Zurück zum Blog KI

KI beginnt mit Berechtigungen, nicht mit Prompts

Thomas Grafenau21. Juli 20269 Min. Lesezeit

Der schicke KI-Assistent beantwortete jede Frage zuverlässig. Auch die nach den Gehältern der Kollegen. Das war kein Angriff, kein Hack, keine Lücke im Modell. Jemand aus dem Vertrieb hat aus Neugier getippt „Was verdient eigentlich der Teamleiter im Einkauf?“ — und der Assistent hat freundlich, vollständig und mit Quellenangabe geantwortet, weil die Gehaltsliste als PDF in derselben Ablage lag wie die Produktdatenblätter, auf die er zugreifen sollte. Das Modell hat alles richtig gemacht. Es hat eine Frage beantwortet, die der Fragende nie hätte stellen dürfen. Und genau das ist kein Prompt-Problem. Es ist ein Berechtigungsproblem.

Wenn im Mittelstand gerade über KI-Assistenten gesprochen wird, dreht sich fast jedes Gespräch um dieselben zwei Fragen: Welches Modell nehmen wir, und wie formulieren wir die Prompts. Beides ist die sichtbare, spannende Seite. Der Geschäftsführer hat einen Assistenten gesehen, der Verträge zusammenfasst und Angebote vorschreibt, und er will das auch. Der IT-Leiter sitzt daneben und denkt an etwas anderes, weil er weiß, dass ein Assistent, der auf interne Daten zugreift, im selben Moment eine neue, sehr durchlässige Tür in genau diese Daten aufmacht. Die Frage „welches Modell“ ist die kleine. Die Frage „wer darf über diesen Assistenten was sehen“ ist die, die niemand auf der Folie hat.

Warum der Assistent gefährlicher ist als die Suche davor

Ein klassisches Dokumentensystem war nie wirklich dicht, aber es war unbequem. Wer an die Gehaltsliste wollte, musste den Ordner finden, das Recht haben, die Datei öffnen. Die Unbequemlichkeit war ein stiller Schutz: Man stolperte nicht zufällig über Dinge, die einen nichts angingen, weil man aktiv suchen musste. Ein KI-Assistent dreht genau diese Unbequemlichkeit um. Er ist gebaut, um Mühe abzunehmen. Er durchsucht in Sekunden alles, worauf er zugreifen darf, fasst es zusammen und formuliert eine glatte Antwort — ohne dass der Fragende je einen Ordner sieht, eine Datei öffnet oder merkt, woher die Auskunft eigentlich stammt.

Damit verschiebt sich das ganze Sicherheitsmodell. Vorher schützte die Hürde, dass man wissen musste, wo etwas liegt. Jetzt reicht es, die richtige Frage in natürlicher Sprache zu stellen — und das kann jeder, das ist ja der Sinn der Sache. Der Assistent macht aus „theoretisch zugänglich, praktisch nie gefunden“ ein „auf Zuruf serviert“. Was vorher in der Tiefe einer Ordnerstruktur schlummerte, liegt plötzlich eine höfliche Frage entfernt. Wer den Zugriff des Assistenten nicht enger zieht als die alte Ablage, hat die Vertraulichkeit nicht behalten, sondern nur die Hürde entfernt, die sie bisher ersetzt hat.

Ein KI-Assistent im Unternehmen beginnt nicht mit Prompts. Sondern mit Berechtigungen.

Ein Projekt, an dem das früh sichtbar wurde

In einem unserer Projekte sollte ein Assistent die Belegschaft entlasten: Fragen zu Produkten, zu laufenden Projekten, zu internen Abläufen beantworten, gespeist aus dem, was über die Jahre an Dokumenten zusammengekommen war. Auf dem Papier ein klarer Fall — eine durchsuchbare Wissensbasis mit netter Oberfläche. Rund 40.000 Dokumente lagen in der gemeinsamen Ablage, gewachsen über etwa zwölf Jahre. Niemand konnte aus dem Stand sagen, was da alles drinsteckte. Genau das war der Punkt, an dem wir innehielten, bevor wir das Modell auch nur angefasst hatten.

Wir haben nicht gefragt „welches Modell“. Wir haben gefragt „was liegt da eigentlich, und wer darf es heute sehen“. Bei einer Stichprobe von ein paar hundert Dokumenten fanden sich in dieser einen Ablage: Gehaltslisten aus einer alten Personalrunde, ein anwaltliches Schreiben zu einem Rechtsstreit, die Kalkulation mit den echten Einkaufspreisen, Bewerbungsunterlagen, die jemand vor Jahren dort zwischengespeichert und nie gelöscht hatte. Rund acht Prozent der Stichprobe waren Material, das nie für alle gedacht war. Es lag nur deshalb für alle erreichbar, weil die Ordnerrechte über die Jahre großzügig vererbt worden waren und niemand je aufgeräumt hatte. Solange ein Mensch suchte, fiel das nie auf. Ein Assistent, der alles liest, hätte es zuverlässig gefunden — und auf Nachfrage ausgegeben.

Hätten wir den Assistenten einfach auf diese Ablage gesetzt, hätten wir keine Wissensbasis gebaut. Wir hätten ein Leck gebaut. Eines, das sich gut anfühlt, weil es hilfsbereit ist, und das gerade deshalb keiner als Leck erkannt hätte, bis die erste unangenehme Antwort im falschen Chat steht. Der Schaden wäre nicht laut gewesen. Er wäre höflich gewesen, gut formuliert und mit Quellenangabe — und genau deshalb schwer zurückzuholen.

Wir haben das Projekt nicht abgesagt. Wir haben die Reihenfolge gedreht. Zuerst eine ehrliche Inventur, was in der Ablage liegt und welche Klasse von Vertraulichkeit es hat. Dann ein Rechtemodell, das festlegt, welche Rolle welche Dokumentenklasse sehen darf. Erst danach der Assistent — und zwar so gebaut, dass er die Berechtigung des Fragenden prüft, bevor er auch nur ein Dokument zur Antwort heranzieht. Das KI-Stück war am Ende der kleinste Teil. Der größte Teil war, zu klären, wer was sehen darf — eine Frage, die das Unternehmen seit zwölf Jahren vor sich hergeschoben hatte und die der Assistent nur unausweichlich gemacht hat.

Der vollständige Beitrag steht in der PDF

Praxis-Schrift · gebrandet

KI für dein Unternehmen

Ihr habt einen konkreten Fall? Wir ordnen ihn ein — ohne Verkaufsgespräch.

Beschreib kurz, worum es bei euch geht. Thomas schaut sich an, ob und wie die letzte Meile zur produktionsreifen Lösung bei euch machbar ist — eine ehrliche technische Einschätzung, kein Pitch.

Kein Newsletter, kein Verteiler. Nur eine Antwort auf deine Anfrage.