Vorwort

Ein Handbuch, das ich selbst gebraucht hätte.

AAIA Trinity STAR ist ein junges Framework. Die erste explizite Skizze datiert auf Februar 2026, an einem ruhigen Sonntagnachmittag in Zug, nach einem Mandat, in dem zum wiederholten Mal dieselbe Lücke aufgetaucht war, die ich seit über zwanzig Jahren in regulierten Unternehmen beobachte. Was an diesem Sonntag entstand, war neu in der Form, aber nicht im Inhalt. Es war die geordnete Niederschrift dessen, was zwei Jahrzehnte BI- und Cloud-Architektur in Banking, Pharma und Industrie an Erfahrungen, Mustern und schmerzhaften Lehren hinterlassen hatten.

Eine dieser Lehren reicht weit zurück. In einem grösseren Schweizer Finanzhaus war ich vor Jahren an der Einführung eines frühen statistischen Modells für die Erkennung auffälliger Transaktionsmuster beteiligt. Wenige Wochen nach dem produktiven Einsatz suchte mich die Compliance-Verantwortliche auf und stellte eine Frage, auf die meine Architektur damals keine vollständige Antwort hatte. Sie wollte wissen, wer entscheidet, wenn das Modell entscheidet. Das System war technisch sauber gebaut. Was fehlte, war die organisatorische Sprache, mit der die Antwort hätte gegeben werden können.

Jahre später, in einem Pharma-Mandat mit GxP-relevantem Werkzeugeinsatz, wurde mir dieselbe Frage in fast denselben Worten gestellt, dieses Mal von einer Auditorin. Beide Male war die technische Architektur in Ordnung. Beide Male fehlte eine gemeinsame Sprache zwischen denen, die das System bauen, denen, die es verantworten, und denen, die es prüfen. Vergleichbare Beobachtungen sammelten sich in Industrie-Mandaten, in Cloud-Migrationen für regulierte Datenlandschaften, in Architekturreviews für interne Aufsichtsfunktionen. Über zwei Jahrzehnte hinweg ergab sich daraus ein konsistentes Bild.

Mit dem Aufkommen produktiv einsetzbarer Agentic-AI-Werkzeuge im Jahr 2025 wurde diese Lücke nicht kleiner, sondern bedrohlich grösser. Klassische BI verschiebt Verantwortung kaum, weil der Mensch jede Aktion auslöst. Agentische Systeme verschieben Verantwortung in das System hinein, in einer Form, die ohne ein neues Vokabular nicht mehr eingefangen werden kann. Im Februar 2026 habe ich begonnen, dieses Vokabular zu ordnen, ihm einen Namen zu geben und es in eine Architektur zu giessen, die nicht aus theoretischer Spekulation lebt, sondern aus zwei Jahrzehnten Liefererfahrung in genau jenen Branchen, für die das Framework gedacht ist.

AAIA Trinity STAR ist daher kein Modellzoo, kein Tooling-Stack und keine Methodik im klassischen Beratungssinn. Es ist eine Referenzarchitektur, die drei Perspektiven zusammenführt, die in regulierten Unternehmen historisch getrennt arbeiten, und die bei Agentic AI nicht mehr getrennt arbeiten dürfen, ohne dass jemand teuer dafür bezahlt. Das Framework ist neu, die Erfahrungen, aus denen es geschöpft ist, sind es nicht.

Dieses Handbuch ist die Form, in der ich das Framework heute weitergebe. Es ist absichtlich kurz, etwa zweihundert Seiten, weil es ein Werkzeug sein soll und kein Lehrbuch. Es ist absichtlich auf Deutsch, weil die Diskussion über AI-Governance in der DACH-Region zu lange auf Englisch geführt wurde, mit den Verlusten, die jede Übersetzung mit sich bringt. Und es ist absichtlich praktisch, mit Vorlagen, Checklisten und Bewertungsrastern, die am Montag nach der Lektüre einsetzbar sind.

Wenn dieses Buch eine Wirkung haben soll, dann diese: dass Vorstand, CTO-Office und zweite Verteidigungslinie nach der Lektüre über dieselbe Sache reden, mit denselben Worten, in derselben Reihenfolge.

Gilbert Cesarano, Zug, im Mai 2026.

Kapitel 1

Warum Trinity STAR existiert.

1.1 Drei Versagensmuster, drei Branchen

Die folgenden drei Szenarien sind keine wörtlichen Fallberichte. Agentic AI ist im Jahr 2026 zu jung, als dass ein einzelner Architekt eine umfassende produktive Erfolgsgeschichte vorweisen könnte, und jede ehrliche Diskussion sollte das anerkennen. Was die Szenarien sind, ist die Projektion von Versagensmustern, die ich in über zwanzig Jahren Architektur-Praxis in regulierten Branchen wiederholt beobachtet habe, in die agentische Welt, die jetzt entsteht. Die Strukturen sind real. Die Konsequenzen werden real. Wer die Muster früh kennt, baut Systeme, in denen sie nicht mehr auftreten müssen.

