Vorwort

Ein Handbuch, das ich selbst gebraucht hätte.

Im Jahr 2017 habe ich in einem Schweizer Vermögensverwalter den ersten produktiven Machine-Learning-Workflow eingeführt, ein einfaches Klassifikationsmodell für Transaktions-Anomalien. Drei Wochen nach dem Go-Live stand die Compliance-Verantwortliche vor meinem Schreibtisch und stellte eine Frage, auf die ich keine gute Antwort hatte. Sie wollte wissen, wer entscheidet, wenn das Modell entscheidet.

Sechs Jahre später, im Pharma-Sektor, wurde mir dieselbe Frage in fast denselben Worten gestellt, dieses Mal von einer GxP-Auditorin. Wieder gab es keine gute Antwort, jedenfalls keine, die in einem Audit-Protokoll Bestand gehabt hätte. Beide Male war die technische Architektur in Ordnung. Was fehlte, war eine gemeinsame Sprache zwischen denen, die das System bauen, denen, die es verantworten, und denen, die es prüfen.

Aus dieser Lücke ist AAIA Trinity STAR entstanden. Es ist kein Modellzoo, kein Tooling-Stack und keine Methodik im klassischen Beratungssinn. Es ist eine Referenzarchitektur, die drei Perspektiven zusammenführt, die in regulierten Unternehmen historisch getrennt arbeiten, und die bei Agentic AI nicht mehr getrennt arbeiten dürfen, ohne dass jemand teuer dafür bezahlt.

Dieses Handbuch ist die Form, in der ich das Framework heute weitergebe. Es ist absichtlich kurz, etwa zweihundert Seiten, weil es ein Werkzeug sein soll und kein Lehrbuch. Es ist absichtlich auf Deutsch, weil die Diskussion über AI-Governance in der DACH-Region zu lange auf Englisch geführt wurde, mit den Verlusten, die jede Übersetzung mit sich bringt. Und es ist absichtlich praktisch, mit Vorlagen, Checklisten und Bewertungsrastern, die am Montag nach der Lektüre einsetzbar sind.

Wenn dieses Buch eine Wirkung haben soll, dann diese: dass Vorstand, CTO-Office und zweite Verteidigungslinie nach der Lektüre über dieselbe Sache reden, mit denselben Worten, in derselben Reihenfolge.

Gilbert Cesarano, Zug, im Mai 2026.

Kapitel 1

Warum Trinity STAR existiert.

1.1 Drei Beobachtungen aus der Praxis

Drei Beobachtungen aus eigenen Mandaten haben mich davon überzeugt, dass Agentic AI in regulierten Branchen ein eigenes Architekturvokabular braucht, und dass die etablierten Frameworks aus Software-Engineering und klassischer Datenanalytik nicht ausreichen.

Erste Beobachtung, Banking. Ein agentisches System für Kreditrisiko-Vorprüfung trifft eine Entscheidung, die einer Privatkundin ein Darlehen verweigert. Die Kundin wendet sich an die Ombudsstelle. Die Ombudsstelle fragt nach den Entscheidungsgründen. Die Bank kann technisch zeigen, welche Parameter das Modell gewichtet hat. Sie kann aber nicht zeigen, in welcher Reihenfolge die im System eingesetzten Sub-Agenten gefragt wurden, welche von ihnen einander widersprochen haben und welche Heuristik den Konflikt aufgelöst hat. Die Antwort, die die Ombudsstelle erhält, ist nicht falsch, aber sie ist unvollständig in einer Weise, die FINMA-relevant wird.

Zweite Beobachtung, Pharma. Ein Agentic-System unterstützt die Erstellung klinischer Studienprotokolle, indem es regulatorische Vorgaben aus mehreren Jurisdiktionen abgleicht und Inkonsistenzen markiert. Es funktioniert in zweiundneunzig Prozent der Fälle hervorragend. In den verbleibenden acht Prozent hilft es einer Studiendirektorin, einen Fehler zu übersehen, weil das System eine Empfehlung mit hoher Konfidenz ausgegeben hat, die auf einem Halbwissen aus einer veralteten EMA-Leitlinie beruhte. Die Direktorin trägt die Verantwortung, das System hat keine. Im GxP-Audit wird genau diese Asymmetrie zum Thema.

Dritte Beobachtung, Industrie. Ein Mittelständler in Süddeutschland setzt einen agentischen Wartungs-Assistenten ein, der über Nacht selbständig Ersatzteile bei Lieferanten bestellt, sobald bestimmte Sensorwerte überschritten werden. Nach drei Monaten häufen sich die Klagen aus dem Einkauf, weil das System Bestellungen auslöst, die einzeln betrachtet vernünftig sind, in Summe aber Lieferantenverträge berühren, die der Einkauf erst gerade neu verhandelt hatte. Das Problem ist nicht ein einzelner Agent, sondern das Zusammenspiel mehrerer Agenten ohne übergeordnete Reversibilitätskontrolle.

Diese drei Geschichten haben dieselbe Tiefenstruktur. Die Technik funktioniert. Was nicht funktioniert, ist die Verbindung zwischen technischer Funktion und organisatorischer Verantwortung. Genau hier setzt Trinity STAR an.

