Memory-Infrastruktur unter Ihrer Kontrolle

Souveräne Memory-Infrastruktur für KI-Assistenten

Wenn Ihre Mitarbeitenden KI-Assistenten einsetzen, entsteht eine neue Datenschicht: das Gedächtnis, das diese Assistenten aufbauen. Diese Schicht ist der nächste Punkt im Datenfluss, an dem Unternehmenswissen die EU verlassen kann, selbst wenn das genutzte KI-Modell EU-konform betrieben wird. knowmind ist diese Schicht, aber unter Ihrer Kontrolle. Betrieb in Deutschland, Mandantentrennung auf Datenbank-Ebene, Werkzeuge für Export und Löschung eingebaut.

Das Modell ist EU-konform, und trotzdem verlässt Wissen das Land

Viele Unternehmen haben die Frage nach dem KI-Modell sauber geklärt. Die Frage nach dem Gedächtnis meist nicht. Gängige Anbieter für Memory-Layer wie Mem0, Letta, Pinecone oder Zep betreiben ihre Dienste in den USA. Das ist eine Tatsachenfeststellung, kein Angriff. Aber es bedeutet, dass genau das Wissen, das Ihre Assistenten über Ihr Unternehmen ansammeln, an einem Ort liegt, den Sie nicht kontrollieren. knowmind läuft auf Servern der Hetzner Online GmbH im Rechenzentrum Nürnberg, Deutschland. Die ISO-27001-Zertifizierung gilt für dieses Rechenzentrum, nicht für knowmind selbst, damit Sie die Aussage sauber zuordnen.

Mandantentrennung, die nicht auf Vertrauen beruht

Wo mehrere Kunden dieselbe Plattform nutzen, ist die Trennung der Daten die entscheidende Frage. In knowmind ist sie auf Datenbank-Ebene erzwungen, über Row-Level-Security, und zwar durchgängig, auch bei der Graph- und Vektorsuche. Es handelt sich um eine Regel in der Datenbank selbst, nicht um Anwendungslogik, die man umgehen könnte. Die Team-Funktion wurde zusätzlich adversarial reviewt.

Wiederherstellbarkeit, die wir getestet haben, nicht behaupten

Backups sind erst dann etwas wert, wenn die Wiederherstellung funktioniert. Deshalb sichern wir täglich um 03:05 Uhr mit automatischer Integritätsprüfung, halten 14 Tage täglich und 8 Wochen wöchentlich vor und legen eine tägliche Zweitkopie der letzten sieben Sicherungen auf ein räumlich getrenntes System. Am 15. Juli 2026 haben wir die Wiederherstellung aus der Tagessicherung erfolgreich getestet, der Datenbestand war tabellenweise identisch. Unser Sicherungsziel liegt bei höchstens 24 Stunden Datenverlust im Ernstfall, das Wiederanlauf-Ziel bei 4 Stunden. Das ist ein Ziel, keine vertraglich garantierte Zusage, und so sollten Sie es auch lesen.

Passwörter und Schlüssel, sauber getrennt gespeichert

Konten-Passwörter speichern wir ausschließlich als scrypt-Hash, API-Token ausschließlich als HMAC-SHA256-Prüfwert. Hinterlegte Anbieter-Schlüssel werden je Mandant mit AES-256-GCM verschlüsselt. Beim Ablegen von Erinnerungen greift eine technische Sperre gegen eindeutige Geheimnismuster wie private Schlüssel, API-Schlüssel und Token-Zeilen. Die Grenze nenne ich offen: Ein frei im Fließtext formuliertes Passwort erkennt diese Sperre nicht zuverlässig.

Was knowmind heute nicht kann, sage ich Ihnen jetzt

Ich halte nichts davon, Ihnen erst nach der Unterschrift zu erklären, was fehlt. Also gleich vorweg: Die Wissensinhalte auf dem Server sind nicht feld- oder datenträgerverschlüsselt, der Schutz läuft über Zugriffskontrolle und Mandantentrennung. Eine Mehr-Faktor-Anmeldung gibt es aktuell nicht, die Zugriffssicherheit stützen E-Mail-Anmeldelink und personengebundene Token. Eine Anmeldung über Ihr Firmen-Identitätssystem über OIDC ist vorbereitet und auf Anfrage verfügbar. Als fertigen Selbstbedienungs-Weg finden Sie sie noch nicht in der Oberfläche. Extern zertifiziert im Sinne eines beauftragten Zertifizierungs-Audits ist knowmind nicht. Durchgeführt haben wir einen internen Sicherheits-Audit nach OWASP-Orientierung und einen autorisierten externen Penetrationstest.

