Log In

Termin vereinbaren

KI-Plattform für den Mittelstand: Make, Buy oder Managed? Der CIO-Entscheidungsrahmen 2026

AI-native Plattformbasis

KI-Plattform für den Mittelstand: Make, Buy oder Managed? Der CIO-Entscheidungsrahmen 2026

Kostenfreier CIO-Entscheidungsrahmen mit TCO-Modell, EU-AI-Act-Checkliste und Vendor-Lock-in-Scoring für den Mittelstand.

Entscheidungsrahmen laden
CIO-Briefing buchen
CIO-Entscheidungsrahmen für die KI-Plattform im deutschen Mittelstand: Make, Buy und Managed gegenübergestellt mit EU-Hosting, TISAX und ISO-27001-Zertifizierung, Multi-LLM-Routing für GPT, Claude, Mistral und Aleph Alpha sowie 65-Prozent-TCO-Kostenkurve nach dem Go-Live für Maschinenbau, Bank, Versicherung und Pharma

65 %

der KI-TCO entstehen nach Go-Live

45–90 Tage

Time-to-Market Managed vs. 6–18 Monate Make

EU-Hosting

CLOUD-Act-freier Betreiber

Multi-LLM

GPT, Claude, Mistral, Aleph Alpha ohne Re-Integration

TISAX + ISO 27001

zertifiziert für Maschinenbau, Bank, Versicherung

Das Problem

Die typischen Stolperfallen der KI-Plattform-Entscheidung

Vier Muster sehen wir in nahezu jedem CIO-Gespräch – unabhängig davon, ob der Mittelständler aus Versicherung, Bank oder Maschinenbau kommt:

Tool-Wildwuchs

Fachbereiche beschaffen eigene KI-Tools mit doppelter Datenhaltung; die IT kennt weder Zugriffe noch Compliance-Status.

CLOUD-Act-Exposure

EU-Rechenzentrum reicht nicht: US-Behörden können bei US-Anbietern unabhängig vom Speicherort Datenzugriff verlangen.

Make-Folgekosten

65 Prozent der Gesamtkosten entstehen nach dem Deployment durch Wartung, Modell-Drift und Security-Patches.

Vendor- und LLM-Lock-in

80 Prozent der SaaS-Kunden kommen nicht mehr raus; Migration kostet oft das Doppelte der Ursprungsinvestition.

Drei Wege der KI-Plattform im Mittelstand im Detail: Eigenbau Make mit hohen Folgekosten, Buy mit Vendor- und LLM-Lock-in und Managed mit TISAX, EU-Hosting und Multi-LLM-Routing für GPT, Claude, Mistral und Aleph Alpha

Plattform-Architektur

6 Ebenen. Ein System.

sensified ai-os ist kein einzelnes Tool, sondern eine Plattformbasis aus aufeinander abgestimmten Shared Planes. Jede Ebene löst einen konkreten Bedarf.

Was fehlt, ist kein weiteres Tool. Was fehlt, ist eine gemeinsame Betriebsbasis, die Identität, Wissen, Prozesse, Integrationen und KI-Steuerung in einer kontrollierten Architektur verbindet.

Identity Plane

SSO, Rollen, Tenant-Trennung, sichere Session-Übergabe. Die Basis für alles.

  • SSO Integration
  • Roles & Rights
  • Audit logs

Freigabelogik, Guardrails für kritische Aktionen, Eskalationsregeln. Compliance by Design.

  • SSO Integration
  • Roles & Rights
  • Audit logs

Nachvollziehbare Entscheidungen, Ausführungsnachweise, revisionssichere Protokolle.

  • SSO Integration
  • Roles & Rights
  • Audit logs

50+ Connectoren, einheitliche Tool-Oberfläche, API-/Webhook-/Batch-Integration.

  • SSO Integration
  • Roles & Rights
  • Audit logs

Kontrolliertes Modellrouting, Provider-Steuerung, Policy-nahe KI-Nutzung.

  • SSO Integration
  • Roles & Rights
  • Audit logs

Dokumentenintegration, semantische Suche, Master Share als persistente Wissensbasis.

  • SSO Integration
  • Roles & Rights
  • Audit logs

Vergleich

Eigenbau vs. Managed KI-Plattform für den Mittelstand

Kriterium

Time-to-Market

TCO über 5 Jahre

CLOUD-Act-Exposure

Multi-LLM-Fähigkeit

Berechtigungsmanagement (ACL)

EU-AI-Act-Readiness

Vendor Lock-in

Skill-Bedarf im Haus

Eigenbau oder Hyperscaler-API

6–18 Monate bei Eigenbau, Hyperscaler-Integration oft durch Security-Reviews blockiert.

1,3–3,5 Mio. USD Jahr 1 beim Eigenbau; 65 Prozent der Kosten erst nach Go-Live sichtbar.

Bei US-Anbieter unabhängig vom Serverstandort möglicher Behördenzugriff.

Feste Bindung an ein Modell; Wechsel bedeutet Re-Integration der Anwendungen.