Erstes Muster, Banking. Ein agentisches System für Kreditrisiko-Vorprüfung trifft eine Entscheidung, die einer Privatkundin ein Darlehen verweigert. Die Kundin wendet sich an die Ombudsstelle. Die Ombudsstelle fragt nach den Entscheidungsgründen. Die Bank kann technisch zeigen, welche Parameter ein einzelnes Modell gewichtet hat. Sie kann aber nicht zeigen, in welcher Reihenfolge die im System eingesetzten Sub-Agenten gefragt wurden, welche von ihnen einander widersprochen haben und welche Heuristik den Konflikt aufgelöst hat. Die Antwort, die die Ombudsstelle erhält, ist nicht falsch, aber sie ist unvollständig in einer Weise, die FINMA-relevant wird. Dieses Muster kenne ich aus klassischer Modell-Governance, in der dieselbe Asymmetrie schon mit deterministischen Scorings entstand, sobald mehrere Modelle hintereinandergeschaltet wurden. Mit Agenten verschärft sie sich um eine Grössenordnung.

Zweites Muster, Pharma. Ein agentisches System unterstützt die Erstellung klinischer Studienprotokolle, indem es regulatorische Vorgaben aus mehreren Jurisdiktionen abgleicht und Inkonsistenzen markiert. In den meisten Anwendungen liefert es nützliche Vorschläge. In einem Bruchteil der Fälle hilft es einer Studiendirektorin, einen Fehler zu übersehen, weil das System eine Empfehlung mit hoher Konfidenz ausgegeben hat, die auf einem Halbwissen aus einer veralteten Leitlinie beruhte. Die Direktorin trägt die Verantwortung, das System hat keine. Im GxP-Audit wird genau diese Asymmetrie zum Thema. Das Muster ist mir aus Datenintegrations-Mandaten in der Pharma-Forschung vertraut, lange bevor generative Modelle existierten. Sobald automatisierte Vorverarbeitung in den Workflow eingreift, verschiebt sich Verantwortung in Richtung System, ohne dass das System sie tragen kann. Mit Agenten geschieht dieselbe Verschiebung schneller und weniger sichtbar.

Drittes Muster, Industrie. Ein Mittelständler setzt einen agentischen Wartungs-Assistenten ein, der über Nacht selbständig Ersatzteile bei Lieferanten bestellt, sobald bestimmte Sensorwerte überschritten werden. Nach einigen Monaten häufen sich die Klagen aus dem Einkauf, weil das System Bestellungen auslöst, die einzeln betrachtet vernünftig sind, in Summe aber Lieferantenverträge berühren, die der Einkauf erst gerade neu verhandelt hatte. Das Problem ist nicht ein einzelner Agent, sondern das Zusammenspiel mehrerer Agenten ohne übergeordnete Reversibilitätskontrolle. In klassischen ERP-Integrationen kannte ich dieses Muster als Nebeneffekt schlecht abgestimmter Job-Scheduler. In agentischen Systemen erscheint es in einer Form, die bestehende Vier-Augen-Prozesse umgeht, weil die Aktionen nicht als Einzelentscheidung, sondern als emergentes Verhalten entstehen.

Diese drei Muster haben dieselbe Tiefenstruktur. Die Technik funktioniert. Was nicht funktioniert, ist die Verbindung zwischen technischer Funktion und organisatorischer Verantwortung, in einer Architektur, in der Verantwortung sich nicht mehr von selbst auf den nächsten Menschen schiebt. Genau hier setzt Trinity STAR an.

1.2 Was Agentic AI von klassischer BI unterscheidet

Klassische Business Intelligence beantwortet Fragen, die Menschen stellen. Sie liefert Berichte, Dashboards, manchmal Vorschläge. Die Verantwortung für die Entscheidung bleibt beim Menschen, weil die letzte Aktion immer menschlich initiiert wird. Diese Asymmetrie ist nicht zufällig, sondern konstruktionsbedingt. BI-Systeme der letzten dreissig Jahre wurden so gebaut, weil Audit-Spuren, Versionierung und Vier-Augen-Prinzip ein menschliches Subjekt voraussetzen, das man im Zweifel befragen kann.

