Kurz erklärt — ohne Informatikstudium
Wo deine Schlüssel bleiben, wenn eine KI für dich arbeitet
Dieser Text gehört zur Sonntagsausgabe «Passwörter, Personendaten, KI: Wer schützt hier wen?». Dort steht das Warum — hier steht das Wie: eine einzige Zeichnung, die zeigt, weshalb ein KI-Agent deine Passwörter und API-Schlüsselbenutzen kann, ohne dass die KI — oder die Firma dahinter — sie je erhält. Zehn Minuten, kein Fachwissen nötig.
Die Zeichnung
Die drei Beteiligten
Dein Rechner ist der einzige Ort, an dem alles zusammenkommt. Hier liegt der Tresor (der Passwortmanager mit allen Schlüsseln), und hier läuft der KI-Agent — ein gewöhnliches Programm, so wie dein Browser eines ist.
Der KI-Anbieter betreibt das Sprachmodell in seinem Rechenzentrum. Das Modell ist das «Gehirn»: Es liest Text, denkt nach und antwortet mit Text. Mehr kann es nicht — es hat keine Hände. Es kann keinen Befehl ausführen, keine Datei öffnen, keinen Tresor aufschliessen.
Der Dienst ist das System, bei dem die Arbeit tatsächlich passiert: der Mail-Versand, der Git-Server, die Buchhaltung. Er hat dir den Schlüssel einst ausgestellt und ist der Einzige, der ihn je wieder zu sehen braucht.
Was fliesst wohin?
Zum KI-Anbieter fliesst ausschliesslich Text: die Aufgabe («versende den Newsletter»), Kontext (welche Werkzeuge es gibt) und später die Resultate («Versand bestätigt, 214 Empfänger»). Zurück kommt ebenfalls nur Text — darunter der Vorschlag, welcher Befehl als Nächstes auszuführen wäre.
Ausführen tut diesen Befehl aber nicht das Modell, sondernder Agent auf deinem Rechner. Und erst in diesem Moment — lokal, bei dir — holt er den Schlüssel aus dem Tresor und setzt ihn in den Befehl ein. Der fertige Befehl geht dann verschlüsselt und direkt an den Dienst: von deinem Rechner zum Mail-System, ohne Umweg über den KI-Anbieter. Das ist die rote Linie in der Zeichnung: Der Schlüssel reist nach rechts unten, niemals nach rechts oben.
Ein Bild dafür: Das Modell ist ein Berater am Telefon. Er sagt dir, welche Tür du öffnen sollst — aber den Schlüsselbund hältst du in der Hand, und der Berater sieht durchs Telefon keinen einzigen Schlüssel.
Ehrlich bleiben: wo die Grenze durchlässig wird
Drei Dinge muss man dazusagen, sonst wäre die Zeichnung Werbung statt Erklärung:
- Copy-Paste bricht alles. Wer ein Passwort ins Chatfenster einfügt, schickt es als Text zum Anbieter — die Architektur schützt nur, was man ihr überlässt. Deshalb die Regel: Schlüssel werden benutzt, nie diktiert.
- Was der Agent liest, sieht das Modell. Resultate fliessen als Text zurück. Öffnet der Agent eine Datei mit Kundendaten, wandert deren Inhalt zum Anbieter. Darum bekommt ein Agent nur Zugriff auf das, was er für die Aufgabe braucht.
- Der Schlüssel darf nie ins Protokoll. Ein sauber gebauter Agent setzt ihn ein, ohne ihn je anzuzeigen — denn was nie im Verlauf stand, kann aus keinem Verlauf gestohlen werden.
Du musst das nicht glauben — du kannst es nachprüfen
Das Schöne an dieser Architektur: Sie ist überprüfbar. Jede Sitzung hinterlässt ein Protokoll, in dem steht, was als Text zum Anbieter ging. Wer nachschaut, findet dort Aufgaben, Befehle, Resultate — und an der Stelle des Schlüssels nur einen Verweis auf den Tresor. Genau so gehört es.
Warum das alles wichtig ist — und welche vier Fragen sich jede Firma stellen sollte, bevor sie einer KI Türen öffnet — steht in der Sonntagsausgabe: «Passwörter, Personendaten, KI: Wer schützt hier wen?»