Marcel Breuer's Blog
Cover Image for KI-Betriebsmodell für hybride IT: Von Pilotprojekten zu kontrolliertem Betrieb

KI-Betriebsmodell für hybride IT: Von Pilotprojekten zu kontrolliertem Betrieb

Marcel Breuer
Marcel Breuer

Viele Unternehmen haben inzwischen erste KI-Piloten gebaut, aber der Schritt in den verlässlichen Betrieb bleibt schwierig. Das Problem liegt selten nur am Modell, sondern an fehlenden Zuständigkeiten, unklaren Plattformentscheidungen und schwachen Kontrollmechanismen. Ein KI-Betriebsmodell für hybride IT hilft, Cloud, On-Premises, Security, Daten und Delivery als zusammenhängendes System zu steuern. Die These: KI wird erst dann produktionsreif, wenn sie wie ein Betriebs- und Architekturthema behandelt wird, nicht wie ein einzelnes Innovationsprojekt.

KI-Betriebsmodell für hybride IT verstehen

Ein KI-Betriebsmodell beschreibt, wie eine Organisation KI-Anwendungen plant, baut, betreibt, kontrolliert und verbessert. Es verbindet technische Architektur mit organisatorischen Regeln: Wer darf Modelle auswählen? Wer verantwortet Datenquellen? Wer prüft Risiken? Wer trägt Betriebskosten? Wer entscheidet, ob ein KI-System nur Empfehlungen gibt oder Aktionen ausführen darf?

Hybride IT bedeutet dabei nicht nur "ein Teil läuft in der Cloud, ein Teil im eigenen Rechenzentrum". Gemeint ist die reale Mischform vieler Organisationen: SaaS-Plattformen, Public Cloud, private Infrastruktur, Legacy-Systeme, zentrale Datenplattformen, Fachbereichsanwendungen, Identity-Systeme und externe KI-Dienste. KI-Anwendungen greifen häufig über diese Grenzen hinweg. Genau deshalb reicht ein reines Cloud- oder reines Data-Team-Modell nicht aus.

Ein häufiges Missverständnis ist, dass KI-Betrieb erst beginnt, wenn ein Modell produktiv geschaltet wird. Tatsächlich beginnt Betrieb viel früher: bei der Auswahl des Use Cases, der Datenfreigabe, der Risikoklassifizierung, der Architekturentscheidung und der Frage, welche Fehlertoleranz akzeptabel ist. Ein weiteres Missverständnis ist die Annahme, ein KI-Team könne alles allein lösen. In produktiven Szenarien sind mindestens IT-Management, Architektur, Security, Datenschutz, Fachbereich, Betrieb und Einkauf beteiligt.

Das Betriebsmodell schafft keinen Selbstzweck. Es soll verhindern, dass jede KI-Initiative eigene Sonderwege baut: eigene Datenkopien, eigene Berechtigungen, eigene Monitoring-Logik, eigene Anbieterprüfung und eigene Kostensteuerung. Je mehr KI-Anwendungen entstehen, desto teurer und riskanter werden solche Einzellösungen.

Warum jetzt? Treiber und Kontext

Der Druck auf IT-Organisationen steigt, KI nicht nur zu testen, sondern in konkrete Arbeitsprozesse zu integrieren. Fachbereiche erwarten Unterstützung bei Recherche, Support, Dokumentation, Analyse, Softwareentwicklung und Prozessautomatisierung. Gleichzeitig fragen Geschäftsführung, Datenschutz, Security und Betriebsrat nach Kontrolle, Nachvollziehbarkeit und Verantwortlichkeit.

Technisch werden KI-Anwendungen verteilter. Ein Chat-Interface ist nur die sichtbare Oberfläche. Dahinter liegen Retrieval-Systeme, Vektorindizes, APIs, Workflow-Engines, Observability, Identity, Policy-Prüfungen und Modellzugriffe. Manche Komponenten eignen sich gut für Public Cloud, andere müssen aus Datenschutz-, Latenz- oder Integrationsgründen nahe an internen Systemen laufen. Hybride IT wird damit nicht Ausnahme, sondern Normalfall.

