Das stille Leck
Warum das größte Problem bei KI im Unternehmen nicht die Technik ist, sondern eine einzige, unscheinbare Frage.
Stellen Sie sich vor …
Ihr Unternehmen zieht in ein neues Bürogebäude. Großzügige Räume, modernste Ausstattung. Und am Empfang: ein sehr freundlicher, blitzgescheiter Assistent, der jeden Besucher sofort mit allen Informationen über alle Abteilungen versorgt — Verträge, Gehaltslisten, laufende Verhandlungen. Alles. Niemand würde das so bauen. Und doch: Genau so funktionieren viele Cloud-KI-Lösungen, die gerade in Unternehmen ausgerollt werden. Der Assistent weiß alles. Der Assistent sagt alles.
Nur eine Frage stellt er nicht: Darf ich das überhaupt sagen?
Eine Frage, die alles verändert
In jedem Unternehmen gibt es Dokumente, auf die nicht jeder zugreifen darf. Das ist kein Misstrauen — das ist Struktur. Der Azubi im Vertrieb sieht andere Dinge als der CFO, die Entwicklerin in einem Projekt andere Dinge als die Kollegin aus dem Nachbarprojekt. Diese Zugriffsrechte wurden mit Bedacht aufgebaut, über Jahre, in Active Directory, SharePoint, Confluence, dem Fileserver.
Jetzt kommt ein KI-Assistent ins Haus. Er soll auf alle diese Quellen zugreifen, um Fragen zu beantworten, Zusammenfassungen zu erstellen, Wissen zu mobilisieren. Und hier stellt sich die entscheidende Frage — die erstaunlich selten gestellt wird: Wenn ein Mitarbeiter fragt „Was steht im aktuellen Gehaltsband für Senior Engineers?", woher weiß der Assistent dann, ob dieser Mitarbeiter das überhaupt sehen darf?
Bei Cloud-KI-Lösungen lautet die ehrliche Antwort oft: Er weiß es nicht. Oder schlimmer: Er prüft es gar nicht — weil die Daten beim Einlesen in den Vektorindex einmal für alle zugänglich gemacht wurden, ohne Rücksicht auf die ursprünglichen Zugriffsrechte aus den Quellsystemen.
Das stille Leck
Es gibt keinen Alarm, wenn jemand über die KI auf Inhalte zugreift, die nicht für ihn bestimmt sind. Keine Fehlermeldung, keine rote Markierung. Der Assistent antwortet einfach — höflich, präzise, blitzschnell. Und niemand merkt, dass gerade eine Grenze überschritten wurde, die jahrelang selbstverständlich galt. Das ist kein hypothetisches Szenario, sondern die logische Konsequenz eines Architekturentscheids: Wer Daten in einen gemeinsamen Index schreibt, löscht die Zugriffsstruktur der Quellen.
Beispiel gefällig? Microsoft Copilot for Enterprise
Nehmen Sie Microsoft Copilot for Microsoft 365 als Beispiel. Das System scannt alles, worauf ein Nutzer Zugriff hat (SharePoint, Teams, Outlook) und liefert Antworten quer über alle diese Quellen. Das klingt mächtig. Und das ist es auch. Aber genau darin liegt das Problem.
Sicherheitsexperten und Praxisberichte zeigen ein wiederkehrendes Muster: Sind Zugriffsrechte auch nur leicht veraltet oder fehlerhaft konfiguriert – etwa durch sogenannte „vererbte" Berechtigungen, die sich im Laufe der Jahre angesammelt haben – kann Copilot vertrauliche Inhalte wie Gehaltsstrukturen, Kündigungspläne oder Performance-Reviews in Antworten einfließen lassen. Nicht absichtlich. Nicht böswillig. Einfach weil niemand ihm gesagt hat, was er nicht sagen darf.
Microsoft selbst macht keinen Hehl daraus: „Oversharing ist eines der größten Risiken bei Copilot-Deployments." Eine Analyse von Concentric AI beziffert das Ausmaß: Im Schnitt sind pro Organisation rund 800.000 Dateien übermäßig zugänglich. Das entspricht etwa 16 Prozent aller geschäftskritischen Daten.1
Erschwerend hinzu kommt: Knostic2 dokumentiert Verzögerungen bei der Aktualisierung von Zugriffsrechten, die kurzzeitige Datenlecks ermöglichen – ein Zeitfenster, das im Zweifel ausreicht. Und IT-Teams berichten mit bemerkenswerter Einheitlichkeit: „Wir prüfen Berechtigungen vorab. Aber ab einer gewissen Skalierung hält kein manuelles Audit mehr Schritt."
„Das Unternehmen hat Türen mit Schlössern — und dann kommt die KI und zieht die Wände raus."
Rechte, die mitreisen
Der Ansatz von Silent AI ist konzeptionell anders. Zugriffsrechte werden nicht neu definiert, nicht neu konfiguriert, nicht dupliziert. Sie werden geerbt. Direkt aus AD und LDAP, aus den Quellsystemen, ohne Ausnahmen.
| Nutzer | Frage | Antwort basiert auf … |
|---|---|---|
| Maria, Controlling | „Wie hoch ist das Budget für Q3?" | Dokumente, die Maria lesen darf |
| Klaus, Vertrieb | „Wie hoch ist das Budget für Q3?" | Dokumente, die Klaus lesen darf |
Dieselbe Frage, zwei verschiedene Antworten — weil zwei verschiedene Berechtigungsstrukturen gelten. So wie es immer war. Technisch gesprochen: Jede Anfrage an die RAG-Engine wird gegen die bestehenden Zugriffsrechte des anfragenden Nutzers geprüft. Kein Dokument, kein Abschnitt, kein Chunk landet in einer Antwort, für die keine Leseberechtigung vorliegt.
Vertrauen ist keine Funktion. Es ist eine Architektur.
Viele Unternehmen zögern beim KI-Einsatz nicht wegen der Kosten. Sie zögern, weil sie spüren, dass etwas nicht stimmt — ohne genau benennen zu können, was. Dieses Unbehagen hat oft einen Namen: mangelndes Vertrauen in die Beherrschbarkeit des Systems. Ein KI-Assistent, der die Zugriffsstruktur Ihres Unternehmens respektiert, ist kein nettes Feature. Er ist die Grundvoraussetzung dafür, dass das Werkzeug überhaupt eingesetzt werden kann — ohne juristische Risiken, ohne DSGVO-Bedenken, ohne interne Konflikte.
Der Schlüssel gehört dem, dem er gehört. Das war nie eine Frage der Technik — es war immer eine Frage des Vertrauens. Silent AI gibt darauf eine technische Antwort: vollständig lokal, ohne Cloud, ohne Kompromisse.
Quellen:
1. https://concentric.ai/too-much-access-microsoft-copilot-data-risks-explained/
