Cloud vs. lokale KI im Unternehmen: Zwei Arten von Sicherheit

KI-Strategie & Governance
Verfasst von Manuela Frenzel

Lokale KI vs. Cloud-KI: Warum der Serverstandort nicht die Kernfrage ist

In Gesprächen mit Compliance-Verantwortlichen und Inhabern mittelständischer Schweizer Unternehmen steht immer wieder eine zentrale Frage im Raum:

Wer hat die administrative Hoheit über die Infrastruktur?”

Die häufige Antwort, die wir erhalten, lautet: “Solange die Server in der Schweiz stehen, sind wir doch auf der sicheren Seite.“ Diese Annahme verwechselt jedoch zwei grundlegend verschiedene Sicherheitskonzepte mit erheblichen Konsequenzen für die tatsächliche Datensouveränität.

Zwei Ebenen der Kontrolle

Die erste Ebene ist geografisch: Die Daten befinden sich auf Servern innerhalb der Schweiz und sind geschützt vor physischem Zugriff durch Dritte.

Die zweite Ebene ist architektonisch-administrativ: Wer führt tatsächlich Code aus? Wer hat Einblick in die Logs? Wer kontrolliert die Infrastruktur-Updates?

Ein Server an einem Standort in der Schweiz, der von einem Hyperscaler wie AWS, Azure oder Cloudflare administriert wird, unterscheidet sich fundamental von einer Infrastruktur unter eigener administrativer Hoheit vor Ort. Die Postleitzahl sagt nichts darüber aus, wer technisch auf die Daten zugreifen kann oder welchen regulatorischen Pflichten der Betreiber unterliegt, etwa dem US CLOUD Act.

Das Cloud-Hosting-Problem

Das Risiko beginnt bereits beim klassischen Cloud-Hosting, noch bevor KI hinzukommt. Sobald Unternehmensdaten auf externen Servern gespeichert werden, sei es die Unternehmenswebsite, die Kundendatenbank oder interne Dokumente, entsteht eine strukturelle Abhängigkeit:

  • Fremde Administratoren haben technischen Zugriff für Wartung, Backups und Fehleranalyse

  • Die Daten unterliegen den AGBs und Datenschutzpraktiken des Anbieters

  • Bei Subunternehmern (wie oft bei Cloudflare oder CDN-Netzwerken der Fall) ist die tatsächliche Datenverarbeitungstransparenz eingeschränkt

  • Updates der Infrastruktur erfolgen fremdgesteuert

Dies gilt unabhängig davon, ob die Server physisch in der Schweiz stehen. Die «Schweizer Region» eines globalen Cloud-Anbieters bedeutet nicht automatisch, dass Ihre Daten ausschliesslich schweizerischem Recht unterstehen oder dass Sie allein über sie verfügen.

KI-APIs als Verstärkung

Besonders kritisch wird diese Abhängigkeit bei der Nutzung von KI-Diensten über APIs. Hier verlassen sensible Informationen – Mandatsdaten, Patientenakten, Konstruktionspläne – aktiv die kontrollierte Umgebung zur Verarbeitung.

Die Kombination aus Cloud-Hosting (fremde Infrastruktur) und KI-APIs (fremde Verarbeitungslogik) schafft eine doppelte Abhängigkeit: Sie kontrollieren weder das Speichermedium noch die Verarbeitungsinstanz. Update-Zyklen, Logging-Praktiken und Trainingsmechanismen liegen ausserhalb Ihrer administrativen Steuerung.

Lokale KI: architektonische Sicherheit

Eine lokal betriebene KI im Unternehmen bedeutet, dass sowohl die Datenhaltung als auch die Prompt-Verarbeitung, die Modellversionierung und die Protokollierung innerhalb der eigenen Infrastruktur erfolgen.

Das schafft:

  • Technische Nachvollziehbarkeit ohne fremde Administratoren

  • Klare Verantwortlichkeiten ohne Schnittstellen zu externen Hosting-Providern

  • Planbarkeit über mehrere Jahre ohne Lizenz- oder Preismodell-Änderungen durch Dritte

  • Unmittelbare Steuerbarkeit bei regulatorischen Änderungen

Im Vergleich zu Cloud-Lösungen erhöht eine lokale KI die Anfangskomplexität, eliminiert jedoch die strukturellen Abhängigkeiten, die beim Hosting durch globale Anbieter entstehen.

Relevanz für regulierte Schweizer Branchen

Besonders deutlich wird dieser Unterschied bei Organisationen unter strenger Aufsicht:

  • Treuhandunternehmen mit Mandatsdaten unter Berufsgeheimnis

  • Medizinische Einrichtungen nach BAG-Vorgaben

  • Betreiber kritischer Infrastrukturen

  • Technologieunternehmen mit sicherheitsrelevantem Know-how

In diesen Branchen reicht es nicht aus, zu wissen, in welchem Land die Server stehen. Entscheidend ist die Nachweisbarkeit darüber, wer administrativen Zugriff hatte und wie die Datenverarbeitung technisch erfolgt ist. Bei Cloud-Hosting durch internationale Anbieter ist diese Transparenz eingeschränkt.

Die richtige Frage

Bei der Abwägung von Cloud vs. lokaler KI im Unternehmen lautet die relevante Frage:


”Wer hat administrative Hoheit über die Infrastruktur, wir oder ein externer Betreiber?”

Diese Perspektive ist entscheidend für die Verteidigungsfähigkeit gegenüber Prüfern, Regulatoren und Verwaltungsräten.

Governance statt Tool-Entscheidung

Die Wahl zwischen Cloud-KI und lokaler KI ist eine Governance-Entscheidung. Sie betrifft:

  • Unabhängigkeit von externen Lizenzmodellen und Hosting-Preisen

  • Steuerbarkeit von Infrastruktur-Updates

  • Kontrolle über Protokollierung und Audit-Trails

  • Schutz strategischen Kernwissens vor fremdem Zugriff

  • Langfristige regulatorische Stabilität jenseits geopolitischer Verschiebungen

Organisationen mit langfristiger Verantwortung für sensibles Kernwissen priorisieren zunehmend die technische Hoheit über ihre eigene Infrastruktur.

Wenn Sie unsicher sind, wie Ihre aktuelle KI-Architektur einzuordnen ist, sprechen wir darüber.
Im Erstgespräch klären wir, welche Form von Kontrolle Sie heute haben und welche Sie künftig brauchen.
Auf dieser Grundlage binden wir die passende technische Expertise ein, um vertieft technische Fragen zu klären und eine tragfähige Lösung umzusetzen.

Manuela Frenzel

Unabhängige Beraterin für Entscheider und Führungskräfte zum Thema KI-Einordnung.

https://manuelafrenzel.com
Zurück

RAG -Das lokale Prozessportal: Zentraler Zugriffspunkt für Ihr gesamtes Unternehmenswissen
Weiter

Was braucht lokale KI im Unternehmen?