Zurück zu allen Essays
    Regulierte KI & Souveränität

    Sind individuell programmierte Lösungen in Pharma wieder machbar?

    KI komprimiert sowohl den Code als auch die damit verbundene Dokumentationslast. Die Build-vs-Buy-Gleichung in der Pharma-IT verschiebt sich erstmals seit 20 Jahren.

    Ebenfalls verfügbar auf Englisch

    In einer Pharma-Umgebung wurde ein vollständig dokumentiertes, individuell entwickeltes Enterprise-System für Beschaffungs-Workflows in unter 12 Monaten ausgeliefert. Es war non-GxP. Trotzdem hätte der klassische Weg aus Lieferantenauswahl und Customizing 2–3 Jahre gedauert.

    Das wirft eine Frage auf: Werden individuell entwickelte Lösungen in Pharma wieder machbar?

    In den letzten 20+ Jahren war die Pharma-IT standardmäßig auf „kaufen" eingestellt. Nicht, weil Standardsoftware günstig wäre, sondern weil Eigenentwicklungen zu langsam, zu validierungsintensiv und zu schwer zu warten waren. Ein Großteil der Kosten steckte im Aufwand für Erstellung und Pflege von URS, FDS, Traceability, Risikoanalyse usw.

    Was sich verändert hat, ist nicht nur, dass KI hilft, Code schneller zu schreiben. Sie komprimiert auch die manuelle Dokumentationslast rund um den Code — wobei Menschen weiterhin dort prüfen und unterschreiben, wo es vorgeschrieben ist.

    Die Institutionen reagieren. Die GAMP-AI-Guidance, der Entwurf des EU Annex 22, FDA CSA und die FDA/EMA-Prinzipien zeigen langsam, wo KI in regulierten Umgebungen ihren Platz hat — und wo nicht.

    Karpathys jüngstes „LLM Wiki"-Muster deutet auf ein praktikables Modell hin: Rohquellen und Code werden zu einer schema-gesteuerten, LLM-gepflegten Wissensschicht. In einer regulierten Umgebung kann diese Schicht intern „live" bleiben, während kontrollierte, signierte Outputs dort erzeugt werden, wo formale Freigabe erforderlich ist.

    Der Sprung zu GxP wirkt eher wie zusätzliche Compliance-Scaffolding als wie eine andere Architektur.

    Das verändert die Build-vs-Buy-Gleichung. Individualsoftware wird einfacher und schneller zu bauen — und zu warten — und damit sicherer und günstiger.

    Vorerst bleibt der Mensch im Loop. Mit besseren Modellen wird mehr Dokumentation und mehr Governance automatisiert. Haftung nicht. Die heikle Frage ist nicht mehr, ob die Arbeit machbar ist, sondern: Wer trägt das Risiko, und wer antwortet, wenn Modelle irren?

    Quellen