Wer ein Sicherheitsgutachten beauftragt, will eine klare Antwort: Wo stehen wir, was fehlt, was ist zu tun – in welcher Reihenfolge und auf welcher normativen Grundlage. Das klingt einfach. In der Praxis scheitert es häufig nicht am fehlenden Fachwissen des Gutachters, sondern an fehlender Struktur: Findings ohne Normzuordnung, Risikoeinschätzungen ohne nachvollziehbare Methodik, Handlungsempfehlungen ohne Priorisierung. Das Ergebnis ist ein Dokument, das formal ein Gutachten ist – aber im Ernstfall keine belastbare Entscheidungsgrundlage liefert.
Ich habe dieses Strukturproblem nicht mit besseren Vorlagen gelöst. Ich habe eine eigene Softwarelösung entwickelt – die JW Gutachter-Software – die seit Version 3.5.7 produktionsreif im Einsatz ist. Sie zwingt zur Methodik: Normzuordnung, Risikobewertung, Maßnahmenpriorisierung und Revisionsnachweis sind keine optionalen Felder, sondern integraler Bestandteil des Workflows. KI unterstützt dabei die Dokumentenerstellung – auf einem Fundament, das methodisch belastbar ist.
In diesem Beitrag beschreibe ich, wie diese Methodik funktioniert – als Einblick in das Handwerk, das hinter einem belastbaren Sicherheitsgutachten steht. Nicht als Technikdemonstration, sondern als Antwort auf die Frage: Woran erkenne ich, ob ein Gutachter strukturiert arbeitet – oder nur strukturiert klingt?
Warum eine eigene Software – und nicht ein generisches Tool?
Die Frage ist berechtigt. Es gibt Dokumentenmanagementsysteme, Gutachten-Vorlagen und sogar spezialisierte Compliance-Tools. Warum also etwas Eigenes bauen? Die Antwort liegt in einem strukturellen Defizit, das alle Standardlösungen gemeinsam haben: Sie kennen den Gutachtenprozess nicht. Sie wissen nicht, dass ein Sicherheitsbewertungsbericht anderen Anforderungen folgt als ein Sachverständigengutachten. Sie kennen keine Risikobeurteilung nach VDSI-Methodik. Sie verstehen den Unterschied zwischen einer normativen Handlungsempfehlung und einer technischen Spezifikation nicht.
Generische Dokumententools liefern generische Ergebnisse. Wer als herstellerunabhängiger Gutachter arbeitet, braucht aber genau das Gegenteil: ein Werkzeug, das die spezifische Fachlogik kennt, sie auf konkrete Auftragsdaten anwendet und dabei methodisch sauber bleibt. Das lässt sich nicht mit einem Word-Template erreichen. Und es lässt sich auch nicht mit einem KI-Chatbot erreichen, dem man jedes Mal aufs Neue erklären muss, was ein Sicherheitsgutachten ist.
Die JW Gutachter-Software wurde daher von Anfang an als domänenspezifisches System konzipiert. Das bedeutet: Die Fachlogik – Normenbezüge, Risikoklassen, Maßnahmenstruktur, Gutachtenaufbau – ist nicht dem Nutzer überlassen, sondern in der Anwendung selbst verankert. KI kommt erst danach zum Einsatz, als textueller Assistent auf einem soliden, strukturierten Fundament. Nicht umgekehrt.
Aufbau und Architektur: Was die Software trägt
Die Software läuft als Electron-Desktop-Applikation unter Windows und macOS. Sie benötigt keine Cloudanbindung für die Kerndaten, keine externe Datenbankverbindung und kein Abonnement für die Grundfunktionen. Die lokale SQLite-Datenbank enthält alle auftragsbezogenen Daten: Kunden, Aufträge, Objekte, Findings, Risikobeurteilungen, Normbezüge und generierte Dokumente. Das ist eine bewusste Architekturentscheidung aus Datenschutzgründen. Der primäre Einsatz läuft über lokale LLMs via Ollama – die Daten verlassen das System in diesem Fall zu keinem Zeitpunkt. Werden externe Anbieter über API genutzt, werden die übertragenen Daten vor dem Versand pseudonymisiert; personenbezogene Identifikatoren werden durch neutrale Platzhalter ersetzt.