Agentic AI bricht diese Asymmetrie. Ein agentisches System initiiert Aktionen, oft in Sequenzen, ohne dass für jede Einzelaktion ein menschlicher Auslöser benötigt wird. Die Agenten kommunizieren untereinander, treffen Mikro-Entscheidungen, korrigieren einander, und produzieren am Ende ein Ergebnis, das niemand einzelnen zugeschrieben werden kann. In einem nicht-regulierten Umfeld ist das ein Effizienzgewinn. In einem regulierten Umfeld ist es ein Verantwortungsleck.

Drei Eigenschaften machen Agentic AI architektonisch anders als BI. Erstens, Initiative, weil das System Aktionen auslöst, nicht nur Berichte erstellt. Zweitens, Komposition, weil mehrere Agenten in nicht-deterministischen Sequenzen zusammenwirken. Drittens, Reflexion, weil Agenten ihre eigenen Zwischenergebnisse bewerten und revidieren können. Jede dieser drei Eigenschaften erzeugt eine eigene Kategorie regulatorischer Fragen, auf die klassische BI-Architekturen keine Antworten enthalten.

1.3 Die drei Säulen

Trinity meint drei Perspektiven, die in jedem Mandat gleichberechtigt nebeneinander stehen. Sie heissen Strategie, Taktik und Architektur. Die Versuchung, sie hierarchisch anzuordnen, ist gross und falsch.

Strategie beantwortet die Frage, welche Klasse von Aufgaben ein agentisches System überhaupt übernehmen soll, und welche bewusst nicht. Diese Frage gehört in die Geschäftsleitung, weil die Antwort über mehr entscheidet als nur über ein IT-Projekt. Sie entscheidet über die Schadenstoleranz des Unternehmens, über die Position gegenüber Aufsichtsbehörden und über die langfristige Erzählung, mit der das Unternehmen seine Existenz rechtfertigt. Strategie ohne diese Tiefe wird zur Roadmap, und Roadmaps haben in agentischen Systemen eine kürzere Halbwertszeit als in klassischen IT-Vorhaben.

Taktik beantwortet die Frage, wie die strategischen Vorgaben in Workflows, Schnittstellen und Governance-Schritte übersetzt werden. Diese Ebene ist die Domäne des CTO-Office, der Risk-Officer und der Compliance-Architektur. Sie ist die Ebene, auf der die meisten Trinity-STAR-Mandate einen Grossteil ihrer Zeit verbringen, weil hier die operativen Entscheidungen über Reversibilität, Eskalationspfade und Audit-Frequenz fallen.

Architektur beantwortet die Frage, welche technischen Bauteile, welche Modelle, welche Datenflüsse, welche Sicherheitsschichten die taktischen Vorgaben tragen. Diese Ebene wird oft zuerst bedacht und ist trotzdem die am wenigsten kritische, weil ein gut entworfenes technisches System mit schwacher Strategie und schwacher Taktik in regulierten Umfeldern scheitert, ein technisch durchschnittliches System mit klarer Strategie und disziplinierter Taktik dagegen oft erfolgreich ist.

Die drei Säulen sind nicht hintereinander, sondern nebeneinander zu lesen. Eine Architektur, die sich nicht auf eine bewusste Strategie zurückführen lässt, wird in der ersten Krise zerlegt. Eine Strategie, die sich nicht in Taktik übersetzen lässt, bleibt PowerPoint. Eine Taktik, die sich nicht in einer realen Architektur abbilden lässt, wird in der dritten Quartalsprüfung als Wunschdenken entlarvt.

1.4 Das STAR-Risikoframework

STAR ist die zweite Hälfte des Frameworks und liefert die vier Eigenschaften, die jedes agentische System in einem regulierten Umfeld nachweisen können muss, unabhängig davon, in welcher Branche es eingesetzt wird.

Security meint mehr als Cybersecurity. Gemeint ist die Fähigkeit, sowohl die Daten, mit denen das System arbeitet, als auch die Aktionen, die es auslöst, gegen unbefugte Einflussnahme zu schützen. In agentischen Systemen erweitert sich der Angriffsvektor um Prompt-Injektion, Tool-Manipulation und Agent-zu-Agent-Täuschung. Wer Security nur als klassisches AppSec denkt, übersieht den Grossteil der Risiken.

Traceability bedeutet die nachträgliche Rekonstruierbarkeit jeder einzelnen Entscheidung des Systems, einschliesslich der Reihenfolge der beteiligten Agenten, der Eingabedaten zum Zeitpunkt der Entscheidung und der zur Entscheidung herangezogenen Modellversion. Dies ist die schwierigste der vier Eigenschaften, weil sie sich nicht nachträglich anbauen lässt. Wer Traceability nicht von Anfang an in die Architektur einbaut, wird sie nie nachrüsten können.

