Je intelligenter KI-Systeme werden, desto deutlicher wird: Modelle allein skalieren nicht. Viele Anwendungen beginnen mit einem Modell im Zentrum und improvisieren den Rest. Das funktioniert, solange das System nur Fragen beantworten soll. Doch sobald es handeln, Entscheidungen treffen oder mehrere Schritte koordinieren muss, stößt dieser Ansatz an seine Grenzen. Die Architektur bricht nicht spektakulär in sich zusammen, sondern sie zerfasert über die Zeit: in Workarounds, Sonderfälle und unkontrollierbare Abhängigkeiten.

Die eigentliche Frage beim Systementwurf lautet deshalb nicht, wie man ein Modell verbessert, sondern wie man ein System baut, das intelligenter werden darf, ohne instabil zu werden. Wer versteht, wie ein KI-System aufgebaut ist und wie sich die Rollen seiner Schichten verändern, kann Anwendungen entwickeln, die nicht von der nächsten Modellgeneration überrollt werden, sondern von ihr profitieren und sie nahtlos integrieren.

Moderne KI-Systeme bestehen nicht aus einem Modell mit etwas Logik darum herum, sondern aus klar abgegrenzten Schichten, die jeweils eine eigene Verantwortung tragen und gemeinsam bestimmen, wie intelligent ein System werden kann.

Die Schichten eines KI-Systems

Die Architektur eines KI-Systems lässt sich in fünf Schichten gliedern: Präsentation, Orchestrierung, Integration, Wissen und Infrastruktur. Jede Schicht erfüllt eine eigene Rolle im Gesamtsystem und hat Auswirkungen darauf, wie es Aufgaben formuliert, Entscheidungen trifft, Informationen nutzt und Aktionen ausführt. Erst im Zusammenwirken entsteht ein System, das nicht nur Antworten liefert, sondern handeln kann, und das auch dann stabil bleibt, wenn sich die Umgebung ändert und Modelle sich weiterentwickeln.

1. Präsentation – die Formulierung von Bedeutung und Rückgabe

Die Präsentationsschicht ist die Stelle, an der ein KI-System erfährt, worum es überhaupt geht. Hier wird eine menschliche Absicht oder ein Ziel so formuliert, dass das System damit arbeiten kann – sei es über eine Benutzeroberfläche, über eine API oder über interne Mechanismen wie Rollen und Systemprompts, die den Rahmen der Interaktion festlegen. Doch die Präsentationsschicht liefert nicht nur die Aufgabenstellung, sondern auch den Kontext, den das System für die Bearbeitung benötigt: Ziele, Einschränkungen, Hintergrundinformationen und Rollen.

Ebenso wichtig wie die Eingabe ist auch die andere Richtung: Die Präsentationsschicht bestimmt, in welcher Form die KI Ergebnisse zurückgibt, ob als natürlichsprachliche Antwort, als strukturierte Daten für andere Systeme oder als visuelle Darstellung. Damit bildet diese Schicht die kommunikative Hülle des Systems: Sie definiert, was das System tun soll und wie es seine Ergebnisse für Menschen oder andere Systeme aufbereitet.

Sobald die Aufgabe klar formuliert ist, übernimmt die nächste Schicht, die Orchestrierung, und kümmert sich um den Lösungsweg.

2. Orchestrierung – die Steuerung des Verhaltens

In der Orchestrierungsschicht entsteht aus einer formulierten Aufgabe ein konkreter Ablauf. Diese Schicht strukturiert die Bearbeitung: Sie zerlegt die Aufgabe in einzelne Schritte, wählt die passenden Komponenten aus und legt fest, in welcher Reihenfolge das System sie abarbeiten soll. Diese Schicht steuert die Ausführung, bewertet Zwischenergebnisse und reagiert auf unerwartete Situationen. Dazu gehört auch, Fehler abzufangen, alternative Wege zu wählen und sicherzustellen, dass das Ergebnis der ursprünglichen Intention entspricht. In dieser Schicht liegen Workflows, Pipelines, Policies, Guards und Routing-Logik – alles, was bestimmt, wie das System arbeitet.

