KI in Legacy-Systemen integrieren, ohne den Betrieb zu gefährden
Die Integration von Künstlicher Intelligenz in Legacy-Systeme beginnt nicht mit der Auswahl eines Modells, sondern mit einer entscheidenden Frage: Welche Teile des bestehenden Systems lassen sich weiterentwickeln, ohne den laufenden Betrieb zu riskieren?
Viele Organisationen haben bereits erste KI-Anwendungsfälle getestet – Copilots, Automatisierung, interne Assistenten oder Prognosemodelle. Doch sobald diese in die Produktion überführt werden sollen, zeigt sich schnell die Realität: fragmentierte Datenlandschaften, tief verankerte Business-Logik in Altsystemen, unklare Abhängigkeiten, manuelle Prozesse, fehlende Testabdeckung und regulatorische Einschränkungen.
Das eigentliche Problem ist selten die KI selbst. Es ist die technologische Basis, auf der sie aufsetzt.
In Legacy-Umgebungen kann eine oberflächliche KI-Integration technische Schulden sogar beschleunigen. Was im Proof of Concept funktioniert, scheitert oft im produktiven Umfeld kritischer Prozesse. Deshalb sollte KI-Integration nicht als Experiment verstanden werden, sondern als Teil einer Software Modernisierung.
Aus unserer Erfahrung bei Codurance zeigt sich: Der wirksamste Ansatz ist inkrementell, pragmatisch und kontrolliert. Ziel ist es nicht, Systeme abrupt zu ersetzen oder dauerhaft zu umhüllen, sondern den regulären Geschäftsbetrieb (Business As Usual) zu schützen, Wertpotenziale gezielt zu erschließen und die Architektur schrittweise weiterzuentwickeln.
Dieses Playbook beschreibt, wie sich KI aus einer Software-Craftsmanship-Perspektive in Legacy-Systeme integrieren lässt: mit klarer Architektur, automatisierten Tests, Observability, Data Governance und nachvollziehbaren Entscheidungen. Ein zentrales Prinzip bleibt dabei konstant: Geschwindigkeit ist nur dann wertvoll, wenn Kontrolle erhalten bleibt.
In der Praxis zeigen sich drei dominante Muster für die Integration von KI in bestehende Systeme: API-Wrapping, Event-driven Architecture und Strangler Fig mit KI-Modulen.
Die Wahl hängt von technischer Schuld, Systemkritikalität, Datenqualität und Business-Druck ab.
Der API-Wrapper legt eine moderne Schnittschicht über das Legacy-System, ohne dessen Kern zu verändern.
Dieses Muster eignet sich besonders, wenn Systeme stabil sind, aber externe Erweiterungen benötigen. KI kann so auf Daten zugreifen oder Empfehlungen generieren, ohne tief in die Legacy-Logik einzugreifen.
Beispiel: Ein KI-Modul zur Risiko-Priorisierung greift über APIs auf historische Daten zu, während das Kernsystem weiterhin transaktional arbeitet.
Der Vorteil liegt in Geschwindigkeit und Kontrolle: Authentifizierung, Logging und Rate-Limiting lassen sich zentral steuern. Der Nachteil: Ohne klare Governance kann der Wrapper selbst zu einer dauerhaften Komplexitätsschicht werden.
Event-basierte Integration erlaubt es KI-Systemen, auf Geschäftsereignisse zu reagieren, ohne den Kernprozess zu blockieren.
Das Legacy-System publiziert Events wie „Transaktion abgeschlossen“ oder „Fall erstellt“. KI-Komponenten konsumieren diese Events, analysieren sie und liefern Insights zurück.
Typische Use Cases:
Der große Vorteil liegt in der Entkopplung. Die Herausforderung liegt in der Disziplin: Events müssen semantisch klar, versioniert und nachvollziehbar sein.
Der Strangler-Fig-Ansatz ersetzt Teile des Legacy-Systems schrittweise durch moderne Services.
KI wird dabei nicht additiv integriert, sondern in neue Domänenmodule eingebettet – etwa Scoring, Dokumentenklassifikation oder Case Management.
Dieser Ansatz ist besonders geeignet, wenn Legacy-Systeme das Wachstum blockieren oder bestimmte Domänen ohnehin modernisiert werden müssen.
Er erfordert jedoch saubere Datenmigration, Parallelbetrieb und klare Abschaltkriterien.
Die folgenden Beispiele basieren auf wiederkehrenden Mustern aus Modernisierungsprojekten.