Organisatorisch entsteht eine neue Reibung: Geschwindigkeit und Kontrolle müssen gleichzeitig steigen. Ein Fachbereich kann heute relativ schnell einen KI-Dienst ausprobieren. Die IT muss aber sicherstellen, dass Daten nicht unkontrolliert abfließen, Kosten nicht entgleisen und produktive Workflows nicht auf ungetesteten Annahmen beruhen. Verbote allein lösen das nicht. Ohne attraktive, freigegebene und gut betriebene Alternativen entsteht Schatten-KI.

Ökonomisch verschiebt KI die Kostenlogik. Neben Projektkosten entstehen laufende Aufwände für Modellnutzung, Inferenz, Datenaufbereitung, Monitoring, Evaluation, Prompt- und Workflow-Pflege, Plattformbetrieb und Governance. Ein KI-Betriebsmodell macht diese Kosten sichtbar und ordnet sie Entscheidungen zu. Das ist wichtig, weil ein Pilot mit wenigen Nutzenden anders funktioniert als ein Dienst, der täglich in kritischen Arbeitsabläufen verwendet wird.

Wie ein KI-Betriebsmodell funktioniert

Ein tragfähiges KI-Betriebsmodell besteht aus mehreren Bausteinen, die gemeinsam wirken. Es braucht keine große Bürokratie, aber klare Mindeststandards. Entscheidend ist, dass jedes KI-Vorhaben denselben Weg durch Bewertung, Architektur, Umsetzung und Betrieb nimmt.

Zentral ist ein KI-Intake-Prozess. Neue Ideen werden nicht nur nach Attraktivität bewertet, sondern auch nach Datenbedarf, Risiko, Integrationsaufwand, erwarteter Nutzung, Betriebsmodell und Kostenprofil. Dabei entsteht früh eine Entscheidung: Experiment, kontrollierter Pilot, produktiver Service oder Ablehnung.

Darauf folgt eine Architektur- und Plattformentscheidung. Typische Komponenten sind:

  • eine freigegebene Modell- oder Provider-Auswahl mit klaren Einsatzgrenzen
  • ein Datenzugriffskonzept mit Klassifizierung, Berechtigungen und Zweckbindung
  • Retrieval- und Kontextdienste für interne Wissensquellen
  • API- und Tool-Gateways für Aktionen in Unternehmenssystemen
  • Guardrails für Eingaben, Ausgaben, Berechtigungen und Freigaben
  • Logging, Monitoring und Evaluation für Qualität, Kosten und Risiken
  • Betriebsprozesse für Incident Handling, Änderungen, Rollback und Abschaltung

Wichtig ist die Trennung von Rollen. Das Fachteam kennt den Prozess und den Nutzen. Architektur bewertet technische Tragfähigkeit. Security und Datenschutz prüfen Risiken und Kontrollen. Betrieb definiert Verfügbarkeit, Monitoring und Support. FinOps oder Controlling machen Verbrauch und Kosten transparent. Einkauf und Legal prüfen Anbieter, Verträge und Datenverarbeitung. IT-Management sorgt dafür, dass diese Rollen nicht nur beraten, sondern tatsächlich entscheiden können.

In hybrider IT kommt eine zusätzliche Dimension hinzu: Standort und Kontrolltiefe. Nicht jede KI-Funktion muss im eigenen Rechenzentrum laufen. Nicht jede Funktion gehört automatisch in die Public Cloud. Das Betriebsmodell sollte Kriterien festlegen: Datenklassifizierung, Latenz, Integrationsnähe, Skalierbarkeit, Anbieterbindung, Kostenverhalten, regulatorische Anforderungen und Betriebsfähigkeit. Daraus entsteht eine nachvollziehbare Entscheidungslogik statt einer Grundsatzdebatte.

Praxis: Anwendungsfälle und Entscheidungslogik

Ein erster Use Case ist der interne IT-Support. Ein KI-Assistent kann Tickets zusammenfassen, ähnliche Fälle suchen, Runbooks vorschlagen und Rückfragen formulieren. Wenn die Wissensbasis gepflegt ist, Service-Ownership klar dokumentiert wird und der Assistent nur Vorschläge macht, eignet sich ein kontrollierter Pilot. Wenn der Assistent Tickets automatisch schließen oder Änderungen an Systemen auslösen soll, braucht es strengere Freigaben, Tests und Audit-Logs.

