KI-Sicherheit: Warum Serverstandort nicht genügt

Die Frage ist berechtigt. Aber sie reicht nicht aus.

Ein Serverstandort in der Schweiz kann ein wichtiger Sicherheitsbaustein sein. Er sagt jedoch noch nicht, wer die Systeme administriert, wer Zugriff auf Logs hat, wer Updates einspielt, welche Subunternehmer beteiligt sind oder auf welcher rechtlichen und technischen Grundlage Daten verarbeitet werden.

Für die Beurteilung von KI-Sicherheit braucht es deshalb eine zweite Frage:

Wer hat die Hoheit über Infrastruktur, Verarbeitung und Zugriff?

Denn bei KI-Systemen entscheidet wer die technische und administrative Realität kontrolliert.

Zwei Ebenen der Kontrolle

Bei Cloud- und KI-Architekturen müssen zwei Ebenen sauber getrennt werden: die geografische Kontrolle und die architektonisch-administrative Kontrolle. Die geografische Kontrolle betrifft den Speicherort der Daten. Also zum Beispiel: In welchem Land stehen die Rechenzentren? Welche Region wurde vertraglich gewählt? Welche Datenschutzregeln gelten? Welche Auftragsbearbeitungsvereinbarungen bestehen? Diese Ebene ist wichtig. Gerade für Schweizer Unternehmen kann sie ein relevanter Teil der Prüfung sein.

Die zweite Ebene ist die architektonisch-administrative Kontrolle. Sie betrifft die tatsächliche technische Hoheit über das System. Hier geht es um Fragen wie:

Wer administriert die Infrastruktur?
Wer kann Updates ausführen?
Wer hat Zugriff auf Logs, Metadaten oder Fehlermeldungen?
Wer betreibt die Verarbeitungslogik?
Welche Subunternehmer sind eingebunden?
Welche Datenflüsse entstehen im laufenden Betrieb?
Wie wird geprüft, dokumentiert und auditiert?

Diese zweite Ebene ist entscheidender als der reine Standort.

Ein System kann physisch in der Schweiz betrieben werden und dennoch durch einen internationalen Anbieter administriert, gewartet oder technisch kontrolliert werden. Umgekehrt kann eine lokale Infrastruktur mehr Kontrolle ermöglichen, aber auch deutlich mehr Verantwortung verlangen.

Die Kernfrage lautet deshalb nicht nur:

„Wo steht der Server?“

Sondern:

„Wer kontrolliert die technische und administrative Realität des Systems?“

Das Problem beginnt nicht erst bei KI

Viele Diskussionen über KI-Sicherheit beginnen bei Sprachmodellen, Prompts oder externen APIs. Das eigentliche Thema beginnt jedoch früher: bei der Infrastruktur. Sobald sensible Unternehmensdaten, interne Dokumente oder Kundendaten auf externen Systemen gespeichert oder verarbeitet werden, entsteht eine Abhängigkeit von einem Betreiber. Diese Abhängigkeit betrifft Wartung, Systemadministration, Backups, Wiederherstellung, Logfiles, Fehleranalyse, Subunternehmer, Vertragsbedingungen, Datenschutzpraktiken, Infrastruktur-Updates, Preis- und Lizenzmodelle sowie Exit-Möglichkeiten.

Diese Punkte gelten unabhängig davon, ob bereits KI eingesetzt wird.

Cloud-Hosting kann professionell, sicher und wirtschaftlich sinnvoll sein. Es bleibt aber eine ausgelagerte Infrastruktur. Damit verschiebt sich ein Teil der technischen Kontrolle vom Unternehmen zum Anbieter. Für viele Organisationen ist das akzeptabel. Für Unternehmen mit besonders sensiblen Daten, Berufsgeheimnissen, strategischem Know-how oder regulatorischer Verantwortung muss diese Verschiebung jedoch bewusst geprüft werden.

KI-APIs verstärken die Abhängigkeit

Besonders anspruchsvoll wird die Lage, wenn zusätzlich externe KI-Dienste über APIs genutzt werden. Dann werden Daten nicht nur gespeichert, sondern aktiv zur Verarbeitung an ein externes System übermittelt. Je nach Architektur können Prompts, Dokumentenausschnitte, Metadaten, Antwortverläufe oder technische Logs betroffen sein.

