Erfolgsfaktoren für die Realisierung eines öffentlich zugänglichen KI-Chatbots
Die Realisierung öffentlich zugänglicher KI-Chatbots stellt Banken vor besondere Herausforderungen. Solche Systeme werden von Personen genutzt, die weder technisch geschult noch KI-affin sein müssen, und es gelten besonders hohe Anforderungen an Verlässlichkeit, Datenschutz, Sicherheit, Auditierbarkeit und Monitoring. Das Vorhaben erfordert keine projekt-, sondern eine produktorientierte Organisation, um einen kontinuierlichen Verbesserungszyklus zu ermöglichen.
Produktorientiertes Phasenmodell
Bei der Realisierung eines KI-Chatbots können drei Phasen unterschieden werden. Die Phasen haben jeweils ihre spezifischen Schwerpunkte, teilen sich aber auch viele Themen, die entsprechend bearbeitet werden müssen. Die Kosten und der Ressourcenbedarf variieren zwar je nach Phase, bleiben aber auch in der Weiterentwicklungs- und Betriebsphase hoch.
Das folgende Diagramm gibt einen Überblick.

Im Folgenden werden die einzelnen Phasen etwas genauer beleuchtet.
PHASE 1 – Evaluation, Produktentscheid & Architektur
Chatbot-Use-Cases unterscheiden sich stark: Kundensupport, Produktberatung, Wissensdatenbanken, regelbasierte oder gar transaktionale Use-Cases variieren in Komplexität, erforderlichem Wissen sowie technischer Umsetzung und Testansatz. Use-Cases wie Anlageberatung oder Kreditentscheid sind besonders aufwändig und können Akzeptanzprobleme mit sich bringen; sie erfordern zusätzlich Diskriminierungsfreiheit sowie nachvollziehbare und begründbare Empfehlungen. Das Nutzenpotential der Use-Cases ist von Bank zu Bank sehr unterschiedlich und sollte vor Start sorgfältig geprüft werden. Situativ kann es sinnvoll sein, die Übergabe einer KI-Chat-Session an einen Menschen zu ermöglichen. Auch die Anzahl unterstützter Sprachen wirkt sich auf den Implementationsaufwand aus, der Testaufwand steigt nahezu proportional dazu an. Ein KI-Chatbot wird idealerweise etappiert realisiert: Pilotierung, reale Nutzererfahrung und bewusste Fokussierung sind wichtiger als ein breiter Funktionsumfang vom Start weg – weniger ist oft mehr.
Umsichtiges Management, Fokussieren und Etappieren führen zum Erfolg
Wichtige Aspekte neben der KI-Technologie sind Business- und Prozesswissen, Use-Case-Bewertung, Datenbereitstellung, Sicherheit, Legal/Compliance, Infrastrukturentscheidungen, System- und Prozessintegration, Schulung, Changemanagement, Betriebsprozesse und oftmals Provider Management. KI-Vorhaben in Banken profitieren von Generalisten- und Spezialistenwissen gleichermassen. Da einiges für Banken Neuland ist und eine Diskrepanz zwischen Wollen, Dürfen und Können besteht, zahlen sich externe Unterstützung, konservative Planung und gutes Risikomanagement als zentrale Erfolgsfaktoren aus.
Im Fall von Sourcing lohnt es sich, einen ausführlichen RFP mit Unterstützung von Experten durchzuführen und vergleichbare Referenzen einzufordern. Der Fokus sollte dabei sowohl auf den Produktfeatures, als auch auf dem Anbieter bzw. dessen Know-How und Erfahrung liegen. In der schnelllebigen KI-Welt können zum einen die Anforderungen der Banken ändern und auf der anderen Seite müssen die Anbieter laufend mit grossem Aufwand ihre Produkte auf dem neusten technologischen Stand halten. Ein Anbieterwechsel kann daher später durchaus ein mögliches Szenario sein. Auf einen Anbieterwechsel sollte man sich vorbereiten, vertraglich sowie z.B. mit Sollbruchstellen in der Architektur.
Infrastruktur & Daten – das Fundament jedes KI-Chatbots
Viele Banken setzen für KI-Use-Cases auf Public-Cloud-Infrastrukturen. Legal-, Compliance- und Security-Abklärungen für Cloud-basierte KI-Lösungen können aufwändig und zeitintensiv sein, die Kosten für Cloud-Infrastrukturen werden oft unterschätzt. Ein zentraler Erfolgsfaktor ist eine einfach nutzbare Basis, fokussiert auf idealerweise einen Anbieter. Dabei lohnt es sich das Vendor-Lock-in-Risiko bewusst zu adressieren sowie eine Abstraktionsschicht mindestens für den Zugriff auf LLMs in Betracht zu ziehen, da Modellwechsel regelmässig erforderlich werden. Erste Erfahrungen sammelt man am besten mit einfachen Use-Cases.
