← Zurück zum Blog
· 7 min read · Tim Cadenbach

Vorstellung der Rasepi Trust Engine

Dein KI-Assistent kann ein überarbeitetes Dokument nicht von einem unterscheiden, das seit zwei Jahren nicht mehr angerührt wurde. Die Trust Engine entscheidet, welches Wissen sicher verwendet werden kann, bevor es überhaupt das Modell erreicht.

Inside Rasepi
ai trust governance rag
Vorstellung der Rasepi Trust Engine

Beginne mit einer Zahl, die unaufdringlich verdeutlicht, für wen deine Dokumentation eigentlich gedacht ist. Im Jahr 2025 stieg die KI-gesteuerte Leserschaft von auf GitBook veröffentlichten Dokumenten um mehr als 500 % und macht nun etwa 41 % aller Leser aus. Bei vielen internen Wissensdatenbanken ist der größte Einzelnutzer nicht mehr eine Person mit einem geöffneten Browser-Tab. Es ist ein Abrufsystem, das ein Modell füttert.

Dieses Modell hat keine Möglichkeit, eine Seite zu mustern und zu denken: „Das sieht veraltet aus.“

Es liefert einfach alles, was der Suchanfrage entspricht. Gartner hat einen Namen für das, was dabei meist herauskommt. Ein Artikel aus ihrem „2025 Market Guide for Enterprise AI Search“ nennt es ROT-Inhalte – redundant, veraltet und trivial. Wenn eine RAG-Pipeline ROT-Inhalte in die Eingabe einbezieht, ist die Antwort, die sie liefert, selbstbewusst, gut geschrieben und falsch. Die Leute merken, wenn das passiert. In der Studie von Anthropic unter 81.000 Claude-Nutzern war Unzuverlässigkeit das am häufigsten genannte Problem, genannt von 27 % der Befragten, von denen die meisten es aus erster Hand erlebt hatten.

Hier ist also die Frage, die wir unseren eigenen Kunden immer wieder nicht beantworten konnten: Wenn ein KI-Assistent jemandem eine Antwort gibt, die aus deinem internen Wissen stammt, kannst du dann sagen, ob diese Quelle überhaupt sicher zu verwenden war? Aktuell genug, geprüft, im Besitz des Unternehmens, für dieses Publikum freigegeben? Für die meisten Teams lautet die ehrliche Antwort: Nein. Wir könnten dir sagen, dass ein Dokument aktuell war. Wir konnten euch aber nicht sagen, ob ein Support-Bot es einem zahlenden Kunden in einem öffentlichen Chat zitieren darf.

Diese Lücke ist der Grund, warum es die Trust Engine gibt. Wir haben die erste Version davon vor zwei Wochen in Produktion genommen, und sie verändert den Zweck von Rasepi.

Was wir beim ersten Mal falsch gemacht haben

Als wir anfingen, haben wir ein Aktualitäts-Scoring entwickelt und dachten, das sei das Produkt. Dokumente erhalten eine Punktzahl, veraltete tauchen oben auf, Teams prüfen sie. Sauber, messbar, einfach zu demonstrieren.

Da habe ich mich geirrt, und es hat eine Weile gedauert, das zuzugeben.

Aktualität ist nur ein Signal. Ein Dokument kann gestern bearbeitet worden sein und trotzdem für eine Antwort an einen Kunden falsch sein. Ein Dokument kann ein Jahr alt sein und trotzdem das Vertrauenswürdigste sein, was du hast. Eine Seite, die für einen internen Ingenieur völlig in Ordnung ist, kann die schlechteste Quelle für einen autonomen Agenten sein, der gerade dabei ist, die Konfiguration eines Kunden zu ändern. Ein Aktualitätswert sagt dazu nichts aus. Er sagt dir lediglich, wann jemand die Datei zuletzt bearbeitet hat, was ungefähr so nützlich ist, wie einen Vertrag anhand des Datums auf dem Umschlag zu beurteilen.