Der Auftragsworkflow folgt der realen Gutachterpraxis: Kundenanlage, Auftrag, Objekt, Begehung mit Finding-Erfassung (inklusive Foto-Dokumentation), Risikobeurteilung, normbasierter Kontextaufbau, KI-gestützte Textgenerierung, Export. Jeder Schritt baut auf dem vorherigen auf. Das ist kein zufälliges Feature-Set, sondern eine methodische Abbildung des echten Arbeitsprozesses.
Die fünf Hauptmodule im Überblick
Das Modul Kundenverwaltung & Aufträge verwaltet alle Auftraggeber, Aufträge und Objekte und bildet die Datenbasis für alle nachgelagerten Prozesse. Das Modul Begehung & Findings erlaubt die strukturierte Erfassung von Sicherheitsmängeln mit Normzuordnung, Fotos und Risikoklasse direkt bei der Begehung. Die Risikobeurteilung arbeitet mit einem kategorisierten Gefährdungskatalog (Safety, IT-Security, Physische Security, Umwelt, Reputation) und einer automatischen Risikozahl-Berechnung: Einträge ab Risikozahl 8 werden als sicherheitsrelevant markiert, ab 12 als hoch, ab 20 als sehr hoch. Das Rechtskataster verknüpft jeden Auftrag mit den relevanten Normen und Rechtsgrundlagen und stellt diesen Kontext für die KI-Textgenerierung bereit. Das Modul Dokumentenexport erzeugt aus den strukturierten Auftragsdaten druckfertige Word- und PDF-Dokumente – inklusive nativer Tabellen, formatierten Überschriften und individueller Briefkopf-Vorlage.
Diese fünf Module funktionieren auch ohne KI vollständig. Die KI-Integration ist eine Schicht auf diesem Fundament – keine Voraussetzung. Das ist ein wichtiger Punkt, auf den ich später zurückkomme.
KI-Integration: Mehr als ein Textgenerator
Die KI-Unterstützung in der Gutachter-Software basiert auf einem Use-Case-Profil-System. Das bedeutet: Es gibt nicht einen generischen KI-Aufruf, der für alles zuständig ist. Stattdessen werden für jeden Dokumenttyp – Gutachten, Bewertungsbericht, Sicherheitskonzept, Risikobeurteilungs-Summary, Finding-Handlungsempfehlung, RAG-Extraktion – eigene Prompt-Profile und Kontextbausteine verwendet. Jedes Profil kann einem anderen KI-Anbieter zugewiesen werden.
Das ist kein Luxus, sondern Pragmatismus: Ein Sachverständigengutachten erfordert andere Formulierungstiefe und Struktur als eine kompakte Handlungsempfehlung für ein einzelnes Finding. Ein Risikobeurteilungs-Executive-Summary muss verdichten, nicht ausführen. Wer alle Use Cases über denselben Prompt jagt, bekommt mittelmäßige Ergebnisse für alle. Wer sie trennt, bekommt verwertbare Ergebnisse für jeden Einzelfall.
Sechs Use-Case-Profile in der Praxis
Der Use Case Gutachten generiert den Fließtext eines Sachverständigengutachtens auf Basis der Auftragsdaten, der erfassten Findings, des Normkontexts und – optional – der eingebetteten Risikobeurteilung. Der Use Case Bewertung erzeugt einen Sicherheitsbewertungsbericht mit Management Summary und strukturierter Finding-Darstellung. Konzept erstellt normbasierte Sicherheitskonzepte mit Maßnahmentabelle. Der Use Case Finding-Empfehlung generiert pro einzelnem Finding eine präzise KI-Handlungsempfehlung – direkt im Begehungsworkflow, nicht erst beim Abschluss. Risikobeurteilung liefert Maßnahmenvorschläge für Gefährdungen und generiert eine Executive Summary. Der Use Case Extraktion wendet RAG (Retrieval-Augmented Generation) auf hochgeladene Projektdokumente an, um relevante Informationen für den Gutachtenkontext zu extrahieren.
