Enterprise-AI-Portale: Fünf Open-Source-Interfaces im Vergleich
LobeChat, OpenWebUI, LibreChat, chatbot-ui und very-ai - fünf Enterprise-AI-Portale im Vergleich. Funktionen, SSO, PII-Schutz, Governance, Self-Hosting.
Das Problem: Modell ohne Interface
Ein KI-Modell ohne kontrolliertes Interface ist wie ein Server ohne Frontend. Die Technologie ist vorhanden, aber niemand kann sie geordnet nutzen. Was dann passiert, ist vorhersagbar: Mitarbeitende nutzen öffentliche KI-Dienste - ChatGPT, Gemini, Claude.ai - mit ihren privaten Accounts. Sie geben Unternehmensdaten in Systeme ein, die außerhalb der Kontrolle der IT-Abteilung liegen. Es gibt keinen Audit-Trail, keine Datenklassifikation, keine Zugriffskontrolle.
Das ist Shadow AI. Und die Frage ist nicht, ob es in Ihrem Unternehmen passiert. Die Frage ist, wie stark.
Die Lösung ist nicht, KI-Nutzung zu verbieten. Die Lösung ist, ein internes System bereitzustellen, das besser funktioniert als die öffentlichen Alternativen - und dabei unter Unternehmenskontrolle läuft. Dafür reicht ein einfaches Chat-Interface nicht aus. Was Sie brauchen, ist ein Enterprise-AI-Portal.
Was ein Enterprise-AI-Portal können muss
Ein Enterprise-AI-Portal ist mehr als ein Chat-Fenster. Es ist die zentrale Plattform, über die alle Mitarbeitenden mit KI interagieren - kontrolliert, protokolliert und integriert in die bestehende Systemlandschaft. Sechs Anforderungen unterscheiden ein Enterprise-Portal von einem Consumer-Chat:
1. Multi-Modell-Routing
Das Portal muss mehrere Modelle gleichzeitig anbinden - proprietäre Cloud-APIs und Self-Hosted-Modelle. Die Routing-Logik entscheidet automatisch, welches Modell für welche Anfrage genutzt wird: nach Aufgabentyp, Datensensibilität und Kostenvorgabe. Mitarbeitende sehen ein einheitliches Interface. Welches Modell im Hintergrund arbeitet, ist für sie transparent, aber nachvollziehbar.
2. Assistenten-Sharing
Fachabteilungen erstellen spezialisierte Assistenten - mit eigenem System-Prompt, eigenen Dokumenten und eigenem Regelwerk. Ein Assistent für die Rechtsabteilung, der Vertragsprüfung vorbereitet. Ein Assistent für HR, der Bewerbungsunterlagen zusammenfasst. Ein Assistent für den Einkauf, der Lieferantenangebote vergleicht. Diese Assistenten werden innerhalb der Abteilung geteilt, versioniert und zentral verwaltet.
Das ist der entscheidende Unterschied zu einem reinen Chat-Interface: Nicht jeder Mitarbeitende muss Prompts von Grund auf schreiben. Stattdessen nutzt er einen Assistenten, der von Fachkollegen konfiguriert und optimiert wurde. Das senkt die Einstiegshürde und erhöht die Ergebnisqualität.
3. Agenten-Integration
Ein Enterprise-Portal muss über Chat hinausgehen. Es muss KI-Agenten integrieren können - spezialisierte Workflows, die Dokumente verarbeiten, Daten extrahieren, Entscheidungen vorbereiten oder externe Systeme ansprechen. Der Agent wird über das Portal angestoßen, sein Fortschritt wird angezeigt, sein Ergebnis wird im Portal dokumentiert.
4. SSO und rollenbasierte Zugriffskontrolle (RBAC)
Mitarbeitende melden sich über das bestehende Identity-Management an - Azure AD, Okta, Google Workspace. Keine separaten Accounts, keine separaten Passwörter. Die Zugriffskontrolle ist rollenbasiert: Wer darf welche Modelle nutzen? Wer darf Assistenten erstellen? Wer darf auf welche Dokumentenquellen zugreifen? Wer hat Zugang zu Agenten-Workflows?
5. Audit-Trail
Jede Interaktion wird protokolliert. Wer hat wann welche Anfrage gestellt? Welches Modell hat geantwortet? Welche Dokumente wurden referenziert? Welche Kosten sind entstanden? Der Audit-Trail ist exportierbar - für interne Revision, für Compliance-Prüfungen, für die EU-AI-Act-Dokumentation.
