Verteidigungs-KI vom Sensor zum Schützen, Teil 4: Wirkungen, Effektor-Integration und Human-in-the-Loop-Grenzen

Die Engage-Phase ist der Punkt, an dem sich der Sensor-zu-Schützen-Loop gegen die Realität schließt. Effektoren feuern — kinetisch, elektronisch oder cyber — und Konsequenzen folgen. Bis der Loop diese Phase erreicht, hat die KI die Find-, Fix- und Track-Phasen komprimiert, die Entscheidungsunterstützung hat Kandidaten priorisiert, und der Bediener hat den Einsatz autorisiert. Teil 4 behandelt das Engineering der Engage- und Assess-Phasen: wie KI mitwirkt, ohne die Linie autonomer Wirkungen zu überschreiten, wie die strukturelle Human-in-the-Loop-Grenze in die Plattform einkodiert wird und wie Doktrin und Beschaffung diese Grenze aufrechterhalten. Am Ende von Teil 4 ist der Loop einsatzfähig, gegen die Akkreditierungsprüfung verteidigungsfähig und beschaffungsreif.

Die architektonische Rahmung aus Teil 1, das sensorseitige Engineering aus Teil 2 und die Entscheidungsunterstützungs-Muster aus Teil 3 laufen hier zusammen.

Die Linie autonomer Wirkungen

In den NATO-aligned Streitkräften ist die Doktrin 2026 in einem Punkt einheitlich: Entscheidungen über letale Wirkungen erfordern menschliche Autorisierung. Die Formulierung variiert — meaningful human control, Human-on-the-Loop, Human-in-the-Loop, angemessene Stufen menschlichen Urteils — die operative Implikation ist jedoch dieselbe. Ein System, das autonom Ziele auswählt und letale Gewalt anwendet, ist in NATO-Programmen nicht beschaffungsfähig, unabhängig vom technischen Verdienst.

Die Linie wird auf der Autorisierungsstufe gezogen, nicht auf der Empfehlungsstufe. KI darf an allem bis einschließlich der Empfehlung mitwirken; die Autorisierung selbst ist menschlich. Das ist die Design-Restriktion, die die gesamte Engage-Phase prägt.

Ausnahmen und Grenzfälle existieren und erfordern eine sorgfältige Rahmung:

• Defensive Engagements gegen zeitkritische einkommende Bedrohungen — Anti-Schiffs-Raketenabwehr, Counter-Rocket-Artillery-Mortar (C-RAM), Luftabwehr gegen sättigende Raketenangriffe — dürfen auf Basis vorab autorisierter Einsatzkriterien ausgeführt werden, die vom Kommandeur vor Öffnung des Einsatzfensters genehmigt wurden. Die KI wendet die Regeln an; Regeln und Autorisierung sind im Voraus menschlich festgelegt.
• Nicht-letale Wirkungen (elektronische Kampfführung, Cyber) operieren in manchen Doktrinen unter breiterer Autonomie, insbesondere in defensiven Haltungen, jedoch weiterhin innerhalb kommandeur-autorisierter Parameter.
• Autonome Plattformen (UAV, USV, UGV) dürfen autonom navigieren, sensorisch wahrnehmen und vorab autorisierte Aktionen ausführen; die letale Anwendung bleibt menschlich autorisiert.

Die detaillierte Rahmung auf NATO-Ebene findet sich in NATO AI Strategy für Verteidigungssoftware. Die Beschaffungsimplikation ist unmissverständlich: Überschreitet Ihre Plattform die Linie, verkaufen Sie nicht an NATO-Mitglieder.

Die Grenze kodieren, nicht nur dokumentieren

Eine Richtlinie, die „menschliche Autorisierung erforderlich" sagt, reicht nicht aus. Die Grenze muss von der Plattform durchgesetzt werden — sie verweigert das Fortfahren ohne explizite menschliche Handlung, protokolliert jede Autorisierung mit Bediener-Identität und, sofern verfügbar, Begründung, und macht die Grenze in der UI sichtbar, sodass Bediener sie nicht versehentlich überschreiten können.

Die Engineering-Muster, die die Grenze halten:

Autorisierungs-Token mit eingeschränktem Gültigkeitsbereich. Eine menschliche Autorisierung für einen Einsatz erzeugt ein Einmal-Token, gebunden an einen spezifischen Track, Effektor und ein Zeitfenster. Nach Verbrauch ist das Token ungültig. Ein erneuter Einsatz gegen dasselbe Ziel erfordert eine neue Autorisierung.

