KI Business Continuity planen.
Die meisten Mittelständler haben sich an die Verfügbarkeit ihrer KI-Werkzeuge so schnell gewöhnt, dass sie kaum noch wahrnehmen, wie abhängig ihr Tagesgeschäft mittlerweile davon ist. Das fällt erst auf, wenn eine API für drei Stunden ausfällt, ein Anbieter seine Preise verdoppelt oder eine Datenschutzbehörde Auflagen formuliert, die kurzfristig keine Nutzung mehr erlauben. Business Continuity Management war jahrzehntelang ein Thema für Server, Netze und Rechenzentren — geprobt, auditiert, in Notfallhandbüchern dokumentiert. Für KI-Dienste fehlt es in vielen Häusern noch komplett oder es ist nur als loser Anhang in der IT-Dokumentation vermerkt. Dabei ist die Abhängigkeit oft tiefer, als es das interne Risikoregister vermuten lässt: Angebote, Kundenservice, Marketingproduktion, sogar einzelne Produktionsfreigaben hängen an einem externen Modell, das niemandem im Unternehmen gehört und dessen Verfügbarkeit man nur indirekt beeinflussen kann. Dieser Artikel zeigt, wie Geschäftsführer das Thema pragmatisch angehen — ohne in Vollabsicherung zu kippen, aber auch ohne den blinden Fleck zu lassen.
Warum KI-Continuity ein eigenes Thema ist.
Klassisches Business Continuity Management denkt in Kategorien wie Stromausfall, Brand, Cyberangriff. Für KI-Dienste passen diese Kategorien nur teilweise. Wer auf ein Sprachmodell eines US-Anbieters zugreift, ist nicht nur von der eigenen Infrastruktur abhängig, sondern von einem Lieferanten, dessen Verfügbarkeit, Preise und Geschäftsbedingungen sich kurzfristig verändern können. Das ist eine neue Klasse von Abhängigkeit.
Drei typische Risikoszenarien sehen Berater regelmäßig: Erstens der technische Ausfall — die API ist für Minuten, Stunden, im seltenen Fall Tage nicht verfügbar. Zweitens die kommerzielle Eskalation — der Anbieter ändert Preise oder Nutzungsbedingungen so, dass der bisherige Use Case wirtschaftlich nicht mehr trägt. Drittens die regulatorische Eskalation — eine Behörde untersagt eine Konstellation, etwa weil personenbezogene Daten in einem nicht zugelassenen Raum verarbeitet werden.
Jedes dieser Szenarien hat unterschiedliche Eintrittswahrscheinlichkeiten und unterschiedliche Reaktionszeiten. Wer KI ernsthaft betreibt, sollte sie nicht im Bauch, sondern in einem kleinen Register dokumentieren — mit Verantwortlichen, Erkennungswegen und Reaktionsplänen.
Abhängigkeitsgrad ehrlich bestimmen.
Vor jeder Continuity-Maßnahme steht eine nüchterne Bestandsaufnahme: Welche Prozesse im Haus hängen an welcher KI? Was passiert, wenn diese KI für zwei Stunden, zwei Tage, zwei Wochen nicht verfügbar ist? In der Beratungspraxis erschrecken Geschäftsführer regelmäßig, wenn sie zum ersten Mal sehen, wo überall KI im operativen Tagesgeschäft verbaut wurde — meist still, ohne formellen Beschluss.
Eine einfache Klassifikation hilft, das Bild zu schärfen. Jeder KI-Anwendungsfall wird in eine von drei Kategorien einsortiert:
- Komfort: Schöner, schneller, eleganter — aber das Geschäft läuft auch ohne weiter. Beispiel: automatisierte Textvorschläge für interne Mails.
- Wichtig: Spürbarer Effizienzverlust ohne KI, Kundenerlebnis leidet, aber kein Schaden in Stunden. Beispiel: KI-gestützte Angebotsgenerierung.
- Kritisch: Ohne KI steht der Prozess. Kunden warten, Zusagen platzen, Risiken eskalieren. Beispiel: KI-basierte Schadensregulierung mit automatischen Auszahlungsfreigaben.
Die Continuity-Investitionen müssen sich nach dieser Klassifikation richten. Für Komfort reicht ein Hinweis im Wiki. Für Wichtig braucht es eine manuelle Rückfallebene. Für Kritisch braucht es einen echten Plan B mit zweitem Anbieter oder lokaler Lösung.