Alle Use Cases werden über Streaming-Schnittstellen (Server-Sent Events) ausgeliefert – das Ergebnis erscheint live Satz für Satz im Interface, nicht als einmaliger Blockabruf. Das hat einen praktischen Vorteil: Der Gutachter sieht sofort, ob der generierte Text in die richtige Richtung geht, und kann den Prozess frühzeitig abbrechen, wenn das Ergebnis nicht passt – anstatt auf eine fertige Seite zu warten, die dann komplett verworfen wird.
Multi-Provider-Ansatz: Warum Herstellerunabhängigkeit auch bei KI gilt
Die Entscheidung, welcher KI-Ansatz die beste Qualität für Sicherheitsgutachten liefert, ist noch offen – und wird sich im Zeitverlauf verändern. Der primäre Einsatz in der täglichen Praxis läuft über lokale LLMs via Ollama mit verschiedenen Modellen: keine Cloudverbindung, keine Datenweitergabe, volle Kontrolle. Für Use Cases, bei denen ein externes Modell die bessere Ausgabequalität liefert, unterstützt die Software fünf weitere Provider. Auf einen einzigen Anbieter zu setzen wäre die gleiche Fehlannahme, die ich in meiner Beratungspraxis bei Herstellerempfehlungen für physische Sicherheitstechnik immer wieder kritisiere.
Die Gutachter-Software unterstützt deshalb fünf KI-Provider gleichzeitig: Anthropic, OpenAI, Google Gemini, OpenRouter als Aggregator für hunderte von Modellen – und einen Custom-Endpoint für selbst gehostete oder spezialisierte Modelle. Jeder Use Case kann unabhängig einem anderen Provider zugewiesen werden. Wer für Finding-Empfehlungen das schnellste Modell nutzen will und für das Gutachten das qualitativ stärkste, kann das ohne Umkonfiguration des Systems tun.
API-Schlüssel werden lokal verschlüsselt gespeichert. Der Credential Store wurde in Version 3.5.4 grundlegend überarbeitet: Der Master-Key-Pfad wird jetzt zur Laufzeit aufgelöst, nicht beim Modulstart. Das klingt wie ein technisches Detail – ist es auch, aber ein relevantes: In der früheren Implementierung führte die Konstante auf Modulebene dazu, dass der Pfad in der kompilierten .exe-Datei nicht korrekt aufgelöst wurde und Schlüssel nach einem Neustart als nicht konfiguriert erschienen. Dieser Bug ist behoben.
Risikobeurteilung mit KI: Was das in der Praxis bedeutet
Die Risikobeurteilung ist das strukturell anspruchsvollste Modul. Sie arbeitet mit einem kategorisierten Gefährdungskatalog, der in fünf Bereiche unterteilt ist: Safety (Arbeitssicherheit), IT-Security, Physische Security, Umweltschäden und Ansehen/Medien. Jeder Katalogeintrag enthält Bereich, Gefährdung, Gefährdungsfaktor und Kategorie. Die Risikozahl ergibt sich aus Eintrittswahrscheinlichkeit und Schadensausmaß nach einer standardisierten Matrix.