Verweigern-by-Default-Schnittstellen downstream. Die Effektor-Steuerungsschnittstellen verweigern eingehende Befehle, denen ein gültiges Autorisierungs-Token fehlt. Die Verweigerung wird protokolliert. Der Fehler kehrt zur Bediener-UI zurück, sodass die fehlende Autorisierung sichtbar wird.

Zwei-Personen-Regel für hochkonsequente Entscheidungen. Wo die Doktrin es verlangt, setzt die Plattform Zwei-Personen-Autorisierung durch — zwei verschiedene Bediener müssen bestätigen. Beide Bediener sehen unabhängige Ansichten des Kandidaten vor der Bestätigung.

Zeitlich begrenzte Autorisierungen. Autorisierungen verfallen. Ein vor 10 Minuten autorisierter Track kann sich bewegt haben, die Identität gewechselt oder den Status für einen Einsatz verloren haben; eine erneute Autorisierung ist erforderlich, wenn das Fenster vor der Handlung verfällt.

Abbruchpfade (Cancellation Paths). Bediener können einen ausstehenden Einsatz bis zum letzten technisch möglichen Moment abbrechen. Der Abbruch propagiert schneller als der Einsatz selbst.

Diese Muster teilen eine strukturelle Eigenschaft: Die Grenze liegt im Code, wird von der Plattform durchgesetzt, ist aus Logs beobachtbar. Ein Angreifer, der das Bediener-Konto kompromittiert, kann immer noch nicht ohne menschliche Autorisierung feuern; ein durch die UI verwirrter Bediener kann nicht versehentlich eine Handlung autorisieren, die er nicht beabsichtigt.

Effektor-Integration: Die letzte Meile

Die Engage-Phase koppelt die Autorisierung der Plattform an spezifische Effektor-Systeme — kinetische Waffen, Emitter der elektronischen Kampfführung, Cyber-Werkzeuge. Jeder Effektor hat seine eigene Integrationsmechanik; die Aufgabe der Plattform besteht darin, diese in eine gemeinsame Schnittstelle zu abstrahieren und gleichzeitig effektor-spezifische Beschränkungen zu wahren.

Die Integrationsmuster:

Effector-as-Service-Abstraktion. Jeder Effektor stellt eine Service-Schnittstelle bereit — Tasking annehmen, Status melden, Assessment-Daten zurückgeben. Die Plattform ruft den Service mit dem Autorisierungs-Token auf; der Service validiert und führt aus.

Effektor-spezifische Sicherheits-Interlocks. Unterhalb der Autorisierungsschicht der Plattform verfügt jeder Effektor über eigene physische und prozedurale Sicherheits-Interlocks — Scharfschalter, Abfeuerstromkreis-Unterbrecher, Schießplatz-Sicherheitszonen. Die Plattform darf sich nicht allein auf diese Interlocks verlassen, muss aber sauber mit ihnen integrieren.

Geometrie- und Zeitbeschränkungen. Die Plattform muss die Effektor-Verfügbarkeit gegen Geometrie (in-Reichweite, Sichtlinie, keine Eigenbeschuss-Flugbahn) und Timing (Zykluszeit, Nachladestatus, Unterhalts-Posture) berechnen, bevor sie Einsatzoptionen präsentiert. Einen Einsatz zu empfehlen, den der Effektor nicht ausführen kann, ist eine vergeudete Bediener-Entscheidung und ein Glaubwürdigkeitsverlust.

Resilienz des Kommunikationspfades. Die Integration in das taktische Funkgerät, die den Einsatzbefehl trägt, ist dieselbe restriktive DIL-Umgebung aus der C2-Serie. Engineering-Details siehe Taktische Funk-Software-Integration. Die Befehlspropagation ist durch die langsamste Verbindung begrenzt; die Plattform misst und meldet das realistische Timing statt des idealen Timings.

Assess: Den Loop mit KI schließen

Die Assess-Phase ist das Feedback des Loops. Hat der Einsatz gewirkt? Was war das Ergebnis? Welche Lehren fließen in die Find-Phase des nächsten Zyklus zurück? KI wirkt hier mit weniger Kontroverse als bei Engage mit, weil die Folgen eines Assessment-Fehlers korrigierbar sind — ein erneuter Einsatz, eine zweite UAV-Aufklärungsaufgabe — statt irreversibel.

