%20(1).png)
Microsoft hat die Investitionen in das COE Starter Kit eingestellt, das kostenlose Toolkit, auf das sich Tausende von Organisationen bei der Steuerung der Power Platform verlassen haben. Dieser Rückzug steht im Widerspruch zu Citizen-Developer-Programmen, die schneller skalieren, als die IT sie überprüfen kann, sowie zu KI-Agenten, die eine weitaus größere Risikofläche aufweisen als herkömmliche Low-Code-Anwendungen.
Das Power Platform Admin Center bietet Ihnen zwar Bestandsaufnahmen und Berichte, doch eine Liste allein ist noch keine Governance. Angesichts der bereits in Kraft getretenen oder unmittelbar bevorstehenden Vorschriften wie NIS2, DORA und dem EU-KI-Gesetz haben Unternehmen etwa 12 bis 18 Monate Zeit, um eine echte Governance-Strategie aufzustellen. Hier erfahren Sie, was das bedeutet und wie Sie darauf reagieren sollten.
In unserem kürzlich abgehaltenen Webinar zur Zukunft der Power Platform-Governance haben wir eine Frage erörtert, die derzeit in immer mehr IT- und Compliance-Gesprächen auftaucht: Wenn das „Centre of Excellence Starter Kit“ von Microsoft wegfällt, wer übernimmt dann die Governance Ihrer Power Platform?
Diese Frage lohnt es sich, im Detail zu beleuchten, denn die Antwort hat erhebliche Auswirkungen auf Risiken, Compliance und die Betriebskontinuität in den nächsten 12 bis 18 Monaten.
Das „Centre of Excellence (COE) Starter Kit“ von Microsoft war nie ein offizielles Produkt. Es handelte sich um ein von der Community unterstütztes, kostenloses Toolkit, das Power-Platform-Administratoren dabei half, den Überblick darüber zu behalten, was in ihren Mandanten entwickelt wurde: welche Apps es gab, wer sie erstellt hatte, welche Flows ausgeführt wurden und wohin Daten flossen. Für Tausende von Unternehmen wurde es zum Standard-Ausgangspunkt für die Governance der Power Platform.
Nun hat Microsoft es aus der Strategie gestrichen. Keine neuen Funktionen. Keine Fehlerbehebungen. Keine Investitionen. Das Toolkit wird stillschweigend auslaufen, während einige seiner weniger umfangreichen Funktionen in das Power Platform Admin Center migriert werden. Für Unternehmen, die ihren Governance-Ansatz auf das COE ausgerichtet haben, ist dies keine geringfügige Unannehmlichkeit. Es ist ein strukturelles Problem, das genau zum falschen Zeitpunkt auftritt.
Drei Trends, die gerade aufeinanderprallen
Die Einstellung des COE steht nicht für sich allein. Sie trifft auf den Schnittpunkt zweier weiterer Trends, die sich gleichzeitig beschleunigen, und diese Kombination schafft eine Governance-Lücke, die ohne gezielte Maßnahmen unkontrolliert wächst.
Citizen-Developer-Programme skalieren schneller, als die IT sie überprüfen kann. Vor einigen Jahren betrug das Verhältnis von Entwicklern zu IT-Administratoren in den meisten Unternehmen etwa 1 zu 50. Dieses Verhältnis kehrt sich bereits um. Microsoft hat KI-Unterstützung direkt in Power Apps, Power Automate und Copilot Studio integriert, wodurch es für nicht-technische Nutzer schneller und einfacher denn je ist, Produktionslogik zu erstellen. Unternehmen, die in „Citizen Developer“-Programme investiert und ihre Mitarbeiter darin geschult und dazu ermutigt haben, ihre eigenen Arbeitsabläufe zu automatisieren, sehen nun, wie sich diese Investition auf eine Weise auszahlt, die schwer zu überwachen ist. Die manuellen Überprüfungsprozesse, die funktionierten, als noch eine Handvoll Power-User-Anwendungen erstellt wurden, lassen sich nicht auf eine Umgebung skalieren, in der jede Woche Hunderte von Mitarbeitern Abläufe und Apps erstellen.
Die unmittelbarere Sorge ist, was passiert, wenn dieser manuelle Überprüfungsprozess vollständig zusammenbricht. In einigen Unternehmen ist dies bereits geschehen: Es werden mehr Apps erstellt, als realistisch überprüft werden können, sodass die Überprüfung an Aussagekraft verliert und nach und nach ganz eingestellt wird. Wenn dies geschieht, verliert das Unternehmen nicht nur den Überblick über einzelne Ressourcen, sondern auch die Transparenz hinsichtlich Risikomustern: welche Konnektoren in großem Umfang genutzt werden, welche Abteilungen auf der Grundlage sensibler Datenquellen entwickeln und welche Abläufe privilegierte Zugriffsrechte angesammelt haben, die seit über einem Jahr von niemandem überprüft wurden.