Für die KI-gestützte Textgenerierung bedeutet das: Der Prompt enthält nicht nur die Auftragsdaten, sondern auch den Risikobeurteilungskontext – gefiltert auf alle Gefährdungen mit Risikozahl 8 oder höher, mit Angabe der Risikoklasse (Mittel/Hoch/Sehr Hoch) und bereits erfassten Maßnahmen. Die KI bekommt also keine rohe Aufgabenbeschreibung, sondern eine vorstrukturierte, gefilterte Datenbasis. Das ist der entscheidende Unterschied zu einem generischen KI-Prompt.
In Version 3.5.5 wurde die Katalogverwaltung grundlegend überarbeitet. Gutachter können jetzt alle Katalogeinträge inhaltlich bearbeiten – auch Vorlagen-Einträge, die bisher schreibgeschützt waren. Neue Einträge können je Kategorie ergänzt werden. Einträge lassen sich deaktivieren, sodass sie bei zukünftigen Beurteilungen nicht mehr erscheinen, aber historisch erhalten bleiben. Das ist praxisrelevant: Ein Gefährdungsfaktor, der für industrielle Objekte gilt, sollte bei einem Verwaltungsgebäude nicht in der Standardauswahl erscheinen.
Die Checkboxen „Risikobeurteilung des Kunden in Prompt einbeziehen" und „Hochgeladene Projektdokumente (RAG) in Prompt einbeziehen" sind seit Version 3.5.7 in den Modulen Bewertung, Gutachten und Konzept verfügbar. Das gibt dem Gutachter die Kontrolle: Er entscheidet, welche Kontextebenen in die Generierung einfließen – und welche nicht. Wer keine Risikobeurteilung erfasst hat, muss das dem System nicht erklären. Wer sie erfasst hat, kann sie mit einem Klick in den Kontext einbeziehen.
RAG: Eigene Dokumente als Wissensquelle nutzen
Retrieval-Augmented Generation – kurz RAG – beschreibt die Technik, bei der einem KI-Modell nicht nur ein Prompt übergeben wird, sondern zusätzlich relevante Textpassagen aus eigenen Dokumenten, die das Modell als Kontext nutzt. Im Gutachteralltag ist das der Unterschied zwischen einer KI, die aus ihrem allgemeinen Training schöpft, und einer KI, die die relevanten Normen, Berichte, Bestandsdokumentationen oder Herstellerunterlagen des konkreten Projekts kennt.
Die Gutachter-Software erlaubt den Upload projektspezifischer Dokumente, die anschließend für die RAG-Suche indexiert werden. Beim KI-Aufruf wird zu einer Suchanfrage – beispielsweise „Sicherheitsanalyse Risiken Gefährdungen Maßnahmen" – der semantisch relevanteste Dokumenteninhalt herausgefiltert und als Kontext-Block in den Prompt eingebettet. Das geschieht transparent: Der Gutachter sieht, dass RAG-Kontext einbezogen wurde, auch wenn er den technischen Ablauf nicht kennt.
Für die Praxis bedeutet das: Wenn ein Auftraggeber seine bestehende Sicherheitsdokumentation, einen früheren Bewertungsbericht oder eine Bestandsplanung hochlädt, kann die KI diese Informationen beim Generieren des neuen Gutachtens berücksichtigen – ohne dass der Gutachter selbst alle Dokumente manuell auswerten und zusammenfassen muss. Das spart nicht primär Zeit beim Schreiben, sondern beim Lesen und Extrahieren von Vordokumenten. Dieser Schritt kostet in der Praxis oft mehr Zeit als das eigentliche Verfassen des Gutachtens.
Export: Vom strukturierten Datensatz zum druckfertigen Dokument
Ein häufiges Problem bei KI-generierten Texten ist der Bruch zwischen Inhalt und Format. Die KI liefert Markdown-Text mit Überschriften, Tabellen und Aufzählungen – und im Word-Dokument steht dann roher Klartext mit sichtbaren Sonderzeichen. Das klingt nach einem Randproblem, ist aber in der professionellen Gutachterpraxis inakzeptabel. Ein Gutachten, das für einen Auftraggeber oder eine Behörde bestimmt ist, muss formatiert, konsistent und direkt verwendbar sein.
