Ich baue KI, die sich erinnert, und ich baue sie offen. Das ist für mich keine Marketing-Entscheidung, sondern eine Überzeugung: KI im produktiven Unternehmenseinsatz gehört offen. Nicht aus Ideologie, sondern weil man nur so wirklich weiß, was mit den eigenen Daten geschieht. Ich will begründen, warum, und ehrlich sagen, wo die Grenzen liegen.
Die meisten Unternehmen wählen ihre KI nach dem Modell aus. Welches ist das stärkste, das schnellste, das günstigste. Für mich ist das die falsche erste Frage. Die erste Frage lautet: Können Sie überprüfen, was das System mit dem tut, was Sie ihm anvertrauen? Bei fast allem, was heute als Unternehmens-KI verkauft wird, ist die ehrliche Antwort nein. Sie bekommen ein Versprechen, kein Prüfrecht.
Der Trost der „offenen Gewichte" trägt nicht
Ein Reflex, den ich oft sehe, ist, nach einem offenen Modell zu greifen. Das fühlt sich souverän an, hält aber nicht, was der Name verspricht. „Offene Gewichte" ist nicht dasselbe wie Open Source. Die Open Source Initiative hat die als „offen" vermarktete Lizenz von Metas Llama ausdrücklich als Open-Washing bezeichnet. Wichtiger noch: Selbst ein vollständig offenes Modell macht Ihre Anwendung nicht prüfbar. Das Modell ist nur der Motor. Was mit Ihren Daten geschieht, entscheidet die Schicht darüber: Anwendung, Gedächtnis, Orchestrierung, Governance. Genau diese Schicht liegt bei den meisten Anbietern im Verborgenen.
Was offen sein muss, und was nicht
Deshalb sage ich es präzise. Nicht „KI muss vollständig offen sein". Sondern: Die Schicht, die Ihre Unternehmensdaten berührt, muss offen und prüfbar sein. Das Modell darunter dürfen Sie mieten und wechseln wie einen Lieferanten. Das Gedächtnis und die Regeln, nach denen Ihre KI mit Ihrem Wissen umgeht, sollten Sie besitzen und einsehen können. Souveränität ist keine Frage, wo die Daten liegen, sondern wer die Schicht kontrolliert, die aus ihnen Wert macht.
Warum offen, und was daran nicht stimmt
Hier ist Ehrlichkeit wichtiger als der bequeme Slogan. „Open Source ist sicherer" ist kein belastbares Argument. Die vorhandenen Untersuchungen zeigen keinen systematischen Sicherheitsvorteil, so schon eine vielzitierte Analyse aus dem Jahr 2009. Der eigentliche Grund ist älter und tiefer. Er steht in einem Grundsatztext der Computersicherheit von 1975: Ein System darf seine Sicherheit nicht auf die Geheimhaltung seines Mechanismus stützen, sondern nur auf gut geschützte Geheimnisse wie Schlüssel und Zugangsdaten. Übertragen heißt das: Der Mechanismus, wie Ihre KI mit Ihren Daten umgeht, darf kein Geschäftsgeheimnis sein. Offenheit gibt Ihnen nicht das Wort des Anbieters, sondern die Möglichkeit, von Prüfern Ihrer Wahl nachsehen zu lassen. Das ist für mich der ganze Unterschied zwischen Vertrauen und Kontrolle.
Die ehrlichen Grenzen
Damit daraus kein Werbeversprechen wird, gehören die Grenzen dazu. Offenheit erhöht kurzfristig die Angriffsfläche, weil auch Angreifer mitlesen können. Sie garantiert nicht, dass tatsächlich jemand prüft. Und selbst geprüfter Quelltext ist nicht automatisch das, was am Ende als Programm läuft. Offenheit ist kein Siegel. Sie ist die Voraussetzung dafür, dass Prüfung überhaupt möglich wird, und diese Voraussetzung ist bei geschlossenen Systemen schlicht nicht gegeben.
Warum das gerade jetzt zählt
Dass diese Frage kein akademisches Thema ist, macht inzwischen der Staat deutlich. Das BSI hat 2026 einen Kriterienkatalog vorgelegt, der das Kernrisiko beim Namen nennt: „Cyber Dominance", die Möglichkeit von Herstellern, dauerhaft Zugriff auf die Systeme und Daten ihrer Kunden zu behalten. Das ist keine Pflicht, aber es macht messbar, was lange nur ein ungutes Gefühl war. Wer morgen verhandeln, wechseln oder einfach nur wissen will, was passiert, braucht heute die prüfbare, übergebbare Schicht.
Der unbequeme Einwand
Verschenkt man mit Offenheit nicht seinen Vorsprung? Nur, wenn der Vorsprung im Quelltext steckt. Bei ernstzunehmenden Systemen tut er das nicht. Er liegt in der Architektur des Gedächtnisses, in der Governance, in der Art, wie Mensch und Maschine zusammenarbeiten, und in der Ausführung über Jahre. Deshalb schließen sich tragfähiges Geschäftsmodell und echte Offenheit nicht aus. Der Weg heißt Open Core: Der Kern, alles was Ihre Daten berührt, ist offen und prüfbar; bezahlt wird für Betrieb, Effizienz und Begleitung. Und wenn das ernst gemeint ist, gilt ein Versprechen, das man öffentlich geben kann: Was einmal offen ist, wandert nie hinter eine Bezahlschranke.
Ich sage das nicht aus der Distanz
Mein Gedächtnis-Kern ist quelloffen. Das System darüber bauen wir als Open Core, unter einer Lizenz, die Offenheit erhält, statt sie abzuschöpfen. Es ist mitten in der Entwicklung, und wir bauen es in der Öffentlichkeit. Ich halte das für die ehrlichste Form von Unabhängigkeit. Nicht „vertrauen Sie uns", sondern „sehen Sie selbst nach".
Die eigentliche Strategiefrage
Sie lautet nicht, welches Modell Sie dieses Jahr wählen. Sie lautet, ob Sie die Schicht, die aus Ihren Daten Wert macht, jederzeit einsehen, prüfen und im Zweifel übernehmen können. Alles andere ist geliehene Kontrolle. Und Vertrauen, das man nicht prüfen kann, ist nur ein anderes Wort für Abhängigkeit.