Accountability bezeichnet die Fähigkeit, jede Aktion des Systems eindeutig einer menschlichen Verantwortungsstelle zuzuordnen. In gut entworfenen Trinity-STAR-Systemen entspricht jeder Klasse von Aktion eine Rolle, die im Krisenfall ansprechbar und zur Rechenschaft fähig ist. Accountability ist die Eigenschaft, die in den meisten gescheiterten AI-Projekten zuletzt bedacht und zuerst eingefordert wird.

Reversibility meint die Möglichkeit, eine vom System ausgeführte Aktion innerhalb einer definierten Frist und ohne Sekundärschaden rückgängig zu machen. In Banking sind das oft Stornofristen, in Pharma die Möglichkeit, eine Datenfreigabe zurückzuziehen, in Industrie die Stornierung einer Bestellung vor Versand. Systeme ohne explizite Reversibilitätszusage sind in regulierten Umfeldern in der Regel nicht freigabefähig.

1.5 Die gemeinsame Sprache

Der eigentliche Wert von Trinity STAR liegt nicht in den Säulen oder in STAR isoliert. Er liegt darin, dass die sieben Begriffe zusammen ein Vokabular bilden, das von der Geschäftsleitung über das CTO-Office bis in die zweite Verteidigungslinie verstanden und konsistent verwendet werden kann.

In den meisten meiner Mandate beginnt die Arbeit mit einer Übersetzungsleistung. Der Vorstand spricht in Strategien, das CTO-Office in Tickets, die Aufsicht in Paragrafen. Trinity STAR liefert eine Mitte, in der alle drei dieselben Worte verwenden, ohne ihre eigene Sprache aufgeben zu müssen. Erst wenn diese Mitte tragfähig ist, lassen sich agentische Systeme bauen, die in der ersten echten Krise nicht zerlegt werden.

1.6 Wie dieses Handbuch zu lesen ist

Das Handbuch ist linear lesbar, in der Reihenfolge, in der die Kapitel stehen. Wer es als Nachschlagewerk verwenden möchte, findet im Anhang eine Querverweis-Tabelle zwischen Trinity-STAR-Begriffen, EU-AI-Act-Artikeln und ISO-24896-Klauseln. Wer einen ersten Eindruck wünscht, beschränkt sich auf Kapitel 1, 4 und 12, in dieser Reihenfolge.

Jedes Kapitel endet mit einem Resümee in fünf Sätzen, einer Vorlage zur eigenen Anwendung und drei Reflexionsfragen für die nächste Vorstands- oder Architektur-Sitzung. Die Vorlagen sind so geschrieben, dass sie ohne Anpassung in Confluence, Notion oder Microsoft Word übernommen werden können.

1.7 Eine Bitte an die Leserin und den Leser

Lesen Sie dieses Handbuch mit Disziplin, nicht mit Begeisterung. Agentic AI ist im Mai 2026 in einer Phase, in der Begeisterung leichter zu finden ist als Disziplin, und in der die Lücke zwischen demonstrierten Möglichkeiten und produktionsreifer Verlässlichkeit grösser ist als in den meisten vergangenen IT-Wellen. Wer dieses Handbuch nutzt, um Begeisterung zu rationalisieren, hat es missverstanden. Wer es nutzt, um Begeisterung zu disziplinieren, wird einen Vorteil haben, den sich seine Wettbewerber für viel Geld einkaufen werden.

Resümee in fünf Sätzen

1. Agentic AI verschiebt Verantwortung vom Menschen ins System, ohne dass das System diese Verantwortung tragen kann.
2. Drei Eigenschaften, Initiative, Komposition und Reflexion, machen Agentic AI architektonisch anders als klassische BI.
3. Trinity meint Strategie, Taktik und Architektur als drei gleichberechtigte Perspektiven, nicht als Hierarchie.
4. STAR meint Security, Traceability, Accountability und Reversibility als vier Eigenschaften, die jedes regulierte agentische System nachweisen muss.
5. Der eigentliche Wert des Frameworks liegt im gemeinsamen Vokabular zwischen Geschäftsleitung, CTO-Office und zweiter Verteidigungslinie.

Drei Reflexionsfragen für die nächste Sitzung

1. Welche Klasse von Entscheidungen würden wir guten Gewissens an ein agentisches System übergeben, und welche niemals, und warum?
2. Wer trägt heute, namentlich, die Verantwortung für die nicht-deterministischen Aktionen unserer produktiven AI-Systeme?
3. Wenn unsere Aufsicht morgen früh den vollständigen Entscheidungspfad einer einzelnen Agenten-Aktion verlangt, in welcher Form könnten wir ihn liefern?