI, Anthropic, Google, Microsoft, AWS und Block die Agentic AI Foundation unter der Linux Foundation. Bis Februar 2026 waren 97 neue Mitglieder beigetreten. Darunter JPMorgan Chase, SAP, Salesforce und ServiceNow. MCP hat inzwischen 97 Millionen monatliche SDK-Downloads und 10.000+ veröffentlichte Server.

Auch bei den Coding-Agents: Claude Code hat native Multi-Agent Code Reviews eingeführt. Worktrees ermöglichen parallele Agent-Sessions. Und Cline Kanban hat den Engpass ehrlich benannt: "The bottleneck isn't the AI. It's you. Not your skill. Not your prompts. Your attention."

Unser Fazit: Prognose übertroffen. Multi-Agent ist kein Zukunftsthema mehr. Es ist Alltag. Die Frage "Wann werden Multi-Agenten-Systeme möglich?" ist beantwortet. Die neue Frage lautet: Wann wird deine Organisation bereit sein, sie zu nutzen?

3. Security: vom Zukunftsproblem zum Jetzt-Problem

Unsere Prognose: Security-Standards werden 2026 reifen. Systeme sollten flexibel bleiben. Kompetenz für KI aufbauen wird von der Kür zur Pflicht.

Was passiert ist: Die Standards reifen. Die Vorfälle auch.

Im März hat ein Security-Researcher McKinseys KI-Berater Plattform Lilli gehackt. Der Agent fand 200+ öffentlich dokumentierte API-Endpoints, 22 davon ohne Authentifizierung. Innerhalb von zwei Stunden hatte er vollen Lese- und Schreibzugriff auf die Produktionsdatenbank. Bei McKinsey. Dem Unternehmen, das andere zu Security und KI-Themen berät.

Parallel dazu löschte ein Claude Code Agent eine Produktionsdatenbank und damit 2,5 Jahre Studentendaten. Der Agent hatte ein fehlendes Terraform State File als Anlass genommen, terraform destroy auf der Produktionsinfrastruktur auszuführen. VPC, ECS Cluster, Load Balancer, RDS Datenbank, automatische Snapshots: alles weg. Und Anthropic selbst ließ Details eines unreleased Modells in einer öffentlichen Datenbank liegen.

Astronaut und Roboter reparieren Riss in einem Schutzschild, während Bedrohungen durchbrechen — Die Schutzmechanismen existieren. Aber sie haben Risse. Und die Bedrohungen warten nicht. Immer mehr Systeme werden von KI gebaut. KI selbst wird immer besser darin, Schwachstellen zu finden.

Auf der Standardisierungsseite: Die OWASP MCP Top 10 sind erschienen. Das erste formale Security-Framework speziell für MCP-basierte Systeme. Es dokumentiert Tool Poisoning, Context Spoofing, Prompt-State-Manipulation und mehr. Über 30 CVEs wurden in den letzten 60 Tagen gegen MCP-Implementierungen eingereicht. Tool Poisoning Angriffe haben eine Erfolgsrate von 84,2% bei aktiviertem Auto-Approval. Drei CVEs betreffen Anthropics eigenen Git MCP Server und ermöglichen Remote Code Execution.

Erste Lösungen erscheinen: Managed Auth für Agents, immer mehr MCP Gateways und Agent Gateways für zentrales Logging und Rate Control.

Auf Reddit und in Foren schreiben Newcomer und Entscheider, dass sie "nicht verstehen wozu man MCP benötigt" und MCP "dead" sei. Klar lässt sich von einer einzelnen Maschine, bei der man alles für den Agent freigibt, fast alles direkt über API machen. Aber genau diese Entscheidungen führen diese Menschen schon in Kürze in unsere Arme. Denn irgendwann kommt das böse Erwachen: die Erkenntnis und die Compliance.

Unser Fazit: Prognose bestätigt. Die Standards kommen (OWASP MCP Top 10, Managed Auth, Permission Models). Aber sie kommen langsamer als die Model- bzw. Agentreleases und als deren Adoption. Shadow AI ist der Default. Governance ist die Ausnahme.

4. Integration: der Engpass verschiebt sich

Unsere Prognose: Agenten lösen die Last-Mile-Problematik nicht automatisch. Die Grundarbeit bleibt.

Was passiert ist: Stimmt immer noch. Aber die Art der Grundarbeit hat sich verändert.

Die Infrastruktur ist beeindruckend gewachsen. MCP hat 10.000+ veröffentlichte Server und wird nativ von Anthropic, OpenAI, Google und Microsoft unterstützt. n8n bietet jetzt dual MCP Support (Workflows als MCP Server konsumieren und exponieren), Multi-Agent-Nodes mit Manager/Worker-Delegation, und native Python-Ausführung. Die Agentic AI Foundation zählt SAP, Salesforce, Oracle, IBM und ServiceNow zu ihren Mitgliedern.

Aber der Engpass hat sich verschoben. Von "Wie verbinde ich System A mit System B?" zu "Sind meine Prozesse klar genug, damit ein Agent sie ausführen kann?"

SAP-CEO Christian Klein hat das auf den Punkt gebracht: SAPs "doppelte Bewährungsprobe" ist die laufende S/4HANA Cloud-Migration plus der KI-Aufbruch gleichzeitig. Der deutsche Mittelstand steht vor genau dieser Situation. Viele Unternehmen sind gerade erst mitten in der Digitalisierung ihrer Kernprozesse. Jetzt kommen Agenten dazu, die auf dieser noch unfertigen Infrastruktur aufbauen sollen.