6. Deployment-Flexibilität
Das Portal muss in verschiedenen Umgebungen deploybar sein: als Cloud-Dienst (Supabase, Vercel), als Container in einem deutschen Rechenzentrum, oder On-Premises. Die Hosting-Entscheidung für das Portal folgt denselben Kriterien wie die Hosting-Entscheidung für die Modelle (siehe Hosting-Strategien).
Open-Source-Interfaces im Vergleich
Fünf Open-Source-Projekte haben sich als Kandidaten für Enterprise-AI-Portale positioniert: LobeChat, OpenWebUI, LibreChat, chatbot-ui und very-ai. Alle fünf sind Self-Hosted, modell-agnostisch und bieten ein Chat-Interface für Sprachmodelle. Die Unterschiede liegen in SSO-Integration, Governance-Funktionen, PII-Schutz und Betriebsrats-Kompatibilität.
Transparenzhinweis: very-ai wird von Gosign GmbH entwickelt - dem Herausgeber dieser Artikelserie. Wir legen die Stärken und Einschränkungen aller fünf Portale gleichermaßen offen dar. very-ai basiert auf einem Fork von chatbot-ui (MIT-Lizenz) und hat sich durch 16 Enterprise-Erweiterungen zu einem eigenständigen Produkt entwickelt.
Vergleich: Fünf Enterprise-AI-Portale
| Kriterium | LobeChat | OpenWebUI | LibreChat | chatbot-ui | very-ai |
|---|---|---|---|---|---|
| Lizenz | Apache 2.0 | MIT | MIT | MIT | Apache 2.0 |
| Basis | Eigenentwicklung | Eigenentwicklung | Eigenentwicklung | Eigenentwicklung | Fork von chatbot-ui |
| Modell-Agnostik | ✅ OpenAI, Anthropic, Google, Ollama | ✅ OpenAI, Ollama, LiteLLM | ✅ OpenAI, Anthropic, Google, Mistral | ✅ OpenAI, Anthropic, Google, Ollama | ✅ OpenAI, Anthropic, Google (Vertex AI), Ollama |
| SSO | ❌ Nicht nativ | OAuth 2.0 (kein Entra ID nativ) | OAuth 2.0, OpenID Connect | ❌ Nicht nativ | ✅ Azure Entra ID nativ mit Gruppen- und Rechte-Sync |
| PII-Schutz | ❌ | ❌ | ❌ | ❌ | ✅ Erkennung, Anonymisierung und Re-Anonymisierung |
| PII pro Assistent/Modell | - | - | - | - | ✅ Konfigurierbar pro Assistent UND pro Modell |
| Gruppen-Assistenten | ❌ | Community-Modelle (eingeschränkt) | Shared Conversations | ❌ | ✅ Über Entra-ID-Gruppen gesteuert |
| Audit Trail | ❌ | Basis-Logging | Basis-Logging | ❌ | ✅ Vollständig, exportierbar (CSV/JSON) |
| DSGVO-Statistiken | ❌ | ❌ | ❌ | ❌ | ✅ Anonymisierte Nutzungsstatistiken |
| Trigger.dev-Integration | ❌ | ❌ | ❌ | ❌ | ✅ Workflow-Trigger aus dem Chat |
| Thinking-Level | ❌ | ❌ | ❌ | ❌ | ✅ Extended Thinking / Reasoning-Steuerung |
| Web/Maps-Suche | Plugin-System | Web-Suche (RAG) | Plugin-System | ❌ | ✅ Integriert |
| Docker Self-Hosted | ✅ | ✅ | ✅ | ✅ | ✅ |
| GitHub Stars (Feb 2026) | ~50k | ~60k | ~20k | ~28k | Neu (Open Source Launch) |
| Betriebsrats-Kompatibilität | ⚠️ Eingeschränkt (kein Audit, kein RBAC) | ⚠️ Basis-RBAC | ⚠️ Basis-RBAC | ❌ Keine Governance | ✅ Audit Trail + RBAC + PII + Entra ID |
LobeChat
LobeChat ist ein optisch ansprechendes Chat-Interface mit Plugin-Architektur. Die Stärke liegt in der Consumer-Nutzung und der Plugin-Vielfalt. Für Enterprise fehlen robustes RBAC, exportierbarer Audit-Trail und native Agenten-Integration. Als schneller Prototyp oder für kleine Teams geeignet, für den unternehmensweiten Rollout zu limitiert.
