HEINI
EN Demo anfragen Tarif wählen
Start Funktionen
Lösungen GeschäftsführungCFO & FinanzIT-LeitungSteuerberaterBauhandwerkSpeditionAlle BranchenEnterprise
Preise Integrationen
Kunden Alle KundenPSE TechnikWissen bleibtLieferant mit HeiniKonzern & HoldingAgenturen & Partner
Ressourcen Alle RessourcenFAQBlogKunden & CasesGeschichten
Login Demo anfragen Tarif wählen
← Zurück zum Blog Mittelstand & KI

Eine Woche, fünf Trust-Stacks für autonome Software — und einer mehr

OKX, Stripe, Experian, Microsoft, Salesforce und SAP haben in drei Wochen sehr unterschiedliche Antworten auf dieselbe Frage gegeben — und keiner davon löst das DACH-Problem.

HEINI · 30. April 2026 ·14 Min ·aktualisiert 11. Mai 2026
#enterprise#governance#proof-layer#ai-act#dach-mittelstand

Und warum keiner davon das DACH-Problem löst.

Worum es geht

Innerhalb von drei Wochen — vom 14. April bis zum 4. Mai 2026 — haben sieben sehr unterschiedliche Häuser sehr unterschiedliche Antworten auf dieselbe Frage gegeben: Wie vertraut man autonom handelnder Software, die im Namen eines Unternehmens Verträge anbahnt, Bestellungen auslöst, Daten austauscht und Geld bewegt?

  • OKX hat am 29. April das Agent Payments Protocol (APP) gestartet — eine Settlement-Schicht für autonome Zahlungsflüsse über zwanzig Blockchains hinweg (crypto.news).
  • Stripe hat auf den Sessions 2026 am 28./29. April rund 288 Neuerungen vorgestellt, darunter eine CLI-basierte Provisionierungs-Schicht für autonome Software, gemeinsam mit Vercel, Supabase, Twilio, ElevenLabs, WorkOS und neun weiteren Anbietern (Stripe Newsroom, Stripe Blog).
  • Experian hat am 30. April „Agent Trust” angekündigt — ein KYA-Framework („Know Your Agent”), Trust-Token, Agent Registry, allianzfähig mit Visa, Cloudflare und Skyfire (Experian Newsroom).
  • Microsoft hat am 1. Mai Agent 365 in die allgemeine Verfügbarkeit gehoben — und damit von der reinen Konzern-Identitäts-Schicht zur erklärten Control Plane über fremde Stacks gewechselt: AWS Bedrock, Google Cloud, plus Drittanbieter-Software von Genspark, Zensai, Egnyte, Zendesk, Kasisto, Kore und n8n werden vorkonfiguriert eingebunden (Microsoft Security Blog, Microsoft 365 Blog).
  • Salesforce hat im Rahmen der TDX 2026 den Einstein Trust Layer um native Observability und automatisiertes Testen für Agentforce ergänzt (Salesforce Developers).
  • Anthropic hat am 14. April als erste Firma in seinem Segment eine Identitätsprüfung für Endkundinnen und Endkunden eingeführt — Lichtbildausweis plus Selfie über Persona Identities (Apiyi-Hilfe). Zudem wurde im Frühjahr 2026 eine systemische Schwachstelle in der STDIO-Variante des Model-Context-Protokolls (MCP) öffentlich dokumentiert, mit Risiko der Remote-Code-Execution (OX Security). Eine vollständige Behebung an der Protokoll-Wurzel war zum Redaktionsstand nicht erfolgt.
  • SAP hat Anfang Mai zwei strategische Übernahmen abgeschlossen: Dremio (Apache-Iceberg-natives Lakehouse) und Prior Labs aus Freiburg (Tabular Foundation Model TabPFN-2.5, ergänzt SAPs eigenes RPT-1). Zusammen mit der bereits im März abgeschlossenen Reltio-Übernahme (Master Data Management) entsteht damit der bisher kompletteste Daten-Stack hinter einer einzigen Anwendungsschicht: Joule (Konversation) → SAP AI Core (RPT-1 + TabPFN) → Business Data Cloud (Iceberg-nativ) → Reltio. Investitionsvolumen über vier Jahre: über eine Milliarde Euro (SAP News, Techzine).