Version 3.5.7 hat genau dieses Problem grundlegend behoben. Der Word-Export wandelt KI-generierte Markdown-Pipe-Tabellen jetzt in native Word-Tabellen um – mit Navy-Kopfzeile, weißer Schrift, Rahmen und korrekten Spaltenbreiten. Der PDF-Export über Puppeteer rendert die gleichen Tabellen als sauber gestaltetes HTML mit der definierten Markenfarbe. Der Template-Export – für Nutzer, die eine eigene Briefkopf-Vorlage mit Platzhaltern einsetzen – konvertiert alle Markdown-Syntax in formatierten Plaintext, sodass Überschriften, Fettdruck und Aufzählungen korrekt erscheinen, ohne dass technische Syntax sichtbar ist.
Das Ergebnis ist ein Dokument, das ohne manuelle Nacharbeit an einen Auftraggeber übergeben werden kann. Das klingt selbstverständlich. In der Praxis ist es das bis jetzt bei KI-Tools selten.
Das nächste Feature: Das Revisionsprotokoll als Haftungsschutz
Sicherheitsgutachten unterliegen einer besonderen haftungsrechtlichen Logik. Wer ein Gutachten erstattet, dokumentiert damit den Stand des Wissens und der Normenlage zum Zeitpunkt der Erstellung. Wenn sich Normen danach ändern, Gefährdungslagen eskalieren oder ein Schadensfall eintritt, ist die zentrale Frage: Welche Informationsgrundlage hat der Gutachter zum damaligen Zeitpunkt genutzt? War sie vollständig? Entsprach sie dem Stand der Technik?
Ohne systematische Protokollierung kann diese Frage im Nachhinein nur schwer beantwortet werden. Notizen, Dateihistorien, E-Mail-Verläufe – das ist kein Nachweis, der im Zweifelsfall trägt. Das Revisionsprotokoll, das als Phase 17 in der Softwareentwicklung vorgesehen ist, löst dieses Problem durch eine automatische Protokollierung: Welches Dokument wurde wann hochgeladen, welche Normen wurden bei der KI-Generierung als Kontext eingesetzt, welcher KI-Provider hat welches Ergebnis erzeugt, wann wurde exportiert. Dieser Log wird für jedes Gutachten, jede Bewertung und jede Risikobeurteilung automatisch geführt – ohne zusätzlichen Aufwand für den Gutachter.
Das Revisionsprotokoll ist damit nicht nur ein technisches Feature. Es ist ein Argument gegenüber Auftraggebern, Behörden und im Haftungsfall: Die Beurteilung basierte zum Zeitpunkt ihrer Erstellung nachweislich auf dem Stand von Norm X, Version Y, eingebunden am Datum Z. Das lässt sich mit einem Klick als PDF-Anhang dem Gutachten beilegen. Für Gutachter, die in sensiblen Bereichen arbeiten – KRITIS-Umfeld, öffentliche Auftraggeber, Versicherungskontext – kann das ein entscheidender Unterschied sein.
Aus der Praxis
Ein mittelständisches Produktionsunternehmen mit rund 180 Mitarbeitenden beauftragte ein kombiniertes Sicherheitsgutachten: Objektschutz, Arbeitssicherheit und IT-Sicherheit sollten in einem Bericht zusammengeführt werden. Drei Themenbereiche, ein Auftraggeber, ein Dokument – klassisch anspruchsvoll in der Koordination der Normenbezüge.
Die Begehungsergebnisse wurden direkt in der Software erfasst: 34 Findings, davon 11 mit Normzuordnung zu EN 50131 und VdS-Richtlinien, 8 mit Bezug auf ArbSchG-Anforderungen, 4 mit IT-Sicherheitsrelevanz. Die Risikobeurteilung ergab 6 Einträge mit Risikozahl 12 oder höher. Alle relevanten Dokumente des Auftraggebers – Bestandspläne, vorhandene Sicherheitsrichtlinien, einen älteren Bewertungsbericht – wurden hochgeladen und für die RAG-Suche indexiert.