Die Qualität eines KI-Chatbots hängt massgeblich von der Datenbasis ab. In Banken liegen die benötigten Daten häufig verteilt, in unzureichender Qualität oder schwer nutzbar vor. RAG-Systeme legen Widersprüche, Doppelspurigkeiten und Fehler offen, da Antworten und Referenzen diese Schwächen sichtbar machen. Datenbereinigung und -bereitstellung geht man mit Vorteil zeitnah an. Entscheidend ist eine gelebte Data Governance; die definierten Data Owner gilt es laufend in die Pflicht zu nehmen. Ein wichtiger Erfolgsfaktor ist der Aufbau einer geeigneten Datenplattform für KI- und Analytics-Use-Cases. Moderne Technologien wie MCP für den Zugriff auf Daten und Services nutzt man am besten von Beginn an. Auch nach dem Go-Live bleibt die kontinuierliche Pflege der Inhalte zentral.
PHASE 2 – Erstimplementierung
Viele KI-Use-Cases gehen davon aus, dass ein Mensch die Ergebnisse validiert. Bei einem öffentlichen Chatbot ist das nicht möglich. Die Nutzerinnen und Nutzer verlassen sich auf eine verständliche, robuste und sichere Interaktion, wodurch die Anforderungen an Zuverlässigkeit, Antwortverhalten und Fehlervermeidung erheblich steigen. Das zentrale Risiko sind faktisch falsche Antworten (Halluzinationen); ihm begegnet man durch Grounding mit Quellenbelegen, Themen-Scoping und Output-Guardrails. Der Chatbot sollte «dummy-sicher» und umfassend getestet sein. Wichtig sind transparente Nutzerinformation, Consent- und Opt-out-Mechanismen bzw. gegebenenfalls die Schaffung oder Erhaltung alternativer Kanäle.
Bereits kleine Änderungen können das Verhalten von KI-Applikationen stark verändern: Prompts, Modellparameter sowie RAG- und Embedding-Konfigurationen beeinflussen die Antworten wesentlich. Grösse und Anzahl der Prompts wirken sich zudem direkt auf Token-Verbrauch und Antwortgeschwindigkeit aus. Prompts und die gesamte Konfiguration behandelt man deshalb am besten als Code und versioniert sie. Verschiedene Modelle, Prompts und Konfigurationen testet man automatisiert und macht sie vergleichbar. Umfassendes Monitoring ist wesentlich, um das Applikationsverhalten jederzeit nachvollziehen und belegen zu können. Ergänzend empfiehlt es sich, einen definierten Incident-Response-Prozess sowie einen «Kill-Switch» – idealerweise mit Rollback auf eine geprüfte Konfiguration – vorzusehen, um bei Fehlverhalten oder Sicherheitsvorfällen rasch reagieren zu können.
Aufwände für Sicherheit sollten nicht unterschätzt werden
Öffentliche KI-Applikationen bergen spezifische Sicherheitsrisiken, darunter Volumenangriffe und Prompt Injection. Um diese Risiken zu senken, haben sich mehrere Massnahmen bewährt: Penetration Tests durch externe Experten und Adversarial Testing decken Schwachstellen auf, während technische Schutzmechanismen wie eine WAF mit DDoS-Schutz, Rate Limiting und weiteren Bot-Protection-Features Angriffe abwehren. Die Ein- und Ausgaben des LLM lassen sich zusätzlich durch PII-Maskierung und DLP absichern.
PHASE 3 – Betrieb & Weiterentwicklung
LLMs entwickeln sich schnell weiter und werden häufig durch Nachfolger abgelöst; ein Wechsel kann nahezu jährlich notwendig werden. In der Region Schweiz sind Modelle je nach Cloud-Anbieter im Vergleich zum EU-Raum später oder gar nicht verfügbar. Nachfolgemodelle sind für den spezifischen Use-Case nicht zwangsläufig besser und lokal betriebene LLMs erreichen aktuell je nach Use-Case noch nicht das Niveau der Cloud-LLMs. Nach einem Modellwechsel sind Prompt- und Konfigurationsanpassungen stets erforderlich und sollten sorgfältig getestet werden. Hinzu kommen Sicherheits- und Compliance-Abklärungen, welche die Modellnutzung einschränken oder verzögern. Erfolgsentscheidend ist daher eine etablierte KI-Governance mit Modellfreigaben, Risikoklassifizierung, Kontrollen sowie klar definierten Rollen und Verantwortlichkeiten. Massgebend sind dabei insbesondere revDSG, die FINMA-Anforderungen (inkl. Outsourcing- bzw. Cloud-Vorgaben) sowie ggf. der EU AI Act.
Fazit
Die Realisierung eines öffentlich zugänglichen KI-Chatbots für eine Schweizer Bank ist ein komplexes, sicherheitskritisches und betrieblich anspruchsvolles Vorhaben. Das Starten mit einfachen Use-Cases, Etappierung und ein realistischer Umgang mit Unsicherheiten, Risiken und Anbieter-/Produktlimitationen tragen massgeblich zum Erfolg bei. Inhalts- und Datenpflege, Modellwechsel und Re-Testing, Monitoring der Erfolgsmetriken wie etwa Resolution Rate, Kundenzufriedenheit und Kosten pro Konversation sowie regelmässige Security- und Compliance-Reviews bleiben als Daueraufgaben bestehen. Banken ist daher der Wechsel von einer projekt- zu einer produktorientierten Organisation zu empfehlen: Ein klar verantwortlicher Product Owner, ein stehendes Betriebsteam und gesicherte Budgets ermöglichen kontinuierliche Weiterentwicklung und den sicheren Betrieb.
