KI-Projekte scheitern nicht am Modell

Erfahrungsgemäß scheitern viele KI-Projekte in Banken und Versicherern nicht an der Modellqualität. Sie scheitern daran, dass die Nachweiskette reißt, weil niemand dokumentiert hat, welche Daten wann wohin geflossen sind und wer Zugriff hatte. Das Modell mag hervorragend funktionieren, aber wenn die Revision den Betrieb nicht nachvollziehen kann, geht das System nicht live.

Drei Fragen entscheiden über das Bestehen der nächsten Prüfung: Wo liegen die Daten? Wer hatte Zugriff? Welcher Schlüssel lief wann? Wer diese Fragen nicht lückenlos beantworten kann, scheitert in der Revision, lange bevor das Modell seinen Wert beweisen darf. Diese drei Fragen lohnt es deshalb, am Anfang eines Projekts zu stellen, nicht am Ende.

Erste Frage: Wo liegen die Daten?

Die erste Frage klingt banal, ist es aber nicht. In vielen KI-Projekten fließen Daten durch eine Kette von Systemen, Diensten und Zwischenspeichern, und am Ende kann niemand mehr genau sagen, wo welche Daten zu welchem Zeitpunkt lagen. Genau diese Unklarheit ist in der regulierten Welt ein Ausschlusskriterium, weil sich ohne sie weder Datenschutz noch Datenhoheit belegen lassen.

Wer die Frage beantworten will, muss den Datenfluss von Anfang an dokumentieren und kontrollieren. Jeder Ort, an dem Daten liegen oder verarbeitet werden, muss bekannt und begründet sein. Das ist Arbeit, die unbequem erscheint, solange das Projekt im Test läuft, aber sie ist die Bedingung dafür, dass es jemals produktiv wird.

Zweite Frage: Wer hatte Zugriff?

Die zweite Frage betrifft die Zugriffskontrolle. Wer durfte auf die Daten zugreifen, wer hat tatsächlich zugegriffen, und ist beides protokolliert? In vielen Projekten ist der Zugriff großzügig und schlecht dokumentiert, weil im Test alle schnell an alles herankommen sollen. Genau diese Großzügigkeit fällt der Produktivsetzung zum Opfer, weil sie sich nicht prüfungsfest belegen lässt.

Eine saubere Nachweiskette verlangt, dass Zugriffe geregelt, begründet und protokolliert sind. Es muss jederzeit nachvollziehbar sein, wer wann auf welche Daten zugegriffen hat. Das schützt nicht nur in der Revision, es schützt auch im Schadensfall, weil sich Vorfälle nur dann aufklären lassen, wenn die Zugriffe lückenlos dokumentiert sind.

Dritte Frage: Welcher Schlüssel lief wann?

Die dritte Frage betrifft die Verschlüsselung und die Schlüsselverwaltung. Welcher Schlüssel war wann im Einsatz, wer verwaltet ihn, und lässt sich die Verschlüsselung über die Zeit nachvollziehen? In der Praxis ist die Schlüsselverwaltung oft der am schlechtesten dokumentierte Teil, obwohl sie für die Sicherheit der Daten entscheidend ist.

Eine belastbare Nachweiskette schließt deshalb die Schlüsselverwaltung ein. Es muss dokumentiert sein, welche Schlüssel wann verwendet wurden und wer sie kontrolliert. Erst diese Vollständigkeit macht den Betrieb prüfungsfest und schützt vor dem Vorwurf, die Daten seien nicht angemessen gesichert gewesen.

Warum die Revision der eigentliche Engpass ist

In der öffentlichen Diskussion dreht sich bei KI fast alles um die Modelle. In der Praxis eines regulierten Finanzinstituts ist nicht das Modell der Engpass, sondern die Revision. Ein System, das die interne und externe Prüfung nicht besteht, kommt nicht in den Betrieb, ganz gleich, wie gut es funktioniert. Die Nachweiskette ist damit nicht ein bürokratisches Anhängsel, sondern der Schlüssel zur Produktivsetzung.

Wer das verinnerlicht, dreht die Reihenfolge um. Statt zuerst das Modell zu bauen und die Dokumentation am Ende nachzureichen, baut er die Nachweiskette von Anfang an mit. Die drei Fragen nach Daten, Zugriff und Schlüssel werden dann nicht zur Hürde am Ende, sondern zum Fundament, auf dem das ganze Projekt steht. Das ist unbequem, aber es ist der einzige Weg, der verlässlich in den Betrieb führt.

Die Nachweiskette gehört an den Anfang

Der gemeinsame Nenner der drei Fragen ist die Nachweiskette: die lückenlose, prüfbare Dokumentation darüber, was mit den Daten geschehen ist. Sie nachträglich herzustellen ist mühsam bis unmöglich, weil die Informationen dann oft schon verloren sind. Wer sie dagegen von Anfang an mitführt, hat die Revision bereits bestanden, bevor sie beginnt.

Wir helfen Ihnen, Ihre KI-Projekte von Anfang an mit einer belastbaren Nachweiskette aufzusetzen, damit sie die Revision bestehen und produktiv gehen, statt im Test zu verharren. Beginnen Sie mit einer Sprechstunde.