Die KI-Fähigkeiten bei Assess:

Battle Damage Assessment (BDA) / Wirkungserkundung aus Bilddaten. Bilder vor und nach dem Einsatz werden per Computer Vision verglichen. Veränderungsdetektion, Schadensklassifizierung, Restbedrohungsschätzung. Die Ausgabe ist ein Kandidaten-Assessment für die Analystenprüfung, kein Abschlussbericht. Siehe Computer Vision in Verteidigungssystemen.

Wirkungsbestätigung aus Sensordaten. Track-Verhalten nach dem Einsatz — zerstörte Ziele verschwinden; degradierte Ziele verhalten sich anders. Die KI hebt wahrscheinliche Wirkungsbestätigungen aus dem Track-Datenfluss nach dem Einsatz hervor.

Empfehlungen für erneuten Einsatz. Wenn die Anfangswirkungen partiell sind, hebt die KI Optionen für einen erneuten Einsatz für den Bediener hervor. Die Entscheidungsunterstützungs-Muster aus Teil 3 gelten — priorisierte Kandidaten, offengelegte Begründung, Bediener-Autorisierung.

Lehrnerfassung für den nächsten Zyklus. Die Assess-Daten fließen in den Trainingsdaten-Speicher zurück. Bestätigte Positive werden zu hochwertigen Trainingsbeispielen; bestätigte Negative werden zu Hard-Examples für die nächste Modell-Iteration. Das Active-Learning-Muster aus Teil 2 schließt sich hier.

Humanitäres Völkerrecht und die Engineering-Sicht

Das humanitäre Völkerrecht (IHL) erlegt der Gewaltanwendung in bewaffneten Konflikten rechtliche Beschränkungen auf — Unterscheidung (zwischen Kombattanten und Zivilisten), Verhältnismäßigkeit (zwischen militärischem Vorteil und Begleitschaden), Vorsichtsmaßnahmen (in Angriff und Verteidigung). Für KI in der Verteidigung übersetzen sich diese in Engineering-Anforderungen, die Beschaffungsprüfer auditieren.

Unterscheidung erfordert, dass die Plattform die Identifikation von Zielen als legitime militärische Objekte unterstützt. KI-abgeleitete Klassifikationskonfidenzen werden zu Beweisen in dieser Bewertung; die Plattform muss die zugrunde liegende Begründung offenlegen, damit der Bediener das IHL-Urteil mit vollständiger Information fällen kann.

Verhältnismäßigkeit erfordert, dass die Plattform Faktoren des Begleitrisikos — zivile Anwesenheit, Infrastrukturwert, Umweltsensibilität — neben den Einsatzoptionen offenlegt. Die KI fällt nicht das Verhältnismäßigkeitsurteil; sie stellt sicher, dass der Bediener die Information dafür hat.

Vorsichtsmaßnahmen erfordern, dass die Plattform Abbruch, Neubewertung und Verifikation der Wirkung vor dem Fortfahren unterstützt. Die obigen Engineering-Muster (Abbruchpfade, zeitlich begrenzte Autorisierungen) dienen alle diesem Prinzip.

Akkreditierungsprüfer werden nicht „erfüllt die Plattform IHL" als abstrakte Frage stellen. Sie werden fragen: „Zeigen Sie die Engineering-Features, die IHL-konformen Betrieb stützen." Die Plattform, die diese Anforderungen durchdacht hat, hat die Belege bereit.

Die Grenzen testen

Eine Plattform, deren Human-in-the-Loop-Grenzen nur in Laborszenarien getestet wurden, ist operativ ungetestet. Die Test-Disziplinen, die glaubwürdige Plattformen auszeichnen:

Red-Team-adversarielles Testen der Grenzen selbst. Kann ein Angreifer einen Einsatz autorisieren, den er nicht autorisieren können sollte? Kann ein verwirrter Bediener zu einer unbeabsichtigten Autorisierung verleitet werden? Kann eine adversarielle Eingabe an einen Sensor die KI in eine unangemessene Einsatzempfehlung lenken? Red-Team-Funde führen zu strukturellen Änderungen an der Plattform.

Operator-in-the-Loop-Szenarien. Realistische Missionsskripte, durchgeführt von echten Bedienern bei aktiver Plattform. Das tatsächliche Verhalten der Bediener — was sie bestätigen, was sie verwerfen, wo sie verwirrt werden — ist die empirische Datengrundlage, die das Design validiert. Das Muster findet sich in Testen missionskritischer C2-Systeme.