Die Orchestrierung trifft Entscheidungen über Ablauf, Struktur und Kontrolle, nicht aber darüber, womit das System interagiert oder welches Wissen es nutzt. Damit bildet sie das operative Zentrum: Sie sorgt dafür, dass aus einer Aufgabenstellung ein nachvollziehbares, konsistentes Verhalten entsteht.

Sobald klar ist, welche Schritte notwendig sind, greift die nächste Schicht, die Integration, und stellt die Verbindung zur Außenwelt her.

3. Integration – die Verbindung zur Außenwelt

Die Integrationsschicht verbindet die internen Abläufe des Systems mit seiner Umgebung. Während die Orchestrierung festlegt, wie eine Aufgabe ausgeführt wird, stellt die Integration die Mittel bereit, um dafür auf Daten, Dienste und Funktionen außerhalb des Systems zuzugreifen. Mit dieser Schicht erhält das System die Fähigkeit, Informationen abzurufen oder externe Funktionen auszuführen. Damit definiert sie den Handlungsspielraum des Systems: welche Dienste erreichbar sind, welche Datenquellen genutzt werden können und welche Operationen grundsätzlich erlaubt sind. Technisch umfasst diese Schicht Schnittstellen wie APIs, Adapter, Connectors, Tools oder Datenbankzugriffe.

Die Integration stellt Möglichkeiten bereit, trifft aber keine Entscheidungen darüber, wann oder warum das System sie nutzen soll. Diese Verantwortung bleibt bei der Orchestrierung. Sobald klar ist, welche Informationen das System benötigt oder welche Daten bereitstehen müssen, übernimmt die nächste Schicht, die Wissensschicht, und strukturiert das dafür notwendige Wissen.

4. Wissen – das Gedächtnis und die Struktur des Wissens

Die Wissensschicht gleicht eine grundlegende Einschränkung moderner Sprachmodelle aus: Sie bringen zwar umfangreiches Sprach- und Weltwissen mit, doch dieses endet zum Zeitpunkt des Trainings. Informationen, die später entstehen oder organisationsspezifisch sind, müssen außerhalb des Modells vorliegen.

Hier setzt die Wissensschicht an. Sie stellt Wissen unabhängig vom Modell bereit, strukturiert es und hält es aktuell. Dazu gehören nicht nur Fakten und Dokumente, sondern auch Kontext, Historie und domänenspezifische Zusammenhänge. Technisch umfasst sie Datenbanken, Vektor-Stores, Wissensgraphen, Dokumente und Metadaten. Die Wissensschicht legt fest, was das System weiß und welche Informationen für eine Aufgabe relevant sind. Sie entscheidet jedoch nicht, wann dieses Wissen genutzt wird oder wie es in den Ablauf eingebettet wird. Das bleibt die Aufgabe der Orchestrierung.

Sobald das relevante Wissen bereitsteht, übernimmt die nächste Schicht, die Infrastruktur, und stellt die technischen Bedingungen bereit, unter denen das gesamte System zuverlässig läuft.

5. Infrastruktur – die technischen Bedingungen des Betriebs

Die Infrastrukturschicht stellt sicher, dass ein KI-System dauerhaft und unter realen Bedingungen zuverlässig arbeitet. Sie bildet das technische Fundament, auf dem alle anderen Schichten aufbauen, und definiert die Betriebsqualität des Systems: Verfügbarkeit, Sicherheit und Skalierbarkeit. Auf technischer Ebene umfasst sie Aspekte wie Rechenleistung, Speichernetzwerke, Identitäten, Deployment-Mechanismen und das Monitoring des Systemzustands.

Die Schichtenarchitektur zeigt, wie ein KI-System aufgebaut ist und wie seine Intelligenz entsteht. Das Sprachmodell selbst ist darin nicht enthalten, was zur entscheidenden Frage führt: Welche Rolle spielt das Modell wirklich?

