Wer KI wirklich nutzen will, fängt bei den Daten an.
Manchmal hört man Sätze, die alles auf einen Punkt bringen. Neulich erzählte uns jemand aus einem grossen Unternehmen von seinem neuen Jahresziel: «Wir müssen jetzt irgendwie was mit KI machen.» Nicht ein konkretes Problem, kein messbares Ziel, einfach irgendetwas mit KI.
Der Rest läuft dann meist nach demselben Muster ab. Überall entstehen Pilotprojekte, neue Assistenten werden getestet, Teams experimentieren mit den neuesten Tools. Anfangs sieht vieles beeindruckend aus, doch dann kommt unweigerlich die Frage: Darf die KI eigentlich auf diese Daten zugreifen?
Ab diesem Moment geht es nicht mehr um das Modell. Stattdessen tauchen Themen auf, die in vielen Unternehmen seit Jahren ungelöst nebeneinander existieren. Die Daten liegen verteilt in verschiedenen Systemen. Berechtigungen wurden historisch gewachsen aufgebaut. Manche Informationen dürfen intern geteilt werden, andere nicht. Fachbereiche testen neue KI-Tools oft schneller, als Governance und IT nachkommen können und dann stehen plötzlich Fragen im Raum, die niemand auf dem Radar hatte.
Wer darf was sehen und wer trägt die Verantwortung?
Wer darf welche Informationen sehen? Welche Daten dürfen das Unternehmen verlassen? Wie verhindert man, dass ein Agent Inhalte kombiniert, die nie gemeinsam sichtbar sein sollten? Die Frage nach der Verantwortung stellt sich dabei fast von selbst.
Das sind keine IT-Fragen, das sind Organisationsfragen. Genau deshalb wird Architektur plötzlich wichtiger als die eigentliche KI.
MCP schafft den Zugang, löst aber nicht alles
Im Moment wird rund um MCP, das Model Context Protocol, viel diskutiert. Vereinfacht gesagt schafft MCP einen standardisierten Weg, wie KI-Systeme auf Unternehmensdaten und Systeme zugreifen können, ohne dass für jede Kombination aus Modell und System eine eigene Integration gebaut werden muss. Das ist nützlich, löst aber noch nicht das eigentliche Problem. Denn ein MCP-Server regelt primär, worauf ein Modell zugreifen darf, nicht was danach mit diesen Informationen passiert.
Wer sensible Daten an externe Modelle schickt, muss darauf vertrauen, was der Anbieter mit diesen Informationen macht. Wer dieses Vertrauen nicht delegieren will, hat zwei Möglichkeiten: selbst gehostete Modelle in der eigenen Infrastruktur, oder private Cloud-Deployments bei Anbietern wie Azure oder AWS, wo Daten das eigene Netzwerk nicht verlassen. In beiden Fällen bleiben Daten und Modelle unter der eigenen Kontrolle, ohne dass man zwingend einen eigenen Server betreiben muss.
Klein anfangen, kontrolliert wachsen
Gerade beim Einstieg in lokal kontrollierte Modelle, ob self-hosted oder als private Cloud-Deployment, hat sich ein Ansatz als sinnvoll gezeigt: kleine spezialisierte Agenten mit klar definierten Aufgaben, statt eines grossen Universalagenten der möglichst alles kann. Ein Agent analysiert Support-Tickets, ein anderer bereitet Forecast-Daten auf, ein dritter unterstützt beim Wissenszugriff für bestimmte Rollen. Das wirkt weniger spektakulär, ist aber im Alltag deutlich kontrollierbarer. Berechtigungen bleiben nachvollziehbar, das Need-to-know-Prinzip lässt sich sauber umsetzen. Später können diese spezialisierten Agenten in einem übergeordneten System zusammenwachsen, aber das ist ein zweiter Schritt.
Dabei ist auch entscheidend, wie ein MCP-Server aufgebaut ist. Ein gut designter MCP-Server ist kein Durchlauferhitzer, der einfach rohe API-Anfragen ans Modell weiterleitet. Er definiert stattdessen gezielt, was ein Modell tun darf und nicht einfach alles, was das darunterliegende System technisch könnte. Inputs werden validiert, Berechtigungen geprüft, interne Details bleiben verborgen. Das ist der Unterschied zwischen einer KI, die kontrolliert im Unternehmen arbeitet, und einer, die unkontrolliert in Systemen herumstochert.
Bei Datalizard beschäftigen wir uns seit über zwanzig Jahren mit der Schnittstelle zwischen Daten, Prozessen und operativer Realität. Früher ging es dabei vor allem um Integration und Datenqualität. Heute fliessen dieselben Prinzipien in unsere Arbeit mit MCP-Architekturen ein. Denn am Ende entscheidet nicht das beeindruckendste Modell über den Erfolg einer KI-Initiative, sondern ob ein Unternehmen seine eigenen Daten wirklich im Griff hat.
Lizard Learning:
Der Einstieg in Agentic AI beginnt selten mit einem grossen Universalagenten. Kleine spezialisierte Agenten mit klar definierten Datenzugriffen sind kontrollierbarer und im Alltag realistischer. MCP regelt den Zugriff, aber was ein Agent danach mit den Daten macht, liegt ausserhalb des Protokolls. Wer diese Kontrolle wirklich behalten will, braucht lokal kontrollierte Modelle, ob self-hosted oder als private Cloud-Deployment.
