Skip to content
RiverCore
Workday führt Agent Passport ein – Cisco als einziger Testpartner
agent passportWorkday AIenterprise governanceWorkday agent passport Cisco early accessenterprise AI agent liability governance

Workday führt Agent Passport ein – Cisco als einziger Testpartner

1 Jul 20267 Min. LesezeitSarah Chen

Workday hat seine DevCon-Woche genutzt, um ein klares Zeichen in Sachen Enterprise-Agent-Governance zu setzen: Agent Passport wurde mit genau einem Sicherheitspartner lanciert – Cisco. Der Early Access startet im Q3 2026, die allgemeine Verfügbarkeit ist noch vor Jahresende geplant. Die Haftungsfrage – wer zahlt, wenn ein zertifizierter Agent aus dem Ruder läuft – ist ausdrücklich ungeklärt.

Genau dieser letzte Punkt ist der interessante. Jeder andere Anbieter, der derzeit Agent-Governance verkauft, spricht über Vertrauen, Attestierung und Standards. Workdays CTO hat offen zugegeben, dass das Haftungsmodell noch verhandelt wird. Das ist mir lieber als ein Marketing-Deck.

Was passiert ist

Auf der DevCon dieser Woche hat Workday drei miteinander verbundene Produkte vorgestellt: Agent Passport, Developer Agent und Agent-Ready Tools. Wie CIO berichtete, validiert Agent Passport die Sicherheit und Compliance eines Agenten vor dem Deployment und kontinuierlich während des Betriebs – er lässt Agentenaktionen in Echtzeit zu, blockiert sie oder leitet sie basierend auf der Unternehmensrichtlinie weiter.

Die Prüfung umfasst fünf Risikokategorien: Prompt-Injection, Jailbreak und Goal Hijacking, Extraktion von System-Prompts, Datenlecks bei Mitarbeiterdaten und unsichere Ausgaben. Die Tests orientieren sich an öffentlichen Standards wie Mitre ATLAS – und entscheidend: Workday führt die Tests nicht selbst durch. Das übernehmen Sicherheitspartner. Sicherheitsteams erhalten anschließend eine signierte, prüfbare Attestierung, die zeigt, wer den Agenten getestet hat und was abgedeckt wurde.

Zum Launch gibt es genau einen solchen Partner: Cisco. Das war's. Workday-CTO Gabe Monroy hat die Entscheidung als bewusst beschrieben: „Es ist schwierig, mit vielen Partnern gleichzeitig einen Standard wirklich zum Laufen zu bringen – wir wollen das zunächst richtig machen, nur wir und Cisco." Er fügte hinzu, dass ein breiterer Rollout „bald" komme, ohne ein konkretes Datum zu nennen.

Zur Haftungsfrage war Monroy offen: Wenn sich ein zertifizierter Agent falsch verhält, ist die Frage, wer die Konsequenzen trägt, etwas, „mit dem wir mit unseren Partnern noch ringen". Agent Passport geht im Q3 2026 in den Early Access, die allgemeine Verfügbarkeit ist vor Ende 2026 geplant.

Neben Passport ermöglicht Developer Agent den Aufbau von KI-Apps und -Agenten direkt aus Claude Code, Cline, Codex, Cursor oder Google Antigravity heraus – Deployment erfolgt über den offenen AgentSkills-Standard (OASS). Agent-Ready Tools sind Enterprise-Konnektoren für autonome Agenten, die MCP sprechen und laut Workday Halluzinationen und Latenz reduzieren. Beide gehen für Early-Access-Kunden über Workday Extend Professional live, mit allgemeiner Verfügbarkeit in der zweiten Hälfte 2026.

Technische Anatomie

Zieht man das Branding ab, ist Agent Passport eine Runtime-Policy-Engine plus ein Attestierungsregister. Die Policy-Engine sitzt im Request-Pfad: Ein Agent versucht eine Aktion, Passport prüft die Attestierung und die Richtlinie und gibt „erlauben", „blockieren" oder „weiterleiten" zurück. Das ist ein bekanntes Muster für jeden, der schon mal ein API-Gateway oder eine Service-Mesh-Autorisierungsschicht gebaut hat. Die Neuheit liegt in dem, was geprüft wird – nicht im Wie.

Die Attestierungsschicht ist der Ort, an dem die interessanten Designentscheidungen stecken. Indem die Tests an Mitre ATLAS geknüpft werden – das adversarielle ML-Taktiken katalogisiert, so wie ATT&CK traditionelle Angriffe katalogisiert –, versucht Workday, Attestierungen über Anbieter und Tester hinweg vergleichbar zu machen. Im Prinzip kann ein Sicherheitsteam einen Agenten von Anbieter A, getestet von Cisco, neben einen Agenten von Anbieter B, getestet von welchem Partner auch immer als nächstes kommt, legen und sie auf denselben Achsen bewerten. In der Praxis funktioniert das nur, wenn die Testmethodik öffentlich und reproduzierbar ist. Die Quelle legt nicht offen, wie tief Ciscos Test-Suites gehen oder ob die rohen Testartefakte einsehbar sind – und das ist wichtig, denn eine Attestierung ohne einsehbare Nachweise reduziert sich auf „vertrau dem Tester".