Der KI-generierte Gutachtentext benötigte nach der Überarbeitung durch den Gutachter noch rund 40 % der Zeit, die ohne Software-Unterstützung erforderlich gewesen wäre. Entscheidend war nicht, dass die KI den Text vollständig korrekt geliefert hat – das tut sie nie. Entscheidend war, dass sie auf Basis der strukturierten Dateneingabe einen fachlich verwendbaren Entwurf geliefert hat, der überarbeitet und ergänzt werden konnte, anstatt von Null zu beginnen.
Was KI im Gutachtenbereich nicht ersetzen kann – und nicht soll
Es gibt eine Grenze, die klar bleiben muss: Die KI in der Gutachter-Software ist ein Textassistent, kein Sachverständiger. Sie generiert Formulierungen auf Basis der Daten, die ihr übergeben werden. Sie bewertet nicht. Sie beurteilt nicht. Sie kann einen Gefährdungsparameter nicht korrigieren, wenn er falsch eingeschätzt wurde. Sie kann keine Begehung ersetzen. Sie kann auch keine gutachterliche Haftung übernehmen – und das ist keine Schwäche des Systems, sondern seine konzeptionelle Grundlage.
Ein KI-generierter Gutachtentext, der auf fehlerhaften Eingabedaten basiert, liefert einen fehlerhafte Gutachtentext. Garbage in, garbage out – das gilt im Gutachtenwesen genauso wie in der Datenanalyse. Deshalb ist die Qualität der Dateneingabe wichtiger als die Qualität des KI-Modells. Wer die Begehung sorgfältig durchführt, die Findings korrekt klassifiziert, die Normbezüge vollständig hinterlegt und die Risikobeurteilung methodisch korrekt durchführt, bekommt von der KI einen verwertbaren Ausgangsentwurf. Wer diese Schritte abkürzt, bekommt einen Text, der professionell klingt, aber substanziell leer ist.
Das ist der Grund, warum die Software alle fünf Kernmodule auch ohne KI vollständig funktionsfähig hält. Ein Gutachter, der kein KI-Abonnement hat oder aus Datenschutzgründen keine externen Schnittstellen nutzen möchte, kann das komplette System nutzen – Dateneingabe, Risikobeurteilung, normbasierte Struktur, Export. Die KI-Schicht ist ein optionaler Effizienzgewinn, keine Grundvoraussetzung.
Vom internen Werkzeug zur Verkaufssoftware: GSM Navigator Pro
Die nächste Konsequenz liegt auf der Hand: Wenn eine Software im eigenen Gutachteralltag produktiv funktioniert, kann sie das auch für andere. Ich habe entschieden, aus der JW Gutachter-Software eine neutralisierte Verkaufsversion zu entwickeln – den GSM Navigator Pro. GSM steht für Ganzheitliches Sicherheitsmanagement, das gleichnamige Fachbuch bildet die methodische Grundlage. Der Navigator setzt diese Methodik als Software um.
Der Ansatz ist dabei bewusst radikal: Der Käufer erhält exakt das, was ich selbst täglich produktiv einsetze. Keine abgespeckte Demo-Version, kein vereinfachter Funktionsumfang. Der vollständige Workflow – Kunden- und Objektverwaltung, Begehung mit Fotodokumentation, Risikobeurteilung, Compliance-Checklisten (NIS2, ISO), RAG-Dokumentenanalyse, KI-gestützte Textgenerierung mit sechs Anbietern, Word- und PDF-Export, Rechtskataster, Maßnahmen-Follow-up und Nachweismanagement – ist identisch mit der Produktivversion. Das ist das stärkste Verkaufsargument, das ich habe.