Herausforderung:
Ein globales Unternehmen arbeitete auf einem stabilen Legacy-Core, aber manuelle Prüfprozesse verursachten hohe Aufwände. Ziel war es, KI für Priorisierung und Anomalieerkennung einzusetzen, ohne den Betrieb zu gefährden.
Architekturentscheidung:
Zunächst wurde ein API Wrapper eingeführt, um kontrollierten Datenzugriff zu ermöglichen. Danach wurde eventgetriebene Integration ergänzt, um relevante Geschäftsvorfälle zu erfassen. Das KI-Modul lieferte Empfehlungen, während die finale Entscheidung beim Menschen blieb.
Alle Entscheidungen wurden inklusive Modellversion, Datenquelle, Event und Nutzeraktion protokolliert. Fallback-Mechanismen stellten sicher, dass der Prozess auch ohne KI funktionierte.
Ergebnis:
Reduzierte Bearbeitungszeiten bei niedriger Komplexität, bessere Transparenz und Grundlage für spätere Automatisierung – ohne Eingriff in den Core.
Herausforderung:
Eine Organisation mit stark hierarchischer Struktur verwaltete große Dokumentenmengen in einem Legacy-System. Klassifikation erfolgte manuell und wurde zum Engpass.
Architekturentscheidung:
Strangler-Fig nur für den Dokumenteneingang: Legacy blieb führend, während ein modernes Modul Dokumente analysierte, Metadaten extrahierte und KI-gestützte Klassifikation durchführte. Ergebnisse wurden in den bestehenden Workflow zurückgeführt.
Human-in-the-loop, Datenschutz, Logging und Traceability waren zentrale Designprinzipien.
Ergebnis:
Reduzierte manuelle Arbeit, bessere Konsistenz und eine wiederverwendbare Basis für weitere digitale Services.
Herausforderung:
Ein Finanzunternehmen wollte KI einsetzen, hatte aber inkonsistente Daten über mehrere Altsysteme hinweg.
Architekturentscheidung:
Zunächst Modernisierung der Datenbasis: Domänenmodelle, Datenverträge, Qualitätsregeln, Lineage und Zugriffssteuerung. Event-driven Integration half, eine konsistentere Sicht aufzubauen.
KI wurde zunächst nur für risikoarme Use Cases eingesetzt (Anomalien, Datenbereinigung, Alerts), kombiniert mit regelbasierten Kontrollen und menschlicher Validierung.
Ergebnis:
Mehr Vertrauen in Daten, geringerer Abstimmungsaufwand und eine stabile Grundlage für zukünftige KI-Anwendungen.
Standardansätze suggerieren eine lineare KI-Einführung. In Legacy-Umgebungen ist die Realität deutlich komplexer.
KI benötigt konsistente, zugängliche und nachvollziehbare Daten. Legacy-Systeme erfüllen diese Anforderungen oft nur teilweise: Duplikate, widersprüchliche Bedeutungen, fehlende Historien oder externe Regeln sind üblich.
Datenqualität ist daher kein vorbereitender Schritt, sondern Teil der Architektur.
Nicht nur Code muss versioniert werden, sondern auch Modelle, Datensätze, Prompts, Features und Schwellenwerte.
Nur so lässt sich beantworten: Warum wurde diese Entscheidung getroffen?
In regulierten Kontexten muss jede relevante Entscheidung nachvollziehbar sein – inklusive Modellversion, Datenbasis und Entscheidungslogik.
Es reicht nicht, Modellgenauigkeit zu testen. Entscheidend ist das End-to-End-System:
Die zentrale Frage: Bleibt das Gesamtsystem korrekt, auditierbar und stabil, auch wenn die KI fehlschlägt?
Observability muss sowohl System als auch Modell abdecken: Latenz, Fehler, Drift, Input-Verteilungen, Confidence Scores, Human Overrides und Business Impact.
Ohne Observability wird KI zu einer Black Box in einer Black Box.
Nicht jedes Legacy-System muss zuerst modernisiert werden, aber auch nicht jedes ist bereit für KI.
Typische Fälle: Priorisierung, Klassifikation, Zusammenfassungen, Assistenzsysteme.
Hier würde KI Komplexität erhöhen statt Wert schaffen.