Die Runtime-Seite leistet die schwerere Arbeit. Prompt-Injection und Goal Hijacking sind keine statischen Eigenschaften eines Modells. Sie entstehen aus der Wechselwirkung von Prompts, Tools und Daten zur Anforderungszeit. Kontinuierliche Validierung, wie Workday sie beschreibt, impliziert Telemetrie aus der tatsächlichen Ausführung des Agenten, die zurück in Richtlinienentscheidungen einfließt. Das kommt näher daran, wie Anthropics Leitfaden zum agentischen Tool-Einsatz das Problem formuliert: die Tool-Oberfläche einschränken, die Tool-Aufrufe überwachen und die sensiblen absichern.

Agent-Ready Tools, die über MCP verbinden, sind die vernünftige Infrastrukturentscheidung. MCP hat sich zum Standardprotokoll für die Bereitstellung strukturierter Tool-Schnittstellen für Modelle entwickelt – wenn Workdays Geschäftsobjekte MCP sprechen, können Agenten in Claude Code oder Cursor Workday-Operationen aufrufen, ohne jedes Mal eine maßgeschneiderte Integration zu benötigen. Pipedream-Konnektoren erweitern diese Reichweite über Workday hinaus. Was wir noch nicht wissen: ob Passports Runtime-Prüfungen für Pipedream-vermittelte Aktionen mit gleicher Genauigkeit gelten wie für native Workday-Tool-Aufrufe, oder ob die Vertrauensgrenze schwächer wird, sobald der Agent Workdays eigene Control Plane verlässt. Diese Grenze ist es wert, vor jedem Produktivbetrieb genau festzulegen.

Wer Probleme bekommt

Enterprise-Plattformteams, die derzeit Agenten auf Workday-Daten pilotieren, haben den saubersten Upgrade-Pfad: Im Q3 den Early Access abwarten, eine echte Arbeitslast durch Passport schicken und prüfen, ob Ciscos Testabdeckung dem eigenen Bedrohungsmodell entspricht. Die Teams mit dem Problem sind jene, die bereits seit sechs Monaten eine eigene Agent-Governance auf Basis selbst entwickelter Eval-Harnesses aufgebaut haben. Wenn Passport zum De-facto-Attestierungsformat bei Workday-Kunden wird, müssen interne Frameworks entweder damit integriert oder eingestellt werden.

Der Launch mit nur einem Partner ist ein zweischneidiges Schwert. Einerseits bedeutet ein Tester: eine Methodik, ein Vertrag, schnellere Iteration. Andererseits ist Cisco damit der Single Point of Failure für das gesamte Vertrauensmodell, bis Partner Nummer zwei kommt. Sicherheitsteams, die im Q3 eine Passport-Attestierung lesen, lesen in der Praxis eine Cisco-Attestierung. Das ist ein Konzentrationsrisiko, das benannt werden sollte.

Die ungeklärte Haftungsfrage trifft Legal und Procurement härter als Engineering. Wenn ein Passport-zertifizierter Agent Mitarbeiterdaten leakt, ist laut Quelle explizit offen, wer – Workday, Cisco oder der Kunde – den Schaden trägt. CIOs, die im Q3 Early-Access-Vereinbarungen unterzeichnen, sollten davon ausgehen, dass die Antwort standardmäßig beim Kunden liegt, bis Verträge etwas anderes festhalten. Das ist kein Workday-spezifisches Problem – jeder Agent-Governance-Anbieter hat dieselbe Lücke –, aber Workday ist einer der wenigen, die das öffentlich ansprechen.

Konkurrierende HR- und Finanz-Suiten (Oracle, SAP, ServiceNow) haben jetzt eine Referenzarchitektur, auf die sie reagieren können. Es ist zu erwarten, dass mindestens eine davon noch vor Ende 2026 ihr eigenes Attestierungsschema ankündigt. Wenn Workdays Wette aufgeht, sollten ab Q1 2027 attestierungsbasierte Beschaffungsklauseln in Enterprise-KI-RFPs auftauchen. Wenn nicht, wird Passport eine weitere anbieterspezifische Compliance-Checkbox, und der Standardisierungsgedanke verschwindet leise.

