Dein Security-Team kann jeden Menschen mit Commit-Zugang namentlich nennen. Saubere Liste, auditierbare Berechtigungen, MFA-Status bis zum letzten abgelaufenen Token. Gut für sie.

Aber die Branche hat autonome Agenten ausgeliefert, bevor man sich einig war, ob ein Agent ein User, ein Bot oder ein Service Account ist. In den letzten zwei Wochen haben vier große Plattformen das auf die lehrreichste Art bewiesen — indem jede die Identitätsfrage anders, inkompatibel und ohne Absprache beantwortet hat.

Wir haben GitHubs Commit-Signierung, Anthropics Routines, Microsofts Entra Agent ID und OpenAIs Sandbox-Ausführung separat behandelt. Hier ist, was der Vier-Wege-Vergleich tatsächlich offenbart.

Vier Plattformen, vier inkompatible Spezies

Vergesst die Produktdetails — die habt ihr gelesen. Konzentriert euch auf die Taxonomie.

GitHub Copilot (3. April): Agent ist ein Bot. Kryptographisch signierte Commits, "Verified"-Badge, klar nicht-menschlich. Ehrlich. Nachverfolgbar. Der einzige Anbieter, der entschieden hat, dass ein Agent sagen sollte: "Ich bin kein Mensch."

Anthropic Routines (14. April): Agent ist ein Geist. Operiert unter deinem persönlichen GitHub-Token. Eine Routine, die um 3 Uhr nachts Code committet, sieht in jedem Log identisch aus wie du um 3 Uhr nachts. Dein Badge, seine Hände.

OpenAI Agents SDK v0.14.1 (15. April): Agent ist namenlos. Sandbox-Ausführung, Prompt-Injection-Abwehr, sechs Sandbox-Partner. Identitätsmechanismus? Null. Nicht unterentwickelt — abwesend.

Microsoft Entra Agent ID (aktualisiert 8. April): Agent ist ein Bürger. Eigener Service Principal, menschlicher Sponsor aktenkundig, volle Governance-Kontrollen. Sein eigener Mitarbeiterausweis in deinem Verzeichnis.

Bot, Geist, Namenloser, Bürger. Vier Anbieter, vier Ontologien. Nimm zwei beliebige und dein Audit-Log wird zum Rorschach-Test.

Das Audit-Trail, das Gutenachtgeschichten erzählt

Eine im März 2026 veröffentlichte Umfrage der Cloud Security Alliance unter 285 IT- und Security-Fachleuten liefert Zahlen zum Chaos: Nur 28% können Agenten-Aktionen über alle Umgebungen hinweg zu einem menschlichen Sponsor zurückverfolgen. 61% haben fragmentierte Audit-Logs, die keine verwertbaren Beweise liefern. 33% haben überhaupt kein Audit-Trail. Und 44% authentifizieren Agenten immer noch mit statischen API-Keys — das Credential-Äquivalent davon, den Haustürschlüssel mit Klebeband an die Tür zu heften.

Ein Audit-Log, in dem GitHub sagt "Bot hat das signiert", Anthropic sagt "du hast das signiert", OpenAI schweigt, und Microsoft sagt "Service Principal ABC hat das gemacht", ist kein Compliance-Artefakt. Es sind vier widersprüchliche Geschichten in einem Trenchcoat, die so tun, als wären sie Accountability.

Lock-in auf Umwegen

Agent-Identität zu standardisieren würde Konvergenz auf ein Format erfordern, das niemand vorgeschlagen hat. Kein Standardisierungsgremium hat getagt. Kein RFC existiert. Und hier ist der Teil, wo du aufhörst, bald einen zu erwarten: Jeder Anbieter profitiert vom Chaos.

GitHubs Signatur-Infrastruktur bindet dich tiefer an GitHub. Microsofts Entra bindet dich an Azure AD. Anthropics User-Token-Modell bindet dich an deren PAT-Flow. OpenAIs Fehlen von Identität bedeutet, du baust deine eigene — wahrscheinlich auf OpenAIs Stack.

Das ist kein Zufall. Identität ist die tiefste Form von Platform-Lock-in. Tiefer als APIs, tiefer als Datenformate. Wenn die Existenz deines Agenten durch das Verzeichnis eines Anbieters definiert wird, bedeutet Migration, dass dein Agent aufhört, eine anerkannte Entität zu sein. Das sind keine Wechselkosten — das ist eine existenzielle Bedrohung für einen nicht-menschlichen Akteur, und das ist ein Satz, den ich nie erwartet hätte, über Access Management zu schreiben.

Die regulatorische Uhr tickt

Wir haben die EU-AI-Act-Deadline im Detail behandelt — Artikel 50 tritt am 2. August 2026 in Kraft und verlangt, dass KI-Systeme ihre nicht-menschliche Natur offenlegen. Das sind 107 Tage ab heute. Eine deiner Agenten-Plattformen macht Agenten in Logs ausdrücklich ununterscheidbar von Menschen, und eine andere produziert gar keine Identitätsdaten. Viel Erfolg mit der Compliance-Meldung.

Was der Vergleich offenbart

Jede Plattform für sich sieht nach einer vernünftigen Engineering-Entscheidung aus. GitHub wählte Transparenz. Anthropic wählte Einfachheit. OpenAI wählte Isolation. Microsoft wählte Governance. Alles vertretbar.

Aber niemand betreibt nur eine Plattform. In dem Moment, wo du zwei kombinierst — und statistisch hast du das bereits — erzeugt die Taxonomie-Kollision eine Lücke, die kein einzelner Anbieter schließen wird, weil die Lücke genau da ist, wo der Lock-in lebt.

Diese saubere Liste von Menschen mit Commit-Zugang? Längst Fiktion. Die Agenten, die dein Team diesen Monat deployed hat, haben Fingerabdrücke in vier inkompatiblen Formaten hinterlassen, und die einzige Instanz mit Autorität und Deadline, Konvergenz zu erzwingen, ist ein Regulator, der in 107 Tagen in Kraft tritt.

Irgendjemand wird dafür bezahlen, dass Agenten vor Agent-Identität ausgeliefert wurden. Die Anbieter werden es nicht sein. Rechne dir aus, wer übrig bleibt.