Sieben Häuser, sieben Antworten, drei Wochen. Wer in dieser Phase ein deutsches mittelständisches Unternehmen aufsetzen will, das autonome Software produktiv für Logistik, Buchhaltung, Terminvereinbarung oder Compliance-Vorbereitung einsetzt, hat ein Problem: Keiner dieser Stacks deckt das ab, was im DACH-Raum tatsächlich gebraucht wird.

Dieser Beitrag erklärt, warum.

Die Trust-Stack-Landkarte, sortiert

Damit der Vergleich fair bleibt, ein Wort zur Schichtung. Autonome Software hat — vereinfacht gesprochen — sechs Schichten, an denen Vertrauen verankert werden kann:

SchichtFrageWer adressiert sie?
Daten-FundamentWorauf greift sie zu?SAP Business Data Cloud + Dremio + Reltio (neu, 04.05.)
IdentitätWer ist diese Software?Microsoft Entra Agent ID, Experian Agent Trust
ProvisionierungWo läuft sie, womit ist sie verbunden?Stripe Projects
BeobachtungWas tut sie, über alle Stacks hinweg?Microsoft Agent 365 (neuer Anspruch ab 01.05.)
ErlaubnisDarf sie das überhaupt?Salesforce Einstein Trust Layer (im Walled Garden)
GeschäftsprozessHat das wirtschaftlich/rechtlich Sinn?— weitgehend offen —
SettlementWer trägt das Geld, mit welcher Beweiskette?OKX APP, Stripe Payment Tokens

Die Schicht in der Mitte — Geschäftsprozess — ist die, die im DACH-Mittelstand jeden Tag scheitert. Genau hier setzt die Architektur an, die wir bei HEINI bauen. Bevor wir dorthin kommen, ein nüchterner Blick auf die Häuser.

SAP Joule + Dremio + Prior Labs + Reltio — die Daten-Schicht in Konzern-Komplettausstattung

Mit den Übernahmen vom Mai 2026 hat SAP die Wette platziert, dass autonome Software in Konzernen vor allem ein Daten-Problem ist: ohne sauberes Lakehouse, ohne Tabular Foundation Model, ohne Master-Data-Konsolidierung läuft Joule auf gemischten Daten und produziert gemischte Ergebnisse.

Die Lösung: Dremio liefert das Iceberg-native Lakehouse. Prior Labs aus Freiburg liefert mit TabPFN-2.5 das Tabular Foundation Model — speziell für strukturierte Unternehmensdaten, ergänzend zu SAPs eigenem RPT-1. Reltio liefert die Master-Data-Schicht. Joule wird zur Konversations-Schicht darüber. Investitionsvolumen über vier Jahre: über eine Milliarde Euro.

Was das löst: Konzern-IT-Verantwortliche, die seit zwanzig Jahren in S/4HANA und Business Suite leben, bekommen einen vertikal integrierten Stack mit klarer Roadmap.

Was das nicht löst: den Mittelstand. Der Stack setzt eine SAP-Datenbasis voraus, ein Migrationsprojekt zur Business Data Cloud, ein Konsolidierungsprojekt für die Master Data, und ein Lizenzmodell, das in Konzern-Größenordnungen rechnet. Für ein Unternehmen mit 250 bis 2.000 Mitarbeitenden, das kein S/4HANA betreibt, ist das keine zugängliche Schicht.

Und: Auch dieser Stack adressiert nicht die Frage, ob eine geplante Aktion eines digitalen Kollegen vor der Ausführung gegen das Kompetenzprofil der jeweiligen Funktion geprüft wurde. SAP konsolidiert Daten und Anwendung. Die Beweisbarkeitsschicht — Hash-Ketten, externe Verankerung, selektive Offenlegung, Pre-Flight-Erlaubnis — bleibt offen.

