Ein mittelständischer Maschinenbauer aus dem Raum Hannover bekommt täglich rund 200 E-Mails im Service-Postfach: Reklamationen, Ersatzteil-Anfragen, Wartungstermine, Garantie-Fragen. Drei Mitarbeitende waren mit nichts anderem beschäftigt, als diese E-Mails zu sortieren, zu beantworten oder weiterzuleiten. Das wollten wir ändern. Aber nicht um jeden Preis.
Die Ausgangslage
Vor der Einführung lag die durchschnittliche Erstreaktionszeit bei 9 Stunden. Ein Großteil davon war reine Klassifizierungs- und Routing-Arbeit. Die eigentliche fachliche Antwort konnte oft erst am nächsten Tag erfolgen, weil die E-Mail erst durch zwei oder drei Posteingänge wandern musste.
Drei Schmerzpunkte waren klar:
- Klassifizierung kostet Zeit. Ein Mensch braucht ca. 1 Minute, um zu entscheiden „Reklamation oder Anfrage?"
- Standard-Antworten werden manuell getippt. „Vielen Dank, wir melden uns" wurde 50× am Tag neu geschrieben.
- Wichtige E-Mails gehen unter. Bei 200 Mails am Tag rutscht eine Reklamation schon mal in Vergessenheit.
Was der Mail-Agent macht
Der PRISAVO Mail-Agent läuft direkt in der Inbox des Service-Teams und macht drei Dinge:
1. Klassifizierung
Jede eingehende E-Mail wird in eine von sechs Kategorien einsortiert:
- Reklamation (hochpriorisiert)
- Ersatzteil-Anfrage
- Wartungs-/Service-Termin
- Garantie-Frage
- Allgemeine Anfrage
- Spam/Newsletter
Die Klassifizierung läuft über ein souveränes Sprachmodell, das wir auf den deutschen Maschinenbau-Kontext angepasst haben. Genauigkeit: 96% in der Pilot-Phase.
2. Antwort-Entwürfe
Für jede Kategorie generiert der Agent einen Antwort-Entwurf, basierend auf:
- Dem Inhalt der E-Mail
- Dem Kunden-Stammsatz im CRM
- Dem aktuellen Maschinen-/Auftragsstatus
- Einer Wissensbasis aus früheren Antworten (Multi-RAG)
Die Mitarbeiterin sieht den Entwurf in Outlook, kann ihn mit einem Klick anpassen oder direkt senden. Niemand verschickt Antworten autonom. Die Mitarbeitende behält immer die Kontrolle.
3. Priorisierung
Reklamationen und VIP-Kunden landen automatisch oben in der Inbox. Newsletter werden direkt archiviert.
Security-by-Design: Zwei Verteidigungslinien
KI im Posteingang klingt erstmal nach einer offenen Tür. Eingehende E-Mails sind das ungesicherteste Eingangstor, das ein Unternehmen hat. Genau deshalb war das größte Designziel von Anfang an: kein KI-System darf jemals direkt mit ungefilterten externen Inhalten konfrontiert werden.
Wir lösen das mit zwei vorgelagerten Schichten, bevor irgendein Sprachmodell eine E-Mail überhaupt zu sehen bekommt.
Schicht 1: Email Security durch NetCorp
Bevor eine E-Mail überhaupt in der Inbox des Kunden landet, durchläuft sie die Email-Security-Infrastruktur unseres Kooperationspartners NetCorp aus Herford. NetCorp fängt die klassischen Bedrohungen ab:
- Spam und unerwünschte Kommunikation
- Phishing-Versuche und gefälschte Absender
- Malware in Anhängen
- Bekannte Angriffsmuster aus Blocklisten
Erst wenn diese Hürden überstanden sind, kommt die E-Mail überhaupt im Postfach an. Das ist klassische, bewährte E-Mail-Security — aber existenziell wichtig, denn 80% aller schadhaften Inhalte werden hier schon abgefangen.
Schicht 2: AI Security Gateway der PRISAVO
Was NetCorp nicht abdecken kann, sind KI-spezifische Angriffe. Allen voran: Prompt-Injection. Das ist der Versuch, in einer E-Mail Anweisungen zu verstecken, die das KI-System dazu bringen sollen, seinen ursprünglichen Auftrag zu ignorieren und stattdessen etwas anderes zu tun. Zum Beispiel: vertrauliche Stammdaten in den Antwort-Entwurf zu schreiben, oder einen schädlichen Link in eine Standardantwort einzuschleusen.
Unser AI Security Gateway sitzt zwischen der Inbox und dem Sprachmodell. Es prüft jeden eingehenden Inhalt auf:
- Prompt-Injection-Muster (verdeckte Anweisungen, Rolle-Übernahmen, Jailbreak-Versuche)
- Versuche, Systemanweisungen zu überschreiben
- Datenexfiltrations-Versuche (E-Mails die das Modell dazu bringen wollen, vertrauliche Daten in die Antwort zu kopieren)
- PII-Leaks in beide Richtungen (was geht rein, was kommt raus)
Erst wenn diese Prüfung bestanden ist, sieht das Sprachmodell den Inhalt überhaupt. Wird Verdächtiges erkannt, wird die E-Mail entweder komplett blockiert oder als Sonderfall an die Service-Leitung eskaliert. Niemand bekommt einen Antwort-Entwurf, der auf manipulierten Eingaben basiert.