Fehlermodus-Injektion. Testen Sie, was passiert, wenn die KI versagt. Sensor degradiert, Modell-Drift, Kommunikation unterbrochen, Effektor offline. Die Plattform muss den Fehler offenlegen statt zu maskieren; Bediener dürfen das Lagebild beim Komponentenausfall nicht verlieren.

Long-Tail-Compliance-Belege. Betreiben Sie die Plattform in einem Pilot-Deployment über Monate. Protokollieren Sie jede Autorisierung, jede Verwerfung, jedes Override. Der operative Aufzeichnungsbestand wird zur Beleggrundlage für die Akkreditierung — weit stärker als jeder synthetische Testbericht.

Beschaffungsimplikationen

Das Engineering der Engage- und Assess-Phasen ist beschaffungsreife Arbeit. Die Belege, die Akkreditierungsprüfer wollen, in Prioritätsreihenfolge:

• Wo genau die Linie autonomer Wirkungen gezogen wird in der Architektur der Plattform, mit Code-Referenzen, die ein Prüfer verifizieren kann.
• Wie die Grenze durchgesetzt wird über alle Schnittstellen und Fehlermodi hinweg.
• Was Operator-in-the-Loop-Tests gezeigt haben darüber, ob Bediener unter aktiver Plattform ein wirksames Urteil bewahren.
• Wie adversarielle Robustheit gegen vorsätzliche Manipulation evaluiert und verbessert wurde.
• Welches Drift-Monitoring die Plattform im operativen Deployment anwendet, um Verschiebungen im KI-Verhalten zu detektieren.
• Welcher Audit-Trail die Nachbereitung jeder konsequenten Entscheidung stützt.
• Wie sich die Prinzipien der NATO AI Strategy auf konkrete Plattformfeatures abbilden, mit konkreten Belegen pro Prinzip.

Die disziplinierte Pipeline, die diese Belege als Nebenprodukt der Entwicklung erzeugt, ist DevSecOps angepasst für die Verteidigung — siehe DevSecOps für Verteidigungs-Pipelines. Die Akkreditierungsrahmung breiter findet sich in ISO 27001 in Verteidigungssoftware und NATO AQAP-2110 für Softwareanbieter.

Für den breiteren Marktkontext — wie diese Art beschaffungsreifer Disziplin in die europäische und NATO-Verteidigungsbeschaffungsarchitektur passt — siehe Der vollständige Leitfaden zum Verteidigungsmarkt und zur Beschaffung.

Abschluss der Serie

Vor vier Teilen eröffnete diese Serie mit dem abstrakten Loop — Find, Fix, Track, Target, Engage, Assess. Wir sind durchgegangen, wo KI kognitive Arbeit im Loop komprimiert (Find und Assess, stark; Fix und Track, moderat), wo KI Entscheidungsunterstützung bietet, ohne Grenzen zu überschreiten (Target-Phase, mit strukturellem HITL), und wo die Grenze selbst gezogen und durchgesetzt wird (Engage-Phase, mit kodierter Verweigern-by-Default-Semantik). Bei jedem Schritt wurde die operative Realität über die Marketing-Oberfläche gestellt: KI in der Verteidigung komprimiert die Teile des Loops, in denen sie glaubwürdig funktioniert, lässt die Teile aus, in denen sie das nicht tut, und akzeptiert die strukturellen Human-in-the-Loop-Grenzen als Design-Restriktionen, nicht als Hindernisse.

Die Anbieter, die in diesem Markt 2026 erfolgreich sind, bauen für die Restriktionen, nicht um sie herum. Die Plattformen, die die Akkreditierung überleben, sind jene, die die Grenzen offenlegen, die Autorisierungen protokollieren und die Belege liefern, die Akkreditierungsprüfer verlangen. Die Beschaffungsakten, die gewinnen, sind jene, die zeigen, dass die Engineering-Arbeit auf dem Niveau geleistet wurde, das die operative Realität erfordert.

Für die breitere Rahmung von KI in der Verteidigung siehe den Pillar-Leitfaden: Der vollständige Leitfaden zu KI und Edge-KI in Verteidigungssoftware. Für den C2-Aufbau, der diese KI-Fähigkeiten beherbergt, ist die Engineering-Walkthrough die parallele Serie ab Aufbau eines C2-Systems von Grund auf, Teil 1. Für die Beschaffungsarchitektur, in der das alles eingebettet ist, siehe Der vollständige Leitfaden zum Verteidigungsmarkt und zur Beschaffung.