Die riskanteste Datei im Unternehmen liegt oft nicht dort, wo die Sicherheitsabteilung sie vermutet. Sie liegt nicht unbedingt in einem schlecht gesicherten S3-Bucket, nicht auf einem vergessenen SharePoint und auch nicht auf dem Laptop eines ausgeschiedenen Mitarbeiters. Sie liegt als Vertragsentwurf, Lieferantenliste oder Spend-Analyse in einem privaten KI-Konto, hochgeladen von jemandem, der nur schneller fertig werden wollte.
Genau an dieser Stelle setzt Zip an. Das mit 2,2 Milliarden US-Dollar bewertete Procurement-Unternehmen hat zwei Produkte vorgestellt, die seine Rolle verschieben sollen: weg von klassischer Beschaffungssoftware, hin zu einer autonomen KI-Plattform für Einkauf und Finanzprozesse. Dazu gehören fünf sogenannte AI Superagents, die Verträge prüfen, Rechnungen kontieren und mit Lieferanten verhandeln sollen. Außerdem bringt Zip eine procurement-native Implementierung des Model Context Protocol, kurz MCP, mit der Daten aus Zip direkt in Assistenten wie Claude oder ChatGPT eingebunden werden können, ohne Audit Trails und Compliance-Kontrollen aufzugeben.
Das klingt zunächst nach der üblichen Agentenrhetorik, die derzeit fast jeder Anbieter über seine Produktlinie legt. Interessant ist aber nicht, dass Zip Agenten baut. Interessant ist, dass Zip den unkontrollierten Gebrauch von KI im Finanzbereich als operatives Problem behandelt. Nicht als Kulturfrage, nicht als abstraktes Risiko, sondern als banalen Arbeitsalltag.
Der Schattenprozess ist längst da
Viele Unternehmen tun so, als stünde die Einführung von KI noch bevor. In der Praxis ist sie längst passiert. Mitarbeitende laden Spend-Daten in Claude, lassen Vertragsklauseln in ChatGPT umformulieren oder erstellen interne Finanzanalysen in privaten Konten bei Gemini, Copilot oder anderen Assistenten. Nicht aus böser Absicht. Meist aus Ungeduld. Die offiziellen Werkzeuge sind zu langsam, zu starr oder schlicht nicht vorhanden.
Für Beschaffung und Finance ist das besonders heikel. Dort geht es nicht um harmlose Textentwürfe, sondern um Vertragsinhalte, Preisabsprachen, Lieferantenkonditionen, Zahlungsdaten, interne Freigaben und Dokumente, die später in Prüfungen relevant werden können. Wenn diese Informationen in persönlichen KI-Konten verarbeitet werden, verlassen sie die Systeme, in denen Berechtigungen, Protokolle und Freigabeketten nachvollziehbar sind. Danach wird es dünn: Wer hat welche Datei hochgeladen? Welche Ausgabe wurde übernommen? Wurde eine Klausel verändert? Wer hat sie geprüft? In vielen Fällen gibt es darauf keine belastbare Antwort.
Zip adressiert damit einen Punkt, den viele CIOs und CFOs kennen, aber ungern laut aussprechen: Das Verbot privater KI-Nutzung funktioniert nur auf Folien. In Abteilungen mit Termindruck und Dokumentenlast setzen sich Werkzeuge durch, die Arbeit reduzieren. Wenn das Unternehmen keine kontrollierte Variante anbietet, entsteht eine unkontrollierte.
Agenten sind nicht das Entscheidende
Die fünf Agenten von Zip sollen unter anderem Verträge prüfen, Rechnungen codieren und Verhandlungen mit Lieferanten unterstützen. Für sich genommen ist das nicht ungewöhnlich. Der Markt für Unternehmenssoftware bewegt sich gerade in dieselbe Richtung. SAP hat auf der Sapphire 2026 seine Vision der „Autonomous Enterprise“ gezeigt und mehr als 50 domänenspezifische Joule-Assistenten für Bereiche wie Finance, Lieferkette und Procurement angekündigt. Coupa stellte im Mai auf der Inspire 2026 in Las Vegas Compose und ein Catalyst-Services-Paket vor, mit dem Unternehmen KI-Agenten für Procurement bauen und orchestrieren sollen. Gartner erwartet, dass bis Ende 2026 rund 40 Prozent der Unternehmensanwendungen aufgabenspezifische KI-Agenten enthalten werden; heute sollen es weniger als fünf Prozent sein.
Die Frage ist also nicht, ob Agenten in Unternehmenssoftware auftauchen. Das ist fast schon entschieden. Die Frage ist, ob diese Agenten in einem Kontrollraum arbeiten oder in einer improvisierten Nebenwelt.
Genau hier liegt der Unterschied, den Zip für sich beansprucht. Die Agenten sollen innerhalb des Governance-Rahmens der Plattform laufen. Das bedeutet: Berechtigungen, Freigaben, Protokollierung und Compliance sollen nicht nachträglich an eine KI-Funktion angeklebt werden, sondern den Handlungsraum bestimmen. Ein Agent, der eine Rechnung kontiert, ist dann nicht einfach ein Textmodell mit Zugriff auf Belegdaten. Er bewegt sich in einem Prozess, der festlegt, was er sehen darf, was er vorschlagen darf und wann ein Mensch entscheiden muss.