Vier Bausteine eines pragmatischen Continuity-Konzepts.
Ein KI-Continuity-Konzept muss nicht den Umfang einer ISO-27001-Dokumentation haben. Vier Bausteine reichen für den Mittelstand in den meisten Fällen aus — vorausgesetzt, sie werden ernsthaft umgesetzt und nicht nur dokumentiert.
| Baustein | Inhalt | Aufwand |
|---|---|---|
| Inventar | Liste aller produktiv genutzten KI-Dienste mit Verantwortlichen | 1–2 Tage |
| Klassifikation | Einteilung Komfort/Wichtig/Kritisch je Use Case | 1 Tag |
| Rückfallebenen | Manuelle Prozesse oder zweiter Anbieter je Klasse | 1–3 Wochen |
| Übung | Mindestens einmal jährlich Ausfall simulieren | 1 Tag pro Jahr |
Das Inventar wirkt banal, ist aber regelmäßig der schmerzhafteste Punkt: Niemand weiß im Detail, wo überall KI eingesetzt wird, weil Lizenzen oft auf Abteilungsebene gekauft wurden. Erst wenn eine vollständige Liste existiert, lässt sich überhaupt entscheiden, wo Continuity-Aufwand sinnvoll ist.
Die Übung am Ende der Liste ist nicht optional. Pläne, die nie geprobt wurden, funktionieren im Ernstfall nicht. Ein einfaches Format reicht: Halbtägiger Workshop, in dem ein Szenario durchgespielt wird, ohne tatsächlich Systeme abzuschalten. Wer macht was, wann, mit welchen Tools?
Wie viel Redundanz lohnt sich wirklich?
Die Versuchung ist groß, bei jedem kritischen KI-Use-Case sofort einen zweiten Anbieter parallel laufen zu lassen. Das ist technisch elegant, aber wirtschaftlich oft nicht begründbar. Multi-Provider-Architekturen verdoppeln nicht nur die Lizenzkosten, sondern auch die Integrationsarbeit, die Schulungsaufwände und die laufende Pflege.
Eine nüchterne Abwägung beginnt mit zwei Fragen. Erstens: Wie hoch wäre der Schaden pro Stunde Ausfall, multipliziert mit der realistisch erwarteten Ausfalldauer pro Jahr? Zweitens: Was würde die Redundanz kosten? Wenn der erwartete Jahresschaden bei 12.000 Euro liegt und die Redundanz 80.000 Euro pro Jahr kostet, ist die manuelle Rückfallebene oft die ehrlichere Antwort.
Für viele Anwendungsfälle reicht eine pragmatische Drei-Ebenen-Lösung: Primär die gewählte KI-Plattform, sekundär eine alternative Plattform mit minimaler Integration für Notfall-Umstellung, tertiär ein dokumentierter manueller Prozess, der zwar langsamer ist, aber funktioniert. Diese Stufung ist günstiger als echte Redundanz und in 90 Prozent der Fälle ausreichend.
Kommunikation mit Kunden und Mitarbeitenden.
Ein Ausfall ist selten das eigentliche Problem. Das eigentliche Problem ist, dass Kunden nicht wissen, was passiert, und Mitarbeitende nicht wissen, was sie tun sollen. Kommunikation ist ein Teil von Business Continuity, der in technisch geprägten Konzepten regelmäßig vergessen wird.
Drei Kommunikationsfragen sollten vorher beantwortet sein. Erstens: Wer im Haus erfährt zuerst von einem Ausfall — und wer entscheidet, dass es ein Notfall ist? Zweitens: Welche Kunden müssen aktiv informiert werden, in welchem Zeitfenster, über welchen Kanal? Drittens: Welche internen Stellen müssen unverzüglich Bescheid wissen — Geschäftsführung, Datenschutzbeauftragter, ggf. Betriebsrat?
Eine kleine Textsammlung mit vorbereiteten Bausteinen für Kundenanschreiben, Statusseiten und interne Mails ist Gold wert. Sie verhindert, dass in der Stresssituation jede Formulierung neu erfunden werden muss. Wichtig ist Ehrlichkeit: Was ist passiert, was tun wir, wann erwarten wir die Lösung. Pauschale Beruhigungsversuche schaden meist mehr als sie helfen.