Ein zweiter Use Case liegt in der Softwareentwicklung. KI kann Pull Requests erklären, Tests vorschlagen, Dokumentation aktualisieren oder Migrationsaufgaben vorbereiten. Wenn Quellcode, Build-Systeme und Repositories hohe Vertraulichkeit haben, muss das Betriebsmodell klare Regeln für Modellzugriff, Code-Kontext und Telemetrie setzen. Wenn externe Dienste genutzt werden, sind Datenverarbeitung und Rechte besonders relevant. Wenn lokale oder private Modelle eingesetzt werden, steigen dafür Betriebs- und Plattformaufwand.

Ein dritter Use Case betrifft Wissensmanagement. Viele Organisationen wollen interne Dokumente, Richtlinien und Projektinformationen durchsuchbar und dialogfähig machen. Wenn die Quellen klassifiziert, aktuell und berechtigt zugänglich sind, kann Retrieval einen hohen Nutzen bringen. Wenn Dokumente veraltet, widersprüchlich oder unklar berechtigt sind, sollte das Vorhaben zuerst als Daten- und Governance-Projekt behandelt werden.

Ein vierter Use Case ist Management-Reporting. KI kann Statusberichte zusammenfassen, Risiken verdichten und Entscheidungsunterlagen vorbereiten. Das ist sinnvoll, wenn Datenquellen belastbar sind und klar bleibt, dass die KI keine Verantwortung für die Entscheidung übernimmt. Wenn Kennzahlen aus mehreren Systemen unterschiedlich definiert sind, muss zuerst die semantische Grundlage geklärt werden.

Die Entscheidungslogik sollte einfach bleiben: Wenn ein KI-System nur assistiert und keine sensiblen Daten verarbeitet, reicht ein schlanker Freigabeprozess. Wenn personenbezogene, vertrauliche oder regulierte Daten verwendet werden, braucht es dokumentierte Schutzmaßnahmen. Wenn das System operative Aktionen ausführt, sind Least Privilege, menschliche Freigabe, Monitoring, Tests und Rollback Pflicht. Wenn der Nutzen nur mit breiten Datenzugriffen erklärbar ist, muss der Business Case besonders kritisch geprüft werden.

Risiken, Grenzen, Kontrollmechanismen

Das erste Risiko ist Verantwortungsdiffusion. Fachbereiche erwarten Ergebnisse, die IT stellt Plattformen bereit, Security formuliert Auflagen, und am Ende fühlt sich niemand für Qualität und Betrieb zuständig. Gegenmaßnahme ist ein klarer Service Owner pro KI-Anwendung, ergänzt durch technische Owner für Plattform, Daten und Integrationen.

Das zweite Risiko ist Schatten-KI. Wenn offizielle Wege zu langsam oder unattraktiv sind, weichen Teams auf nicht freigegebene Tools aus. Gegenmaßnahmen sind ein pragmatischer Intake, ein freigegebener Werkzeugkatalog, transparente Regeln und eine Plattform, die für reale Arbeit nutzbar ist. Governance muss ermöglichen, nicht nur verhindern.

Ein drittes Risiko liegt in unkontrollierten Datenflüssen. KI-Anwendungen ziehen Kontext aus Dokumenten, Tickets, Chats, Datenbanken und APIs. Ohne Datenklassifizierung, Zugriffskontrolle und Protokollierung ist schwer nachvollziehbar, welche Informationen in welchem Workflow verarbeitet wurden. Technische Gegenmaßnahmen sind rollenbasierte Zugriffe, getrennte Identitäten für KI-Dienste, Maskierung, Protokollierung und klare Datenverarbeitungsregeln.

Qualitätsrisiken entstehen, wenn Ausgaben plausibel klingen, aber fachlich falsch sind. Dagegen helfen Evaluationen mit realistischen Testfällen, definierte Qualitätskriterien, Feedback-Schleifen und klare Grenzen für autonome Entscheidungen. Für kritische Prozesse sollte der Standard lauten: Die KI bereitet vor, ein Mensch entscheidet.

