KKIS:UI Demo anfragen
v1.0 · 7 Phasen abgeschlossen · 100 % self-hosted

Enterprise AI Chat.
Komplett im eigenen Haus.

KIS:UI ist die mandantenfähige KI-Plattform für Unternehmen: Multi-Provider-LLM, RAG-Wissensdatenbanken, Workflow-Builder, LDAP/AD und lückenloses Audit – auf eurer Hardware, ohne dass ein Byte die Cloud sieht.

Live-Demo anfragen Plattform entdecken
5 LLM-Provider
10 Wissens-Konnektoren
13 Admin-Oberflächen
~80 Audit-Actions
Llama 3.3 70B · On-PremRAG: Verträgeagentischer Tool-Loop
Fasse den Rahmenvertrag mit Lieferant Nord zusammen und erstelle ein PDF.
knowledge_base · 3 Quellen
Laufzeit bis 31.12., Kündigungsfrist 3 Monate. Preisgleitklausel in §4 (max. 5 % p. a.), Haftung in §9, automatische Verlängerung §12.

generate_pdf Zusammenfassung_Nord.pdf erstellt
Tippen, sprechen oder PDF ablegen …
100 % On-Premise LDAP / Active Directory DSGVO-konform Mandantenfähig Lückenloses Audit

Integriert sich nahtlos in eure bestehende Tool-Landschaft

OpenAI
Anthropic
Ollama
Microsoft 365
Google Drive
Slack
Notion
Confluence
Git / GitHub
Docker
pgvector
MCP-Server
Sieh es in Aktion

Eine Oberfläche.
Der ganze KI-Workflow.

1 Chatten

Fragen, mit Quellen beantwortet

Agentischer Tool-Loop: durchsucht eure Wissensbasen, ruft Tools auf und erzeugt PDFs – jede Antwort mit nachvollziehbarer Quelle.

2 Wissen anbinden

10 Konnektoren, ein Index

Notion, Confluence, SharePoint, Drive, Slack, IMAP, Git & mehr – mit Background-Sync, Reranking und Knowledge-Graph in pgvector.

3 Automatisieren

Workflows im n8n-Stil

Trigger, KI-Knoten, Verzweigungen und Schleifen visuell verketten – mit Live-Run-Trace und Kosten-Tracking, auch für reguläre User.

4 Regieren

Governance & Audit

13 Admin-Oberflächen, ~80 Audit-Actions, LDAP/AD, AES-256-GCM und Kosten-Telemetrie – volle Kontrolle, nichts versteckt.

kisui.local
Fasse den Rahmenvertrag mit Lieferant Nord zusammen und erstelle ein PDF.
knowledge_base · 3 Quellen
Laufzeit bis 31.12., Kündigungsfrist 3 Monate. Preisgleitklausel in §4, Haftung in §9.
generate_pdf Zusammenfassung_Nord.pdf
Tippen, sprechen oder PDF ablegen …
Wissensgebiete · RAG
NotionOAuth · 1 240 Pages
ConfluenceCloud + Server
SharePoint · Google Drive · Slacksync
Git · RSS · Sitemap · IMAPpolling
Retrieval: Cross-Encoder-Rerank · Knowledge-Graph · Citations
Workflow-Builder
Trigger
Webhook
POST /run · Token
Quelle
KB-Query
Verträge · top-k 6
Agent
LLM-Agent
Llama 70B · Tools
Aktion
Chat-Reply
+ E-Mail-Send
Admin · Governance
~80Audit-Actions
13Admin-Oberflächen
LDAP / ADSSO · Gruppen-Mapping
AES-256-GCMSecrets verschlüsselt
Jede mutierende Operation auditiert · Zod-validiert · CSP mit Nonce
Eine Plattform, alles drin

Nicht nur ein Chatfenster.
Ein komplettes KI-Betriebssystem.

Von der Modell-Orchestrierung über Wissen und Automatisierung bis zur Governance – KIS:UI bündelt, wofür andere fünf Tools brauchen.