Vertragliche Absicherung beim KI-Anbieter.
Bevor in technische Redundanz investiert wird, lohnt ein Blick in die Verträge. Service-Level-Agreements für KI-Anbieter sind oft schwach: 99,5 Prozent Verfügbarkeit klingt gut, bedeutet aber im Jahr fast 44 Stunden zulässigen Ausfall. Bei einem kritischen Prozess kann das viel zu viel sein.
Drei Punkte gehören in jedes Lieferantengespräch. Erstens die echten Verfügbarkeits-kennzahlen der letzten 12 Monate, nicht nur die zugesicherten. Zweitens das Eskalationsverfahren bei Störungen, inklusive Hotline-Erreichbarkeit in deutscher Geschäftszeit. Drittens vertragliche Konsequenzen bei wiederholten Ausfällen — Pönalen sind selten, aber Kündigungsrechte sollten enthalten sein.
Bei Hyperscaler-APIs ist der Verhandlungsspielraum gering. Hier ist die richtige Reaktion ein zweiter, kleinerer Anbieter im Hintergrund, der im Ernstfall die Last übernimmt. Bei spezialisierten Anbietern aus Europa lassen sich SLAs dagegen oft individuell verhandeln. Eine vertragliche Absicherung ersetzt keine technische Vorbereitung — aber sie verschiebt die Verantwortung im Schadensfall.
Wo Continuity-Pläne in der Praxis scheitern.
Es gibt drei wiederkehrende Muster, in denen Continuity-Konzepte gut aussehen, aber im Ernstfall nicht tragen. Wer sie kennt, kann sie früh vermeiden.
Das erste Muster ist der Plan im Schrank. Ein externer Berater hat ein hübsches Konzept erstellt, das niemand kennt, niemand übt und niemand fortschreibt. Im Ernstfall sucht der Verantwortliche das Dokument, findet die alte Version und stellt fest, dass die Hälfte der genannten Tools nicht mehr existiert.
Das zweite Muster ist die technische Schlagseite. Continuity wird ausschließlich als IT-Thema gesehen. Backup-API, Replikation, Failover — alles vorhanden. Aber niemand hat geübt, wie Vertrieb, Service und Geschäftsführung informieren, was Kunden hören, wie die Pressestelle reagiert. Das dritte Muster ist die fehlende Eigentümerschaft. Es gibt keinen klaren Verantwortlichen, der KI-Continuity zu seinem Thema macht. In kleineren Häusern wandert das Thema zwischen IT, Compliance und Geschäftsführung hin und her, bis es niemand mehr bearbeitet.
Was Geschäftsführer in den nächsten 60 Tagen tun sollten.
Wer das Thema bisher nicht systematisch angegangen ist, kann mit wenigen Schritten innerhalb von zwei Monaten ein belastbares Grundgerüst aufbauen. Es geht in dieser Phase nicht um Perfektion, sondern darum, die größten Lücken zu schließen und einen ehrlichen Status zu haben.
Ein realistischer Pfad sieht so aus. Woche eins und zwei: Inventar aller produktiv genutzten KI-Dienste, ein Verantwortlicher je Dienst, eine erste Klassifikation. Woche drei und vier: Für jeden als kritisch eingestuften Use Case eine Rückfallebene definieren — manuell, alternativer Anbieter oder verlangsamter Prozess. Woche fünf und sechs: Eine Tabletop-Übung mit einem Szenario, das alle Beteiligten einbezieht. Woche sieben und acht: Lehren dokumentieren, Plan anpassen, einen jährlichen Überprüfungszyklus festlegen.
Diese acht Wochen kosten typischerweise zwischen 8.000 und 25.000 Euro intern, abhängig von Größe und Komplexität. Verglichen mit dem Schaden eines unvorbereiteten Ausfalls ist das eine kleine Versicherungsprämie. Vor allem aber ist es der Weg, KI auf eine Grundlage zu stellen, auf der ein Unternehmen ernsthaft Geschäft aufbauen kann.
Sie wollen wissen, wie verwundbar Ihr Unternehmen bei einem KI-Ausfall heute wirklich ist? Unverbindlich anfragen — wir machen gemeinsam eine ehrliche Bestandsaufnahme und priorisieren die nächsten Schritte.