Jeden Morgen öffnest du denselben Pull-Request-Review. Manche Diffs kommen von deinem Kollegen in Portland, manche vom KI-Agenten, den deine Firma letztes Quartal freigeschaltet hat. Der Code sieht gleich aus. Das grüne "Verified"-Badge sieht gleich aus. Du klickst auf Approve, nippst an deinem Kaffee und machst weiter.

Aber hier ist die Sache: Wenn ein signierter Commit um 2 Uhr nachts eine Sicherheitslücke ausliefert und der Pager losgeht, muss jemand den Kopf hinhalten. Die Signatur auf dem Commit zeigt auf einen Bot. Einen Bot ohne juristischen Namen, ohne Anschrift und absolut null Interesse, an deinem Post-Mortem-Call teilzunehmen.

Die Signatur fällt

Am 3. April 2026 hat GitHub kryptographisches Commit-Signing für seinen Copilot Cloud Agent eingeführt. Die Produktdetails haben wir gestern zusammen mit den Org-Runner-Controls und anderen Updates behandelt. Hier kommt der Teil, über den niemand geredet hat: das rechtliche Vakuum darunter.

Kryptographisches Signing — ein mathematischer Beweis, dass eine bestimmte Entität ein bestimmtes Stück Code geschrieben hat — war bei seriösen Unternehmen für menschliche Entwickler bereits Standard. Jetzt bekommt ein Bot dieselbe Zeremonie. GitHub hatte bereits am 20. März Session-Log-Tracing hinzugefügt, das jeden Agent-Commit mit seiner vollständigen Gesprächshistorie verknüpft. Kombiniert mit den Organisation-Level Runner Controls, die am selben Tag wie das Signing ausgeliefert wurden, ist die Botschaft an Enterprise-Kunden klar: Lass den Bot committen. Wir haben es sicher gemacht.

Der Request war seit Juni 2025 offen, ein Enterprise-Nutzer flehte: "Our organisation has >1,500 contributors, we can't, at scale, coach and explain this." GitHub hat sie gehört. Ob sie die richtige Frage beantwortet haben, steht auf einem ganz anderen Blatt.

Wie es tatsächlich funktioniert

Jeder Commit des Cloud Agent trägt jetzt eine kryptographische Signatur — dasselbe GPG- oder SSH-Format, das auch Menschen nutzen. Auf GitHub erscheint es als das bekannte grüne "Verified"-Badge. In den Commit-Metadaten steht Copilot als Author und der Mensch, der die Aufgabe zugewiesen hat, als Co-Author. Die Session-Log-URL sitzt in einer Trailer-Zeile am Ende der Commit-Message.

Das löste ein echtes, nerviges Problem: Repos mit Branch-Protection-Rules konnten den Cloud Agent vorher gar nicht nutzen, weil unsignierte Commits am Gate abgelehnt wurden. Jetzt kommt der Bot am Türsteher vorbei. Der Audit Trail ist sauber, manipulationssicher und technisch identisch mit dem, was ein menschlicher Entwickler produziert.

Technisch identisch. Rechtlich? Da wird es komisch.

Das Verantwortungsloch

Hier wird es unangenehm. Eine kryptographische Signatur beantwortet, was den Code geschrieben hat. Sie beantwortet nicht — und kann nicht beantworten:

  • Wem gehört das Urheberrecht? Das US Copyright Office besteht weiterhin darauf, dass KI-generiertem Output menschliche Urheberschaft fehlt. Wenn kein Mensch "wesentlich mitgewirkt" hat, gibt es möglicherweise gar kein Urheberrecht. Deine Firma hat gerade Code ausgeliefert, der eventuell niemandem gehört.
  • Wer haftet für eine Sicherheitslücke? GitHubs eigene Risikodokumentation listet vier Risikokategorien auf und verlangt menschliche Reviews für alle PRs — enthält aber null Formulierungen dazu, wer tatsächlich haftet. Sie haben den Audit Trail gebaut und vergessen, jemanden ans Ende zu setzen.
  • Wer steht beim Incident Review Rede und Antwort? Der Co-Author — der Mensch, der "fix the login bug" in eine Textbox getippt hat? Der Reviewer, der den PR freitagnachmittags um 16:47 durchgewunken hat? Der CISO, der den Agenten firmenweit freigeschaltet hat, weil eine Vendor-Präsentation "Produktivität" versprach?

Der Audit Trail ist perfekt. Der Verantwortungs-Trail ist leer.

Das Fragmentierungsproblem

Beim Rauszoomen wird es schlimmer — und ehrlich gesagt absurder. Jedes große KI-Coding-Tool handhabt die Commit-Identität wie ein Student, der das Gruppentreffen geschwänzt und seinen Teil improvisiert hat:

  • GitHub Copilot Cloud Agent: Kryptographisch signiert, Copilot als Author, Mensch als Co-Author, Session-Log-URL
  • Claude Code: Fügt einen Co-authored-by-Trailer hinzu, keine kryptographische Signatur
  • OpenAI Codex: Ähnlicher Co-Author-Trailer per Git Hook, keine Signatur
  • Cursor, Devin: Keine standardisierte Attribution — dein Git Log sagt einfach, du hättest es geschrieben

Wenn deine Firma mehr als eines dieser Tools nutzt — und die meisten tun das — enthält deine Git History jetzt drei oder vier inkompatible Authorship-Schemata. Ein Forschungspaper, das auf der MSR '26 (13.–14. April 2026) präsentiert wird, hat 33.580 Pull Requests analysiert und festgestellt, dass KI-Agenten allein anhand von Commit-Mustern mit 97,2 % Genauigkeit identifiziert werden können. Die Maschinen sind erkennbar, selbst wenn sie sich nicht zu erkennen geben. Aber es gibt keinen plattformübergreifenden Standard dafür, wie dieser Fingerabdruck aussehen sollte.

Dein Compliance-Team hat gerade ein Chaos geerbt, über das sie niemand informiert hat. Herzlichen Glückwunsch.

Was das für dich bedeutet

Wenn deine Organisation GitHubs Cloud Agent nutzt — und mit diesen Enterprise-Controls steht die Adoption vor einem Sprung — enthält dein Git Log bereits signierte KI-Commits neben signierten menschlichen Commits. Deine juristischen Playbooks, deine Compliance-Checklisten, deine Incident-Response-Prozesse behandeln fast sicher jeden signierten Commit als die Verantwortung eines Menschen. Weil er das bis vor neun Tagen auch war.

Die Transparenzanforderungen aus Artikel 50 des EU AI Act greifen am 2. August 2026. Das sind vier Monate, um herauszufinden, ob ein "Verified"-Badge von einem Bot dieselben regulatorischen Erwartungen erfüllt wie ein "Verified"-Badge von deinem Senior Engineer. Vier Monate klingen nach viel Zeit, bis du dich erinnerst, wie lange dein letztes Policy-Review gedauert hat.

Die neue Realität

Dreißig Jahre lang war das Git Log ein Protokoll der Urheberschaft — wer hat was geschrieben, wann, und (wenn man die Commit-Message zusammenkniff) warum. GitHub hat es gerade in etwas anderes verwandelt: ein Protokoll, das Nicht-Urheberschaft enthält, bei dem der Signierende verifizierbar aber nicht verantwortlich ist, identifizierbar aber nicht haftbar, und rückverfolgbar zu einer Konversation, die kein Rechtsrahmen einzuordnen weiß.

Die Signatur ist echt. Die Verantwortung dahinter nicht. Und deine Policies haben nicht aufgeholt — aber der 2. August interessiert sich nicht für deinen Backlog.