Bei vertraulichen Daten entsteht dadurch eine doppelte Abhängigkeit: Das Unternehmen kontrolliert die Infrastruktur und die Verarbeitungslogik nur begrenzt.

Das betrifft besonders sensible Kontexte: Mandatsdaten, Patientendaten, interne Strategiepapiere, Konstruktions- und Entwicklungsunterlagen, Verwaltungsratsdokumente, Verträge, Personaldaten sowie Recherche- und Entscheidungsdossiers.

Die zentrale Frage lautet hier:

Welche Daten verlassen zu welchem Zweck welche Umgebung; und wer kann diesen Vorgang technisch, vertraglich und organisatorisch kontrollieren?

Diese Frage ist konkreter als die allgemeine Unterscheidung zwischen Cloud und lokal. Sie zwingt dazu, die tatsächlichen Datenflüsse sichtbar zu machen.

Lokale KI: mehr Kontrolle, aber nicht automatisch mehr Sicherheit

Lokale KI wird oft als Gegenmodell zur Cloud verstanden. Das ist zu einfach. Lokale KI bedeutet nicht automatisch: sicher. Und Cloud-KI bedeutet nicht automatisch: unsicher. Entscheidend ist, welche Architektur zur Verantwortung der Organisation passt.

Mit lokaler KI ist hier eine Lösung gemeint, bei der Datenhaltung, Verarbeitung, Modellnutzung, Protokollierung und Zugriff stärker unter eigener oder klar definierter administrativer Hoheit erfolgen. Das kann grosse Vorteile schaffen:

Unternehmen können Datenflüsse besser begrenzen.
Zugriffe lassen sich klarer steuern.
Protokolle können nachvollziehbarer geführt werden.
Die Abhängigkeit von externen KI-APIs sinkt.
Sensible Dokumente können kontrollierter verarbeitet werden.
Die interne Verantwortlichkeit wird greifbarer.

Aber lokale KI erhöht auch die eigene Verantwortung.

Wer lokale KI betreibt, muss Zuständigkeiten klären, Systeme warten, Berechtigungen sauber definieren, Schutzmassnahmen umsetzen, Modelle pflegen, Dokumentationen führen und realistische Erwartungen an die Leistungsfähigkeit der Lösung haben.

Der Nutzen lokaler KI entsteht deshalb nicht durch den Betrieb im eigenen Umfeld. Er entsteht erst dann, wenn lokale KI als kontrollierte Wissens- und Entscheidungsinfrastruktur verstanden wird.

RAG: Wenn internes Wissen durchsuchbar wird

Besonders deutlich wird die Kontrollfrage bei dokumentengestützten KI-Systemen, häufig als RAG bezeichnet. Solche Systeme greifen auf definierte Dokumente oder Wissensbestände zu. Sie können helfen, interne Informationen auffindbar zu machen, Zusammenhänge sichtbar zu machen und Entscheidungsgrundlagen vorzubereiten. Gerade deshalb müssen sie sorgfältig konzipiert werden. Denn sobald interne Dokumente über ein KI-System erschlossen werden, stellen sich neue Fragen:

Welche Dokumente dürfen eingebunden werden?
Welche Inhalte sind besonders schützenswert?
Welche Personen erhalten Zugriff?
Wie werden Quellen sichtbar gemacht?
Wie werden falsche oder unvollständige Antworten erkannt?
Wie werden Protokolle geführt?
Wie wird verhindert, dass vertrauliche Inhalte in unpassende Kontexte geraten?
Wer trägt die Verantwortung für Betrieb, Prüfung und Aktualisierung?

RAG ist eine Frage der Wissensordnung, Zugriffskontrolle und Governance.

Ein dokumentengestütztes KI-System kann nur dann belastbar sein, wenn klar ist, welche Informationen es verwenden darf, wer sie sehen darf und wie Ergebnisse überprüft werden.

Relevanz für Schweizer Unternehmen

Für Schweizer Unternehmen ist der Serverstandort ein relevanter Faktor. Besonders bei sensiblen Personendaten, Berufsgeheimnissen, regulierten Tätigkeiten oder vertraulichem Kernwissen reicht er jedoch nicht als alleinige Entscheidungsgrundlage.