OKX Agent Payments Protocol — die Geld-Schicht

OKX hat eine selbstverwahrende Settlement-Brieftasche gebaut, die in einer abgeschotteten Hardware-Umgebung läuft, mit zwanzig Chains spricht und über X Layer (eine OKX-eigene zk-Rollup) abrechnet. Der Funktionsumfang ist beeindruckend: Quoting, Verhandlung, Treuhand, Abwicklung und Streitfall-Mechanismus — alles entlang von Smart Contracts. Partner sind unter anderem die Ethereum Foundation, Base, Sui, Aptos und Optimism (crypto.news).

Was das löst: die Frage, wie autonome Software Geld bewegt, ohne dass Menschen jede Transaktion einzeln freigeben.

Was das nicht löst: ob die Transaktion wirtschaftlich oder rechtlich überhaupt zulässig ist. APP ist eine reine Settlement-Schicht. Für ein deutsches Unternehmen, das §14-UStG-konforme Rechnungen, eine prüfbare DSGVO-Löschkette oder eine GoBD-feste Aufzeichnung braucht, ist das ein Werkzeug, kein Lösungsansatz.

OKX adressiert nicht primär die DACH-Mittelstandslogik.

Stripe Projects — die Provisionierungs-Schicht

Stripe hat auf den Sessions 2026 das Konzept Vibe Deploying in den Mittelpunkt gestellt. Auf der Stripe-Sessions-Bühne fiel der Satz: „Vibe coding is so 2025. The leading edge is now in vibe deploying” (Stripe Blog).

Konkret: Eine einzige Kommandozeile reicht, um eine Vercel-Front, eine Supabase-Datenbank, ein Daytona-Backend, einen Algolia-Such-Index, eine ElevenLabs-Stimme, einen Render-Worker, eine Twilio-Nummer, einen Sentry-Tracker, einen WorkOS-Mandanten, einen Browserbase-Browser und ein GitLab-Repository gleichzeitig aufzusetzen — und Stripe agiert dabei als Vertrauensanker für die Abrechnung über alle Teilnehmer hinweg (Stripe Newsroom).

Dazu kommen Stripe Console für autonome Ausführung, Claimable Sandboxes, Custom Objects, Workflows in der allgemeinen Verfügbarkeit und Schutzleitplanken für autonome Käufe.

Was das löst: den Engpass, dass jede neue produktive Software-Komponente eigenen Vertrag, eigene Authentifizierung und eigene Abrechnung braucht.

Was das nicht löst: die Frage, ob die Software, die da deployed wird, im konkreten Unternehmenskontext überhaupt etwas darf. Stripe ist eine horizontale Schicht — sie weiß nicht, dass die Spedition aus Münster nur dann eine Bestellung freigeben darf, wenn ein bestimmter Kommissionsplan vorliegt, eine Sicherheitsdatenblatt-Prüfung erfolgt ist und der Geschäftsführer per Vier-Augen-Prinzip mitgezogen hat.

Experian Agent Trust — die Identitäts- und Reputations-Schicht

Experian setzt auf vier Bausteine: ein „Know Your Agent”-Framework, eine Bindung zwischen menschlichem Auftraggeber und autonomer Software, ein „Agent Trust Token” und ein zentrales Register. Allianzpartner sind Visa (Trusted Agent Protocol), Cloudflare (Network Edge) und Skyfire (KYAPay) (Experian Newsroom).

Was das löst: das Reputationsproblem im offenen Web — woher weiß ein Online-Händler, ob die Software, die gerade etwas bestellen will, einem seriösen Auftraggeber zugeordnet ist?

Was das nicht löst: das DSGVO-Problem. Experian ist ein Datenhaus. Reputationsbildung erfordert Verhaltensbeobachtung. Wer im DACH-Raum ein Recht auf Vergessen ernst nimmt — und das tun deutsche Behörden zunehmend — kann eine Architektur, die per Konstruktion Verhaltenshistorien aufbaut und über Anbieter-Infrastruktur läuft, die unter den Zugriff des US Cloud Act fallen kann, nicht an die Spitze des eigenen Stacks setzen. Hinzu kommt: Das Trust-Token-Format ist proprietär. Wer dort unterschreibt, unterschreibt einen Walled Garden.