Handlungsempfehlungen für die KI-Entwicklung

Für Teams, die dieses Quartal Agenten in Produktion bringen, sind die praktischen Schritte klar und konkret. Erstens: Kartieren Sie Ihre aktuelle Agenten-Testabdeckung anhand der fünf Passport-Risikokategorien – Prompt-Injection, Jailbreak und Goal Hijacking, Extraktion von System-Prompts, Datenlecks bei Mitarbeiterdaten, unsichere Ausgaben. Wenn in einer Kategorie keine automatisierten Tests vorhanden sind, ist das die Lücke, die vor Q3 geschlossen werden muss – unabhängig davon, ob Sie Passport einsetzen oder nicht.

Zweitens: Lesen Sie die Mitre ATLAS-Matrix und wählen Sie die fünf Taktiken aus, die für Ihr Deployment am relevantesten sind. Erstellen Sie Eval-Cases gegen diese spezifischen Taktiken statt gegen generische Red-Team-Prompts. Attestierungen, die ATLAS zugeordnet sind, werden anbieterübergreifend vergleichbar sein – Ihre internen Evals sollten dasselbe Vokabular sprechen.

Drittens: Wenn Sie bereits auf MCP aufbauen, prüfen Sie, welche Tool-Aufrufe wirklich reversibel sind und welche nicht. Passports Allow-Block-Route-Modell hilft nur, wenn Ihre Tools so konzipiert sind, dass eine „Weiterleitung an einen Menschen"-Entscheidung für die sensiblen Operationen sinnvoll ist. Agenten, die irreversible Operationen ohne menschlichen Kontrollpunkt aufrufen, profitieren kaum von einer Runtime-Policy-Engine.

Viertens: Für Developer-Tooling-Teams ist die Kompatibilitätsliste von Developer Agent (Claude Code, Cline, Codex, Cursor, Google Antigravity) ein guter Indikator dafür, welche IDE-nahen Agent-Runtimes Enterprise-Zugkraft haben. Wenn Ihre interne Plattform keines davon unterstützt, liegen Sie außerhalb der angenommenen Entwickleroberfläche für einen großen Teil der Enterprise-Agent-Tooling-Releases im H2 2026.

Wichtigste Erkenntnisse

  • Agent Passport startet im Q3 2026 in den Early Access mit Cisco als einzigem Testpartner. Konzentrationsrisiko, bis Partner Nummer zwei kommt.
  • Fünf Risikokategorien werden gegen Mitre ATLAS getestet – das schafft ein gemeinsames Vokabular für anbieterübergreifende Vergleiche, sofern die Methodik öffentlich bleibt.
  • Die Haftung für einen fehlverhaltenden zertifizierten Agenten ist ausdrücklich ungeklärt. Gehen Sie davon aus, dass der Kunde den Schaden trägt, bis Verträge etwas anderes besagen.
  • Agent-Ready Tools sprechen MCP nativ. Pipedream erweitert die Reichweite über Workday hinaus, aber Passports Runtime-Abdeckung externer Aktionen ist nicht offengelegt.
  • Testbare Prognose: Wenn attestierungsbasierte Beschaffung Fuß fasst, ist zu erwarten, dass mindestens eine konkurrierende Suite (Oracle, SAP, ServiceNow) vor Q1 2027 ein vergleichbares Schema ankündigt.

Häufig gestellte Fragen

F: Was ist Workday Agent Passport?

Agent Passport ist eine Runtime-Governance-Schicht, die die Sicherheit und Compliance eines KI-Agenten vor dem Deployment und kontinuierlich während des Betriebs validiert. Sie kann Agentenaktionen in Echtzeit auf Basis der Unternehmensrichtlinie erlauben, blockieren oder weiterleiten und erstellt signierte Attestierungen, die an öffentliche Standards wie Mitre ATLAS geknüpft sind.

F: Wann wird Agent Passport verfügbar sein?

Workday plant, Agent Passport im dritten Quartal 2026 für den Early Access zu öffnen, mit allgemeiner Verfügbarkeit voraussichtlich vor Ende 2026. Cisco ist beim Launch der einzige Sicherheitstestpartner.

F: Wer haftet, wenn sich ein Passport-getesteter Agent falsch verhält?

Diese Frage ist ausdrücklich ungeklärt. Workdays CTO erklärte, dass das Haftungsmodell noch mit Partnern erarbeitet wird – Enterprise-Kunden, die Early-Access-Verträge unterzeichnen, sollten davon ausgehen, dass das Risiko standardmäßig bei ihnen liegt, bis Vereinbarungen etwas anderes festlegen.

SC
Sarah Chen
RiverCore Analyst · Dublin, Ireland
TEILEN
// RELATED ARTICLES
StartseiteLösungenProjekteÜber unsKontakt
News06
Dublin, Irland · EUGMT+1
LinkedIn
🇩🇪DE