Kai Ole Hartwig — Blog

Agent Readiness
Zustand, in dem Inhalte und Prozesse so aufbereitet sind, dass KI-Agenten kontrolliert darauf zugreifen und handeln können.
AI Overview
Eine zusammengefasste, von einem Sprachmodell generierte Antwort, die Google oberhalb klassischer Suchergebnisse ausspielt.
AI Retrieval
Der technische Vorgang, mit dem ein AI-System relevante Inhalte aus einer Quelle holt, um sie in eine generierte Antwort einzubetten — typischerweise über Embeddings, Vektor-Suche, Reranking und Filtering.
AI Search
Suchsysteme, deren Ergebnis nicht eine Liste von Links, sondern eine generierte oder zusammengesetzte Antwort ist — gestützt auf Retrieval, Embeddings und LLM-Synthese.
AI-first architecture
Eine System- und Plattformarchitektur, die von Anfang an auf die Anforderungen von Agenten, Retrieval-Pipelines und programmatischer Konsumierbarkeit ausgelegt ist.
AI-ready CMS
Ein Content-Management-System, dessen Inhalte, Strukturmodelle und APIs so geschnitten sind, dass sie ohne nachgelagertes Scraping direkt von Retrieval-Pipelines, AI-Suchsystemen und Agenten genutzt werden können.
AI-ready Commerce
Ein E-Commerce-System, dessen Produktdaten, Kategorien, Verfügbarkeiten und Inhalte so modelliert sind, dass AI-Suchen, Vergleichs-Agenten und Empfehlungssysteme sie zuverlässig auslesen, einordnen und in generative Antworten einbetten können.
Bottlerocket
Ein von AWS gepflegtes, minimal-immutables Linux-Image für Container-Workloads, primär für Kubernetes auf EKS und ECS.
BYOAI
Bring Your Own AI — Integrationsmodell, bei dem Unternehmen ihren eigenen KI-Anbieter konfigurieren statt den des Software-Herstellers zu nutzen
Cluster Autoscaler
Die klassische Kubernetes-Komponente, die vordefinierte Node-Gruppen je nach Pod-Bedarf hoch- und herunterskaliert.
Container Escape
Der Vorgang, mit dem ein Angreifer aus einem laufenden Container ausbricht und Zugriff auf den Host-Kernel, das Host-Dateisystem oder benachbarte Container erlangt.
Content Federation
Ein Architektur-Muster, bei dem Inhalte aus mehreren Quellsystemen in eine gemeinsame, abrufbare Ebene zusammengeführt werden.
Copy-on-Write (COW)
Eine Optimierungstechnik, bei der eine geteilte Ressource erst dann physisch kopiert wird, wenn einer der Nutzer schreibend zugreift.
CVE
Common Vulnerabilities and Exposures — ein öffentliches Identifikationsschema für Sicherheitsschwachstellen, betrieben von MITRE in Kooperation mit zahlreichen CNAs.
Declarative Infrastructure
Ein Modell, in dem nicht beschrieben wird, wie ein Zustand erreicht wird, sondern welcher Zustand vorliegen soll.
DevSecOps
Eine Arbeitsweise, in der Security-Anforderungen, Tooling und Verantwortung als integraler Teil von Entwicklungs- und Betriebsprozessen verstanden werden — nicht als nachgelagerter Audit-Schritt.
Digital Sovereignty
Die Fähigkeit einer Organisation oder eines Staates, eigenständig über die eigenen digitalen Systeme, Daten, Schnittstellen und Lieferanten zu entscheiden.
Enterprise CMS
Ein CMS, das für die Anforderungen größerer Organisationen ausgelegt ist: Multisite, Multi-Language, granulare Rechte, Workflows, Versionierung, lange Wartungszyklen.
Entity-based SEO
Eine SEO-Praxis, deren primäre Einheit nicht das Keyword ist, sondern die Entität — Person, Unternehmen, Produkt, Ort, Konzept — wie sie auch in Knowledge Graphs und LLM-Wissensbeständen geführt wird.
European Cloud
Cloud-Angebote von Anbietern mit Sitz, Eigentum und Betrieb in der EU, deren Dienste primär EU-Recht und EU-Datenstandorten unterliegen.
Falco
Ein Open-Source-Werkzeug für Runtime-Sicherheit auf Linux- und Kubernetes-Systemen. CNCF Graduated.