Klassische Email-Security ohne KI-Security ist heute unvollständig. Klassische KI-Security ohne Email-Security ist naiv. Beides zusammen ergibt eine echte Verteidigung in der Tiefe.
Die Architektur
Der gesamte Stack läuft auf unserer eigenen GPU-Infrastruktur in einem zertifizierten Rechenzentrum in Deutschland. Keine Daten verlassen die EU. Konkret:
[E-Mail von extern]
│
▼
[NetCorp Email Security]
│ Spam, Phishing, Malware, Blocklisten
▼
[Microsoft 365 Postfach des Kunden]
│
▼ MS Graph API (OAuth)
[PRISAVO AI Security Gateway]
│ Prompt-Injection, Jailbreak, PII-Leak-Check
▼
[Klassifikation]
│ Sprachmodell, on-premise gehostet
▼
[RAG-Lookup]
│ Interne Wissensbasis (versioniert, mit Quellenangabe)
▼
[Antwort-Entwurf]
│
▼
[Audit-Log]
│ Was wurde wann von welchem Modell verarbeitet
▼
[Antwort-Entwurf zurück in Outlook → Mitarbeitende prüft]Die Inbox bleibt physisch in Microsoft 365 des Kunden. Wir lesen nur über die Graph API mit OAuth-Token und schreiben den Antwort-Entwurf zurück. Kein E-Mail-Inhalt wird bei uns gespeichert — nur Metadaten (Klassifikation, Confidence-Werte, Security-Gate-Verdikte) für das Audit-Log.
Die Zahlen nach drei Monaten
| Metrik | Vorher | Nachher | Delta |
|---|---|---|---|
| Erstreaktionszeit | 9 Std | 1,5 Std | −83% |
| Zeit pro Mail | 4,5 Min | 1,7 Min | −62% |
| Mails pro Tag pro Person | 65 | 165 | +154% |
| Übersehene Reklamationen | 8 / Monat | 0 / Monat | −100% |
| NPS Service | 6,2 | 8,4 | +35% |
| Geblockte Prompt-Injections | — | 14 / Monat | — |
Das Service-Team konnte von drei auf eine Person reduziert werden. Die zwei freigewordenen Mitarbeiterinnen sind jetzt im technischen Vertrieb tätig, wo sie deutlich mehr Wert schaffen. Niemand wurde entlassen.
Bemerkenswert: 14 Prompt-Injection-Versuche pro Monat, die das AI Security Gateway erkannt hat. Das waren überwiegend automatisierte Probes, vermutlich aus Scanning-Kampagnen. Aber drei davon waren manuell gestaltete Versuche mit hohem Aufwand. Hätten wir das Gateway nicht gehabt, wären die durchgekommen.
Stolpersteine
Drei Dinge, die in der Implementierung Zeit gekostet haben:
1. Kundenkommunikation ist persönlicher als gedacht
Die ersten Antwort-Entwürfe waren technisch korrekt, aber zu „roboterhaft". Wir mussten das Modell auf den Schreibstil des Kunden anpassen: Sie-Form, freundlich, mit konkreter Lösung. Drei Iterationen mit echten Beispielen waren nötig.
2. Edge-Cases bei Reklamationen
Reklamationen mit emotionalem Inhalt brauchen besondere Sorgfalt. Wir haben einen Eskalations-Mechanismus eingebaut: Bei bestimmten Schlüsselwörtern (Anwalt, Schadensersatz, frustrierend) wird die Mail automatisch an die Service-Leiterin priorisiert weitergeleitet, ohne dass der Agent einen Antwort-Entwurf macht.
3. Security-Gate kalibrieren
Anfangs war unser AI Security Gateway zu streng eingestellt — legitime E-Mails mit ungewöhnlichem Wortlaut wurden blockiert. Wir haben in den ersten zwei Wochen täglich die False-Positives geprüft und die Heuristiken nachjustiert. Heute liegt die False-Positive-Rate bei unter 0,3%.
Was wir gelernt haben
KI im Service-Bereich funktioniert dann am besten, wenn sie als Co-Pilot auftritt, nicht als Autopilot. Die Mitarbeitenden müssen weiter die Kontrolle behalten, über jeden einzelnen Output. Sonst sinkt das Vertrauen, und das Tool wird nicht genutzt.
Wichtiger noch: Security muss von Anfang an dabei sein, nicht nachträglich angeflanscht. Wer eine KI auf einen E-Mail-Posteingang loslässt ohne vorgelagerte Email-Security und ohne ein KI-spezifisches Security Gateway, lädt sich eine Angriffsfläche ein, die größer ist als der Produktivitäts-Gewinn rechtfertigt. Die Kombination aus klassischer Email-Security (NetCorp) und KI-Security (PRISAVO AI Security Gateway) ist nicht optional — sie ist die Voraussetzung dafür, dass man so ein System verantwortungsvoll betreiben kann.
Und Souveränität zahlt sich aus. Mit Open-Source-Sprachmodellen im deutschen Rechenzentrum waren DSGVO und Datenabfluss bei Kundenbesuchen nie ein Thema. Audit-Logs, EU-AI-Act-Bausteine, klare Datenflüsse — alles vom ersten Tag an dokumentiert.
Sie überlegen, einen Mail-Agent in Ihrem Service einzuführen? Lassen Sie uns reden. Wir kommen gerne zu Ihnen nach Niedersachsen, schauen uns Ihre Inbox-Last und Ihre bestehende Email-Security an und sagen Ihnen, ob sich ein Pilot lohnt.