Multi-Provider-LLM-Router

Ollama, vLLM, OpenAI, Anthropic und jedes OpenAI-kompatible Gateway (Groq, OpenRouter, Azure) hinter einem Router – mit Fallback-Kette, exponentiellem Retry und per-Provider-Rate-Limit. SSE-Streaming, Tool-Calls, Vision.

OllamavLLMOpenAIAnthropicGroq / AzureFailover

Memory-System

Globales + per-User-Memory mit Embedding-Retrieval beim Chat. DSGVO-Purge pro User, Audit-Trail für jede Operation.

Premium-PDF & Agentik

Agentischer Tool-Loop kettet Web-Suche → Quellen → generate_pdf. Echte, herunterladbare PDFs mit eingebetteten Fonts.

Media: Bild · TTS · STT

DALL-E-Bildgenerierung, 6-Stimmen-TTS und Whisper-Transkription mit In-Browser-Voice-Recorder – alles inline im Chat.

External-API-Gateway & MCP

Deklarative External-APIs mit per-authMethod-Zod-Schemas, verschlüsselten Credentials und Health-Probe. MCP-Server-Tools direkt im agentischen Loop.

Sharing, Public & Embed

Conversations per Link teilen (Passwort + Ablauf), Ordner & Gruppen-Channels, anonymer Public-Chat und ein einbettbares iFrame-Widget für externe Seiten.

Workflow-Builder

Automatisierung im n8n-Stil – mit KI-Knoten.

Visueller Knoten/Kanten-Graph: Trigger per Klick, Webhook, Cron oder als Chat-Skill. 13 Knotentypen verketten LLM-Agenten, Wissensabfragen, Web-Suche, HTTP, JSON-Transform und Schleifen – mit Live-Run-Trace und Kosten-Tracking.

  • 13 Knotentypen – Agent, KB-Query, Web-Search, MCP-Tool, HTTP (SSRF-sicher), Conditional, rekursiver Loop, E-Mail, Webhook-Response
  • Live-Run-Trace per SSE – Knoten grün/gelb/rot in Echtzeit
  • Auch für reguläre User – mit Quoten, nicht nur Admins
Trigger
Webhook
POST /run · Token
Quelle
KB-Query
Verträge · top-k 6
Agent
LLM-Agent
Llama 70B · Tools
Aktion
Chat-Reply
+ E-Mail-Send

13 Knotentypen

Registry-Pattern · Kahn-Topology-Sort · Live-Trace via SSE
Manueller Trigger
Webhook
Cron-Zeitplan
Chat-Skill
LLM-Aufruf
Agent-Aufruf
KB-Query
Web-Suche
MCP-Tool
HTTP-Request
JSON-Transform
Bedingung / Schleife
E-Mail · Webhook-Response
  • SSRF-BlockHTTP-Request sperrt private, Link-Local- & Metadata-IPs (RFC 1918, 169.254/16)
  • jq-Subset statt evalJSON-Transform läuft sandboxed, kein User-JS
  • Recursion-GuardMAX_DEPTH = 3, Total-Step-Cap pro Run, 32-Byte-CSPRNG-Webhook-Token
NotionOAuth · 1 240 Pages
ConfluenceCloud + Server
SharePointMS Graph
Google Drive · Slack · IMAPsync
Git · RSS · Sitemappolling
Retrieval-Quality: Cross-Encoder-Rerank · Knowledge-Graph-Traversal · Multi-Hop · Cross-Lingual · Citations
Knowledge Bases · RAG

Euer gesamtes Wissen – befragbar, mit Quelle.

pgvector + LangChain, mandantenfähig, mit Versionierung pro Chunk. 10 Konnektoren ziehen Wissen aus Notion, Confluence, SharePoint, Google Drive, Slack, IMAP, Git, RSS und Sitemaps – mit Background-Sync, Reranking und Knowledge-Graph.

  • Antworten mit Quellenangabe statt Halluzination – EU-AI-Act-tauglich
  • Rollen-, User- & Gruppen-Permissions je KB, mit Ablaufdatum
  • Föderierte Cross-Tenant-Queries via signiertem KB-Passport
RAG-Pipeline · unter der Haube

Vom Rohdokument
zur belegten Antwort.