KI hat das Risikoprofil der entwickelten Anwendungen grundlegend verändert. Die klassische Low-Code-Entwicklung war relativ eingeschränkt. Eine Canvas-App beschrieb ihr Verhalten in Formeln, ihre Eingaben wurden typvalidiert, und die Berechtigungen für Konnektoren wurden durch Richtlinien zur Verhinderung von Datenverlusten (Data Loss Prevention) gesteuert. Der Governance-Ansatz war zwar nicht perfekt, aber überschaubar. Das ist heute nicht mehr der Fall. Copilot Studio-Agenten beschreiben ihr Verhalten in natürlicher Sprache. Ihre Ergebnisse können sich im Laufe der Zeit ändern. Sie beziehen Daten aus mehreren Quellen, darunter SharePoint-Websites, externe Konnektoren und benutzerdefinierte Wissensdatenbanken, und können über Teams für externe Benutzer zugänglich gemacht werden. Die Angriffsfläche eines einzelnen Agenten ist um ein Vielfaches größer als die einer herkömmlichen Power App, und die Tools, auf die sich Unternehmen bisher zur Überprüfung dieser Angriffsfläche verlassen haben, werden nun abgeschafft.
Dies ist ein Paradigmenwechsel, keine schrittweise Veränderung. Bei der Low-Code-Governance wurde davon ausgegangen, dass das IT-Team überprüfen konnte, was eine Ressource tat, und beurteilen konnte, ob sie den Vorschriften entsprach. Dieses Überprüfungsmodell lässt sich nicht auf agentenbasierte KI übertragen. Das Verhalten eines Agenten lässt sich nicht vollständig durch das Auslesen seiner Konfiguration charakterisieren. Es muss im Kontext überwacht werden – gleichzeitig über alle Datenquellen, Nutzungsmuster und Kontaktpunkte hinweg.
Der standardmäßige Ausgangspunkt für die Governance verliert an Bedeutung. Da das COE-Starter-Kit nicht mehr gepflegt wird, stehen Unternehmen vor einer Entscheidung, mit der sie nicht gerechnet haben. Das Toolkit funktioniert zwar noch, wird aber nicht mehr mit der Plattform Schritt halten können, die es eigentlich steuern soll. Jedes Quartal, das ohne Ersatzstrategie verstreicht, ist ein Quartal, in dem die Kluft zwischen dem, was entwickelt wird, und dem, was gesteuert wird, immer größer wird.
Der Unterschied zwischen Transparenz und Governance
Eine der wichtigsten Unterscheidungen, die es derzeit zu verstehen gilt, ist, was das Power Platform Admin Center tatsächlich ersetzt und was nicht. Microsoft hat sich verpflichtet, Bestands- und Nutzungsberichte, die Überwachung des Betriebszustands sowie Leitlinien zu Best Practices in das Admin Center zu integrieren. Das ist nützlich. Es ist jedoch keine Governance.
Governance ist kein Dashboard. Governance ist die Kombination aus Bestandsaufnahme, Durchsetzung von Richtlinien, Verantwortlichkeit der Eigentümer, Lebenszyklusmanagement und Audit-Bereitschaft, die als kontinuierlicher Prozess zusammenwirken. Zu wissen, dass ein verwaistes Flow existiert, ist nicht dasselbe wie ein System zu haben, das ihn identifiziert, den zuständigen Eigentümer benachrichtigt, bei ausbleibender Reaktion eskaliert und die Lösung zu Compliance-Zwecken dokumentiert.
Das Admin Center liefert Ihnen eine Liste. Governance bietet Ihnen einen Prozess, der automatisch und in großem Maßstab auf diese Liste reagiert – und zwar dienstübergreifend in Ihrer gesamten Microsoft 365-Umgebung, nicht nur in der Power Platform.
Was das Admin Center nicht leisten kann, ist die dienstübergreifende Transparenz. Ein Power Automate-Flow, der eine KI-Funktion auslöst, Daten aus einer SharePoint-Site mit der Vertraulichkeitsstufe „Vertraulich“ abruft und die Ergebnisse über eine von externen Gästen genutzte Teams-Registerkarte anzeigt, stellt ein dienstübergreifendes Compliance-Risiko dar. Kein Verwaltungswerkzeug für einen einzelnen Dienst kann diese Kette nachverfolgen. Unternehmen, die bei Audits Fragen zur Datenbewegung und zum Datenzugriff in der gesamten M365-Umgebung beantworten müssen, benötigen eine Governance-Ebene, die den gesamten Mandanten abbildet – nicht nur einzelne Komponenten davon.