Was Unternehmen tatsächlich wissen müssen, ist enger gefasst und schwieriger. Kann dieses spezifische Wissen gerade jetzt, von diesem Akteur, für diesen Zweck genutzt werden?

Vertrauen ist eine Entscheidung, kein Wert

Die Trust Engine gibt also nicht einfach eine Zahl aus und lässt es dabei bewenden. Sie trifft eine Entscheidung und sagt dir, warum.

Jede Bewertung liefert eines von vier Ergebnissen: ZULASSEN, WARNEN, BLOCKIEREN oder ESKALIEREN. Jedes Ergebnis wird mit einer Begründung und den dahinterstehenden Belegen geliefert. Die Begründung ist ein stabiler Code, kein Text, den wir spontan generieren, sodass du darauf aufbauend Logik entwickeln kannst.

Die Entscheidung kombiniert Signale, die ein Scanner niemals gemeinsam betrachtet:

  • Aktualität: Zeitpunkt der letzten Überprüfung, Ablauf der Überprüfung, ob sich eine verlinkte Quelle nach der Freigabe geändert hat.
  • Eigentumsverhältnisse: Hat das Dokument einen Eigentümer, und ist dieser Eigentümer noch im Team?
  • Herkunft: Wurde es von einem Menschen oder von einer KI verfasst, von jemandem überprüft und mit einer echten Quelle verlinkt?
  • Richtlinie: Ist es für den internen Gebrauch, den Kundenkontakt, den Abruf durch KI oder die öffentliche Veröffentlichung freigegeben?
  • Sensibilität: Enthält es personenbezogene Daten, Geheimnisse, unveröffentlichte Produktinformationen oder regulierte Inhalte?
  • Kontext: Wer fragt, Mensch oder Maschine, intern oder extern, zum Lesen oder zum Handeln?

Das Interessante daran ist, dass dasselbe Dokument je nach Kontext unterschiedliche Antworten erhält. Ein abgelaufener OAuth-Migrationsleitfaden könnte für einen internen Ingenieur, der ihn liest, die Bewertung „WARN“ erhalten, und für einen öffentlichen Support-Bot „BLOCK“, da sich die verlinkte API-Referenz seit der letzten Überprüfung geändert hat und kundenbezogene Antworten eine neue Genehmigung benötigen. Gleiche Quelle. Anderer Akteur, anderer Kanal, andere Entscheidung.

(Dieser kontextuelle Aspekt ist der Teil, den ich am längsten unterschätzt habe. Ich habe immer wieder versucht, Vertrauen zu einer Eigenschaft des Dokuments zu machen. Das ist es nicht. Es ist eine Eigenschaft des Dokuments plus der Person, die es will, und dem, was sie damit vorhat.)

Schütze das Wissen, bevor es das Modell erreicht

Die meisten Tools für KI-Sicherheit sitzen am Ende der Pipeline. Das Modell schreibt eine Antwort, dann prüft etwas die Antwort auf Toxizität, durchgesickerte Geheimnisse oder Richtlinienverstöße. Diese Arbeit ist wichtig. Für den Fehlermodus, der Unternehmen tatsächlich schadet, ist es dann aber schon zu spät.

Die gefährliche Antwort ist meist gut formuliert, selbstbewusst und in einem echten Dokument verankert. Das Dokument ist nur veraltet, ungeprüft oder für die Zielgruppe, der es gezeigt wird, nicht mehr zugelassen. Das Modell hat nicht halluziniert. Es hat eine Quelle originalgetreu wiedergegeben, die niemals in der Eingabe hätte stehen dürfen.