Microsoft Entra Agent ID + Agent 365 GA — der Anspruch auf die Control Plane

Microsoft hat in zwei Schritten gehandelt. Schritt eins, schon länger laufend: Autonome Software bekommt im Microsoft Entra ID einen Service Principal. Sie braucht keine eigenen Anmeldedaten, sondern einen Agent Identity Blueprint, der diese verwaltet, plus Federated Identity Credentials. Conditional Access for Agents (Public Preview) und Entra ID Protection for Agents komplettieren die Identitäts-Linie (Microsoft Tech Community, Microsoft Learn).

Schritt zwei, vom 1. Mai 2026: Agent 365 ist allgemein verfügbar — und Microsoft erklärt sich damit zur Control Plane über alle anderen Stacks. Konkret bedeutet das (Microsoft Security Blog):

  • Registry-Sync mit AWS Bedrock und Google Cloud in der öffentlichen Vorschau — Microsoft inventarisiert ab sofort autonome Software, die gar nicht in Microsoft-Umgebungen läuft.
  • Schatten-Software-Erkennung auf Windows-Geräten via Defender und Intune — explizit benannt: OpenClaw, GitHub Copilot CLI, Claude Code.
  • Vorkonfigurierte Drittanbieter-Software — Genspark, Zensai, Egnyte, Zendesk plus Bauplattformen Kasisto, Kore und n8n werden ohne Eigenintegration verwaltbar.
  • Windows 365 for Agents als Cloud-PC-Klasse für autonome Arbeitslasten, vorerst nur USA.
  • Network Controls über Entra für Microsoft Copilot Studio und lokale Software auf Endgeräten — inklusive Sperrlisten und Datenfluss-Kontrolle.

Fünf Kernfunktionen werden offiziell beworben: Registry, Access Control, Visualization, Interoperability, Security (Microsoft 365 Blog, Constellation Research).

Was das löst: Identitätshygiene, Delegationsketten und eine vendor-übergreifende Sicht-Schicht in einem Konzern, der ohnehin in Microsoft-Umgebungen lebt. Für IT-Leitungen, die Wildwuchs aus dem eigenen Haus zähmen müssen, ist das mit Abstand das vollständigste Angebot dieser Wochen.

Was das nicht löst: keinen kryptographisch beweisbaren Löschvorgang nach DSGVO-Artikel 17 in einer dreistufigen Kette über mehrere Speicher hinweg; keinen externen, justiziablen Audit-Anker außerhalb des Microsoft-Vertrauensraums; keine vendor-übergreifende Identität, die auch dann bestehen bleibt, wenn ein deutscher Mittelständler von Microsoft auf Open-Source umsteigt; keine Pre-Flight-Prüfung, ob eine geplante Geschäftsentscheidung überhaupt in den Aufgabenbereich der jeweiligen Software-Einheit fällt.

Und eines, das im DACH-Raum schwer wiegt: keine Lösung, die einen Schweizer oder österreichischen Mandanten ohne extraterritoriales Zugriffsrisiko adressiert. Wer Agent 365 als Control Plane einsetzt, akzeptiert, dass jede Inventarisierung, jede Telemetrie und jede Sperrentscheidung über US-Konzern-Infrastruktur läuft, mit den damit verbundenen extraterritorialen Zugriffsrisiken.

Salesforce Einstein Trust Layer — die Walled-Garden-Schicht

Salesforce hat mit dem Einstein Trust Layer eine Architektur, die fünf Bausteine kombiniert: Daten-Verankerung im CRM, Maskierung personenbezogener Daten, Toxizitäts-Erkennung, Audit-Pfad und Zero-Data-Retention-Vereinbarung mit den dahinter liegenden Anbietern (OpenAI, Azure). Auf der TDX 2026 wurden native Observability und automatisiertes Testen für Agentforce ergänzt (Salesforce Developers).