Flatcar Linux
Eine immutable, container-optimierte Linux-Distribution in der Tradition von CoreOS Container Linux, gepflegt unter dem Dach der CNCF.
Generative Engine Optimization (GEO)
Die Disziplin, Inhalte und technische Auslieferung so zu gestalten, dass sie von generativen Suchsystemen (ChatGPT Search, Perplexity, Google AI Overviews, Gemini) korrekt zitiert und in Antworten verwendet werden.
GitOps
Ein Betriebsmodell, in dem der gewünschte Zustand der Infrastruktur und Anwendungen vollständig in einem Git-Repository beschrieben wird.
Gitterbasierte Kryptografie
Kryptografiefamilie auf Basis schwer lösbarer Gitterprobleme (LWE), die als resistent gegen Quantenangriffe gilt und die Grundlage von ML-DSA und ML-KEM bildet.
Harvest-now-decrypt-later
Angriffsstrategie, bei der heute verschlüsselte Daten gespeichert werden, um sie nach Verfügbarkeit eines Quantencomputers zu entschlüsseln.
Headless CMS
Ein CMS, das ausschließlich oder primär über APIs Inhalte ausliefert und die Darstellung externen Frontends überlässt.
Immutable Infrastructure
Ein Betriebsansatz, bei dem Server, Nodes und Container-Images nach dem Deploy nicht mehr modifiziert werden.
Karpenter
Ein Kubernetes-Autoscaler, der Worker-Nodes Just-in-Time provisioniert: statt fest definierte Node-Gruppen zu skalieren, startet er passende Instanzen direkt beim Cloud-Anbieter.
Kernel Hardening
Die Summe der Maßnahmen, mit denen die Angriffsfläche und Exploit-Toleranz eines Linux-Kernels reduziert wird.
Kernel LPE
Eine Local-Privilege-Escalation-Lücke, die direkt im Linux-Kernel sitzt — z.B. in Subsystemen wie Memory Management, Filesystems, eBPF oder im Netzwerk-Stack.
Krypto-Agilität
Architekturprinzip, das kryptografische Algorithmen als austauschbare Konfiguration behandelt, statt sie fest zu verdrahten — Voraussetzung für die Migration zu Post-Quantum-Verfahren.
Kubernetes
Ein Open-Source-Orchestrierungssystem für containerisierte Anwendungen, das Container auf Maschinen einplant, den Soll-Zustand aufrechterhält und horizontal skaliert.
Kubernetes Worker Node
Eine Maschine (physisch oder virtuell), auf der Kubernetes Pods tatsächlich ausführt.
Local Privilege Escalation (LPE)
Eine Klasse von Schwachstellen, bei der ein Angreifer, der bereits lokalen Zugriff auf ein System mit eingeschränkten Rechten hat, sich auf höhere Rechte (z.B. root) eskalieren kann.
MCP
Offener Standard, über den KI-Modelle und Agenten einheitlich auf externe Werkzeuge und Daten zugreifen.
ML-DSA
NIST-standardisierter Post-Quantum-Signaturalgorithmus (FIPS 204), der klassische Verfahren wie ECDSA in APIs, JWTs und Identity-Flows ablöst.
ML-KEM
NIST-standardisierter Post-Quantum-Schlüsselaustauschmechanismus (FIPS 203), der im hybriden TLS-Handshake klassisches ECDH quantensicher ergänzt.
NixOS
Eine Linux-Distribution, deren gesamte Systemkonfiguration deklarativ in der Nix-Sprache beschrieben wird; jede Änderung erzeugt eine neue Generation mit atomarem Switch und Rollback.
Open Source
Software, deren Quellcode unter einer Lizenz veröffentlicht ist, die Nutzung, Studium, Modifikation und Weitergabe erlaubt — entsprechend der Open Source Definition der OSI.
Open Source CMS
Ein CMS, dessen Quellcode unter einer Open-Source-Lizenz verfügbar ist und das ohne proprietäre Lizenzkosten installiert, betrieben und angepasst werden kann.
Page Cache
Der Linux-Kernel-Mechanismus, mit dem Inhalte von Dateien transparent im Hauptspeicher gehalten werden, um wiederholte Lese- und Schreibzugriffe zu beschleunigen.
