digital-sovereignty

Digitale Souveränität, gültig bis 17:21

Michael Mrak

Michael Mrak

3 Min. Lesezeit
Teilen
Digitale Souveränität, gültig bis 17:21
Photo by David Pupăză / Unsplash

Eine US-Behörde kann per Knopfdruck zwei KI-Modelle für jeden Nicht-Amerikaner weltweit abschalten - schöner kann man Europas digitale Abhängigkeit kaum illustrieren.

Es gibt Momente, die ersparen einem als Vertreter für digitale Souveränität jede PowerPoint-Folie. Der 12. Juni 2026 war so ein Moment. Um 17:21 Uhr Ortszeit erhielt Anthropic einen Brief der US-Regierung. Wenig später waren zwei Spitzenmodelle, Fable 5 und Mythos 5, für jeden Nicht-Amerikaner auf diesem Planeten abgeschaltet. Inklusive der eigenen Mitarbeiter ohne US-Pass.

Man muss das kurz wirken lassen. Ein einzelner Brief, gestützt auf nationale Sicherheitsbefugnisse, und ein kommerzielles Produkt, das hunderte Millionen Menschen nutzen, ist für alle Ausländer Geschichte. Kein Verfahren, keine Anhörung, keine konkrete Begründung. Der Brief nennt die angebliche Sicherheitssorge nicht einmal.

Die Begründung, die keine ist

Anthropic schildert den Hergang erfreulich nüchtern, fast schon verwundert. Die Regierung vermutet eine Methode, mit der sich die Schutzmechanismen von Fable umgehen lassen. Die vorgeführte Technik förderte ein paar bereits bekannte, geringfügige Schwachstellen zutage. Solche, die andere frei verfügbare Modelle ebenfalls finden, ganz ohne kunstvollen Umweg.

Die beschriebene Schwachstelle besteht im Kern darin, das Modell zu bitten, einen Programmcode zu lesen und Fehler zu beheben. Also exakt das, was Entwickler jeden Tag tun, um Systeme sicher zu halten. Die Fähigkeit ist laut Anthropic breit verfügbar, unter anderem auch bei OpenAI GPT-5.5. Man stellt sich unweigerlich die Frage, warum dann ausgerechnet ein Modell von Anthropic zurückgerufen wird und nicht die halbe Branche.

Anthropic widerspricht deutlich. Würde dieser Maßstab branchenweit angelegt, käme jede neue Modellauslieferung praktisch zum Erliegen. Das Unternehmen verweist auf seine eigene Forderung, dass staatliche Eingriffe einem transparenten, fairen und technisch belegten Verfahren folgen sollen. Diese Anordnung tut es nicht.

Worum es wirklich geht

Für uns im DACH-Raum ist die technische Detailfrage zweitrangig. Interessant ist die Lehrstunde in Abhängigkeit.

Ein europäisches Unternehmen, das seine Prozesse auf ein US-Modell stützt, hat keinerlei Einfluss darauf, ob dieses Modell morgen früh noch existiert. Die Entscheidung fällt in Washington, aus Gründen, die niemand erklären muss, mit Wirkung für die ganze Welt außerhalb der USA.

Das ist die eigentliche Pointe. Nicht der Anbieter Anthropic hat hier den Stecker gezogen, sondern dessen Heimatstaat. Wer sich auf solche Dienste verlässt, hat einen Single Point of Failure, der nicht im Rechenzentrum sitzt, sondern in einer Behörde eines anderen, nicht mehr verbündeten Staates. Genau das wird gemeint, wenn Experten über digitale Souveränität reden, und genau deshalb klingt das Thema für manche so abstrakt, bis es eben um 17:21 Uhr sehr konkret wird.

Wer eine Risikobetrachtung nach ISO 27001 ernst nimmt, muss diesen Fall als Lieferantenrisiko und als Verfügbarkeitsrisiko führen. Anhang A.5.19 bis A.5.23 zu Lieferantenbeziehungen und Cloud-Diensten ist hier kein Papiertiger mehr, sondern gelebte Realität. Die Frage lautet nicht, ob der Anbieter zuverlässig ist, sondern ob sein Rechtsraum es zulässt, dass er es bleibt.

Die Datenhaltung als Bonusgag

Ein Detail am Rande, das den Souveränitätsfreund zusätzlich erheitert. Für die Mythos-Klasse hatte Anthropic eine 30-tägige Speicherung der Kundendaten eingeführt, ausdrücklich um Angriffe erkennen und untersuchen zu können. Eine Maßnahme, die das Unternehmen selbst als kostspielig und kundenunfreundlich beschreibt. Man darf das durchaus als Datenschutzthema lesen. Daten europäischer Kunden, vorgehalten zur Sicherheitsanalyse, in einem Modell, das per US-Anordnung jederzeit verschwinden kann.

Was daraus folgt

Die Empfehlung ist langweilig, weil sie immer dieselbe ist. Wer kritische Prozesse auf KI stützt, braucht eine Ausweichstrategie. Mehrere Anbieter, möglichst mit unterschiedlichem Rechtsraum, dazu europäische und quelloffene Alternativen dort, wo sie tragen. Keine Architektur, die zusammenbricht, weil ein einzelnes Modell ausfällt.

Anthropic verspricht, den Zugang so rasch wie möglich wiederherzustellen, und nennt das Ganze ein Missverständnis. Mag sein. Für die Bewertung des Risikos ist das nebensächlich. Entscheidend ist, dass das Abschalten überhaupt mit nur einem Behördenbrief und ohne Begründung möglich war. Wer darauf wettet, dass sich das nicht wiederholt, betreibt kein Risikomanagement, sondern agiert nach dem Prinzip Hoffnung.

Digital Souveränität ist kein Marketingbegriff. Sie ist die Antwort auf die Frage, wer um 17:21 Uhr über deinen Betrieb entscheidet.

Quelle: https://www.anthropic.com/news/fable-mythos-access

Transparenzhinweis: Dieser Beitrag wurde unter anderem mit Unterstützung generativer KI (Claude Opus 4.8, Anthropic) recherchiert und vor Veröffentlichung redaktionell geprüft.

Weiterlesen