1.2 Was Agentic AI von klassischer BI unterscheidet

Klassische Business Intelligence beantwortet Fragen, die Menschen stellen. Sie liefert Berichte, Dashboards, manchmal Vorschläge. Die Verantwortung für die Entscheidung bleibt beim Menschen, weil die letzte Aktion immer menschlich initiiert wird. Diese Asymmetrie ist nicht zufällig, sondern konstruktionsbedingt. BI-Systeme der letzten dreissig Jahre wurden so gebaut, weil Audit-Spuren, Versionierung und Vier-Augen-Prinzip ein menschliches Subjekt voraussetzen, das man im Zweifel befragen kann.

Agentic AI bricht diese Asymmetrie. Ein agentisches System initiiert Aktionen, oft in Sequenzen, ohne dass für jede Einzelaktion ein menschlicher Auslöser benötigt wird. Die Agenten kommunizieren untereinander, treffen Mikro-Entscheidungen, korrigieren einander, und produzieren am Ende ein Ergebnis, das niemand einzelnen zugeschrieben werden kann. In einem nicht-regulierten Umfeld ist das ein Effizienzgewinn. In einem regulierten Umfeld ist es ein Verantwortungsleck.

Drei Eigenschaften machen Agentic AI architektonisch anders als BI. Erstens, Initiative, weil das System Aktionen auslöst, nicht nur Berichte erstellt. Zweitens, Komposition, weil mehrere Agenten in nicht-deterministischen Sequenzen zusammenwirken. Drittens, Reflexion, weil Agenten ihre eigenen Zwischenergebnisse bewerten und revidieren können. Jede dieser drei Eigenschaften erzeugt eine eigene Kategorie regulatorischer Fragen, auf die klassische BI-Architekturen keine Antworten enthalten.

1.3 Die drei Säulen

Trinity meint drei Perspektiven, die in jedem Mandat gleichberechtigt nebeneinander stehen. Sie heissen Strategie, Taktik und Architektur. Die Versuchung, sie hierarchisch anzuordnen, ist gross und falsch.

Strategie beantwortet die Frage, welche Klasse von Aufgaben ein agentisches System überhaupt übernehmen soll, und welche bewusst nicht. Diese Frage gehört in die Geschäftsleitung, weil die Antwort über mehr entscheidet als nur über ein IT-Projekt. Sie entscheidet über die Schadenstoleranz des Unternehmens, über die Position gegenüber Aufsichtsbehörden und über die langfristige Erzählung, mit der das Unternehmen seine Existenz rechtfertigt. Strategie ohne diese Tiefe wird zur Roadmap, und Roadmaps haben in agentischen Systemen eine kürzere Halbwertszeit als in klassischen IT-Vorhaben.

Taktik beantwortet die Frage, wie die strategischen Vorgaben in Workflows, Schnittstellen und Governance-Schritte übersetzt werden. Diese Ebene ist die Domäne des CTO-Office, der Risk-Officer und der Compliance-Architektur. Sie ist die Ebene, auf der die meisten Trinity-STAR-Mandate einen Grossteil ihrer Zeit verbringen, weil hier die operativen Entscheidungen über Reversibilität, Eskalationspfade und Audit-Frequenz fallen.

Architektur beantwortet die Frage, welche technischen Bauteile, welche Modelle, welche Datenflüsse, welche Sicherheitsschichten die taktischen Vorgaben tragen. Diese Ebene wird oft zuerst bedacht und ist trotzdem die am wenigsten kritische, weil ein gut entworfenes technisches System mit schwacher Strategie und schwacher Taktik in regulierten Umfeldern scheitert, ein technisch durchschnittliches System mit klarer Strategie und disziplinierter Taktik dagegen oft erfolgreich ist.

Die drei Säulen sind nicht hintereinander, sondern nebeneinander zu lesen. Eine Architektur, die sich nicht auf eine bewusste Strategie zurückführen lässt, wird in der ersten Krise zerlegt. Eine Strategie, die sich nicht in Taktik übersetzen lässt, bleibt PowerPoint. Eine Taktik, die sich nicht in einer realen Architektur abbilden lässt, wird in der dritten Quartalsprüfung als Wunschdenken entlarvt.

1.4 Das STAR-Risikoframework

STAR ist die zweite Hälfte des Frameworks und liefert die vier Eigenschaften, die jedes agentische System in einem regulierten Umfeld nachweisen können muss, unabhängig davon, in welcher Branche es eingesetzt wird.

Security meint mehr als Cybersecurity. Gemeint ist die Fähigkeit, sowohl die Daten, mit denen das System arbeitet, als auch die Aktionen, die es auslöst, gegen unbefugte Einflussnahme zu schützen. In agentischen Systemen erweitert sich der Angriffsvektor um Prompt-Injektion, Tool-Manipulation und Agent-zu-Agent-Täuschung. Wer Security nur als klassisches AppSec denkt, übersieht den Grossteil der Risiken.