Betroffen sind zum Beispiel Treuhandunternehmen mit Mandatsdaten, medizinische Einrichtungen, therapeutische Praxen, Anwaltskanzleien, Beratungsunternehmen, Organisationen mit Personaldaten, Technologieunternehmen mit sicherheitsrelevantem Know-how, Stiftungen, Vereine, Institutionen mit vertraulichen Dossiers sowie Unternehmen mit Verwaltungsrats- und Strategiedokumenten.

In solchen Umgebungen zählt Nachweisbarkeit.

Wer hatte Zugriff?
Wer administriert das System?
Welche Daten wurden verarbeitet?
Welche Anbieter und Subunternehmer sind beteiligt?
Welche vertraglichen Grundlagen gelten?
Welche technischen Protokolle bestehen?
Wie kann ein Entscheid gegenüber Aufsicht, Verwaltungsrat, Kundschaft oder internen Anspruchsgruppen erklärt werden?

Diese Fragen entscheiden über die tatsächliche Belastbarkeit einer KI-Architektur. Entscheidend ist, ob die Organisation ihre Verantwortung nachvollziehbar wahrnehmen kann.

Die bessere Leitfrage

Die übliche Frage lautet:

„Ist die Lösung cloudbasiert oder lokal?“

Die bessere Frage lautet:

„Welche Form von Kontrolle brauchen wir für unsere Daten, unsere Verantwortung und unsere Entscheidungen?“

Daraus ergeben sich weitere Prüffragen:

Welche Daten sind besonders schützenswert?
Welche Verarbeitung ist wirklich notwendig?
Welche Risiken entstehen durch externe Anbieter?
Welche Abhängigkeiten sind akzeptabel?
Welche Dokumentation brauchen wir?
Welche Lösung bleibt auch in drei Jahren wartbar?
Welche Entscheidung können wir intern verantworten?

Diese Fragen führen zu einer sachlicheren Bewertung als der einfache Gegensatz zwischen Cloud-KI und lokaler KI. Denn in der Praxis kann die passende Lösung auch hybrid sein: bestimmte Daten und Anwendungen lokal oder unter enger administrativer Kontrolle, andere Funktionen bewusst cloudbasiert. Entscheidend ist nicht die Ideologie der Architektur. Entscheidend ist die Passung zur Verantwortung.

Governance statt Tool-Entscheidung

Die Entscheidung für Cloud-KI, lokale KI oder hybride Ansätze ist eine Governance-Entscheidung. Sie betrifft Verantwortlichkeit, Datenklassifikation, Zugriffskontrolle, Anbieterabhängigkeit, Auditierbarkeit, Dokumentation, Wartbarkeit, Regulatorik, Kostenentwicklung und strategische Autonomie.

Cloud-KI kann für viele Anwendungen sinnvoll sein. Lokale KI kann bei sensiblen Daten und hohem Schutzbedarf Vorteile bieten. Hybride Modelle können tragfähig sein, wenn Datenflüsse, Rollen und Grenzen sauber definiert sind.

Die entscheidende Frage lautet: Welche KI-Architektur können wir verantworten?

Fazit: Standort ist wichtig. Hoheit ist entscheidend.

Der Serverstandort ist eine wichtige Information. Für vertrauliche Daten, lokale KI und dokumentengestützte Systeme zählt vor allem die administrative Hoheit:

Wer betreibt?
Wer administriert?
Wer protokolliert?
Wer hat Zugriff?
Wer haftet?
Wer kann Änderungen vornehmen?
Wer dokumentiert die Verarbeitung?
Wer erklärt die Entscheidung im Ernstfall?

Erst wenn diese Fragen beantwortet sind, lässt sich beurteilen, ob Cloud-KI, lokale KI oder eine hybride Architektur zur jeweiligen Organisation passt.

KI-Sicherheit entsteht nicht dadurch, dass ein Server an einem bestimmten Ort steht. Sie entsteht dadurch, dass Datenflüsse, Zugriffe, Verantwortung und Kontrolle nachvollziehbar geregelt sind.