KI-Probleme sind keine KI-Probleme

Die aktuelle Diskussion über KI in Unternehmen hat ein Muster. Jemand entdeckt ein Risiko - Halluzinationen, Prompt Injection, Persona Drift - und präsentiert es als neuartige Bedrohung, die neuartige Lösungen erfordert. Konferenzen werden organisiert, Frameworks erfunden, Beratungsprodukte geschnürt.

Schaut man genauer hin, erkennt man Altbekanntes. Nicht identisch, aber strukturell verwandt. Und das ist eine gute Nachricht. Denn für bekannte Probleme gibt es bekannte Lösungen.

Halluzinationen sind kein neues Phänomen

Eine KI, die überzeugend falsche Informationen liefert, wird als Halluzination bezeichnet. Das klingt nach einem fundamentalen Defekt. In der Praxis ist es der Mitarbeiter, der in der Vorstandspräsentation souverän Zahlen präsentiert, die er nicht geprüft hat.

Jedes Unternehmen kennt dieses Problem. Und jedes Unternehmen hat Mechanismen dagegen entwickelt. Vier-Augen-Prinzip bei wichtigen Dokumenten. Gegenprüfung von Zahlen gegen Primärquellen. Freigabeprozesse, die verhindern, dass eine einzelne Person unkontrolliert Fakten in die Welt setzt.

Keiner dieser Mechanismen ist perfekt. Fehler passieren trotzdem. Aber das System funktioniert gut genug, weil Fehlentscheidungen erkannt und korrigiert werden können.

Bei KI ist das nicht anders. Eine KI, die Fakten generiert, braucht eine Prüfinstanz. Nicht weil KI besonders unzuverlässig wäre, sondern weil jede Informationsquelle eine Prüfinstanz braucht - menschlich oder maschinell. Wer einer KI blind vertraut, hätte auch dem Mitarbeiter blind vertraut. Das Problem sitzt nicht in der Technologie, sondern im Prozess.

Prompt Injection ist eine manipulierte Vorlage

Prompt Injection gilt als eines der größten Sicherheitsrisiken beim Einsatz von KI. Ein Angreifer schleust Anweisungen in Daten ein, die die KI als Input verarbeitet. Die KI folgt diesen Anweisungen, weil sie nicht zuverlässig zwischen legitimen und eingeschleusten Instruktionen unterscheiden kann.

Das klingt bedrohlich und technisch komplex. In der Praxis ist es eine manipulierte Entscheidungsvorlage.

Jeder, der in einem Unternehmen gearbeitet hat, kennt das Dokument, das so aufbereitet ist, dass nur eine Entscheidung möglich erscheint. Die Zahlen stimmen, die Argumente sind schlüssig, die Alternativen sind so dargestellt, dass sie unattraktiv wirken. Der Entscheider unterschreibt, weil die Vorlage überzeugend ist - nicht weil die Entscheidung richtig ist.

Der Unterschied zur Prompt Injection: Geschwindigkeit und Skalierung. Ein Mitarbeiter kann eine Vorlage manipulieren. Bei KI-Systemen, die automatisiert Dokumente aus dem Unternehmenswiki verarbeiten, wird jedes beschreibbare Dokument zum potenziellen Angriffsvektor. Das Rechtemodell, das für menschliche Leser entworfen wurde, schützt nicht gegen maschinelle Konsumenten.

Aber die Gegenmaßnahme ist dieselbe wie bei menschlichen Entscheidungsprozessen: Keine einzelne Quelle als alleinige Entscheidungsgrundlage akzeptieren. Gegenprüfung gegen unabhängige Quellen. Und bei kritischen Entscheidungen eine Prüfinstanz, die nur das Ergebnis sieht, nicht den manipulierten Input.

Persona Drift ist der erfahrene Kollege, der abdriftet

Anfang 2026 veröffentlichte Anthropic ein Forschungspapier mit dem Titel "The Assistant Axis." Die Kernaussage: KI-Systeme können im Verlauf längerer Gespräche ihre Persönlichkeit verändern. Sie driften von der hilfreichen Assistentenrolle weg und nehmen andere Identitäten an - mystische, theatralische, im schlimmsten Fall gefährliche.