Das Modell – ein Baustein, aber nicht der Kern des Systems

Intuitiv könnte man das Modell für den Kern eines KI-Systems halten. Doch in der Systemarchitektur ist es keine eigene Schicht, sondern ein kognitiver Baustein, den die Architektur zum Bereitstellen bestimmter Fähigkeiten nutzt: Sprachverständnis, Mustererkennung, Planung, Extraktion oder Klassifikation. Moderne Systeme verwenden dafür nicht ein einzelnes Modell, sondern eine ganze Reihe spezialisierter Modelle, die je nach Aufgabe eingesetzt werden.

Diese Modelle bilden eine eigene Ebene, die neben den fünf Schichten liegt. Jede Schicht kann auf Modelle zugreifen, nutzt sie jedoch für unterschiedliche Zwecke.

Die Präsentationsschicht verwendet Modelle, um natürliche Sprache zu verstehen und aus offenen Formulierungen strukturierte Aufgaben zu erzeugen. Die Wissensschicht nutzt Embedding-Modelle, um relevante Informationen zu finden oder Dokumente semantisch zu verknüpfen. In der Integrationsschicht können externe Agenten angebunden sein, die wiederum über eigene Modelle verfügen und deren Fähigkeiten in das System einfließen lassen. Selbst die Infrastrukturschicht kann Modelle einsetzen, etwa um Betriebszustände zu analysieren, Anomalien zu erkennen oder Lastverhalten vorherzusagen. Die zentrale Instanz, die entscheidet, welches Modell wann und wofür genutzt wird, ist die Orchestrierung. Sie kombiniert Modellaufrufe, bewertet deren Ergebnisse, bindet sie in Prozesse ein und kontrolliert ihren Einsatz. Die Integration liefert die Daten und ermöglicht Interaktion mit der Umgebung, die Wissensschicht ergänzt, was das Modell nicht wissen kann, die Präsentation bereitet Aufgaben für das Modell auf und die Infrastruktur stellt den Betrieb technisch sicher.

Evolution der Schichten zu einem intelligenten System

Je autonomer ein System wird, desto stärker verlagert sich seine Intelligenz aus den Modellen in die Architektur. Nicht die Modelle legen fest, wie ein System denkt und handelt, sondern die Architektur: Sie strukturiert Ziele, bereitet Entscheidungen vor, ordnet Wissen, ermöglicht Aktionen und setzt Grenzen – und nutzt dafür gezielt unterschiedliche Modelle.

Erst das Zusammenspiel der Schichten macht ein System handlungsfähig. Modelle bleiben wichtige Bausteine, die die kognitiven Fähigkeiten liefern, die jede Schicht für ihre Aufgaben benötigt – doch die Architektur bestimmt, wie weit ein System wachsen kann und wie autonom es tatsächlich agiert.

Der Fachdienst heise KI PRO veranstaltet am 7. Juli 2026 um 16 Uhr ein Webinar zum Thema KI-Sicherheit im Unternehmen. Generative KI ist in vielen Organisationen längst Teil des Arbeitsalltags: Mitarbeitende greifen auf Chatbots, KI-Assistenten und neue Funktionen in bestehenden Tools zurück. Oft schneller, als Regeln, Prozesse und Sicherheitskonzepte nachziehen können. Genau hier setzt das KI PRO-Webinar an und beleuchtet aus Anwenderperspektive, welche Daten in KI-Systemen landen, wo neue Risiken entstehen, welche Fehler im Alltag passieren und mit welchen Maßnahmen sich Risiken früh erkennen und mindern lassen.

Im Mittelpunkt steht die Frage, worauf jede und jeder im Arbeitsalltag achten kann, auch ohne Spezialwissen in Cybersecurity. Damit bietet die Veranstaltung eine erste Orientierung für Unternehmen, die KI produktiv einsetzen wollen.