KI in einem abgegrenzten Bereich eingeführt wird, während die Architektur schrittweise modernisiert wird – ohne taktische Dauerlösungen zu erzeugen.
| Kriterium | Günstiges Signal für Integration | Günstiges Signal für „erst modernisieren“ |
|---|---|---|
| Systemalter und Support | Unterstützter und stabiler Stack | Veraltete oder nicht mehr unterstützte Abhängigkeiten |
| Technische Schulden | Lokalisierte und nachvollziehbare Änderungen | Langsame, fragile und teure Änderungen |
| Geschäftskritikalität | Unterstützung von menschlichen Teams oder geringes Risiko | Kritische oder regulierte Entscheidungen |
| Datenqualität | Nachvollziehbare und ausreichende Daten | Inkonsistente oder nicht gesteuerte Daten |
| Änderungsfähigkeit | Angemessene Tests, Deployments und Rollbacks | Keine Tests, keine Observability, keine Rückrollfähigkeit |
Wenn die Kritikalität hoch ist und die Änderungsfähigkeit gering, ist es sicherer, zuerst zu modernisieren. Wenn die Änderungsfähigkeit hingegen ausreichend ist und der KI-Use Case klar abgegrenzt ist, kann eine Integration ein effektiver Weg sein, um frühzeitig Wert zu schaffen.
In Spanien und der Europäischen Union bedeutet die Integration von KI in Legacy-Systeme, dass Datenschutz, Sicherheit, Datenresidenz und Governance von Anfang an mitgedacht werden müssen. Das ist besonders relevant in Branchen wie Banking, Versicherungen, Gesundheitswesen, öffentlicher Verwaltung und überall dort, wo personenbezogene Daten oder entscheidungsrelevante Systeme betroffen sind.
Die DSGVO (GDPR) verlangt eine rechtmäßige Grundlage, einen klar definierten Zweck und eine verhältnismäßige Datenverarbeitung. Im Kontext von KI heißt das: Es muss eindeutig beantwortet werden, welche Daten verwendet werden, warum sie notwendig sind, ob sie für andere Zwecke weiterverwendet werden, wie lange sie gespeichert bleiben und wie Empfehlungen nachvollziehbar erklärt werden können.
Die Datenminimierung ist dabei zentral: Nicht alle verfügbaren Daten sollten genutzt werden. In Legacy-Systemen, in denen Datenklassifikation häufig schwach ausgeprägt ist, sollte besonders sorgfältig vorgegangen werden. Sensible Daten müssen identifiziert werden, Pseudonymisierung sollte eingesetzt werden, wo möglich, und produktive Daten dürfen nicht unkontrolliert in Testumgebungen gelangen.
Datenresidenz darf nicht als nachgelagerter Schritt betrachtet werden, sondern muss Teil der Architektur sein. Wenn Cloud-Services oder KI-Anbieter genutzt werden, müssen Verarbeitungsregionen, Auftragsverarbeitungsverträge, Aufbewahrungsrichtlinien sowie Zusicherungen zur Nichtverwendung der Daten für externes Training geprüft werden.
In besonders sensiblen Szenarien kann es sinnvoll sein, Modelle in kontrollierten, abgeschotteten Umgebungen zu betreiben oder externe Dienste ausschließlich mit anonymisierten Daten zu nutzen.
KI erweitert die Angriffsfläche. Ein Modul, das Akten zusammenfasst, Kundendaten abruft oder Dokumente klassifiziert, kann sensible Informationen preisgeben, wenn keine strengen Kontrollen implementiert sind. Deshalb müssen Identitäts- und Zugriffskontrollen, Verschlüsselung, Logging, Secrets Management, Service Accounts und Zugriffsbeschränkungen konsequent überprüft werden.
Zusätzlich müssen KI-spezifische Risiken berücksichtigt werden, etwa Manipulation von Inputs, Prompt Injection bei LLM-basierten Systemen oder unbeabsichtigte Datenlecks in generierten Antworten.
Governance definiert, wer Use Cases freigibt, wer Modelle validiert, wer Ergebnisse überwacht, wer Schwellenwerte anpasst und wer im Incident-Fall verantwortlich ist.
Ein minimaler Rahmen sollte eine Risikoklassifizierung der Use Cases, Datenschutz- und Rechtsprüfungen, Akzeptanzkriterien, Dokumentation von Datensätzen und Modellen, menschliche Kontrolle bei kritischen Entscheidungen, kontinuierliches Monitoring sowie klar definierte Rollback-Prozesse umfassen.
KI kann die operative Geschwindigkeit deutlich erhöhen – aber erst eine saubere Governance stellt sicher, dass diese Geschwindigkeit nicht zulasten von Vertrauen und Sicherheit geht.