Was im GSM Navigator Pro bewusst fehlt: die Zeiterfassung und Honorarübersicht. Das ist ein internes Controlling-Werkzeug für den eigenen Betrieb – für externe Käufer irrelevant und nicht Teil des Lieferumfangs.
Was hinzukommt: ein Lizenz-Aktivierungssystem, das offline funktioniert – kein Cloudserver, kein Aktivierungszwang bei jedem Start, DSGVO-konform. Außerdem werden alle bisher hardcodierten Bezeichnungen – Gutachtername, Qualifikationen, Firmenname, Adresse – in der Software konfigurierbar. Jeder Käufer trägt seine eigenen Daten ein; diese erscheinen dann automatisch in KI-Prompts, Word-Exporten und PDF-Fußzeilen.
Vertrieb: Direkt-Download für Windows (.exe) und macOS (.dmg) über CopeCart. Geplant ist auch ein Bundle mit dem Fachbuch „Ganzheitliches Sicherheitsmanagement" – Methodik und Umsetzungswerkzeug aus einer Hand, für externe Sicherheitsberater, Betriebsbeauftragte und Auditor:innen, die strukturiert und normbasiert arbeiten wollen.
Fazit
Die JW Gutachter-Software ist einsatzbereit. Das ist keine Ankündigung, sondern ein aktueller Stand. Version 3.5.7 läuft stabil, deckt den vollständigen Gutachterworkflow ab und liefert exportfertige Dokumente, die ohne manuelle Nacharbeit übergeben werden können. Die KI-Integration funktioniert mit fünf Anbietern, ist use-case-spezifisch konfiguriert und bleibt dabei optional – die Entscheidung liegt beim Gutachter.
Was noch kommt – das Revisionsprotokoll, der Release-Build des GSM Navigator Pro, die geplanten NIS2- und Nachweismanagement-Module – ist konkret geplant und technisch vorbereitet. Keine Vision-Slides, sondern Entwicklungsphasen mit definierten Akzeptanzkriterien.
Wer als Gutachter, Sicherheitsberater oder Sicherheitsverantwortlicher über den Einsatz dieser Werkzeuge nachdenkt, sollte eine Frage ehrlich beantworten: Wie viel der Arbeitszeit entfällt heute auf strukturierte Facharbeit – und wie viel auf das Überführen dieser Facharbeit in ein Textdokument? Wenn der zweite Teil unverhältnismäßig groß ist, ist das ein Strukturproblem. KI kann es nicht lösen. Aber ein gut strukturiertes System mit KI-Unterstützung kann es erheblich verkleinern.
Häufige Fragen
Wird die Software auch für externe Käufer verfügbar sein?
Ja – unter dem Namen GSM Navigator Pro. Es handelt sich um eine neutralisierte Verkaufsversion der JW Gutachter-Software mit identischem Funktionsumfang: vollständiger Gutachterworkflow, Risikobeurteilung, Compliance-Checklisten, KI-Generierung, RAG, Word- und PDF-Export. Vertrieb als Direkt-Download für Windows und macOS über CopeCart, geplant auch als Bundle mit dem Fachbuch „Ganzheitliches Sicherheitsmanagement". Zielgruppe: externe Sicherheitsberater, Betriebsbeauftragte und Auditor:innen.
Werden Kundendaten an KI-Anbieter übertragen?
Nur dann, wenn der Nutzer explizit einen externen KI-Anbieter aufruft. Im Standardbetrieb läuft die KI-Verarbeitung lokal über Ollama – dabei verlässt kein Datum das System. Werden externe Anbieter (Anthropic, OpenAI, Gemini, OpenRouter) über API genutzt, werden die übermittelten Daten vor dem Versand pseudonymisiert: personenbezogene Identifikatoren werden durch neutrale Platzhalter ersetzt. Welche Kontextebenen in den Prompt einfließen, ist über die Checkboxen für RAG und Risikobeurteilungskontext transparent steuerbar.