Was das löst: die Hauptangst von CRM-Verantwortlichen — dass Kundendaten in Trainingsdaten landen oder aus dem CRM-Kontext gerissen werden.

Was das nicht löst: die vendor-übergreifende Welt. Wer Salesforce für CRM, SAP für ERP und ein eigenes Branchen-Werkzeug für die Produktion betreibt — also der typische deutsche Mittelständler ab 250 Mitarbeitenden — findet im Salesforce-Trust-Layer keine vendor-übergreifende Identitäts-Schicht, die über die eigenen Mauern hinausreicht. Und: Auch hier kein kryptographisch beweisbarer Forget-Vorgang, kein externer Audit-Anker, keine W3C-DID-Cross-Vendor-Identität.

Anthropic — der lehrreiche Außenseiter

Zwei Datenpunkte aus den letzten Wochen sind aufschlussreich.

Erstens: Anthropic verlangt seit dem 14. April von Endkundinnen und Endkunden in bestimmten Konstellationen eine Identitätsprüfung über Persona Identities — Lichtbildausweis und Selfie (Apiyi-Hilfe). Das ist mutig und richtig im Sinne der Verantwortungs-Zurechnung. Es löst aber das falsche Problem: Es prüft die Identität des Menschen vor dem Bildschirm, nicht die Identität und die Rechte der autonomen Software, die im Anschluss in seinem Namen handelt.

Zweitens: Im Frühjahr 2026 wurde eine systemische Schwachstelle in der STDIO-Variante des Model-Context-Protokolls (MCP) öffentlich dokumentiert, mit Risiko der Remote-Code-Execution (OX Security). Eine vollständige Behebung an der Protokoll-Wurzel war zum Redaktionsstand nicht erfolgt.

Lehre für DACH-Mittelständler: Wer auf MCP-Architekturen setzt, übernimmt eine Lieferkettenverantwortung, deren Tiefe heute niemand seriös abschätzen kann. Ein deutsches Unternehmen, das sich vor einer §43 GmbHG-Geschäftsführerhaftung verantworten muss, kommt mit dem Argument „der Standard war noch nicht ausgereift” im Streitfall schnell an Grenzen.

Was alle sieben nicht lösen

Wenn Sie die sieben Stacks nebeneinander legen — SAP Joule/Dremio/Prior Labs/Reltio inklusive — fällt eine gemeinsame Lücke auf. Keiner davon liefert:

  1. Eine vendor-übergreifende, kryptographisch verankerte Identität pro autonomer Software-Einheit, die sich an einem W3C-DID-Standard orientiert und auch nach einem Anbieterwechsel bestehen bleibt.
  2. Einen kryptographisch beweisbaren Löschvorgang nach DSGVO-Artikel 17, der über mindestens drei Speicherschichten greift — Arbeitsspeicher, Vektor-Index, Langzeit-Speicher — und das Vergessen nicht durch Löschen, sondern durch eine unwiderlegliche Differenz-Aufzeichnung belegt.
  3. Einen externen, vom Anbieter unabhängigen Audit-Anker, der die Entscheidungen autonomer Software in einer öffentlich verifizierbaren Reihenfolge festhält — justiziabel im deutschen Recht, prüfbar durch eine zweite Software, ohne dass dafür der Anbieter befragt werden muss.
  4. Eine Vor-Prüfung jeder anstehenden Aktion gegen ein hinterlegtes Kompetenzprofil, bevor die Aktion ausgeführt wird — also eine Dürfens-, nicht nur eine Könnens-Logik.
  5. Eine asset-übergreifende Konsistenz-Schicht, die dafür sorgt, dass ein und derselbe Geschäftsvorgang über mehrere Chains und mehrere Backends hinweg nur einmal stattfindet.

Punkte 1 bis 5 sind genau die fünf Säulen, die HEINI von Beginn an architektonisch trägt.

Und sie sind genau die Schicht, die zwischen Stripe (Provisionierung), OKX (Settlement), Microsoft Agent 365 (Control Plane), Salesforce (Walled-Garden-Erlaubnis) und SAP Joule/Dremio/Prior Labs (Daten-Konsolidierung) fehlt.