Platform Engineering
Die Disziplin, eine interne Entwicklerplattform (Internal Developer Platform, IDP) zu bauen und zu betreiben, mit der Produkt-Teams ohne tiefes Ops-Wissen Anwendungen deployen und betreiben.
Pod Security Standards
Ein dreistufiges Profilmodell, mit dem Kubernetes Pods auf zulässige Sicherheits-Eigenschaften prüft: privileged, baseline und restricted.
Post-Quanten-Kryptografie
Kryptografische Verfahren, die gegen Angriffe durch Quantencomputer resistent sind — standardisiert durch NIST in FIPS 203 (ML-KEM) und FIPS 204 (ML-DSA).
RAG
Retrieval-Augmented Generation: das Sprachmodell ruft zur Laufzeit relevante Inhalte aus einer Wissensquelle ab und bezieht sie in die Antwort ein.
Retrieval-ready content
Inhalte, die für AI-Retrieval optimiert sind: in sich abgeschlossene Sinneinheiten, präzise Überschriftenhierarchie, semantisches HTML, ergänzt um Metadaten wie Entitäten, Sprache, Veröffentlichungsdatum, Quellenangaben und stabile URLs.
Runtime Security
Sicherheits-Disziplin, die Prozesse, Netzwerk und Datei-Aktivität während der Ausführung beobachtet und bewertet, statt sich auf statische Prüfungen zu verlassen.
SBOM
Software Bill of Materials: maschinenlesbare Stückliste aller Komponenten, Bibliotheken und Versionen einer Software.
Self-hosted Infrastructure
Infrastruktur, die eine Organisation selbst betreibt — auf eigener Hardware, in einer Co-Location oder in einer Cloud-Umgebung mit voller Kontrolle oberhalb der nackten Maschine.
Semantic HTML
HTML, das die Bedeutung der Elemente abbildet — <article>, <section>, <nav>, <header>, korrekt verschachtelte Überschriften, native Listen, <figure>/<figcaption>, plus passende ARIA-Rollen, wo nötig.
SLSA
Supply-chain Levels for Software Artifacts: Rahmenwerk für die überprüfbare Integrität der Software-Lieferkette.
Sovereign Infrastructure
IT-Infrastruktur, die so betrieben wird, dass eine Organisation jederzeit substanziell selbst entscheiden kann, was darin läuft, wer Zugriff hat und wohin Daten fließen.
Structured Content
Inhalt, der in modular abgegrenzten, typisierten Bausteinen modelliert ist (Heading, Lead, FAQ, Person, Produkt, …), statt als unstrukturierter Rich-Text-Blob in einem WYSIWYG-Editor.
Structured Content Modeling
Die redaktionell-technische Disziplin, Inhalte als typisierte Bausteine mit Beziehungen zu modellieren.
Talos Linux
Ein minimaler, immutabler, API-gesteuerter Linux-Distributions-Stack speziell für den Betrieb von Kubernetes.
Tetragon
Eine eBPF-basierte Komponente aus dem Cilium-Projekt für Runtime-Beobachtung und Policy-Enforcement im Linux-Kernel.
Threat Detection
Die Aufgabe, sicherheitsrelevante Ereignisse aus Logs, Metriken, Traces und Runtime-Sensoren herauszufiltern, zu korrelieren und zu priorisieren.
TYPO3
Ein freies, in PHP entwickeltes Enterprise-CMS mit langer LTS-Historie und nativer Multisite/Multi-Language-Unterstützung.
TYPO3 Cluster
Ein Mehr-Instanz-Setup von TYPO3, in dem mehrere Frontend-Pods oder -Server hinter einem Loadbalancer parallel laufen.
TYPO3 Extension
Ein modulares Erweiterungspaket für TYPO3, das Funktionalität, Inhalts-Typen, Plugins oder Konfiguration hinzufügt.
TYPO3 Kubernetes
Der Betrieb von TYPO3 auf Kubernetes — typischerweise mit getrennten Pods für Frontend-Worker, Backend, Cron/Scheduler, Solr/OpenSearch und Caches.
Vendor Lock-in
Eine Situation, in der der Wechsel von einem Anbieter zu einem anderen durch technische, vertragliche oder operative Hürden so teuer wird, dass er praktisch nicht passiert.
Wolfi OS
Eine container-spezifische Linux-Distribution („Undistro“) von Chainguard, ausgelegt auf minimalen Footprint, supply-chain-sichere Builds und schnelle Patch-Zyklen.