Abbildung der Wertströme, kritischen Systeme, Abhängigkeiten, Datenflüsse, regulatorischen Einschränkungen und der Teamkapazität. Das Ergebnis sollte eine priorisierte Analyse sein: geeignete Domänen, Risiken, Daten-Readiness und Chancen für schnellen Mehrwert.
Auswahl zwischen API-Wrappers, Event-basierten Ansätzen oder dem Strangler-Fig-Muster – abhängig von Kritikalität, technischer Schuld und Geschäftsziel. Die Abwägungen sollten dokumentiert werden: Geschwindigkeit, Kosten, Risiko, Rückrollfähigkeit und Beitrag zur zukünftigen Architektur.
Definition eines Dateninventars, Datenqualität, Lineage, Berechtigungen, Aufbewahrung und Validierungsdatensätze. Rollen, Freigaben, Risikokriterien und Audit-Anforderungen müssen vor der Skalierung festgelegt werden.
Start mit einem klar abgegrenzten, idealerweise assistiven Use Case. Integration der KI mit klar definierten Verträgen, automatisierten Tests, Logging, Metriken, Feature Flags und Fallback-Mechanismen.
Validierung von Genauigkeit, Stabilität, Sicherheit, Datenschutz, Latenz, Bias, Erklärbarkeit, operativem Impact und Rückrollfähigkeit. Beteiligung von Business, Technologie, Security, Legal und Operations ist erforderlich.
Phasenweiser Rollout: kontrollierte Piloten, begrenzte Nutzergruppen, intensive Überwachung und schrittweise Ausweitung. Nach dem Deployment kontinuierliche Überwachung von Drift, Performance, Datenqualität und architektonischer Weiterentwicklung.
Die meisten Leitfäden zu KI und Legacy sind zu allgemein gehalten. Sie empfehlen Modernisierung, API-Integration, Datenvorbereitung oder die Auswahl von Modellen, erklären aber nicht, wie Entscheidungen getroffen werden sollen, wenn ein System nicht gestoppt werden kann, Wissen nur in wenigen Köpfen liegt und das Business in festen Zeitrahmen Ergebnisse erwartet.
Der Ansatz von Codurance unterscheidet sich durch seinen Pragmatismus und die Fähigkeit, Systeme zu betreiben und gleichzeitig den Geschäftsbetrieb jederzeit zu 100 % aufrechtzuerhalten. KI-Integration bedeutet nicht, einer festen Rezeptur zu folgen, sondern Architekturentscheidungen unter realen Einschränkungen zu treffen. Manchmal ist es sinnvoll, das Legacy-System über APIs zu kapseln, manchmal sollte man Events nutzen, manchmal ist es richtig, eine ganze Domäne herauszulösen – und manchmal ist die verantwortungsvolle Entscheidung, KI noch nicht zu integrieren und zuerst die Basis zu modernisieren.
Unsere Software-Craftsmanship-Philosophie bietet eine konkrete Disziplin, um diese Trade-offs zu navigieren: einfaches Design, wartbarer Code, automatisierte Tests, Continuous Integration, sichere Refaktorierung, enge Zusammenarbeit mit dem Business und geteilte Verantwortung für das Ergebnis. Die Prinzipien des Software Craftsmanship sind im KI-Zeitalter noch wichtiger, da das Risiko von „instant legacy“ hoch ist, wenn Geschwindigkeit über Verständnis gestellt wird.
Eine effektive KI-Integration in Legacy-Systemen wird nicht daran gemessen, wie viele Modelle produktiv sind, sondern an der Fähigkeit einer Organisation, sich sicher zu verändern. Diese Fähigkeit entsteht durch evolvierbare Architektur, gut verwaltete Daten, Observability, gut vorbereitete Teams und zuverlässige Umsetzung.
Das Ziel ist nicht, KI ins Legacy zu „stecken“, sondern bestehende Systeme schrittweise in Plattformen zu transformieren, die kontinuierliche Innovation tragen können.
KI bringt Beschleunigung. Modernisierung bringt Kontrolle. Ingenieurshandwerk verwandelt beides in einen Wettbewerbsvorteil.
Wenn du mehr erfahren möchtest, bietet dieser Leitfaden zur Modernisierung von Legacy-Systemen mit KI einen detaillierten Überblick darüber, wie Systeme schrittweise weiterentwickelt werden können – mit Verbindung von Architektur, Delivery und Impact-Metriken.