Schichten statt Ersatz

Die Versuchung in dieser Marktphase ist groß, sich für einen der Stacks zu entscheiden und alles andere zu ignorieren. Mit der Agent-365-Ankündigung vom 1. Mai und der SAP-Konsolidierung vom 4. Mai wird diese Versuchung besonders groß: Microsoft macht es IT-Leitungen leicht, „eine Schicht für alles” zu beauftragen. SAP macht es CFOs leicht, „einen Stack für alles” zu beauftragen. Beides greift aus DACH-Mittelstandssicht zu kurz.

Wir sehen es so: Die Trust-Stacks dieser Wochen sind nicht falsch. Sie sind unvollständig. Wer ein DACH-Mittelstands-Unternehmen für die nächsten zehn Jahre aufstellen will, braucht alle Schichten zusammen — und in der Mitte eine Geschäftsprozess-Schicht, die das tut, was der amerikanische und der britische Anbieter nicht tun: das Vergessen beweisen, das Dürfen prüfen, den Audit-Anker außerhalb des Anbietervertrauens setzen.

HEINI ist diese mittlere Schicht.

  • Über Susi, die Onboarding-Lead-Persona, werden Kompetenzprofile, Erlaubnis-Regeln und Löschfristen einmal sauber hinterlegt.
  • HEINI selbst — als System aus spezialisierten Funktions-Workern — führt die Arbeit aus, mit Pre-Flight-Erlaubnisprüfung gegen das Kompetenzprofil, signiertem Audit-Pfad an einer neutralen Attestations-Schicht, dreistufiger Löschkaskade nach DSGVO-Artikel 17 und W3C-DID je Worker.
  • Settlement, Provisionierung, die Microsoft-Control-Plane und auch die SAP-Daten-Konsolidierung sind Schichten, mit denen HEINI spricht, nicht solche, die HEINI ersetzt. Ein HEINI-Worker kann sich morgen in Agent 365 als verwaltete Drittanbieter-Software registrieren lassen und gleichzeitig Daten aus einer SAP Business Data Cloud ziehen — und behält dabei seine vendor-neutrale W3C-DID, seine externe Audit-Spur und seine Forget-Beweise. Microsoft sieht ihn, kontrolliert aber nicht, was die deutsche DSGVO-Schicht darunter tut. SAP liefert die Daten, kontrolliert aber nicht, ob die geplante Aktion gegen das Kompetenzprofil zulässig ist.

Genau das ist der Punkt, an dem die Control-Plane-Strategie eines US-Konzerns und die Daten-Stack-Strategie eines europäischen Konzerns auf das deutsche Verantwortungs-Recht treffen. Beobachtung ist nicht dasselbe wie Beweis. Telemetrie ist nicht dasselbe wie Forget. Daten-Konsolidierung ist nicht dasselbe wie Erlaubnis-Prüfung. Und wer sich auf extraterritorial zugriffsfähige Infrastruktur als alleinige Audit-Quelle verlässt, hat im Streitfall vor einem deutschen Gericht einen schweren Stand.

Das ist die These, an der wir hier in Münster und im westlichen Münsterland jeden Tag arbeiten: Schichten, nicht Stack-Krieg. Geschäftsprozess-Vertrauen, nicht Plattform-Lock-in. Forget-Beweis, nicht Forget-Versprechen.

Wir freuen uns über Gespräche mit Häusern, die das genauso sehen — auch und gerade aus dem DACH-Crypto-Identity-Umfeld, das zeigt, dass der DACH-Raum technologisch nicht hinterher ist, sondern souverän einen anderen Weg gehen kann.

HEINI Operations UG. Questions and feedback are explicitly welcome.

Update vom 4. Mai 2026: SAP hat mit den Übernahmen von Dremio und Prior Labs den bisher komplettesten Daten-Stack hinter Joule angekündigt. Der Beitrag ist entsprechend ergänzt — die Argumentation bleibt unverändert, die Lücke verschiebt sich nicht.