OpenWebUI
OpenWebUI ist der De-facto-Standard für Ollama-basierte Self-Hosting-Setups. Die Integration mit lokal laufenden Modellen ist hervorragend. SSO und grundlegendes Logging sind vorhanden. Was fehlt: Assistenten-Sharing, Enterprise-Agenten-Integration und eine zentrale Verwaltung für mehrere Hundert Nutzer.
LibreChat
LibreChat ist ein Open-Source-Klon der ChatGPT-Oberfläche mit Multi-Modell-Unterstützung. SSO und grundlegendes RBAC sind implementiert. Für Unternehmen, die eine ChatGPT-ähnliche Erfahrung intern abbilden wollen, ist LibreChat ein solider Ausgangspunkt. Die Grenzen liegen bei Agenten-Integration und Assistenten-Sharing.
very-ai - Enterprise-Portal mit PII-Schutz und Governance
very-ai ist ein Enterprise-AI-Portal, das auf chatbot-ui (MIT) basiert und 16 Enterprise-Funktionen ergänzt, die in keinem der vier anderen Portale existieren. Es wird von Gosign GmbH entwickelt und ist unter Apache 2.0 auf GitHub verfügbar.
Herkunft und Abgrenzung: chatbot-ui liefert ein solides Chat-Interface, hat aber keine SSO-Integration, keinen Audit Trail und keinen PII-Schutz. very-ai setzt genau dort an: Die Codebasis wurde um Enterprise-Funktionen erweitert, die für den produktiven Einsatz in regulierten Umgebungen notwendig sind. Die Attribution zum Ursprungsprojekt ist in der NOTICES-Datei dokumentiert.
PII-Erkennung und Re-Anonymisierung: Das zentrale Differenzierungsmerkmal. very-ai erkennt personenbezogene Daten (Namen, E-Mail-Adressen, Telefonnummern, IBANs) im Nutzer-Prompt, ersetzt sie durch Platzhalter ([PERSON_1], [EMAIL_1]), sendet den anonymisierten Text an das Sprachmodell und setzt die Originaldaten in die Antwort wieder ein. Der Nutzer sieht die echten Namen, das Sprachmodell hat sie nie gesehen.
Dieses PII-Verhalten ist pro Assistent und pro Modell konfigurierbar: Assistent A kann PII erlauben, Assistent B anonymisiert automatisch. Modell X bekommt anonymisierte Daten, Modell Y (ein lokal gehostetes Modell) bekommt die Rohdaten.
Azure Entra ID mit Gruppen-Sync: Nicht nur Authentifizierung, sondern automatische Synchronisation von Entra-ID-Gruppen und -Rollen. Mitarbeiter in der Entra-ID-Gruppe „HR” sehen automatisch die HR-Assistenten. Mitarbeiter in „Finance” sehen Finance-Assistenten. Ohne manuelle Rechtevergabe im Portal. Ändert sich die Gruppenzugehörigkeit in Entra ID, ändert sich der Zugriff im Portal beim nächsten Login.
Gruppen-Assistenten: Administratoren erstellen Assistenten und weisen sie Entra-ID-Gruppen zu. Diese Assistenten sind nur für Mitglieder der jeweiligen Gruppe sichtbar und nutzbar. Das ermöglicht abteilungsspezifische KI-Werkzeuge ohne ein separates Rechtemanagement.
Audit Trail und DSGVO-Statistiken: Jede Interaktion wird protokolliert: Nutzer, Modell, Assistent, Prompt, Antwort, Zeitstempel, Token-Verbrauch, PII-Modus. Der Audit Trail ist exportierbar (CSV, JSON) und filtert nach Zeitraum und Nutzer. Die Nutzungsstatistiken sind DSGVO-konform anonymisiert - sie zeigen Modell- und Assistenten-Nutzung, aber keine nutzeridentifizierenden Daten.
Trigger.dev-Workflow-Integration: Nutzer können aus dem Chat heraus Trigger.dev-Workflows triggern. Das verbindet das AI-Portal mit der Automatisierungsschicht (→ Artikel 10: Agent-Orchestrierungsplattformen).
