Viele KI-Projekte starten mit einer Demo und enden bei offenen Fragen zu Datenzugriff, Verantwortlichkeiten und Freigaben. Das ist nachvollziehbar, aber riskant. Denn ob ein KI-Assistent im Unternehmen belastbar ist, entscheidet sich selten zuerst am Modell, sondern fast immer an den Betriebs- und Governance-Fragen rund um die Daten.
Sobald ein Assistent auf SharePoint, Fileserver, Verträge, Handbücher oder interne Richtlinien zugreift, wird aus einem Techniktest ein Sicherheits- und Organisationsprojekt. Wer darf welche Quellen einbinden? Welche Berechtigungen gelten auch für den Assistenten? Wie werden Antworten protokolliert? Und wer trägt Verantwortung, wenn sensible Inhalte im falschen Kontext auftauchen?
Was vor dem ersten Rollout geklärt sein muss
- Datenquellen: Welche Inhalte sind fachlich sinnvoll und rechtlich zulässig?
- Rechte: Darf die KI nur sehen, was ein Nutzer ohnehin sehen dürfte, oder entstehen neue Umgehungspfade?
- Freigaben: Welche Antworten oder Aktionen bleiben rein informativ, welche brauchen menschliche Bestätigung?
- Logging: Lassen sich Nutzung, Fehlverhalten und sensible Zugriffe nachvollziehen?
RAG löst nicht automatisch das Sicherheitsproblem
Retrieval-gestützte Systeme sind oft deutlich sinnvoller als generische Chatbots ohne Unternehmenskontext. Trotzdem ersetzt RAG keine Governance. Wenn falsche Dokumente indiziert werden, Rechte unsauber geerbt sind oder veraltete Inhalte im Index bleiben, entsteht lediglich eine besser formulierte Unsicherheit. Ein sauberer Assistent braucht daher nicht nur Retrieval, sondern auch Datenhygiene, Rollenlogik und einen klaren Lebenszyklus für Quellen.
Ebenso wichtig ist die Frage der Betriebsgrenzen. Nicht jede KI muss direkt schreiben, verschieben, versenden oder Tickets anlegen. In vielen Umgebungen ist es sinnvoller, mit lesenden Assistenten zu starten und operative Aktionen erst später, kontrolliert und mit Approval-Schritten freizugeben.
Betriebsmodell statt Pilotromantik
Viele Pilotprojekte wirken erfolgreich, solange wenige motivierte Personen mit guten Beispieldaten arbeiten. Im Alltag kommen jedoch Ausnahmen, Berechtigungsbrüche, widersprüchliche Dokumente und Haftungsfragen hinzu. Deshalb braucht Unternehmens-KI ein echtes Betriebsmodell: Verantwortlichkeiten für Quellen, definierte Review-Zyklen, klar dokumentierte Grenzen und eine Architektur, die Missbrauch und Fehlbedienung mitdenkt.
Nemonicon-Perspektive
Gute Unternehmens-KI beginnt nicht mit der Frage, welches Modell am beeindruckendsten klingt. Sie beginnt mit Datenkontrolle, Rollen, Nachvollziehbarkeit und einem realistischen Verständnis davon, welche Entscheidungen Menschen behalten sollten. Erst wenn diese Basis steht, wird aus einer Demo ein belastbares Werkzeug.