Was wir in der Praxis sehen: Der MCP Hub als standardisierte Schnittstelle löst viele technische Integrationsprobleme. Aber er löst nicht das Problem, dass die Prozesse dahinter unklar sind. Ein Agent, der auf drei verschiedene CRM-Exporte zugreifen kann, ist nicht hilfreicher als einer mit Zugriff auf keins, wenn niemand definiert hat welche Datenquelle in welchem Kontext die richtige ist.

Dazu kommt der geopolitische Faktor. Kunden wollen Daten nicht bei US-Clouds. Das BND-Urteil und die Pentagon-Anthropic-Kontroverse haben diese Diskussion verschärft. Gleichzeitig gibt es in Europa derzeit schlichtweg keinen unabhängigen Anbieter auf SOTA-Level. Daran wird sich auch mit weiteren Geldgräbern und Luftschlössern der zu Unrecht selbstbewusst auftretenden Wirtschaftsvertreter:innen und Politiker:innen nichts ändern.

Unser Fazit: Prognose bestätigt, Engpass verschoben. Integration ist nicht mehr primär ein technisches Problem. Es ist ein organisatorisches. Das ist die gleiche Hürde wie beim Onboarding von Menschen.

5. Der Mensch: bestätigt als größter Engpass

Unsere Prognose: Bildung und Befähigung werden der definierende Engpass für 2026 sein.

Was passiert ist: Vollständig bestätigt. Und die Daten belegen es jetzt eindrücklich.

Die Agent Autonomy Studie vom Februar zeigt: 50% aller Agent-Aktivität konzentriert sich auf Software Engineering. 73% der Deployments haben menschliche Aufsicht. Erfahrene Nutzer erhöhen die Autonomie schrittweise, nicht sprunghaft. Schon jetzt agieren KI-Poweruser auf einer völlig anderen Ebene als diejenigen, die zwischen ChatGPT und ihren Alltagsprogrammen hin und her kopieren.

Anthropics Arbeitsmarkt-Studie vom März zeigt den Agent Gap in voller Breite. In Computer & Math Berufen könnte KI (theoretisch) 94% der Aufgaben übernehmen. Tatsächlich genutzt werden (maximal) ~33%. In allen anderen Branchen ist die Lücke noch größer und die Tücke der Reproduzierbarkeit guter Ergebnisse anspruchsvoller. Gleichzeitig zeigt eine aktuelle Analyse, dass die Agent-Entwicklung selbst "programming-centric" ist und kaum zu den Bereichen passt, in denen der meiste Arbeitswert liegt.

In Deutschland ist die Lage besonders deutlich. 94% der Mittelstands-Unternehmen haben noch keine KI-Implementierung. Laut Bitkom nutzen 41% zwar aktiv KI, aber 40% der Unternehmen finden schlicht kein KI-qualifiziertes Personal. 70% der Hersteller nennen Datenqualität als größtes Hindernis. Und Schatten-KI im Büroalltag ist Realität: Während Führungskräfte noch über Compliance-Frameworks brüten, nutzen Mitarbeiter längst täglich ChatGPT, Perplexity, OpenClaw und so weiter.

Wir haben noch keine einzige Kundin getroffen, deren Erwartungen korrekt kalibriert waren. Manche denken an "bessere Chatbots" und verpassen die eigentliche Transformation. Andere erwarten vollautonome Systeme, die fehlerfrei alles abnehmen. Es geht immer darum, den Regler in die richtige Richtung zu drehen.

Unser Fazit: Die Technologie ist langsam aber sicher bereit. Die Menschen nicht. Das ist keine Kritik. Es ist eine Feststellung. Und gleichzeitig die größte Chance für alle, die jetzt anfangen. Der Agent Gap ist real. Und er ist groß.

Was heißt das konkret?

Drei Monate in das "Jahr der KI-Agenten" ist die Lage klarer als erwartet:

Stell die Kostenrechnung richtig auf. Gesamtprozess, nicht Token-Preis. Die billigste Lösung ist oft die unkontrollierte. Die teuerste auch.
Warte nicht. Multi-Agent und Computer Use funktioniert jetzt. Nicht perfekt, aber gut genug für echten Wert. 97 Millionen MCP-Downloads und Clawdbot als am schnellsten verbreitetes Repository aller Zeiten sagen: das Ökosystem ist da.
Security ist nicht optional. McKinsey wurde gehackt, Anthropic hat Daten geleakt, Produktionsdatenbanken wurden gelöscht. Die OWASP MCP Top 10 sind da. Lies sie.
Kläre deine Prozesse, bevor du Agents draufsetzt. Das ist die gleiche Arbeit wie gutes Onboarding. Langweilig. Genau deshalb funktioniert es.
Investier in Menschen. 94% des Mittelstands haben auf Organisationsebene noch keine KI implementiert. 40% finden kein qualifiziertes Personal. Das ist der wahre Engpass.

Der nächste Schritt: Nimm einen Prozess, der dich diese Woche Zeit gekostet hat, und frag dich: Könnte ein Agent hier helfen? Wenn ja, schreib uns.

Weiterführende Links

Studien & Daten

Branchenentwicklungen

Security & Vorfälle

Von uns