Traceability bedeutet die nachträgliche Rekonstruierbarkeit jeder einzelnen Entscheidung des Systems, einschliesslich der Reihenfolge der beteiligten Agenten, der Eingabedaten zum Zeitpunkt der Entscheidung und der zur Entscheidung herangezogenen Modellversion. Dies ist die schwierigste der vier Eigenschaften, weil sie sich nicht nachträglich anbauen lässt. Wer Traceability nicht von Anfang an in die Architektur einbaut, wird sie nie nachrüsten können.

Accountability bezeichnet die Fähigkeit, jede Aktion des Systems eindeutig einer menschlichen Verantwortungsstelle zuzuordnen. In gut entworfenen Trinity-STAR-Systemen entspricht jeder Klasse von Aktion eine Rolle, die im Krisenfall ansprechbar und zur Rechenschaft fähig ist. Accountability ist die Eigenschaft, die in den meisten gescheiterten AI-Projekten zuletzt bedacht und zuerst eingefordert wird.

Reversibility meint die Möglichkeit, eine vom System ausgeführte Aktion innerhalb einer definierten Frist und ohne Sekundärschaden rückgängig zu machen. In Banking sind das oft Stornofristen, in Pharma die Möglichkeit, eine Datenfreigabe zurückzuziehen, in Industrie die Stornierung einer Bestellung vor Versand. Systeme ohne explizite Reversibilitätszusage sind in regulierten Umfeldern in der Regel nicht freigabefähig.

1.5 Die gemeinsame Sprache

Der eigentliche Wert von Trinity STAR liegt nicht in den Säulen oder in STAR isoliert. Er liegt darin, dass die sieben Begriffe zusammen ein Vokabular bilden, das von der Geschäftsleitung über das CTO-Office bis in die zweite Verteidigungslinie verstanden und konsistent verwendet werden kann.

In den meisten meiner Mandate beginnt die Arbeit mit einer Übersetzungsleistung. Der Vorstand spricht in Strategien, das CTO-Office in Tickets, die Aufsicht in Paragrafen. Trinity STAR liefert eine Mitte, in der alle drei dieselben Worte verwenden, ohne ihre eigene Sprache aufgeben zu müssen. Erst wenn diese Mitte tragfähig ist, lassen sich agentische Systeme bauen, die in der ersten echten Krise nicht zerlegt werden.

1.6 Wie dieses Handbuch zu lesen ist

Das Handbuch ist linear lesbar, in der Reihenfolge, in der die Kapitel stehen. Wer es als Nachschlagewerk verwenden möchte, findet im Anhang eine Querverweis-Tabelle zwischen Trinity-STAR-Begriffen, EU-AI-Act-Artikeln und ISO-24896-Klauseln. Wer einen ersten Eindruck wünscht, beschränkt sich auf Kapitel 1, 4 und 12, in dieser Reihenfolge.

Jedes Kapitel endet mit einem Resümee in fünf Sätzen, einer Vorlage zur eigenen Anwendung und drei Reflexionsfragen für die nächste Vorstands- oder Architektur-Sitzung. Die Vorlagen sind so geschrieben, dass sie ohne Anpassung in Confluence, Notion oder Microsoft Word übernommen werden können.

1.7 Eine Bitte an die Leserin und den Leser

Lesen Sie dieses Handbuch mit Disziplin, nicht mit Begeisterung. Agentic AI ist im Mai 2026 in einer Phase, in der Begeisterung leichter zu finden ist als Disziplin, und in der die Lücke zwischen demonstrierten Möglichkeiten und produktionsreifer Verlässlichkeit grösser ist als in den meisten vergangenen IT-Wellen. Wer dieses Handbuch nutzt, um Begeisterung zu rationalisieren, hat es missverstanden. Wer es nutzt, um Begeisterung zu disziplinieren, wird einen Vorteil haben, den sich seine Wettbewerber für viel Geld einkaufen werden.

Resümee in fünf Sätzen

1. Agentic AI verschiebt Verantwortung vom Menschen ins System, ohne dass das System diese Verantwortung tragen kann.
2. Drei Eigenschaften, Initiative, Komposition und Reflexion, machen Agentic AI architektonisch anders als klassische BI.
3. Trinity meint Strategie, Taktik und Architektur als drei gleichberechtigte Perspektiven, nicht als Hierarchie.
4. STAR meint Security, Traceability, Accountability und Reversibility als vier Eigenschaften, die jedes regulierte agentische System nachweisen muss.
5. Der eigentliche Wert des Frameworks liegt im gemeinsamen Vokabular zwischen Geschäftsleitung, CTO-Office und zweiter Verteidigungslinie.

Drei Reflexionsfragen für die nächste Sitzung

1. Welche Klasse von Entscheidungen würden wir guten Gewissens an ein agentisches System übergeben, und welche niemals, und warum?
2. Wer trägt heute, namentlich, die Verantwortung für die nicht-deterministischen Aktionen unserer produktiven AI-Systeme?
3. Wenn unsere Aufsicht morgen früh den vollständigen Entscheidungspfad einer einzelnen Agenten-Aktion verlangt, in welcher Form könnten wir ihn liefern?