Revisionsfähig protokolliert, exportierbar, löschbar

Sicherheitsrelevante Vorgänge werden je Mandant revisionsfähig protokolliert, die Vorhaltedauer richtet sich nach dem Tarif, von 30 Tagen bis zu 24 Monaten, im Enterprise-Bereich länger. Für die Betroffenenrechte sind die Werkzeuge eingebaut: vollständiger Datenexport des Arbeitsbereichs als JSON nach Art. 15 und gezielte Löschung mit protokolliertem Löschgrund über alle Speicherschichten nach Art. 17. Ob Ihr konkreter Einsatz damit DSGVO-konform ist, bewerten Ihre Datenschutzverantwortlichen, nicht unsere Marketingseite.

Häufige Fragen

Wo werden unsere Daten physisch verarbeitet?

Auf Servern der Hetzner Online GmbH im Rechenzentrum Nürnberg (NBG1), Deutschland. Die ISO-27001-Zertifizierung gilt für das Rechenzentrum, nicht für knowmind als Anwendung.

Wie ist sichergestellt, dass unsere Daten nicht mit denen anderer Kunden vermischt werden?

Durch Mandantentrennung auf Datenbank-Ebene mit Row-Level-Security, durchgängig auch für Graph- und Vektorsuche. Die Trennung ist in der Datenbank verankert, nicht nur in der Anwendungslogik.

Sind die Daten auf dem Server verschlüsselt?

Die Wissensinhalte sind nicht feld- oder datenträgerverschlüsselt. Der Schutz läuft über Zugriffskontrolle und Mandantentrennung. Hinterlegte Anbieter-Schlüssel werden je Mandant mit AES-256-GCM verschlüsselt, Passwörter und Token nur als Hash beziehungsweise Prüfwert gespeichert. Wenn Verschlüsselung ein hartes Kriterium für Sie ist, sollten Sie das offen bewerten.

Gibt es eine Mehr-Faktor-Anmeldung und Single-Sign-On?

Eine Mehr-Faktor-Anmeldung gibt es aktuell nicht. Eine Anmeldung über Ihr Firmen-Identitätssystem über OIDC ist vorbereitet und auf Anfrage verfügbar. Beides beschreibe ich Ihnen lieber offen als geschönt.

Ist knowmind zertifiziert?

Ein extern beauftragter Zertifizierungs-Audit existiert nicht, und wir behaupten das auch nicht. Durchgeführt wurden ein interner Sicherheits-Audit nach OWASP-Orientierung und ein autorisierter externer Penetrationstest, die Team-Funktion wurde zusätzlich adversarial reviewt.

Wie belastbar ist die Wiederherstellung im Ernstfall?

Wir sichern täglich mit Integritätsprüfung, halten eine räumlich getrennte Zweitkopie vor und haben die Wiederherstellung am 15. Juli 2026 erfolgreich getestet. Sicherungsziel höchstens 24 Stunden Datenverlust, Wiederanlauf-Ziel 4 Stunden, als Ziel formuliert, nicht als garantierte SLA.

Können wir knowmind in eigene Systeme einbinden?

Ja. Es gibt acht dokumentierte Anbindungswege über das Model Context Protocol und eine REST-Schnittstelle. Der Client ist unter Apache-2.0 quelloffen, die gehostete Plattform proprietär.

Wie erfüllen wir Betroffenenrechte?

Über den eingebauten Datenexport als JSON und die gezielte Löschung mit protokolliertem Löschgrund über alle Speicherschichten. Sicherheitsrelevante Vorgänge sind revisionsfähig protokolliert.

Prüfen Sie uns, bevor Sie uns vertrauen

Ich lade Sie ausdrücklich dazu ein, genau hinzuschauen, bevor Sie eine Entscheidung treffen. Sehen Sie sich das Trust-Center mit den belegten Aussagen an, lassen Sie Ihre IT und Ihren Datenschutz die offen benannten Grenzen bewerten und starten Sie dann einen begrenzten Piloten mit einem klaren Ablauf. Fordern Sie den Zugang zum Trust-Center an oder vereinbaren Sie ein Erstgespräch.

Weiterlesen