Einschränkungen (ehrlich): very-ai ist ein neues Open-Source-Projekt. Die Community ist klein im Vergleich zu LobeChat (50k Stars) oder OpenWebUI (60k Stars). Die Plugin-Ökosysteme der etablierten Portale sind umfangreicher. Wer ein Portal mit maximaler Community-Unterstützung und Plugin-Vielfalt sucht, ist bei LobeChat oder OpenWebUI besser aufgehoben. Wer PII-Schutz, Entra-ID-Gruppensync und Betriebsrats-kompatibles Logging braucht, findet diese Kombination aktuell nur in very-ai.
GitHub: github.com/gosign-de/very-ai
Welches Portal für welchen Einsatz?
Maximale Modellvielfalt und Plugin-Ökosystem: LobeChat - das größte Plugin-System, die aktivste Community, breite Modellunterstützung. Ideal für Teams, die Flexibilität und schnelle Innovation priorisieren.
Einfachster Einstieg mit Ollama: OpenWebUI - native Ollama-Integration, schnelle Installation, intuitive Oberfläche. Ideal für lokales LLM-Hosting und Teams, die mit Open-Source-Modellen starten wollen.
Maximale Konfigurierbarkeit: LibreChat - feinste Kontrolle über Modell-Endpunkte und -Parameter. Ideal für technische Teams, die mehrere Anbieter mit unterschiedlichen Konfigurationen betreiben.
Enterprise-Governance mit PII-Schutz: very-ai - die einzige Option mit nativer PII-Anonymisierung, Entra-ID-Gruppensync und vollständigem Audit Trail. Ideal für regulierte Umgebungen, in denen Betriebsrat, Datenschutz und Compliance mitentscheiden.
Evaluierungsprojekt und Entwicklung: chatbot-ui - saubere Codebasis, guter Ausgangspunkt für Eigenentwicklungen. Beachten Sie: chatbot-ui hat keine aktive Enterprise-Weiterentwicklung; very-ai ist die Enterprise-Weiterentwicklung dieser Codebasis.
Die meisten Unternehmen evaluieren 2-3 Portale parallel in Docker-Containern - das ist in einem Nachmittag machbar. Entscheidend ist nicht das Interface, sondern die Governance-Fähigkeit: SSO, Audit Trail, PII-Schutz und Betriebsrats-Kompatibilität bestimmen, welches Portal in die Produktion darf.
Warum „nur ein Chat” nicht reicht
Der Unterschied zwischen einem Chat-Interface und einem Enterprise-AI-Portal wird im Betrieb deutlich. Ein Vergleich:
| Aspekt | Chat-Interface | Enterprise-AI-Portal |
|---|---|---|
| Nutzung | Individuelle Frage-Antwort | Organisationsweites Werkzeug |
| Wissen | Jeder Nutzer startet bei null | Assistenten bündeln Fachwissen |
| Kontrolle | Der Nutzer entscheidet, was er eingibt | Routing und RBAC steuern den Datenfluss |
| Nachvollziehbarkeit | Keine oder begrenzt | Vollständiger Audit-Trail |
| Integration | Standalone | Angebunden an SSO, Agenten, Dokumentensysteme |
| Skalierung | Pro Nutzer | Pro Organisation |
| Shadow-AI-Risiko | Hoch (unzureichendes internes Angebot) | Gering (besseres internes Angebot) |
Die zentrale Erkenntnis: Shadow AI entsteht nicht, weil Mitarbeitende böswillig sind. Sie entsteht, weil das interne Angebot schlechter ist als die öffentliche Alternative. Wenn das interne Portal genauso intuitiv ist wie ChatGPT, aber zusätzlich spezialisierte Assistenten, Zugriff auf Unternehmensdokumente und Agenten-Workflows bietet, gibt es keinen Grund mehr, auf externe Dienste auszuweichen.
Praxis: Ein Mittelständler mit 2.000 Mitarbeitenden
Ein konkretes Beispiel zeigt die Wirkung. Ein produzierender Mittelständler mit 2.000 Mitarbeitenden hatte folgende Ausgangslage:
Vor dem Portal: Eine interne Umfrage ergab, dass 340 Mitarbeitende regelmäßig öffentliche KI-Dienste für Arbeitsaufgaben nutzten. Davon 180 mit kostenlosen Accounts (ohne AVV), 120 mit privaten Pro-Accounts (Unternehmensdaten in privaten Accounts) und 40 mit vom Unternehmen bereitgestellten Accounts (aber ohne Audit-Trail oder Zugriffskontrolle). Die IT-Abteilung hatte keine Übersicht, welche Daten in welche Systeme flossen.