Rollenkonzept muss pro Integration neu gebaut werden; Gefahr offener Datenzugriffe.

Logging, Monitoring und Human Oversight müssen selbst gebaut und gepflegt werden.

80 Prozent der SaaS-Kunden kommen schwer raus; Migration kostet das Doppelte.

Senior ML Engineers für 150–250k USD/Jahr nötig, am Markt kaum verfügbar.

sensified Managed AI-OS

Erster produktiver Usecase in 45–90 Tagen mit vordefinierten Compliance-Paketen.

Planbares Managed-Pricing pro Nutzer und Workload inklusive Wartung und Updates.

EU-Rechtsträger, EU-Hosting, keine CLOUD-Act-Exposure, vertraglich fixiert.

LLM-agnostische Abstraktion für GPT, Claude, Mistral, Aleph Alpha und On-Prem.

Zentrale ACL bis auf Dokument- und Feldebene, konsistent über alle Usecases.

Hochrisiko-Pflichten nach Annex III und Artikel 50 standardmäßig abgedeckt.

Export-APIs für Prompts, Embeddings und Feintuning; dokumentierte Exit-Prozesse.

Managed-Betrieb übernimmt MLOps; interne Teams fokussieren sich auf Usecases.

Konfiguration

Definieren Sie Ihren individuellen Arbeitsraum.

Jedes Unternehmen hat andere Prozesse, andere Systeme, andere Regeln. sensified ai-os zwingt Sie nicht in eine starre Oberfläche. Stattdessen definieren Sie Ihren Arbeitsraum: Welche Connectoren? Welche Freigabelogik? Welches Wissen? Welche Oberflächen?

Die Plattform liefert die Shared Planes. Sie liefern die Domäne. Das Ergebnis ist kein generisches Tool, sondern Ihr AI-natives Betriebssystem.

Workspace-first
Filesystem-as-Memory
Routing-first
Spec before Execution
sensified Plattform-Architektur für KI-Wissensmanagement, RAG und Compliance

So funktioniert es

Make, Buy oder Managed: Der CIO-Entscheidungsrahmen

Make, Buy oder Managed – was ist die richtige KI-Plattform-Strategie für den Mittelstand? Make lohnt nur bei klarem Differenzierungs-Usecase und vorhandenem ML-Team. Buy passt für Standardprozesse mit geringem Regulierungsdruck. Managed ist die realistische Option für regulierte Mittelständler, die Souveränität, Compliance und schnelle Time-to-Market verbinden müssen.

1

Usecase- und Regulatorik-Screening

Wir bewerten Ihre KI-Usecases nach Wertbeitrag, Risiko und regulatorischer Einordnung.

  • Usecase-Inventar inklusive Schatten-KI im Fachbereich
  • EU-AI-Act-Klassifizierung (Hochrisiko, Transparenz, minimal)
  • NIS2-, DORA-, TISAX- und DSGVO-Kurzcheck
  • Priorisierung nach P&L-Impact und Audit-Kritikalität

2

Make-vs-Buy-vs-Managed-Bewertung

TCO über 5 Jahre, Skill-Check und Exit-Szenarien je Option im Entscheidungsmodell.

  • TCO-Modell mit Make, Buy und Managed im Vergleich
  • Skill-Audit: verfügbare ML-, MLOps- und Security-Kapazität
  • Vendor- und LLM-Lock-in-Scoring mit Exit-Pfad
  • Empfehlung pro Usecase-Cluster, nicht pauschal

3

Governance- und Plattform-Architektur

Zielbild für eine souveräne KI-Plattform mit ACL, Multi-LLM und EU-Hosting.

  • EU-Hosting und Schlüsselhoheit vertraglich fixiert
  • ACL-Durchsetzung bis auf Dokument- und Feldebene
  • Multi-LLM-Abstraktion für GPT, Claude, Mistral, Aleph Alpha
  • Logging, Monitoring und Human Oversight nach EU AI Act
  • Exit-APIs für Prompts, Embeddings, Feintuning-Artefakte

4

Controlled Rollout und Betrieb

Produktivbetrieb mit messbarem P&L-Impact statt weiterer Pilot-Friedhof.

  • Go-Live erster Usecase in 45–90 Tagen
  • KPI-Tracking: Bearbeitungszeit, Qualität, Akzeptanz
  • Audit-Pakete für Aufsicht, Datenschutz und Konzernrevision
  • Laufender Modell- und Anbieter-Review jährlich

FAQ

Häufig gestellte Fragen.

Was kostet eine eigene KI-Plattform im Mittelstand?

Eine Custom-AI-Plattform liegt laut plotdesk-Analyse bei 1,3 bis 3,5 Mio. USD im ersten Jahr. Entscheidend sind jedoch die Folgekosten: 65 Prozent der Gesamtkosten entstehen nach dem Deployment durch Wartung, Modell-Drift, Security-Patches und Skalierung. Planen Sie 15 bis 25 Prozent der Initialkosten als jährliche Wartung ein. Hinzu kommen Personalkosten von 150–250k USD pro Senior ML Engineer, bei hoher Fluktuation plus 50–100 Prozent. Wer keinen klaren Differenzierungs-Usecase hat, subventioniert mit einer Eigenentwicklung die Konkurrenz.