Sieben Stufen, gebaut auf LangChain.js und pgvector – jede Stufe einzeln konfigurierbar, mandantenfähig und background-synchronisiert über BullMQ.

1

Ingestion

10 Konnektoren + Upload, OCR für Scans. ingestion.ts orchestriert.

2

Chunking

LangChain Recursive-Splitter, konfigurierbare Größe & Overlap.

3

Embeddings

OpenAI- oder Ollama-Embeddings – Provider abstrahiert.

4

pgvector

Cosine-Similarity-Suche, Versionierung pro Chunk.

5

Reranking

Cross-Encoder ordnet die wirklich relevanten Passagen nach oben.

6

Knowledge-Graph

Multi-Hop-Traversal verknüpft Fakten über Dokumente hinweg.

7

Antwort + Citations

Kontext-Injection in den Chat – jede Aussage mit Quelle.

Admin-Panel · 13 Oberflächen

Volle Kontrolle. Keine magischen Env-Variablen.

Jede dunkle Geschäftslogik lebt im Admin-Bereich – sichtbar, versioniert, auditiert.

Dashboard

Recharts-Timeseries, Kostenaufschlüsselung, Top-User/-Modelle, Provider-Health.

Users & LDAP

Autodiscovery, AD-Gruppen-Browser, Rollen-Mapping, Sync mit Deaktivierungs-Schutz.

Audit-Logs

Cursor-Pagination, Filter, JSON-Drawer, CSV/JSON-Export – ~80 Audit-Actions.

LLM-Provider

CRUD, AES-GCM-Key-Encryption, Connection-Test, Auto-Detect der Modelle.

Prompts & Skills

Append-only-Versionierung mit History, Skill-Config-Validator mit live Indikator.

Branding & Settings

Logo, Farben, Live-Preview – plus gruppierte System-Settings ohne Deploy.

Architektur · self-hosted

Ein Monolith.
Drei klare Schichten.

Kein separates Backend, kein Kubernetes-Zwang: Next.js 15 App-Router mit Route-Handlern, eine Postgres für Daten, Logs & Embeddings – per Docker-Compose in Stunden ausgerollt.

FrontendNext.js 15 · React 19 · Tailwind · shadcn/ui
Public-ChatGast, Token-Link
Enduser-Chatauthentifiziert
Admin-Panel13 Oberflächen
Shared-ViewEmbed / iFrame
Backend-ServicesRoute-Handler · keine externe API-Schicht
AuthLDAP-Bind · Session · RBAC
LLM-RouterProvider-Abstraktion · Streaming · Fallback
RAG-EngineLangChain · pgvector · Rerank
WorkflowsExecutor · 13 Knoten · SSE-Trace
Auditjeder Event · Volltext · Retention
FilesUpload · OCR · S3
MediaImageGen · TTS · STT
MemoryFakten · Summaries
KnowledgeWissensgebiete · Rechte
CollabShare · Ordner · Gruppen
Data-Layeralles auf eurer Hardware
PostgreSQL 17+ pgvector · Daten · Logs · Embeddings
Redis 7Cache · BullMQ-Queue
MinIOS3-API · Dateien
LDAP / ADIdentity-Provider

Eine Chat-Anfrage, Schritt für Schritt

jeder Request auditiert & gestreamt
1

Rate-Limit

Redis Token-Bucket pro IP & User.

2

Auth + RBAC

NextAuth-Session, Rollen-Gate pro Route.

3

CSRF + Zod

Jeder Input validiert, CSP-Nonce gesetzt.

4

LLM-Router

Modell-Routing mit Fallback-Kette.

5

SSE-Stream

Token-für-Token als text/event-stream.

6

Audit-Log

User, Model, Tokens, Latenz → Postgres.

~47kZeilen TypeScript
30Prisma-Modelle
0any · strict-Mode
5+LLM-Provider
100%On-Premise
Security by Design

Gebaut für Compliance-Abteilungen.