Betriebsrisiken zeigen sich in Latenzen, Ausfällen, Modelländerungen, Kostenanstiegen oder instabilen Integrationen. Ein KI-Betriebsmodell braucht deshalb klassische Betriebsdisziplin: Service-Level-Erwartungen, Monitoring, Incident-Prozesse, Änderungsmanagement und Abschaltmechanismen. KI ist kein Sonderfall außerhalb von ITIL, SRE oder DevOps. Sie erweitert diese Disziplinen um neue Qualitäts- und Risikofragen.

Umsetzung: 30-60-90-Tage-Plan

In den ersten 30 Tagen sollte die Organisation Transparenz schaffen. Dazu gehört eine Liste laufender und geplanter KI-Initiativen, inklusive Fachbereich, Datenquellen, Anbieter, Zielnutzen, Automatisierungsgrad und Risikoeinschätzung. Parallel sollte ein kleiner Kreis aus IT-Management, Architektur, Security, Datenschutz, Betrieb und FinOps ein Minimalmodell für KI-Governance definieren.

  • KI-Initiativen inventarisieren und nach Risiko clustern
  • einen KI-Intake mit wenigen Pflichtfragen einführen
  • Rollen für Service Ownership, Datenverantwortung und Plattformbetrieb benennen
  • erlaubte und nicht erlaubte Nutzungsszenarien grob festlegen
  • einen priorisierten Pilot auswählen, der echten Nutzen hat und begrenzbar bleibt

Nach 60 Tagen sollte ein kontrollierter Pilot nach einheitlichem Muster laufen. Ziel ist nicht maximale Reichweite, sondern Lernfähigkeit. Der Pilot sollte Logging, Kostenmessung, Qualitätsfeedback, Datenfreigaben und Betriebsverantwortung enthalten. Wichtig ist, dass nicht nur die Funktion bewertet wird, sondern auch das Betriebsmodell selbst.

  • Referenzarchitektur für den Pilot dokumentieren
  • Datenzugriffe, Berechtigungen und Provider-Nutzung prüfen
  • Guardrails für sensible Eingaben, Ausgaben und Aktionen einrichten
  • Kosten- und Nutzungsmetriken erfassen
  • Feedback aus Fachbereich, Betrieb und Security auswerten

Nach 90 Tagen sollte die Organisation entscheiden, welche Teile standardisiert werden. Das kann ein freigegebener Modellzugang sein, ein Retrieval-Service, ein Tool-Gateway, ein Evaluationsprozess oder ein wiederverwendbares Risikoprofil. Gleichzeitig sollten Vorhaben gestoppt oder neu zugeschnitten werden, wenn Nutzen, Datenqualität oder Betrieb nicht tragfähig sind.

  • KI-Servicekatalog mit freigegebenen Plattformbausteinen aufbauen
  • wiederverwendbare Policies für Daten, Modelle und Tool-Aufrufe definieren
  • Betriebsprozesse für produktive KI-Anwendungen festlegen
  • FinOps-Reporting für KI-Verbrauch etablieren
  • Skalierungsentscheidung pro Use Case treffen: ausbauen, begrenzen oder beenden

Fazit

Ein KI-Betriebsmodell ist kein Verwaltungsprojekt, sondern die Grundlage für verlässliche KI in hybrider IT. Es bringt die richtigen Rollen an einen Tisch und sorgt dafür, dass Architektur, Security, Kosten und Delivery nicht getrennt voneinander entschieden werden. Der größte Nutzen entsteht, wenn Governance früh genug greift, aber pragmatisch genug bleibt, um produktive Teams nicht auszubremsen. Wer jetzt ein schlankes Operating Model etabliert, kann KI-Anwendungen schneller und kontrollierter in den Betrieb bringen.

Wenn Sie KI-Initiativen in Ihrer Organisation bündeln wollen, starten Sie mit einem ehrlichen Inventar und einem begrenzten Pilot, der das Betriebsmodell bewusst mit testet.

Zurück