Die regulatorische Uhr tickt
Die Dringlichkeit ist hier nicht nur theoretischer Natur. In Europa sind NIS2, DORA und das EU-KI-Gesetz entweder bereits in Kraft oder treten demnächst in Kraft; alle diese Vorschriften verlangen von Unternehmen, ein aktuelles Verzeichnis ihrer Anwendungen zu führen, zu wissen, wo KI-Systeme im Einsatz sind, und die Kontrolle über die Datenverarbeitung nachzuweisen. Unternehmen, die nicht jeden Copilot Studio-Agenten in ihrem Mandanten auflisten, nicht nachverfolgen können, welche SharePoint-Websites jeder Agent nutzt, oder nicht nachweisen können, dass verwaiste Assets innerhalb eines festgelegten Zeitrahmens identifiziert und bereinigt werden, werden Schwierigkeiten haben, diese Anforderungen zu erfüllen. Das Risiko liegt nicht bei den IT-Administratoren. Es liegt auf Vorstandsebene.
Dies ist kein Problem, das nur Organisationen betrifft, die den europäischen Vorschriften unterliegen. Jede Organisation, die in einer regulierten Branche tätig ist – sei es im Finanzdienstleistungssektor, im Gesundheitswesen oder im öffentlichen Sektor –, sieht sich einer verstärkten Überprüfung ihrer KI-Governance-Maßnahmen gegenüber. Die Aufsichtsbehörden beginnen, konkrete Fragen dazu zu stellen, wie automatisierte Prozesse und KI-gestützte Arbeitsabläufe erfasst, überwacht und kontrolliert werden. Ein Governance-Ansatz, der auf regelmäßigen manuellen Überprüfungen und veralteten Community-Tools basiert, ist keine vertretbare Antwort auf diese Fragen.
Unternehmen haben ein Zeitfenster von etwa 12 bis 18 Monaten, bevor die Kombination aus Plattformwachstum, KI-Einführung und der Einstellung von Governance-Tools eine Situation schafft, von der man sich nur schwer wieder erholen kann. Dieses Zeitfenster ist kürzer, als es klingt. Jeder Monat, in dem Citizen Developer ohne festgelegte Governance-Leitplanken entwickeln, ist ein Monat, in dem sich technische und Compliance-Schulden anhäufen.
Wie der Weg in die Zukunft aussieht
Die Lösung besteht nicht darin, die Power Platform abzuschotten. Unternehmen haben in Citizen-Developer-Programme investiert, weil diese echten Mehrwert schaffen: schnellere Automatisierung von Prozessen, geringere Abhängigkeit von der zentralen IT und reaktionsfähigere Geschäftsabläufe. Das Ziel ist es, diese Investition zu schützen, nicht sie zu beseitigen.
Eine effektive Governance in dieser Größenordnung erfordert das Zusammenspiel von vier Faktoren. Erstens: ein vollständiges und kontinuierlich aktualisiertes Inventar, das den gesamten Microsoft 365-Tenant umfasst – nicht nur die Power Platform – und die Beziehungen zwischen Ressourcen über verschiedene Dienste hinweg abbildet. Zweitens: eine automatisierte Durchsetzung von Richtlinien, die auf der Grundlage dieses Inventars erfolgt, ohne dass IT-Mitarbeiter jede Ressource manuell überprüfen müssen. Drittens klare Regeln für Verantwortlichkeiten und Lebenszyklen, sodass jede App, jeder Flow und jeder Agent einen verantwortlichen Eigentümer sowie einen definierten Pfad für Überprüfung, Verlängerung oder Außerbetriebnahme haben. Viertens Prüfpfade, die Compliance-Anforderungen erfüllen und schnell bereitgestellt werden können, wenn eine Aufsichtsbehörde, ein Auditor oder ein Sicherheitsteam diese anfordert.
Das COE-Starter-Kit hat seinen Zweck für die Plattform erfüllt, wie sie vor drei oder vier Jahren existierte. Die Plattform ist mittlerweile über das hinausgewachsen, was ein kostenloses Community-Toolkit regeln kann. Unternehmen, die dies frühzeitig erkennen und jetzt eine produktbasierte Governance-Strategie entwickeln, werden nicht in Hektik geraten, wenn das nächste Compliance-Audit ansteht oder die nächste KI-Governance-Verordnung in Kraft tritt. Diejenigen, die abwarten, agieren blind, mit einer wachsenden Oberfläche und ohne systematische Möglichkeit, sie zu überblicken.
Wenn Sie verstehen möchten, wie das in der Praxis aussieht, sehen Sie sich die Aufzeichnung unseres jüngsten Webinars an oder vereinbaren Sie ein 30-minütiges Gespräch mit dem Team.