Jede mutierende Operation ist auditiert, jeder API-Input Zod-validiert, jeder Secret AES-256-GCM-verschlüsselt. CSP mit Nonce-Policies, kein unsafe-inline, kein any in der Codebase.

  • NextAuth v5 + LDAP-Bind über TLS/StartTLS, RBAC-Middleware auf Route-Ebene
  • Redis-Login-Rate-Limit, SSRF-Guards, HSTS, X-Frame-Options: DENY
  • 4-Gate-Review pro Phase: Security · Code · Simplification · Doku
Self-hosted Stack · Docker-Compose
Next.js 15React 19 · App Router
Postgres 16+ pgvector
Redis 7Sessions · BullMQ
MinIOS3-API
Ollama / vLLMGPU-Inferenz
LangChainRAG-Ingestion
LDAP / ADIdentity
Nginx + TLSReverse-Proxy

OWASP Top 10 — vollständig abgedeckt

Threat-Modeling pro Phase · 4-Gate-Review
A01
Broken Access Control

RBAC an jedem Endpoint, explizite Owner-Checks, keine IDOR.

A02
Cryptographic Failures

AES-256-GCM für Secrets, TLS in Transit, starke Session-Tokens.

A03
Injection

Prisma parametrisiert, keine Raw-SQL ohne Escaping, Zod-Validierung.

A04
Insecure Design

Threat-Modeling pro Phase, 4-Gate-Review vor jedem Merge.

A05
Security Misconfiguration

Keine Default-Credentials, env-basiert, Secure-Defaults in Compose.

A06
Vulnerable Components

npm audit in CI, Dependabot, committetes Lockfile.

A07
Auth Failures

Brute-Force-Schutz, Session-Invalidierung, keine Session-Fixation.

A08
Integrity Failures

Signierte Images, Lockfile, Supply-Chain-Audit.

A09
Logging Failures

Audit-Log ist Kern-Feature – nicht abschaltbar.

A10
SSRF

URL-Validierung bei Provider-Config, Deny-Listen für interne IPs.

On-Premise vs. Public Cloud

Die gleiche KI.
Ohne eure Daten herzugeben.

KriteriumKIS:UI · On-PremisePublic-Cloud-KI
Daten verlassen euer NetzNieStandard
Modell-WahlOllama · vLLM · eigene Gewichte (Cloud optional)nur Anbieter-Modelle
Audit jeder Aktion~80 Actionsbegrenzt
LDAP / AD-SSOnativteils, Enterprise-Tier
DSGVO-Export & -Löschung pro Usereingebauteingeschränkt
Workflows & AutomatisierungintegriertZusatzprodukt
Air-Gap-fähigJaNein
KostenmodellLizenz + eigene Hardwarepro Token / pro Seat
Einführung

Produktiv in Wochen, nicht Monaten.

Wir installieren, binden an und schulen – ihr behaltet die Kontrolle. Ein typischer On-Premise-Rollout durch ki·spezial.

Woche 1

Setup & Installation

  • Docker-Compose auf eurer Hardware
  • Postgres, Redis, MinIO, Nginx/TLS
  • Health-Checks & Backups
Woche 2

Identity & Modelle

  • LDAP/AD-Bindung, Rollen-Mapping
  • Ollama/vLLM-Inferenz aufsetzen
  • LLM-Router & Fallback konfigurieren
Woche 3

Wissen & Workflows

  • Erste Konnektoren anbinden
  • Wissensgebiete & Berechtigungen
  • Erste Automatisierungen bauen
Woche 4

Rollout & Schulung

  • Branding & Prompt-Bibliothek
  • Admin- & Key-User-Schulung
  • Go-Live mit Monitoring
Technische Daten

Alles, was eure IT wissen will.