MCP als kontrollierte Öffnung
Der zweite Teil der Ankündigung ist langfristig vielleicht wichtiger als die Agenten selbst. Mit der MCP-Implementierung will Zip Daten aus der Procurement-Plattform in externe KI-Assistenten einbinden. Claude oder ChatGPT werden damit nicht zum wilden Ablageort für interne Dokumente, sondern greifen über eine kontrollierte Verbindung auf Unternehmenskontext zu.
Das ist ein pragmatischer Ansatz. Unternehmen werden kaum verhindern können, dass Beschäftigte mit den großen Assistenten arbeiten wollen. Zu gut sind diese Werkzeuge inzwischen in Recherche, Zusammenfassung, Textarbeit und Analyse. Die Alternative kann daher nicht nur lauten: alles sperren. Sie muss lauten: Zugriff kontrollieren, Aktionen protokollieren, Datenflüsse begrenzen.
Wenn Zip diesen Anspruch einlöst, wird aus der KI-Nutzung ein prüfbarer Vorgang. Dann ist nicht mehr entscheidend, ob jemand einen externen Assistenten verwendet, sondern unter welchen Bedingungen. Welche Daten wurden bereitgestellt? Welche Antwort kam zurück? Wurde ein Vertragsentwurf verändert? Hat ein Agent nur empfohlen oder auch gehandelt? Für regulierte Finanzprozesse ist diese Trennlinie zentral.
Compliance ist kein Dekor
Der Ton vieler KI-Ankündigungen im Unternehmensmarkt ist erstaunlich leichtfüßig. Agenten erledigen Aufgaben, orchestrieren Prozesse, entlasten Teams. Was dabei oft zu spät kommt, ist die Frage nach Haftung. Procurement und Finance sind keine Spielwiese für experimentelle Automatisierung. Fehler in Vertragsprüfungen, Rechnungszuordnungen oder Lieferantenkommunikation können finanzielle und rechtliche Folgen haben. Bei Verstößen gegen SOX-Regeln können Geldbußen bis zu 25 Millionen US-Dollar drohen; Führungskräfte können persönlich betroffen sein.
Deshalb ist Governance hier kein hübscher Zusatz. Sie ist die Voraussetzung dafür, dass KI in diesen Bereichen überhaupt ernsthaft eingesetzt werden kann. Ein Agent, der schneller arbeitet, aber keine belastbare Spur hinterlässt, ist kein Fortschritt für eine Finanzabteilung. Er ist ein neues Prüfungsproblem.
Das gilt auch für Verhandlungen mit Lieferanten. Sobald ein System nicht nur zusammenfasst, sondern Vorschläge macht oder Kommunikation vorbereitet, verschiebt sich die Verantwortung. Hat der Agent nur eine bessere Formulierung geliefert? Hat er eine Preisposition verändert? Hat er auf frühere Konditionen Bezug genommen, die nicht mehr gelten? Solche Details entscheiden darüber, ob KI ein Werkzeug bleibt oder zum schwer kontrollierbaren Akteur im Prozess wird.
Der nüchterne Test
Zip hat seine Ankündigungen auf einem KI-Gipfel in New York präsentiert, mit Beteiligung von Akteuren wie Anthropic, OpenAI, Datadog und Humana. Das unterstreicht, in welchem Umfeld sich Procurement-Software inzwischen bewegt. Beschaffung ist nicht mehr nur Formularstrecke, Lieferantenportal und Freigabekette. Sie wird zu einem Datenraum, in dem Modelle, Integrationen und Kontrollmechanismen miteinander konkurrieren.
Der kritische Punkt bleibt trotzdem bodennah: Werden Beschäftigte die kontrollierten Werkzeuge nutzen, wenn sie verfügbar sind? Oder bleiben private Konten attraktiver, weil sie schneller, flexibler und weniger umständlich wirken? Enterprise-KI scheitert selten an einer einzelnen Modellfunktion. Sie scheitert an Reibung, Zuständigkeiten und an Prozessen, die im Alltag nicht angenommen werden.
Zip kann dieses Problem nicht allein lösen. Aber die Richtung ist bemerkenswert: Nicht noch ein Assistent, der verspricht, Arbeit magisch verschwinden zu lassen, sondern eine Architektur, die anerkennt, dass sensible Arbeit längst in KI-Systeme abwandert. Der Versuch besteht darin, diese Abwanderung nicht zu leugnen, sondern einzuzäunen.
Ob das reicht, wird sich nicht in Demos zeigen. Es zeigt sich bei der nächsten Vertragsprüfung unter Zeitdruck, bei der nächsten Rechnungswelle am Monatsende und bei der nächsten internen Frage: schnell ins private KI-Konto kopieren oder im kontrollierten System bleiben? Genau dort entscheidet sich, ob die neue Agentenschicht Unternehmenssoftware sicherer macht – oder nur eine weitere Oberfläche über denselben alten Schattenprozessen wird.