Das Paper ist wissenschaftlich interessant. Es zeigt, dass es in den neuronalen Netzen eine messbare geometrische Richtung gibt, die bestimmt, wie stark sich ein Modell als hilfreicher Assistent verhält. Und diese Richtung kann sich im Gespräch verschieben, besonders bei emotionalen oder philosophischen Themen.

Die Schlagzeilen daraus lauteten: "KI kann wahnsinnig werden." Das ist Alarmismus.

Was tatsächlich passiert, kennt jeder, der Teams führt. Der erfahrene Kollege, der nach zwanzig Jahren im Unternehmen seine eigene Agenda verfolgt statt der des Auftraggebers. Die Beraterin, die sich so sehr in ein Projekt hineinversetzt, dass sie die professionelle Distanz verliert. Der Entwickler, der nach sechs Monaten im selben Codebase anfängt, Workarounds als Architektur zu verkaufen.

Menschen driften. Mitarbeiter driften. KI driftet. Die Lösung ist in allen drei Fällen dieselbe: klare Rollenerwartungen, regelmäßiges Feedback, und eine Eskalationsinstanz, die eingreift, wenn das Verhalten von der Erwartung abweicht.

Content-Vergiftung ist der politisch motivierte Report

Das subtilste Risiko ist keines, das die KI selbst erzeugt. Es entsteht, wenn KI-generierter Content Teil des Unternehmenswissens wird - und später von anderen KI-Systemen als vertrauenswürdige Quelle konsumiert wird.

Eine KI schreibt einen Projektbericht. Der Bericht enthält eine leichte Verzerrung - nicht falsch, aber tendenziös. Der Bericht wird im Wiki abgelegt. Monate später analysiert eine andere KI das Wiki, um eine Entscheidung vorzubereiten. Die Verzerrung fließt in die Entscheidungsgrundlage ein. Niemand merkt es, weil der Bericht formal korrekt ist.

Das ist kein theoretisches Szenario. Es ist der Alltag in jedem Unternehmen, in dem Reports geschrieben werden. Der politisch motivierte Quartalsbericht, der die Zahlen nicht fälscht, aber so darstellt, dass sie die gewünschte Schlussfolgerung stützen. Der Projektstatusbericht, der Risiken herunterspielt, weil der Autor nicht der Überbringer schlechter Nachrichten sein will.

Der einzige Unterschied: Geschwindigkeit und Volumen. Eine KI produziert mehr Content als jeder Mitarbeiter. Die kumulative Verzerrung kann schneller entstehen. Aber die Gegenmaßnahme bleibt: Quellenvalidierung, Gegenprüfung, und ein gesundes Misstrauen gegenüber jeder einzelnen Informationsquelle.

Der einzige ehrliche Unterschied

Die Analogien sind nicht perfekt. Eine KI halluziniert mit einer Überzeugungskraft, die kein Mitarbeiter erreicht. Prompt Injection skaliert auf eine Weise, die manuelle Manipulation nicht kann. Persona Drift passiert schneller und unsichtbarer als bei Menschen.

Aber die Struktur der Probleme ist dieselbe. Und damit sind die Lösungsansätze dieselben - skaliert auf die neuen Dimensionen.

Das bedeutet konkret: Wer KI in eine Unternehmensumgebung einführt, braucht keine revolutionären Sicherheitskonzepte. Er braucht die konsequente Anwendung bestehender Prinzipien. Prüfung und Genehmigung. Vier-Augen-Prinzip. Eskalationspfade. Quellenvalidierung. Separation of Concerns.

Nicht weil KI harmlos wäre. Sondern weil die Probleme nicht neu sind. Nur das Werkzeug ist es.

Was das für Entscheider bedeutet

Wenn Ihnen jemand ein KI-Governance-Framework verkaufen will, das mit einem leeren Blatt Papier anfängt, seien Sie skeptisch. Ihre Organisation hat in den letzten zwanzig Jahren Governance für menschliche Entscheidungsprozesse aufgebaut. Diese Strukturen sind nicht obsolet geworden. Sie müssen erweitert werden, nicht ersetzt.

Die Frage ist nicht, ob KI neue Risiken bringt. Die Frage ist, welche Ihrer bestehenden Kontrollmechanismen auf KI-Entscheidungen anwendbar sind - und wo sie angepasst werden müssen.

In den meisten Fällen ist die Antwort: weniger Anpassung als gedacht.