Managed AI lohnt sich, wenn drei Bedingungen gelten: Erstens kein echter Differenzierungs-Usecase, der nur über eigenes Modelltraining funktioniert. Zweitens hoher Regulierungsdruck durch EU AI Act, DSGVO, NIS2, DORA oder TISAX, den ein Anbieter mit Nachweisen abdecken kann. Drittens begrenzte ML-Ressourcen im eigenen Haus. Für die meisten Mittelständler in Versicherungen, Banken, Pharma und Maschinenbau trifft das zu. Managed bedeutet dabei nicht Kontrollverlust: Schlüsselhoheit, ACL, Zero Data Retention und Exit-Pfade gehören in den Vertrag.

Der CLOUD Act verpflichtet US-Unternehmen zur Herausgabe von Kundendaten – unabhängig vom physischen Speicherort. Ein Rechenzentrum in Frankfurt reicht daher nicht. Wählen Sie einen Betreiber mit EU-Rechtsträger, EU-Hosting, klarer Schlüsselhoheit auf Kundenseite und Zero Data Retention für LLM-Aufrufe. Prüfen Sie vertraglich, ob Support-Mitarbeiter Zugriff auf Telemetrie, Logs und Modellartefakte haben. Für Banken, Versicherungen und Pharma mit Art. 9 DSGVO-Daten ist ein CLOUD-Act-freier Betreiber die Pflicht, nicht die Kür. Dokumentieren Sie die Auswahl im NIS2-Risikomanagement.

Konformität ist keine Eigenschaft eines Produkts, sondern eine Kombination aus Betreibermodell, Prozessen und Nachweisen. Prüfen Sie: TISAX-Zertifizierung des Plattformbetreibers mit passendem Assessment-Level (häufig AL3 im Maschinenbau), ISO 27001 plus BSI C5, technische Schutzvorrichtungen für Hochrisiko-KI nach Annex III des EU AI Act, Transparenzpflichten nach Artikel 50, Logging, Monitoring und Human-Oversight-Funktionen. Ein Managed-Betreiber sollte diese Nachweise aktiv bereitstellen. Fehlt ein Punkt, ist die Plattform nicht tauglich für Hochrisiko-Anwendungen.

Setzen Sie auf eine Plattform mit offener Abstraktionsschicht über den LLMs. Konkret heißt das: Multi-LLM-Fähigkeit für GPT, Claude, Mistral, Aleph Alpha und On-Premise-Modelle, standardisierte Prompt- und Embedding-Formate, Export-APIs für Feintuning-Artefakte, Konnektoren über offene Protokolle sowie dokumentierte Exit-Prozesse. Vereinbaren Sie vertraglich Datenportabilität und Migrationsunterstützung. 80 Prozent der SaaS-Kunden haben Schwierigkeiten beim Anbieterwechsel, die Migrationskosten verdoppeln oft die Ursprungsinvestition – das lässt sich durch Architekturentscheidungen am Anfang verhindern.

Seit August 2026 greifen die Hochrisiko-Pflichten aus Annex III und die Transparenzpflichten aus Artikel 50. CIOs müssen Risk-Management, Datenqualität, technische Dokumentation, Logging, Human Oversight, Robustheit und Cybersecurity nachweisen. Für Anwendungen in HR, Kreditwürdigkeitsprüfung, Versicherungs-Underwriting oder kritischer Infrastruktur gelten verschärfte Auflagen. Ohne zentrale KI-Plattform mit Governance-Layer sind diese Pflichten kaum erfüllbar – jedes Schatten-KI-Tool wird zum Audit-Risiko. Eine Managed-Plattform bringt die technischen Schutzvorrichtungen und Nachweise standardisiert mit.

Primär für den Mittelstand mit 50-500 Mitarbeitern, die über Einzeltools hinausgewachsen sind und eine kontrollierte, skalierbare AI-Infrastruktur brauchen. Aber auch größere Unternehmen nutzen die Plattform für spezifische Geschäftsbereiche.
Ihre Daten bleiben in Ihrem Tenant. Die Plattform nutzt standardisierte Connectoren für den Zugriff auf Ihre Systeme, speichert Wissen in Ihrer dedizierten Knowledge-Instanz und verarbeitet KI-Anfragen über den kontrollierten AI Gateway mit klarer Provider- und Policy-Steuerung.
 
Termin buchen

Strategiegespräch buchen – 60 Minuten

In 60 Minuten klären wir gemeinsam, wo eine Enterprise-KI-Plattform für Sie den größten Hebel bringt. Konkrete Architektur, kein Verkaufsgespräch.

Vertiefen Sie das Thema in der sensified-Wissensbasis

Vertiefen Sie die Make-vs-Buy-Entscheidung mit zwei Pillar-Beiträgen aus der sensified-Wissensbasis.