Vom Umgang mit Daten bis zu sicheren Workflows

Inhaltlich geht es um typische Sicherheitsfragen rund um den Einsatz generativer KI: den Umgang mit vertraulichen Daten, Risiken durch unkontrollierte Tool-Nutzung, mögliche Manipulationen von KI-Ausgaben sowie die Sensibilisierung von Mitarbeitenden für einen sichereren KI-Einsatz. Der Fokus liegt auf der Anwendungsebene, also auf dem, was Teams, Führungskräfte und KI-Verantwortliche wissen sollten, wenn sie KI-Tools einführen oder bereits nutzen. Diskutiert wird auch, welche Risiken sich mit klaren Regeln, durchdachten Workflows und Schutzmaßnahmen reduzieren lassen und wann die Zusammenarbeit mit IT und Security notwendig wird.

Das Webinar richtet sich an alle, die KI-Technologien jenseits von Experimenten produktiv im Unternehmen nutzen möchten. Sie eignet sich besonders für Teilnehmende, die KI aus Anwender- und Organisationssicht betrachten und eine erste Orientierung zu Sicherheitsfragen suchen. Cybersecurity-Vorwissen ist nicht erforderlich.

Hier geht es zur Anmeldung: Webinar-Platz sichern

(Kim M. Scheurenbrand)

Lange stand bei Veeam die Wiederherstellung nach Ausfällen und Ransomware im Mittelpunkt. Doch jetzt steht ein Kurzwechsel an: Resilienz allein reiche nicht mehr, wenn autonome KI-Agenten im Unternehmen arbeiten. Sie handeln mit Maschinengeschwindigkeit und können bei Fehlverhalten Daten verändern, neu erzeugen oder löschen. Veeam bezeichnet sich inzwischen als „Data and AI Trust Company“ und will damit weg vom Bild des reinen Backup-Anbieters. Die zentrale Frage laute nicht mehr nur, ob sich Daten wiederherstellen lassen, sondern ob den Daten überhaupt zu trauen ist, mit denen die KI arbeitet.

Das neue Risiko sind Agenten

Nicht mehr nur der Angreifer von außen sei das Problem, sondern zunehmend der autorisierte Agent, der aus dem Ruder laufe. Nach einer von Veeam beauftragten Befragung nutzen oder testen 88 Prozent der Unternehmen bereits KI-Agenten, nur sieben Prozent gelten demnach als wirklich KI-reif. 97 Prozent der Agenten verfügen laut der Erhebung über zu weitreichende Berechtigungen. Veeam-Chef Anand Eswaran formuliert das so: Die meisten Organisationen hätten kein KI-Adoptionsproblem, sondern ein KI-Vertrauensproblem. Unternehmen müssten nachvollziehen können, welche Daten wann von wem oder von welchem Agenten verändert wurden.

Wie groß die Lücke zwischen Anspruch und Wirklichkeit ist, zeigt eine zweite, ebenfalls von Veeam beauftragte Erhebung unter 250 Entscheidern in deutschen Unternehmen, die der Hersteller am 10. Juni in München vorlegte. 94 Prozent geben darin an, Datensouveränität gut zu verstehen. 82 Prozent räumen zugleich ein, dass die Beschleunigung von KI-Projekten Vorrang vor wirksamen Datenkontrollen habe. Als größte blinde Flecken nennen die Befragten Daten, die für KI und Analysen genutzt werden, mit 40 Prozent sowie Schatten-IT außerhalb der Governance mit 37 Prozent. Besonders heikel wird es beim Aufräumen nach Fehlern: Nur 48 Prozent trauen sich zu, kritische Daten nach einem KI-bedingten Fehler verlässlich wiederherzustellen.

Den Druck spüren vor allem die Chefetagen. 42 Prozent der deutschen Führungskräfte nennen die Sorge vor persönlicher Haftung als Hauptfolge der gewachsenen Verantwortung, 39 Prozent berichten von mehr Stress. Bemerkenswert ist, dass nur 53 Prozent überhaupt davon ausgehen, persönlich für die Cyberresilienz ihres Unternehmens geradezustehen, obwohl die NIS2-Vorgaben genau das vorsehen. Armin Müller, bei Veeam Regional Vice President für Mitteleuropa, sagt dazu, wer KI mit Vollgas einführe, ohne die Kontrolle über die Daten zu sichern, riskiere nicht nur Compliance-Verstöße, sondern auch das Vertrauen von Kunden und Partnern.

