Souveräne KI oder Trojanisches Pferd? Warum SAP und OpenAI ein Risiko sind

Als ich die jüngsten Schlagzeilen las, musste ich fast lachen. Aber eben nur fast.

Die Nachricht verbreitete sich wie ein Lauffeuer: Endlich bekommen wir eine "souveräne KI" für unsere deutschen Behörden. Das Versprechen klingt verlockend: Eine digitale Revolution für den öffentlichen Sektor. Bald läuft wohl jedes Fax mit KI. Und wer führt diesen Kreuzzug für die deutsche digitale Souveränität an? SAP.

Das klingt auf dem Papier großartig – bis man das Kleingedruckte liest. Wer sind die Partner, die diese Souveränität liefern sollen? Microsoft. Und OpenAI.

Lassen Sie das einen Moment sacken. Wir versuchen, uns von außereuropäischen Tech-Giganten unabhängig zu machen, indem wir Partnerschaften mit den größten außereuropäischen Tech-Giganten der Welt eingehen.

Sie haben wenig Zeit? Hier erkläre ich die Kernproblematik in Kürze:

Das "souveräne" Trojanische Pferd

Lassen Sie uns direkt sein: Man kann kein souveränes Haus auf dem Grundstück eines anderen bauen.

SAP kann seine Cloud-Dienste in noch so viele Schichten deutschen Vertragsrechts hüllen und "lokale Datenspeicherung" versprechen. Aber wenn der Motor unter der Haube – das Large Language Model (LLM), das die Intelligenz liefert – Sam Altman und Satya Nadella gehört, dann gehört es nicht uns.

Es ist eine Blackbox. Eine sehr fähige, beeindruckende Blackbox, aber dennoch eine Blackbox.

Indem wir Modelle von OpenAI in das Herzstück der deutschen Verwaltung integrieren, gewinnen wir keine Souveränität; wir vertiefen unsere Abhängigkeit. Wir holen uns ein Trojanisches Pferd in unsere kritische Infrastruktur, getarnt als modernes Workflow-Tool.

Bauen auf einem politischen Vulkan

Als Gründer von Vective und Experte für Cybersicherheit betrachte ich Risiken nicht nur technisch, sondern auch geopolitisch.

Wir haben in den letzten Jahren gesehen, wie schnell sich der Wind in Washington drehen kann. Sich bei der Infrastruktur unserer Regierung auf amerikanische Technologieanbieter zu verlassen, ist, als würde man ein Haus auf einem politischen Vulkan bauen.

Heute ist die US-Regierung ein Partner. Aber was ist morgen?

• Was passiert, wenn Handelsbeziehungen scheitern?

• Was passiert, wenn eine neue Regierung entscheidet, dass "America First" eigentlich "Europe Last" bedeutet?

• Was passiert, wenn sie entscheiden, dass sie Zugang zu Trainingsdaten für die nationale Sicherheit benötigen und einfach den Schalter umlegen?

Das ist keine Paranoia; das ist Risikomanagement. Wenn die USA beschließen, den Zugang zu kappen, ihre Nutzungsbedingungen zu ändern oder die Rechenleistung zu drosseln, wären deutsche Behörden handlungsunfähig. Wir geben den "Not-Aus-Schalter" für unsere eigene digitale Transformation in die Hände einer fremden Macht.

Der US CLOUD Act: Die eingebaute Hintertür

Für CISOs und IT-Leiter ist dies der kritischste Punkt. Der Standort des Servers ist irrelevant, wenn das Unternehmen, das ihn betreibt, in US-Besitz ist.

Der US CLOUD Act erlaubt es US-Bundesbehörden, von US-basierten Technologieunternehmen die Herausgabe von Daten zu verlangen, die auf deren Servern gespeichert sind – unabhängig davon, ob diese Daten in den USA oder auf ausländischem Boden (wie in einem Frankfurter Rechenzentrum) liegen.

Dies hebelt faktisch den Schutz der DSGVO aus, der uns so wichtig ist.

Wenn SAP die Azure OpenAI-Dienste von Microsoft weiterverkauft, ist diese Datenkette verwundbar. Eine "souveräne Cloud", die rechtlich ausländischen Vorladungen unterliegt, ist ein Marketing-Gag, keine Sicherheitsstrategie. Echte Souveränität bedeutet, dass kein ausländisches Gericht Zugriff auf Ihre Daten hat. Punkt.

Die Lüge von der Alternativlosigkeit

Das Absurdeste an dieser ganzen Geschichte ist der Defätismus. Man hört es in Vorstandsetagen überall: "Nun, niemand ist so gut wie GPT-4, also müssen wir es nutzen."

Das ist Unsinn.

Wir leben nicht mehr im Jahr 2022. Die Lücke hat sich geschlossen. Wir haben unglaublich leistungsstarke Modelle direkt hier in Europa. Schauen Sie sich Mistral AI aus Frankreich an. Schauen Sie auf die bahnbrechende Forschung unseres eigenen Fraunhofer-Instituts.

Darüber hinaus sind Open-Source-Modelle (wie Llama 3 oder Mixtral) mittlerweile so leistungsfähig, dass sie bei spezifischen Unternehmens- und Behördenaufgaben oft besser abschneiden als die geschlossenen "Black Box"-Giganten – vorausgesetzt, man fine-tuned sie richtig.

Ganz ehrlich: Aus reiner Sicherheitsperspektive wären Sie sicherer, wenn Sie ein leistungsstarkes chinesisches Open-Source-Modell nehmen, den Code prüfen und es lokal auf Ihren eigenen Servern laufen lassen, als einer Live-API-Verbindung nach Redmond oder San Francisco zu vertrauen.

Echte Souveränität erfordert Mut

Bei Vective glauben wir, dass Bequemlichkeit niemals über Sicherheit stehen darf – schon gar nicht auf staatlicher Ebene.

Sich aus der Abhängigkeit von Microsoft und OpenAI zu lösen, erfordert Anstrengung. Es erfordert den Aufbau einer Infrastruktur, die wir selbst besitzen. Es erfordert den Einsatz von Open-Source-Technologie, bei der wir die Gewichtungen, die Biases und den Datenfluss kontrollieren.

Aber ist es nicht genau das, was "Souveränität" eigentlich bedeutet?

Wenn wir eine digitale Zukunft wollen, die europäischen Werten, Datenschutzstandards und Rechtsrahmen entspricht, müssen wir sie selbst bauen. Wir können sie nicht im Silicon Valley mieten.

Nehmen Sie Ihre Daten wieder in die Hand

Wenn Sie als IT-Entscheider genug haben vom "Black Box"-Ansatz und sich Sorgen um die versteckten Risiken des CLOUD Acts machen, ist es Zeit für echte Alternativen.

Mit SafeChats bieten wir eine ChatGPT-Alternative, die wirklich sicher und konform ist und speziell für die Anforderungen von Unternehmen entwickelt wurde – ohne das geopolitische Gepäck. Wir konzentrieren uns darauf, Ihnen die Kraft der KI zu geben, ohne dass Sie die Schlüssel zu Ihrem Königreich abgeben müssen.

Bereit für echte Souveränität?

Buchen Sie noch heute eine Demo bei SafeChats und lassen Sie uns besprechen, wie Sie KI einsetzen, die tatsächlich Ihnen gehört.