Rollout des Enterprise-AI-Portals: In vier Wochen wurde very-ai ausgerollt - angebunden an Azure AD für SSO, mit drei initialen Assistenten (Rechtsabteilung, HR, Einkauf) und einem gpt-oss-120b-Endpunkt für vertrauliche Daten.
Nach 90 Tagen:
- 15 spezialisierte Assistenten, erstellt von Fachabteilungen
- 1.200 aktive Nutzer pro Monat (von 2.000 Mitarbeitenden)
- Shadow-AI-Nutzung um 85 % gesunken (Folge-Umfrage)
- Vollständiger Audit-Trail: 47.000 protokollierte Interaktionen
- Identifikation von drei Prozessen, für die dedizierte Agenten-Workflows sinnvoll waren
- Gesamtkosten (Portal + Hosting + Cloud-APIs): ca. 4.800 € pro Monat
Der entscheidende Faktor war nicht die Technologie, sondern die Adoption. Das Portal wurde angenommen, weil es besser war als die Alternative - nicht weil es vorgeschrieben wurde.
Die fünf Erfolgsfaktoren beim Rollout
Aus der Praxis lassen sich fünf Faktoren ableiten, die über Erfolg oder Misserfolg eines Enterprise-AI-Portals entscheiden:
1. Erster Eindruck zählt. Wenn das interne Portal langsamer, umständlicher oder weniger leistungsfähig ist als ChatGPT, werden Mitarbeitende es nach dem ersten Versuch nicht wieder nutzen. Die Antwortqualität muss vom ersten Tag an auf dem Niveau der öffentlichen Dienste liegen.
2. Assistenten statt Prompts. Die meisten Mitarbeitenden sind keine Prompt-Engineers. Sie wollen ein Werkzeug nutzen, nicht konfigurieren. Spezialisierte Assistenten, die von Fachkollegen vorbereitet wurden, senken die Einstiegshürde erheblich.
3. Sichtbarer Mehrwert. Das Portal muss etwas bieten, was die öffentlichen Dienste nicht können: Zugriff auf interne Dokumente (via RAG), spezialisierte Assistenten für unternehmensspezifische Aufgaben, Integration in bestehende Workflows.
4. IT-Ownership, nicht IT-Kontrolle. Die IT-Abteilung betreibt das Portal und setzt die Governance-Regeln. Aber die Fachabteilungen erstellen ihre Assistenten selbst. Diese Verteilung - Infrastruktur zentral, Inhalte dezentral - hat sich als erfolgreichstes Modell erwiesen.
5. Messen und kommunizieren. Nutzungszahlen, eingesparte Zeit, reduzierte Shadow-AI-Nutzung - diese Kennzahlen müssen erhoben und an die Geschäftsführung kommuniziert werden. Ohne messbare Ergebnisse fehlt die Grundlage für die nächste Ausbaustufe.
Nächster Schritt: Vom Portal zum Agenten
Das Enterprise-AI-Portal ist die Grundlage. Es gibt Mitarbeitenden Zugang zu KI, kontrolliert und protokolliert. Der nächste Schritt ist die Integration von Agenten - spezialisierten Workflows, die über einfache Frage-Antwort-Interaktionen hinausgehen. Wie Sie Agenten im Enterprise-Kontext einsetzen, welche Architektur dafür nötig ist und wo die Grenzen liegen, behandelt ein weiterer Artikel dieser Serie.
Weiterführend: KI-Infrastruktur | Decision Layer & Shadow AI
📘 Enterprise AI-Infrastruktur Blueprint 2026 - Artikel-Serie
| ← Vorheriger | Übersicht | Nächster → |
|---|---|---|
| KI-Hosting: EU-SaaS, deutsches RZ oder Self-Hosted? | Zur Übersicht | RAG & Document Intelligence: Wie KI Ihre Dokumente versteht |
Alle Artikel dieser Serie: Enterprise AI-Infrastruktur Blueprint 2026
very-ai ist Gosigns Open-Source Enterprise-AI-Portal. Mehr erfahren - oder direkt mit uns sprechen, welche Konfiguration für Ihre Organisation passt.
Termin vereinbaren - Wir zeigen Ihnen very-ai in einer Live-Demo und besprechen Ihren Rollout-Plan.