Wissensmanagement im Mittelstand — 3 Schritte zur SharePoint-Alternative

Mittelständler nutzen SharePoint, weil es da ist — die Microsoft-365-Lizenz bringt es mit, IT hat es 2018 ausgerollt, und niemand will einen weiteren Rollout starten. Sie hassen SharePoint, weil die Suche nichts findet. Wer "Lieferantenrahmenvertrag 2024" sucht, bekommt 47 Treffer, davon 31 alte Versionen, 11 in unzugänglichen Bibliotheken und 5 fragwürdige Templates. Klassisches Eigenbau-RAG ist die schlechte Antwort: Weil es Permissions wegabstrahiert.

Wir sehen drei Modelle in der Praxis:

• →Modell A — SharePoint-Suche: existiert, ist langsam, ignoriert Synonym, ranking-blind, mehrsprachig schwach.
• →Modell B — Eigenbau-RAG mit Pinecone + LangChain: liefert Antworten, ignoriert aber AD-Gruppen-Berechtigungen. Andreas aus dem Vertrieb sieht plötzlich Personalvereinbarungen, weil sie als Chunk im Vector-Index landen.
• →Modell C — Anirag mit Permissions-Mirroring: liest die Berechtigungen pro Index-Run mit, filtert pro User-Query auf Lese-Rechte.

Modell C ist die Antwort, die wir hier ausführlich beschreiben — mit drei klaren Schritten.

1 · Permissions-Mirroring

Anirag liest SharePoint-Berechtigungen beim Index-Lauf mit. Konkret heißt das:

• →Für jedes Dokument wird die ACL (Access-Control-List) gelesen — direkt aus Microsoft-Graph-API.
• →ACLs werden auf Chunks mit-vererbt: jeder Chunk bekommt eine Liste der AD-Gruppen, die Lese-Rechte haben.
• →Bei Query-Time wird der User-Token gegen die Chunks gefiltert. Mira aus der Personal-Abteilung sieht in der RAG-Antwort nur Chunks, auf die ihre AD-Gruppe Lesezugriff hat.
• →Andreas aus dem Vertrieb sieht andere Chunks für dieselbe Frage, weil er andere Gruppen hat.

Das Problem dahinter — das Eigenbau-RAG meist nicht löst: SharePoint-Permissions sind oft hierarchisch (Site → Library → Folder → Item) und können explizite Verweigerungen enthalten. Ein flach indizierter Vector-Index verliert diese Hierarchie.

Anirag löst das, indem die ACL pro Chunk gespeichert wird, und beim Query-Filter werden alle ACL-Stufen geprüft, mit "Deny wins"-Semantik.

2 · Live-Sync, nicht Snapshots

Klassische Eigenbau-RAGs indizieren wöchentlich oder täglich. Bei aktiven Wissensbasen ist das zu wenig: Der Vertrieb fragt um 9:30 nach den Konditionen aus der Mail von 9:15.

Anirag nutzt SharePoint-Webhooks, die bei Doku-Updates feuern und ein Re-Embedding triggern. Im Schnitt sind Änderungen 2-4 Minuten nach dem Save in der RAG-Antwort sichtbar.

Konkrete Webhooks, die Anirag abonniert:

• →Microsoft.Graph.SubscribedSPListChange — Listen-Änderungen.
• →Microsoft.Graph.SubscribedSPItemChange — Datei-Änderungen.
• →Microsoft.Graph.SubscribedSPACLChange — Berechtigungs-Änderungen.

Der ACL-Webhook ist entscheidend: Wenn jemand eine Berechtigung entzieht, wird der Chunk innerhalb von Sekunden für betroffene User unauffindbar — auch wenn die Datei noch im Index ist. Das ist DSGVO-relevant: Daten-Lösch-Anfragen wirken sofort.

3 · Audit-Log

Wer hat was gefragt, welche Chunks wurden geliefert, welche Quellen sind zitiert. Bei Compliance-Audits (KHZG, ISO 27001, BSI-IT-Grundschutz) ist das Pflicht.

Anirag schreibt pro Anfrage:

• →User (per Tenant-AD-ID, niemals Klartext-E-Mail im Log).
• →Query (gehasht, mit optionalem Klartext für 7 Tage zur Debug-Phase).
• →Modell + Region (z. B. claude-opus-4-7 / eu-fra1).
• →Gelieferte Chunks mit Doku-Pfad, Zeilen-Range, Hash.
• →Antwort-Hash mit Zeitstempel.
• →Hash-Chain-Block für Manipulationssicherheit.

Im Klinik-Plan und im Sovereign-Plan ist die Retention auf 365 Tage erhöht; Standard-Plan liefert 90 Tage.

Was Mittelständler typischerweise als Erstes prüfen

Wie viele AD-Gruppen + Permissions packt ihr?

Wir haben Tenants mit 800+ AD-Gruppen und 12 SharePoint-Sites stabil im Index. Die Performance bleibt unter 200 ms p99 für Permission-gefilterte Queries.

Was ist mit OneDrive?

OneDrive-Personal-Inhalte werden nicht standardmäßig indiziert — User-Persönlich-Bibliotheken sind Privacy-relevant. Wenn explizit gewünscht (z. B. für Knowledge-Worker, die ihre Notizen mit RAG durchsuchen), kann der einzelne User für seinen OneDrive opten — der Index ist dann pro User isoliert.

Wie lange dauert der initiale Roll-Out?

Für 5-10 SharePoint-Sites und ~50k Dokumente: 3-5 Werktage. Davon ist Tag 1 Anbindung + Permission-Mapping, Tag 2-3 Indexierung, Tag 4-5 Test + User-Onboarding.

Wie ist das mit DSGVO Art. 22?

Anirag liefert keine vollautomatisierten Verwaltungsentscheidungen — die Antworten sind immer Empfehlungen mit Quelle. Der User entscheidet final. Damit fällt es typischerweise nicht unter Art. 22 (vollautomatisierte Entscheidung mit rechtlicher Wirkung).

Wo Anirag *nicht* die richtige Antwort ist

Ehrlich:

• →Wenn Sie nur Office-Dokumente und keinen Bedarf an strukturierten Antworten haben — die SharePoint-Suche reicht (mit Microsoft-Search-Add-ons).
• →Wenn Sie weniger als 5.000 Dokumente haben — der Setup-Aufwand übersteigt den Nutzen in den ersten 12 Monaten.
• →Wenn die Wissensbasis hauptsächlich PowerPoint-Folien sind — Embedding-Qualität ist niedriger als bei Word-/PDF-Dokumenten. Wir können das, aber wir sagen Ihnen vorher: erwarten Sie 70 % Antwort-Qualität, nicht 90 %.

In allen anderen Fällen ist Anirag die deutlich schnellere und sauberere Alternative zu Eigenbau-RAG, mit der entscheidenden Differenzierung: Permissions-Mirroring, das Compliance-Audits standhält.