Welches KI-Modell liefert die besten Ergebnisse für Sicherheitsgutachten?
Das ist kontextabhängig und entwickelt sich laufend. In der aktuellen Konfiguration werden Claude Sonnet (Anthropic) und GPT-4o (OpenAI) für komplexe Gutachten-Use-Cases bevorzugt eingesetzt. Für schnelle Finding-Empfehlungen sind auch kleinere Modelle auf OpenRouter ausreichend. Da die Software jeden Use Case unabhängig einem Provider zuweist, lässt sich die optimale Konfiguration durch einfache Tests im Einstellungsbereich ermitteln – ohne Systemänderungen.
Kann die KI ein Gutachten eigenständig erstellen?
Nein, und das ist keine Einschränkung des Systems, sondern seine konzeptionelle Grundlage. Die KI generiert Textvorschläge auf Basis der strukturierten Eingabedaten des Gutachters. Die fachliche Beurteilung – Risikoklassifizierung, Normauswahl, Maßnahmenpriorisierung – liegt immer beim Sachverständigen. Ein KI-generierter Text, der auf fehlerhaften Eingaben basiert, produziert einen fehlerhaften Textentwurf. Die Softwarelogik ist deshalb so ausgelegt, dass die Qualität der Dateneingabe im Vordergrund steht.
Was ist das Revisionsprotokoll, und warum ist es für Gutachter relevant?
Das Revisionsprotokoll ist ein automatisch geführtes Log, das für jedes generierte Dokument festhält: welche Normen als Kontext eingesetzt wurden, welche Dokumente via RAG eingebunden waren, welcher KI-Provider verwendet wurde und wann exportiert wurde. In haftungsrechtlichen Situationen ermöglicht es den Nachweis, dass die Beurteilung zum Zeitpunkt der Erstellung dem aktuellen Stand von Technik und Normenlage entsprach. Es ist als exportierbarer PDF-Anhang geplant und richtet sich insbesondere an Gutachter in KRITIS-nahen Bereichen oder mit öffentlichen Auftraggebern.
Was ist der Unterschied zwischen der JW Gutachter-Software und dem GSM Navigator Pro?
Die JW Gutachter-Software ist die interne Produktivversion, die ich selbst täglich einsetze. Der GSM Navigator Pro ist die daraus abgeleitete Verkaufsversion – gleiche Codebasis, gleicher Funktionsumfang, gleiche KI-Integration. Was entfernt wurde: die Zeiterfassung und Honorarübersicht als internes Controlling-Werkzeug. Was hinzukommt: ein offline-fähiges Lizenz-Aktivierungssystem und vollständig konfigurierbare Gutachter-Identität (Name, Qualifikationen, Firma, Adresse) – diese Daten erscheinen dann automatisch in KI-Prompts und allen Exportdokumenten.
Läuft die Software auch ohne Internetverbindung?
Die Kernanwendung läuft vollständig offline. Im Standardbetrieb wird KI lokal über Ollama mit verschiedenen Modellen ausgeführt – dabei ist keine Internetverbindung erforderlich. Nur beim Einsatz externer API-Anbieter (Anthropic, OpenAI, Gemini, OpenRouter) ist eine Verbindung notwendig. In diesem Fall werden die übertragenen Daten pseudonymisiert. Wer ausschließlich lokal arbeiten möchte, hat mit Ollama eine vollständig netzwerkfreie Option.
Sie brauchen ein belastbares Sicherheitsgutachten – nicht nur ein Dokument?
Dieser Artikel wurde durch den Einsatz von KI-gestützten Tools optimiert, um Ihnen die bestmögliche Qualität zu bieten. Alle Inhalte werden sorgfältig geprüft und finalisiert. Mehr über meinen verantwortungsvollen Umgang mit KI und Datenschutz erfahren Sie auf meiner Seite zur Arbeitsweise.