Stack
Frontend
Next.js 15 · React 19 · App Router · Tailwind · shadcn/ui
Backend
Next.js Route-Handler (kein separates Backend) · TypeScript strict, 0 any · ~47k LOC
Datenbank
PostgreSQL 17 + pgvector · Prisma ORM · 30 Modelle
Queue & Cache
Redis 7 · BullMQ-Worker
Objektspeicher
MinIO (S3-kompatibel)
KI & Modelle
LLM-Provider
Ollama · vLLM · OpenAI · Anthropic · jedes OpenAI-kompatible Gateway (Groq, OpenRouter, Azure)
Routing
Fallback-Kette · exponentielles Retry · per-Provider-Rate-Limit · SSE-Streaming · Tool-Calls · Vision
RAG
LangChain.js · pgvector-Cosine · Cross-Encoder-Rerank · Knowledge-Graph · 10 Konnektoren
Embeddings
OpenAI- oder Ollama-Embeddings (abstrahiert)
Medien
Bildgenerierung · 6-Stimmen-TTS · Whisper-STT
Sicherheit & Auth
Authentifizierung
NextAuth v5 · LDAP/AD-Bind über TLS/StartTLS
Rollen
PUBLIC · USER · ADMIN · SUPERADMIN (RBAC pro Route)
Verschlüsselung
AES-256-GCM at Rest · TLS in Transit
Audit
~80 Audit-Actions · Volltext · Retention · CSV/JSON-Export
Compliance
OWASP Top 10 abgedeckt · DSGVO-Export/-Löschung · CSP mit Nonce
Betrieb
Deployment
Docker Compose · kein Kubernetes-Zwang · On-Premise / Air-Gap
Automatisierung
Workflow-Builder · 13 Knotentypen · Cron/Webhook/Chat-Skill-Trigger
Administration
13 Admin-Oberflächen · mandantenfähig · Gruppen & Kanäle
Lizenz
On-Premise-Lizenz · Wartung & Support durch ki·spezial
Häufige Fragen

Was Entscheider zuerst fragen.

Welche Modelle laufen wirklich on-premise?
Jedes Open-Weight-Modell über Ollama oder vLLM – z. B. Llama 3, Mistral, Qwen oder eure feingetunten Gewichte. Cloud-Provider (OpenAI, Anthropic, Azure) lassen sich optional zuschalten, sind aber standardmäßig aus. Der LLM-Router mischt beides hinter einer Fallback-Kette.
Brauchen wir GPUs?
Für lokale Inferenz ja – vLLM oder Ollama auf einer oder mehreren GPUs. Kleinere Modelle und Embeddings laufen auch auf CPU. Wir dimensionieren die Hardware passend zu Nutzerzahl und gewünschter Modellgröße.
Wie lange dauert die Einführung?
Wochen, nicht Monate. KIS:UI kommt als Docker-Compose-Stack, wird On-Premise installiert, ans Active Directory gebunden und eure Modelle werden freigeschaltet – inklusive Anbindung der ersten Wissensquellen.
Wie aktuell bleibt das angebundene Wissen?
Die 10 Konnektoren synchronisieren im Hintergrund über BullMQ – OAuth-basiert (Notion, Confluence, SharePoint, Drive, Slack) oder per Polling (Git, RSS, Sitemap, IMAP). Neue und geänderte Dokumente werden re-indexiert, der Vektor-Index bleibt aktuell.
Ist es DSGVO- und EU-AI-Act-konform?
Darauf ist es ausgelegt: 100 % On-Premise, lückenloses Audit, DSGVO-Export und -Löschung pro Nutzer, AES-256-GCM für Secrets, RBAC und Antworten mit Quellenangabe statt Halluzination. Die finale Bewertung trifft eure Compliance-Abteilung – wir liefern die technischen Voraussetzungen.
Skaliert das über viele Nutzer?
Ja. Hintergrundlast läuft über BullMQ-Worker, der LLM-Router verteilt mit Fallback und Rate-Limits, und die Plattform ist mandantenfähig mit Gruppen, Kanälen und per-KB-Berechtigungen. Skaliert wird horizontal über zusätzliche Worker und Inferenz-Knoten.
powered by ki·spezial

KI, die euch gehört.
Auf eurer Hardware.

Wir installieren KIS:UI On-Premise, binden euer AD an und schalten eure Modelle frei – DSGVO-konform, in Wochen statt Monaten.

Live-Demo anfragen OpenClaw / Hermes ansehen