Eine Plattform, fünf Domänen

Technisch bündelt Veeam die Antwort in der DataAI Command Platform, die fünf Bereiche vereint: Security, Governance, Compliance, Privacy und Resilience. Resilienz bleibt dabei Teil der Plattform und zugleich das Fundament aus dem bisherigen Backup-Geschäft. Über Konnektoren, die als Datenbrücken zwischen den Quellsystemen und der Plattform dienen, bindet Veeam Anwendungen wie Salesforce, Microsoft 365 oder Cloud-Speicher ein. Nach Angaben des Herstellers werden dabei nur Metadaten übertragen, nicht die eigentlichen Datensätze. Das soll den Ansatz für große Datenmengen skalierbar machen. Auf dieser Basis verknüpft die Plattform Daten, Identitäten, KI-Modelle und Risiken im DataAI Command Graph. Daraus sollen sich riskante Kombinationen ablesen lassen, etwa ein offen im Netz erreichbarer Cloud-Speicher mit sensiblen Daten oder ein Bewerbungsordner, in dem versehentlich eine Kreditkartennummer landet.

Den technischen Unterbau liefert die Graph-Technik des DSPM-Spezialisten Securiti AI. Veeam hatte den Zukauf im Oktober 2025 angekündigt und die Übernahme am 11. Dezember 2025 abgeschlossen. Der Kaufpreis lag bei 1,725 Milliarden US-Dollar. Nach Branchenberichten war es die mit Abstand größte Akquisition in der Firmengeschichte.

Veeam will das gesamte Portfolio perspektivisch auf die Plattform heben und beginnt bei den Cloud-Diensten. Den Anfang macht Microsoft 365. Dort führt Veeam auch eine präzise Wiederherstellung ein, die erfassen soll, ob ein Mensch oder ein Agent eine Datei verändert oder gelöscht hat. Verfügbar ist bislang ein Consent Agent, der Einwilligungen wie Cookie-Präferenzen oder Marketing-Widersprüche erfassen und systemübergreifend durchsetzen soll. Im dritten Quartal 2026 sollen zwei weitere Agenten folgen.

Offen bleibt die Frage, wie sich autonome Agenten zuverlässig kontrollieren lassen. Hier gibt sich Veeam nüchtern. Man könne sich zwar beliebig viele Schutzmechanismen ausdenken, alles lasse sich damit nie absichern. Genau deshalb brauche es am Ende weiter Resilienz. Richtet ein Agent trotz aller Kontrollen Schaden an, greift aus Veeams Sicht das alte Kerngeschäft: die Wiederherstellung.

Breiterer Hypervisor-Support im Schatten von Broadcom

Ein weiterer Teil der Ankündigungen zielt auf Unternehmen, die nach der VMware-Übernahme durch Broadcom und der verschärften Lizenzpolitik ihre Virtualisierungsstrategie überdenken. Mit der für Sommer 2026 angekündigten Version 13.1 der Veeam Data Platform weitet der Hersteller den Hypervisor-Support deutlich aus. Neu hinzu kommen Red Hat OpenShift Virtualization, Sangfor aSV, Vates XCP-ng und Citrix XenServer. Zusammen mit der bestehenden Unterstützung für VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Proxmox VE und HPE VM Essentials deckt Veeam damit nach eigenen Angaben 95 Prozent der heute gängigen Hypervisoren ab.

Möglich machen soll das eine Universal Hypervisor API, ein offenes Integrationsframework, über das Hypervisor-Anbieter ihre Anbindung selbst entwickeln und pflegen, während Veeam sie validiert und unterstützt. Für gemischte Virtualisierungsumgebungen und für Unternehmen, die sich von einem einzelnen Anbieter lösen wollen, ist vor allem ein Detail interessant: Alle neuen Hypervisoren sollen von Beginn an eine plattformübergreifende, portable Wiederherstellung bieten. Workloads lassen sich damit zwischen Umgebungen bewegen, ohne das Backup-Werkzeug zu wechseln.

(fo)