Die Trust Engine greift also einen Schritt früher ein. In einer RAG-Pipeline findet dein Retriever wie gewohnt seine Dokumentenkandidaten und fragt dann Rasepi, welche davon für diesen Anwendungsfall sicher sind, bevor sie das Modell erreichen:

POST /api/trust/filter-sources

Blockierte Quellen gelangen nie in den Kontext. Quellen mit Warnung können mit einem erforderlichen Verweis oder Haftungsausschluss versehen sein. Das Modell sieht immer nur Wissen, das für den fragenden Akteur und Kanal freigegeben wurde. Du musst deine LLM-Aufrufe nicht über einen Proxy leiten, deinen Datenverkehr über uns routen oder deinen Stack neu aufbauen, um das zu erreichen. Das Tor ist ein API-Aufruf, den dein bestehender Retriever tätigt.

Das ist der Leitsatz, auf den wir intern immer wieder zurückkommen: Schütze das Wissen, bevor es in die Eingabe gelangt, nicht die Antwort, nachdem das Modell sie bereits geschrieben hat.

Du musst deine Dokumente nicht verschieben

Der Einwand, den ich von größeren Teams am häufigsten höre, ist berechtigt. Sie haben jahrelange Inhalte in Confluence oder Notion und werden diese nicht migrieren, nur um eine Vertrauensschicht auszuprobieren. Das sollten sie auch nicht müssen.

Die Trust Engine läuft als Sidecar. Sie verbindet sich mit den Tools, die du bereits nutzt, katalogisiert, was dort vorhanden ist, berechnet darüber hinaus Trust-Metadaten und stellt dieselben Entscheidungen über dieselbe API bereit. Bei einem großen Confluence-Tenant kann sie zunächst mit einfachen Metadaten grob indexieren und nur die Dokumente tiefgehend verarbeiten, die du tatsächlich über die KI weiterleitest. Behalte deine Dokumente. Füge Vertrauen hinzu.

Dieser Modus ist derjenige, mit dem die meisten Unternehmen beginnen werden, und das ist für mich in Ordnung. Der Ansatz ist nicht „Ersetze deine Wissensdatenbank“. Der Ansatz ist „Du hast bereits KI, die deine Wissensdatenbank liest, und im Moment entscheidet nichts darüber, was sie lesen darf.“

Jede Entscheidung hinterlässt eine Spur

Das Nächste, was ernsthafte Käufer verlangen, sobald sie verstanden haben, was die Engine tut, ist ein Nachweis. Wenn ein Support-Bot einem Kunden eine falsche Antwort gibt, kannst du dann rekonstruieren, warum diese Quelle überhaupt in die Eingabe zugelassen wurde?

Jede Entscheidung, die die Trust Engine trifft, wird in ein Provenienszertifikat geschrieben. Akteur, Aktion, Zeitstempel, die berücksichtigten Quellen, welche zugelassen und welche blockiert wurden, der Vertrauensstatus zu diesem Zeitpunkt, die Quellversionen. Die Frage lautet also nicht mehr „Wer weiß, warum der Bot das gesagt hat?“, sondern wird zu einer Abfrage. Wer oder was hat sich auf welches Wissen gestützt, und warum wurde es zugelassen?

Für jeden, der für die Compliance verantwortlich ist, ist diese Aufzeichnung an sich schon von großem Wert.

Wohin das führt

Die Trust Engine ist live, die API ist dokumentiert, und das interne RAG-Gating ist hinter einem Flag versteckt, während wir es gemeinsam mit den ersten Designpartnern optimieren. Die Konnektoren für externe Tools sind das Nächste, woran wir arbeiten, denn die Sidecar-Lösung ist das, was die Teams an Bord bringt, die nicht migrieren können.

Wenn du einen KI-Assistenten auf deine eigenen Inhalte setzt und noch nicht sagen kannst, ob eine bestimmte Quelle für ihn sicher ist, ist das die Lücke, die es zuerst zu schließen gilt. Du kannst es ausprobieren oder mir den Fehlerfall schicken, der dir Sorgen bereitet, und ich sage dir ehrlich, ob wir damit schon umgehen können.

Halte deine Doku aktuell. Automatisch.

Rasepi erzwingt Überprüfungstermine, verfolgt die Inhaltsqualität und veröffentlicht in über 40 Sprachen.

Kostenlos starten →